“nullcookies” นักวิจัย และผู้เชี่ยวชาญความปลอดภัยทางด้าน phishing ได้พบว่ามีการสร้างหน้าเว็บ HTTP error เช่น Error 404 หรือ 403 Forbidden ปลอมเพิ่มมากขึ้น เมื่อผู้ใช้เข้าถึงหน้าเว็บปลอมนั้น Hacker จะสามารถเข้าถึง web shell เพื่อรันคำสั่งบน server ได้
เมื่อดูสคริปต์ จะเห็นหน้า login ที่ต่างไปจากเดิม โดย Hacker จะวางกล่องข้อความเพื่อทำการ loing ไว้ด้านล่างสุดของหน้าเว็บ ซึ่งถ้าหากไม่เลื่อนลงมาดูก็จะไม่รู้เลยว่ามีกล่องใส่ข้อความนี้อยู่
เมื่อเลื่อนลงมาดูจะเจอกล่องข้อความดังรูป
หรือเมื่อเข้าดูหน้าเว็บอื่นก็จะขึ้น 403 Forbidden เช่นเดียวกันกับ Error 404 เหมือนกัน
ในหน้านี้ Hacker จะซ่อน form loing ไว้ แม้ผู้ใช้สามารถเลื่อนลงมาดูไม่เจอ form นี้ ดังนั้นถ้าอยากเจอ form นี้ผู้ใช้ต้องทราบว่า ตัว form อยู่ที่ไหน หรือกด Tab เพื่อเข้าไปดู
nullcookies บอกว่า หน้าเว็บปลอมที่ซ่อนอยู่นี้อันตรายมาก แม้ว่าผู้ดูแลระบบจะลบการติดตั้ง phishing ไปแล้ว แต่ไม่คิดว่ายังมีหน้าเว็บปลอมซ่อนอยู่ ใน web shell ซึ่งทำให้ Hacker สามารถโจมตีเว็บไซต์ได้ง่ายยิ่งขึ้น
ดังนั้น ควรตรวจสอบหากคุณได้รับรายงานว่า เว็บไซต์ถูกบุกรุก และตรวจสอบแล้วไม่พบสิ่งปกติใดๆ ควรตรวจสอบหน้าเว็บให้ดีเสียก่อนว่าหน้าเว็บที่ขึ้นนั้นมี URL ถูกต้องหรือไม่
