พบแคมเปญ Phishing รูปแบบใหม่ที่ใช้โพสต์บน Facebook ในการโจมตี เพื่อขโมยข้อมูลบัญชีผู้ใช้งาน Facebook และข้อมูลที่สามารถระบุตัวบุคคลได้ Personally Identifiable Information (PII)
ขั้นตอนการโจมตี
ภายในเนื้อหาของ Phishing Email ที่ใช้ในการโจมตีจะระบุว่า “พบปัญหาการละเมิดลิขสิทธิ์ในโพสต์บน Facebook หากไม่ยื่นอุทธรณ์ภายใน 48 ชั่วโมง บัญชีนี้จะถูกลบ” พร้อมทั้งแนบลิงก์เพื่ออุทธรณ์การลบบัญชี
โดยลิงก์ดังกล่าวคือโพสต์ที่มีอยู่จริงบน Facebook.
นักวิจัยด้านความปลอดภัย Nipun Gupta และ Aazim Bill SE Yaswant พบ Trojan App ที่ชื่อว่า Schoolyard Bully Trojan บน Google Play Store โดยมียอดผู้ดาวน์โหลดแอปดังกล่าวไปแล้วกว่า 3 แสน รายใน 71 ประเทศ ซึ่งปัจจุบันได้ถูกถอดจาก Google Play Store ไปแล้ว แต่ก็ยังมีเผยแพร่อยู่บน 3rd party อื่น ๆ เช่น Telegram หรือ Whatsapp เป็นต้น
ลักษณะการทำงาน
Trojan ได้ถูกออกแบบมาเพื่อขโมย Facebook credentials เป็นหลัก โดยจะปลอมเป็นแอปพลิเคชั่นสำหรับการศึกษาที่ดูใช้งานได้ตามปกติ หรือแอปสำหรับอ่านนิยายออนไลน์เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมาโดยไม่เกิดความสงสัย
ซึ่งหลังจากที่เหยื่อมีการโหลดมาแอปมาติดตั้งไว้บนเครื่องแล้วจะมีการหลอกล่อเหยื่อให้เปิดหน้าใช้งานเข้าสู่ระบบของ Facebook ใน WebView ซึ่งภายในหน้าเว็บนั้นจะมีการฝัง JavaScript ที่มีความสามารถในการขโมยข้อมูลจำพวก เบอร์โทรศัพท์ อีเมล และรหัสผ่านของผู้ใช้ ส่งไปยัง Command-and-control (C2) ที่ถูกกำหนดไว้ของผู้โจมตี
นอกจากนี้ Schoolyard Bully Trojan ยังมีความสามารถในการใช้ประโยชน์จาก native libraries เช่น libabc.
แอปพลิเคชัน Instagram และ Facebook จะมีลิงก์เว็บไซต์ และโฆษณาต่าง ๆ มากมายภายในแอป โดยเมื่อผู้ใช้คลิกลิงก์เพื่อเปิดเว็บไซต์ แอปพลิเคชันจะเปิดเว็บไซต์ผ่านเว็บเบราว์เซอร์ของมันเอง ซึ่งจะมีการแทรกโค้ด JavaScript (connect.
ข้อมูลดังกล่าวประกอบด้วยชื่อ- นามสกุล, Facebook ID, เบอร์โทรศัพท์, อีเมล, เพศ, อาชีพ และประเทศ เป็นต้น และเป็นข้อมูลของผู้ใช้งาน Facebook มากกว่า 533 ล้านราย จาก 106 ประเทศ แต่ไม่พบว่ามีข้อมูลของผู้ใช้งานในประเทศไทย เชื่อว่าข้อมูลดังกล่าวรั่วไหลมาตั้งแต่ปี 2019 ผ่านทางช่องโหว่เก่าของ Facebook ที่ได้รับการแก้ไขไปแล้ว ข้อมูลดังกล่าวจึงเป็นข้อมูลตั้งแต่เมื่อปี 2019 ทั้งนี้จากข้อมูลล่าสุดมีการระบุว่า Mark Zuckerberg ผู้ก่อตั้ง Facebook เองก็เป็นหนึ่งในผู้เสียหายที่มีข้อมูลหลุดออกมาเช่นเดียวกัน
ที่มา: thehackernews
ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)
หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้
ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว
ที่มา: securityaffairs, wordfence
ทีมนักวิจัยจาก vpnMentor เปิดเผยปฏิบัติการ Phishing และการหลอกลวงเอาข้อมูลบัตรเครดิคจากผู้ใช้งาน Facebook และหลังจากมีการตรวจระบบ ElasticSearch ของกลุ่มแฮกเกอร์ที่ถูกตั้งค่าไว้อย่างไม่ปลอดภัย ทำให้ทีมนักวิจัยสามารถเข้าถึงข้อมูลของเหยื่อได้
กลุ่มแฮกเกอร์ใช้วิธีการหลอกเป้าหมายใน Facebook เพื่อเข้ายึดครองบัญชีผู้ใช้งานโดยการหลอกให้ผู้ใช้งานกรอกข้อมูลสำหรับยืนยันตัวตนใส่โปรแกรมที่อ้างว่าจะช่วยให้ผู้ใช้งานทราบว่าใครเข้ามาดูหน้าโปรไฟล์ของพวกเขาได้ จากนั้น กลุ่มแฮกเกอร์จะนำข้อมูลบัญชีผู้ใช้ Facebook ที่ได้มาไปสแปมในโพสต์ต่าง ๆ ของ Facebook เพื่อหลอกลวงด้วยสถานการณ์อื่น ๆ
