Google เริ่มทยอยปล่อยฟีเจอร์ความปลอดภัยใหม่ของ Chrome ในวงกว้าง ที่ผูกเซสชันการล็อกอินเข้ากับฮาร์ดแวร์ของอุปกรณ์ ซึ่งเป็นการเปลี่ยนแปลงที่สำคัญสำหรับผู้ที่ถือกระเป๋าคริปโต
ประเด็นสำคัญ:
- Google ปล่อย Device Bound Session Credentials ที่ล็อกคุกกี้เซสชันของเบราว์เซอร์กับชิปความปลอดภัยของคอมพิวเตอร์
- การป้องกันนี้บล็อกการโจมตีที่พบได้บ่อย ซึ่งอาชญากรใช้ขโมยคุกกี้เพื่อเลี่ยงการยืนยันตัวตนสองขั้นตอน (2FA)
- ผู้ใช้คริปโตมีความเสี่ยงสูงเป็นพิเศษ เพราะมัลแวร์ขโมยข้อมูลมักเล็งเป้ากระเป๋าเงินและเซสชันเว็บเทรดเป็นปกติ
Chrome ป้องกันคุกกี้ล็อกอินอย่างไรในตอนนี้
รายงานในสัปดาห์นี้ได้ ระบุไว้ ถึงการปล่อยใช้งาน Device Bound Session Credentials หรือ DBSC ในวงกว้าง หลังจากทดสอบมาหลายเดือนบนเบราว์เซอร์ตระกูล Chromium
เครื่องมือนี้ถูกปล่อยให้ผู้ใช้ส่วนใหญ่แล้ว ตั้งแต่บัญชี Workspace และ Enterprise ไปจนถึงบัญชีส่วนตัว โดยผูกการล็อกอินแต่ละครั้งเข้ากับกุญแจเข้ารหัสที่ไม่ออกจากอุปกรณ์เลย
คุกกี้เซสชันทำงานเหมือนสายรัดข้อมือในงานที่ต้องมีบัตร เข้าช่วยให้เว็บไซต์จำการล็อกอินได้ โดยไม่ต้องถามรหัสผ่านหรือโค้ดสองขั้นตอนทุกครั้งที่เข้าใช้
อาชญากรให้ค่ากับไฟล์เหล่านี้มาก เพราะคุกกี้ที่ถูกขโมยสามารถ เลี่ยง ชั้นป้องกันที่สองไปได้ทั้งหมด และโทเคนเหล่านี้มักถูกขายในตลาดมืด DBSC จะเก็บกุญแจไว้ใน Windows Trusted Platform Module หรือ Mac Secure Enclave จากนั้นบังคับให้เบราว์เซอร์พิสูจน์การครอบครองก่อนจะรีเฟรชคุกกี้ใด ๆ
ผลลัพธ์คือคุกกี้จะไร้ค่าเมื่อนำไปใช้บนเครื่องอื่น
Also Read: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
ทำไมเทรดเดอร์คริปโตควรสนใจ
สำหรับผู้ใช้คริปโต เซสชันที่ถูกยึดอาจหมายถึงเงินหายจากกระเป๋า ไม่ใช่แค่อีเมลถูกแฮ็ก มัลแวร์ขโมยข้อมูลในปัจจุบันมักกวาดคุกกี้เบราว์เซอร์ รหัสผ่านที่บันทึกไว้ และไฟล์กระเป๋าเงินในคราวเดียว ก่อนส่งไปยังเซิร์ฟเวอร์ระยะไกล
การวิเคราะห์ชิ้นหนึ่ง พบ ว่าการขโมยข้อมูลล็อกอินเกี่ยวข้องกับการเจาะระบบราวหนึ่งในสามของเหตุการณ์ที่ติดตามเมื่อปีที่แล้ว สะท้อนให้เห็นว่ากลยุทธ์นี้กลายเป็นเรื่องปกติแค่ไหน
การค้าขายก็กลายเป็นรูปแบบอุตสาหกรรมไปแล้ว โดยนักวิจัย พบ มัลแวร์ขโมยข้อมูลแบบสมัครสมาชิกชื่อ Storm ที่ให้เช่าในราคาไม่ถึง 1,000 ดอลลาร์ต่อเดือน และเล็งเป้ากระเป๋าเงินผ่านส่วนขยายเบราว์เซอร์และแอปเดสก์ท็อป
สายพันธุ์อื่น ๆ จับตา เซสชันที่เชื่อมโยงกับ Binance, Coinbase, MetaMask และ Trust Wallet จากนั้นขโมยคุกกี้เพื่อล็อกอินเข้าสู่บัญชีโดยไม่ต้องใช้รหัสผ่าน
เส้นทางอันยาวไกลของ DBSC กว่าจะถึงมือผู้ใช้
Google เปิดตัว DBSC ครั้งแรกในปี 2024 ก่อนจะนำไปสู่ช่วงเบตาสาธารณะและปล่อยใช้งานจริงบน Chrome เวอร์ชัน 146 ขึ้นไปสำหรับ Windows และเวอร์ชัน 148 ขึ้นไปสำหรับ Mac
บริษัทได้ เปิดใช้งาน เป็นค่าเริ่มต้นสำหรับบัญชี Workspace ซึ่งผู้ดูแลระบบไม่สามารถปิดได้ สำหรับเทรดเดอร์ที่เปิดแท็บเว็บเทรดและส่วนขยายกระเป๋าเงินค้างไว้ทั้งวัน การอัปเดตนี้ช่วยปิดหนึ่งในช่องทางที่ง่ายที่สุดในการเข้าถึงเงินของพวกเขาอย่างเงียบ ๆ
Read Next: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak