Pastejacking คืออะไร? ทำไมคุณไม่ควรคัดลอกวางจากเว็บ

วิธีที่ง่ายที่สุดในการรับข้อความและรูปภาพจากเว็บไซต์คือการเลือกข้อความ คัดลอกโดยใช้CTRL+Cแล้ววางโดยใช้CTRL CTRL+Vจะเกิดอะไรขึ้นหากเนื้อหาที่วางไม่ใช่สิ่งที่คุณคัดลอกมาจากเว็บไซต์ แน่นอน คุณจะคัดลอกและวางอีกครั้ง และผลลัพธ์อาจเหมือนเดิม มันเสี่ยงและเราจะคุยกันว่าทำไม

ตัวอย่างสั้นๆ คือ คุณคัดลอกคำสั่งจากเว็บไซต์และวางลงในคอนโซล ปรากฎว่าคำสั่งมีการเปลี่ยนแปลง และทำให้ข้อมูลของคุณเสียหาย มันผิดกับวิธีที่คุณคัดลอกวางหรือไม่? หรือเป็นสิ่งที่เป็นอันตราย? บทความนี้กล่าวถึงPastejacking คืออะไร – ศิลปะในการเปลี่ยนสิ่งที่คุณคัดลอกจากหน้าเว็บ

pastejacking

Pastejacking คืออะไร

เบราว์เซอร์เกือบทั้งหมดอนุญาตให้เว็บไซต์เรียกใช้คำสั่งบนคอมพิวเตอร์ของผู้ใช้ได้ คุณลักษณะนี้สามารถอนุญาตให้เว็บไซต์ที่เป็นอันตรายเข้าควบคุมคลิปบอร์ดของคอมพิวเตอร์ของคุณได้ กล่าวคือ เมื่อคุณคัดลอกบางสิ่งและวางลงในคลิปบอร์ด เว็บไซต์สามารถเรียกใช้คำสั่งอย่างน้อยหนึ่งคำสั่งโดยใช้เบราว์เซอร์ของคุณ สามารถใช้วิธีนี้เพื่อเปลี่ยนเนื้อหา ใน คลิปบอร์ด ได้ แม้ว่าจะไม่เป็นอันตรายมากนักหากคุณเพียงแค่คัดลอกไปยังNotepadหรือWordฯลฯ แต่อาจเป็นปัญหาสำหรับคอมพิวเตอร์ของคุณหากคุณวางบางสิ่งลงในCommand Promptโดยตรง

เว็บไซต์เรียกใช้คำสั่งเมื่อผู้ใช้ทำสิ่งใดโดยเฉพาะ เช่น เมื่อกดปุ่มเฉพาะหรือคลิกขวาเมาส์ เมื่อคุณกดCTRL+Cบนแป้นพิมพ์ โหมดคำสั่งเว็บไซต์จะทริกเกอร์ หลังจากรอสักครู่ ให้พูด 800 มิลลิวินาที เครื่องจะวางสิ่งที่เป็นอันตรายลงในคลิปบอร์ดของคุณ การรอคือให้คุณใช้CTRL+Vวางข้อความต้นฉบับที่คุณคัดลอก บางเว็บไซต์อาจติดตามCTRL+Vและใช้เพื่อทริกเกอร์คำสั่งที่เปลี่ยนเนื้อหาคลิปบอร์ด

นอกจากนี้ยังสามารถติดตามการเคลื่อนไหวของเมาส์ได้อีกด้วย หากคุณไม่ได้ใช้แป้นพิมพ์ แต่ให้ใช้เมนูบริบทเพื่อคัดลอกแทน พวกเขาสามารถทริกเกอร์คำสั่งเพื่อแทนที่เนื้อหาคลิปบอร์ดของคุณได้

กล่าวโดยย่อ Pastejacking เป็นวิธีการที่เว็บไซต์ที่เป็นอันตรายใช้เพื่อควบคุมคลิปบอร์ดของคอมพิวเตอร์ของคุณและเปลี่ยนเนื้อหาเป็นสิ่งที่เป็นอันตรายโดยที่คุณไม่รู้ตัว(In short, Pastejacking is a method that malicious websites employ to take control of your computers’ clipboard and change its content to something harmful without your knowledge.)

ทำไม Pastejacking ถึงเป็นอันตราย

สมมติว่า(Suppose)คุณกำลังคัดลอกและวางจากเว็บไซต์ไปยังMicrosoft Word (Microsoft Word)เมื่อคุณกดCTRL+CหรือCTRL+Vเว็บไซต์จะวางคำสั่งสองสามคำสั่งบนคลิปบอร์ดของคุณซึ่งสามารถสร้างและเรียกใช้มาโครที่เป็นอันตรายได้

ที่แย่กว่านั้นคือเมื่อคุณวางเนื้อหาลงในคอนโซลโดยตรง เช่นหน้าต่างPowerShellหรือCommand Prompt ผู้ใช้ Mac(Mac)มีความปลอดภัยหากพวกเขาใช้iTerm เป็นการจำลองที่อนุญาตให้ ผู้ใช้ Macแทนที่คอนโซลเริ่มต้น เมื่อใช้ iTerm จะถามผู้ใช้ว่าต้องการวางบางสิ่งที่มีอักขระ "ขึ้นบรรทัดใหม่" หรือไม่ ผู้ใช้สามารถเลือก "ใช่" หรือ "ไม่ใช่" ขึ้นอยู่กับสิ่งที่พวกเขากำลังทำ