ในส่วนของระบบ ElasticSearch ของผู้โจมตีนั้น ทีมนักวิจัยจาก vpnMentor ระบุว่าข้อมูลซึ่งอยู่ในระบบ ElasticSearch มีขนาดประมาณ 5.5 กิกะไบต์, เก็บข้อมูลทั้งหมด 13,521,774 รายการ และมีข้อมูลของบัญชีผู้ใช้งานที่ไม่ซ้ำกันทั้งหมด 100,000 บัญชี ประวัติการใช้งานระบุว่าระบบดังกล่าวถูกเปิดใช้งานมาตั้งแต่เดือนมิถุนายนก่อนที่จะถูกตรวจพบในช่วงปลายเดือนกันยายนที่ผ่านมา
ข้อมูลในระบบ ElasticSearch ประกอบไปด้วยข้อมูลสำหรับยืนยันตัวตนของบัญชี Facebook เหยื่อ, หมายเลขไอพีแอดเดรส, เทมเพลตข้อความเพื่อใช้ในการคอมเมนต์โดยผู้โจมตี, และข้อมูลส่วนตัวอื่นๆ ในขณะนี้ทางทีมวิจัยได้มีการติดต่อไปยัง Facebook เพื่อประสานงานและแจ้งให้ผู้ใช้ได้รับทราบแล้ว
ที่มา: threatpost
กลุ่มมัลแวร์เรียกค้าไถ่ Ragnar Locker เริ่มขยับการกดดันให้เหยื่อจ่ายค่าไถ่ด้วยวิธีการใหม่ โดยการแฮกเข้าไปในบัญชี Facebook ของธุรกิจโฆษณาและใช้บัญชีดังกล่าวในการสร้างโฆษณาเพื่อประกาศการโจมตี Campari Group ซึ่งเป็นเหยื่อรายล่าสุดของทางกลุ่ม
การโจมตี Campari Group เกิดขึ้นเมื่อช่วงปลายเดือนตุลาคมที่ผ่านมา ผู้โจมตีอ้างว่าสามารถเข้าถึงและขโมยข้อมูลออกมาได้กว่า 2 เทระไบต์ก่อนจะเริ่มกระบวนการเข้ารหัสและเรียกค่าไถ่ โดยเงื่อนไขในการขู่กรรโชกนั้นคือการจ่ายเงินกว่า 15 ล้านดอลลาร์สหรัฐฯ เพื่อแลกกับการถอดรหัสและการยับยั้งไม่ให้แฮกเกอร์เปิดเผยข้อมูลที่ขโมยมา
เนื้อหาในโฆษณาที่กลุ่ม Ragnar Locker กระจายใน Facebook นั้นมีการพูดถึงการโจมตี Campari Group พร้อมคำขู่ว่าจะมีการปล่อยข้อมูลที่ขโมยออกมาได้เพิ่มหากผู้เสียหายไม่มีการจ่ายค่าไถ่ภายใต้เงื่อนไขที่กำหนด โฆษณาดังกล่าวถูกแสดงให้ผู้ใช้งาน Facebook เห็นว่า 7,000 ครั้งก่อนจะถูกระบบของ Facebook ตรวจจับและปิดการเข้าถึง
ที่มา: bleepingcomputer | threatpost
บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้กล่าวว่าในเดือนธันวาคม 2019 เว็บไซต์ Hackread.com รายงานว่าเซิร์ฟเวอร์ Elasticsearch ได้ทำการกำหนดการค่าผิดทำให้เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ 267 ล้านคน ข้อมูลส่วนใหญ่เป็นของผู้ใช้ในสหรัฐอเมริกาและมีโปรไฟล์ Facebook, ชื่อเต็ม, ไอดีของผู้ใช้บัญชีและ timestamp ของบัญชี
บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้พบบัญชีผู้ใช้ Facebook ถูกนำมาวางขายถึง 267 ล้านบัญชี มีราคาขายประมาณ $600 บนแฮกเกอร์ฟอรัม ข้อมูลที่ถูกขายนั้นประกอบไปด้วย ลิงก์ที่เข้าถึงโปรไฟล์ Facebook, ชื่อ, ที่อยู่, อีเมล, หมายเลขโทรศัพท์, อายุ, วันเดือนปีเกิด, สถานะ, เพศ, และเมืองที่อาศัย
ผู้เชี่ยวชาญคาดว่าเป็นข้อมูลที่ถูกขายนั้นเป็นข้อมูลชุดเดียวกันกับการรั่วไหลข้อมูลของ Elasticsearch ผู้เชี่ยวชาญได้ทำการซื้อและวิเคราะห์ข้อมูลที่ถูกขาย ข่าวดีคือไม่มีรหัสผ่านของผู้ใช้ แต่ข้อมูลที่ถูกขายนั้นเพียงพอที่จะสามารถดำเนินการทำฟิชชิงบัญชีของผู้ที่ตกเป็นเหยื่อ
ผู้เชี่ยวชาญยังกล่าวอีกว่าในเดือนมีนาคม 2019 บริษัท Facebook ได้เปิดเผยต่อสื่อว่าบริษัทได้ทำการเก็บรหัสผ่านผู้ใช้ 600 ล้านข้อความเป็น Plain Text และมีรหัสผ่านของพนักงานมากกว่า 20,000 คน และเมื่อวันที่ 4 เมษายน 2019 ข้อมูลส่วนตัวของผู้ใช้ Facebook กว่า 540 ล้านคนถูกเปิดเผยต่อสาธารณเนื่องจากไม่มีการป้องกันข้อมูลที่ฝากข้อมูลจาก Amazon Web Services (AWS) S3
ข้อเเนะนำจากผู้เชี่ยวชาญ
ผู้ใช้ Facebook ควรทำการตั้งค่าความเป็นส่วนตัวในโปรไฟล์ Facebook และระมัดระวังอีเมลหรือข้อความที่ส่งลิงค์มาเชิญชวนให้เปลี่ยนรหัสผ่านรวมถึงการให้ตั้งค่า
ที่มา: www.
