บริษัท Anti Social Engineer ได้เผยแพร่บทความกรณีศึกษาการสร้างความตระหนักด้านความมั่นคงปลอดภัยให้กับพนักงาน โดยส่งลิงก์ดาวน์โหลด extension ของ Google Chrome ไปให้ติดตั้งทางอีเมล จากนั้นมาเฉลยในภายหลังว่า extension ดังกล่าวสามารถดักขโมยข้อมูลสำคัญเช่นรหัสผ่านหรือบัตรเครดิตได้ จุดประสงค์ของเหตุการณ์นี้เพื่อสร้างความรู้ความเข้าใจให้พนักงานไม่ติดตั้ง extension จากแหล่งภายนอกโดยเฉพาะอย่างยิ่งเมื่อ extension นั้นถูกส่งมากับอีเมลที่ไม่สามารถยืนยันได้

         วิธีการที่ทางทีมงานใช้คือสร้างไฟล์ Google Chrome Extension ขึ้นมา โดยข้างในมีโค้ดสำหรับดักและส่งต่อข้อมูลที่ผู้ใช้กรอกในหน้าเว็บไซต์ ต่อมาสมัคร Google Developer Account เพื่อนำไฟล์ manifest มาใส่ลงใน extension ที่สร้างขึ้นเพื่อให้สามารถติดตั้งใน Chrome ได้ จากนั้นส่งอีเมล phishing ไปให้กับพนักงานโดยตั้งหัวข้ออีเมลในลักษณะหลอกว่ามีอัปเดตด้านความมั่นคงปลอดภัยที่จำเป็นต้องติดตั้ง (เช่น ใช้ข้อความ "an important security update") และเมื่อเหยื่อหลงเชื่อดาวน์โหลดไฟล์ extension นั้นมาติดตั้งก็จะถูกขโมยข้อมูลทันที นอกจากนี้ ตัว extension ที่สร้างขึ้นยังมีการใช้โลโก้ของ Google Drive เพื่อสร้างความแนบเนียนให้ผู้ใช้สังเกตความผิดปกติได้ยากด้วย

แนวทางการป้องกัน

•          ผู้ใช้ทั่วไปควรมีความตระหนักว่าการติดตั้ง extension ของเบราว์เซอร์นั้นอาจมีความเสี่ยงที่จะถูกขโมยข้อมูลหรือถูกละเมิดความเป็นส่วนตัวได้ แม้ว่า extension นั้นจะดาวน์โหลดมาจาก Store ของเบราว์เซอร์เองก็ตาม (ตัวอย่าง Google Chrome Extension ขโมยข้อมูลบัตรเครดิต https://blog.en.elevenpaths.com/2019/01/chrome-extension-card-cybersecurity.html) ก่อนติดตั้ง extension ใด ๆ ควรพิจารณาให้รอบคอบ
•         ผู้ดูแลระบบ หากหน่วยงานมีการใช้งาน Google Chrome Enterprise (https://cloud.google.com/chrome-enterprise/browser/download/) สามารถกำหนด policy ให้ติดตั้งหรือใช้งานเฉพาะ extension ที่ได้รับอนุญาต โดยสามารถศึกษาวิธีการตั้งค่าได้จากเว็บไซต์ของ Google (https://support.google.com/chrome/a/answer/7532015)
• 
  

แหล่งข้อมูลจาก ThaiCert