อักขระNewline(Newline character) จริง ๆ แล้วเป็น คีย์Enterครึ่งหนึ่ง แป้น Enter(Enter) ถูกแสดง โดยทั่วไปด้วยลูกศรที่ดูเหมือนว่าจะมาจากบรรทัดบนไปบรรทัดล่างแล้วไปทางซ้าย ปุ่มEnterเป็นการผสมผสานระหว่างNewline (เปลี่ยนเป็นบรรทัดถัดไป) และReturn (อ่านว่า “แคร่เลื่อนขึ้นสู่ตำแหน่งซ้ายสุด x,0” เช่นเดียวกับในเครื่องพิมพ์ดีด) เมื่อคุณกดปุ่มEnterคำสั่งใดๆ บนบรรทัดคอนโซลนั้นจะถูกดำเนินการ ขึ้นอยู่กับคอนโซลเพื่อขอคำยืนยัน

พรอมต์ คำสั่ง ของ Windows จะไม่ขอการยืนยันในกรณีของคำสั่งส่วนใหญ่ (Windows)จะขอการยืนยันเฉพาะในกรณีที่คุณใช้คำสั่งDELหรือFORMAT สำหรับคำสั่งเช่นRENAMEเป็นต้น จะไม่ขอคำยืนยัน ฉันไม่ได้ใช้Powershellมากนัก ดังนั้นฉันจึงไม่รู้ว่าคำสั่งนั้นได้รับการยอมรับอย่างไร

ไม่ว่าในกรณีใด หากเว็บไซต์วางคำสั่งบนคลิปบอร์ดของคุณด้วย ปุ่ม Enter ( /n/rโดยที่ /n คือขึ้นบรรทัดใหม่ และ /r คือการขึ้นบรรทัดใหม่) คอนโซลหรือแอปพลิเคชันใดๆ ที่ตั้งโปรแกรมได้จะรันคำสั่งโดยตรง หากคำสั่งเหล่านี้เป็นอันตราย คำสั่งเหล่านี้อาจสร้างความเสียหายให้กับเครื่องและเครือข่ายของคุณได้

อ่าน: ลายนิ้ว มือ การเข้า ชมเว็บไซต์(Website Traffic Fingerprinting)

วิธีหลีกเลี่ยงการ Pastejacking

หากคุณเป็นOS Xคุณสามารถใช้โปรแกรมจำลอง iTerm ได้เพื่อความปลอดภัย มันจะแจ้งคุณในกรณีที่ pastejacking เกิดขึ้นพร้อมกับEnterชุดอักขระ ที่ต่อท้ายแล้ว

ผู้ใช้ Windows(Windows)ต้องตรวจสอบสิ่งที่อยู่ในคลิปบอร์ดของคอมพิวเตอร์ของคุณ ในการทำเช่นนี้ ก่อนอื่น ให้วางเนื้อหาลงในNotepad มันวางคลิปบอร์ดเป็นข้อความเท่านั้น และให้คุณเห็นว่ามีอะไรอยู่ในคลิปบอร์ด หากคุณเห็นสิ่งที่คุณคัดลอก คุณสามารถวางได้ทุกที่ที่คุณต้องการ มันหมายถึงขั้นตอนเพิ่มเติม แต่ดีกว่าPastejacked โปรดจำไว้(Remember)ว่าการใช้Wordเพื่อตรวจสอบคลิปบอร์ดอาจเป็นอันตรายได้ เนื่องจากสามารถตั้งโปรแกรมได้โดยใช้มาโคร ฯลฯ

จำไว้(Remember)ว่าการใช้Wordเพื่อตรวจสอบคลิปบอร์ดอาจเป็นอันตรายได้ เนื่องจากมันสามารถตั้งโปรแกรมได้โดยใช้มาโคร ฯลฯNotepadไม่สามารถตั้งโปรแกรมได้ ดังนั้นจึงปลอดภัยที่จะตรวจสอบเนื้อหาของคลิปบอร์ด แน่นอน คุณจะไม่เห็นรูปแบบ ฟอนต์ และสไตล์ ฯลฯ เนื่องจากเนื้อหาถูกวางเป็นข้อความธรรมดา

สำหรับรูปภาพแม้ว่าฉันไม่แน่ใจ แต่ฉันคิดว่าการคลิกขวาและเลือก " บันทึกเป็น…(Save As…) " ดีกว่าการใช้คำสั่ง " คัดลอก "(Copy)

อ่านเพิ่มเติม: (Also read:) การโจรกรรมข้อมูลคลิปบอร์ด – เพิ่มความปลอดภัยใน Internet Explorer



จิรโชติ หวังกระแทกคาง

About the author

ฉันเป็นนักพัฒนาเว็บที่มีประสบการณ์มากกว่า 10 ปี ฉันเชี่ยวชาญด้านการพัฒนา Chrome OS และเคยทำงานในโครงการต่างๆ มากมายตั้งแต่สตาร์ทอัพขนาดเล็กไปจนถึงบริษัทที่ติดอันดับ Fortune 500 ฉันยังเป็นผู้เชี่ยวชาญในบัญชีผู้ใช้และความปลอดภัยของครอบครัว และได้พัฒนาแอพ Android ที่ประสบความสำเร็จหลายตัว


Related posts