Facebook ระงับแอปนับหมื่นหลังจากกรณี Cambridge Analytica
Facebook ระงับแอปนับหมื่นบนแพลตฟอร์มหลังจากการสืบสวนที่เริ่มต้นมาจากกรณีที่ Cambridge Analytica ระบุว่าใช้แอปของ Facebook ในการรวบรวมข้อมูลจากการสืบสวนที่กำลังกำเนิดอยู่เกี่ยวแอปที่จัดการและใช้ประโยชน์กับข้อมูลส่วนบุคคลผู้ใช้งาน การสืบสวนนี้เป็นการตอบสนองของเหตุการณ์ Cambridge Analytica ที่ถูกเปิดโปงเมื่อเดือนมีนาคม 2018
แอปนับหมื่นที่เกี่ยวข้องกับ 400 นักพัฒนาได้ถูกระงับหรือแบนอย่างถาวร Facebook กล่าวว่าหลายแอปมีการถามข้อมูลที่ไม่สมเหตุสมผลที่กลายเป็นข้อมูลที่เปิดเผยต่อสาธารณะโดยไม่มีการปิดบังเจ้าของข้อมูล ซึ่งถือว่าเป็นการละเมิดนโยบายของ Facebook อย่างชัดเจน
Facebook เน้นว่าบางแอปที่ถูกระงับยังไม่ได้ละเมิดความเป็นส่วนตัวของผู้ใช้งาน โดยหลายๆ แอปที่ถูกแบนยังอยู่ในช่วงทดสอบระบบและยังไม่ได้ถูกใช้งานจริง
ที่มา : threatpost.
Facebook ออกแถลงการณ์ยอมรับว่าได้เก็บรหัสผ่านของผู้ใช้ Instagram นับล้านผู้ใช้ในรูปแบบการจัดเก็บเป็นข้อความธรรมดาบน log ของเซิร์ฟเวอร์ภายใน
Facebook ออกแถลงการณ์เพื่ออัปเดตข้อมูลจากเหตุการณ์เมื่อเดือนที่แล้วที่พบว่ามีการจัดเก็บรหัสผ่านของผู้ใช้จำนวนมากในรูปแบบการจัดเก็บเป็นข้อความธรรมดาบน log ของเซิร์ฟเวอร์ภายใน ประกอบไปด้วยรหัสผ่านของผู้ใช้งาน Facebook Lite จำนวนหลายร้อยล้านผู้ใช้ รหัสผ่านของผู้ใช้ Facebook จำนวนหลายสิบล้านผู้ใช้และรหัสผ่านของบัญชี Instagram จำนวนหลายหมื่นผู้ใช้ แต่จากการตรวจสอบเพิ่มเติมล่าสุด Facebook พบว่ามีการจัดเก็บรหัสผ่านของบัญชี Instagram มากกว่านั้นเป็นจำนวนกว่าล้านผู้ใช้งาน
โดยรหัสผ่านดังกล่าวถูกจัดเก็บในรูปแบบข้อความธรรมดา (plain text) บน log ของเซิร์ฟเวอร์ภายในของ Facebook โดย log สามารถเข้าถึงได้โดยพนักงานของ Facebook เท่านั้น และจากการสอบสวนพบว่ายังไม่มีการใช้งานรหัสผ่านดังกล่าวในทางที่ผิดจากการพนักงานของ Facebook ซึ่งจะมีการแจ้งผู้ใช้งานที่ได้รับผลกระทบต่อไป
ทั้งนี้ผู้ใช้งาน Instagram ควรทำการเปลี่ยนรหัสผ่านเพื่อความปลอดภัย
ที่มา: www.