Okta แจ้งเตือนกลุ่มแฮ็กเกอร์มุ่งเป้าการโจมตีไปยังแผนก IT help desks เพื่อเข้าถึง User Admin และปิดการใช้งาน MFA

Okta บริษัทจัดการข้อมูลประจำตัว และการเข้าถึงข้อมูล ออกมาแจ้งเตือนการโจมตีรูปแบบ Social Engineering ที่มีการกำหนดเป้าหมายไปที่ฝ่าย IT service desk ในสหรัฐอเมริกา โดยมีการพยายามหลอกให้พวกเขารีเซ็ต multi-factor authentication (MFA) ของผู้ใช้งานที่มีสิทธิ์สูง ซึ่งเป้าหมายของผู้โจมตีคือขโมย Super Administrator ที่มีสิทธิ์สูง เพื่อเข้าถึง และใช้ข้อมูลส่วนตัวของผู้ที่ถูกโจมตีมาแอบอ้าง (more…)

Coinbase ถูกโจมตีด้วยการมุ่งเป้าไปที่พนักงานจากการแจ้งเตือนทาง SMS ปลอม [EndUser]

Coinbase แพลตฟอร์มการแลกเปลี่ยน cryptocurrency ชื่อดัง ออกมายอมรับว่าถูกแฮ็กเกอร์ขโมยข้อมูลการเข้าสู่ระบบของพนักงาน เพื่อพยายามเข้าถึงระบบของบริษัทจากภายนอก

ผลจากการโจมตีทำให้แฮ็กเกอร์ได้ข้อมูลติดต่อของพนักงาน Coinbase จำนวนหนึ่ง โดยข้อมูลทางการเงิน และข้อมูลของลูกค้ายังไม่ได้รับผลกระทบ

รายละเอียดการโจมตี

แฮ็กเกอร์มุ่งเป้าไปที่ engineer ของ Coinbase จำนวนมาก ในวันอาทิตย์ที่ 5 กุมภาพันธ์ โดยมีการส่งข้อความแจ้งเตือนทาง SMS เพื่อให้ล็อกอินเข้าสู่บัญชีของบริษัทเพื่ออ่านข้อความสำคัญ โดยที่พนักงานส่วนใหญ่ไม่ได้สนใจข้อความ แต่มีพนักงานคนหนึ่งคลิกลิงก์ไปยังหน้าฟิชชิ่ง และมีการป้อนข้อมูล credentials

ขั้นตอนต่อไป แฮ็กเกอร์พยายามเข้าสู่ระบบภายในของ Coinbase โดยใช้ข้อมูล credentials ที่ถูกขโมยไป แต่ล้มเหลวเนื่องจากการเข้าถึงได้รับการป้องกันด้วย multi-factor authentication (MFA) และ 20 นาทีต่อมา แฮ็กเกอร์ก็เปลี่ยนไปใช้กลยุทธ์อื่น โดยโทรหาพนักงาน และอ้างว่าติดต่อมาจากทีม IT ของ Coinbase และสั่งให้เหยื่อลงชื่อเข้าใช้งานระบบ และทำตามคำแนะนำ

CSIRT ของ Coinbase ตรวจพบพฤติกรรมที่ผิดปกติภายใน 10 นาทีนับตั้งแต่เริ่มการโจมตี และติดต่อเหยื่อเพื่อสอบถามเกี่ยวกับพฤติกรรมล่าสุดที่ผิดปกติจากบัญชี หลังจากนั้นพนักงานก็ตระหนักว่ามีบางอย่างผิดปกติ และหยุดการสื่อสารกับผู้โจมตี

การป้องกัน

Coinbase ได้แชร์ TTPs ที่สามารถใช้เพื่อระบุการโจมตีที่คล้ายกัน และเพื่อป้องกันการโจมตีดังกล่าว:

การเข้าใช้งาน web traffic ไปยังที่อยู่ : sso-[.]com, sso[.]com, login.

ฟิชชิ่งรูปแบบใหม่สามารถ Bypass MFA ได้ โดยใช้แอปพลิเคชัน Microsoft WebView2

เทคนิคการโจมตีด้วยฟิชชิ่งรูปแบบใหม่มีการใช้แอปพลิเคชัน Microsoft Edge WebView2 เพื่อขโมยคุกกี้ของเหยื่อ ทำให้ผู้โจมตีสามารถ Bypass multi-factor authentication ได้ เมื่อลงชื่อเข้าใช้บัญชีที่ถูกขโมยมา

จากเหตุการณ์การรั่วไหลของข้อมูลจากการโจมตีด้วย Remote access trojan และแคมเปญฟิชชิ่งต่างๆ จึงทำให้มีข้อมูล login credential ที่ถูกขโมยมาเป็นจำนวนมาก (more…)

Escobar มัลแวร์บน Android สามารถขโมย MFA จาก Google Authenticator ได้

Aberebot banking trojan บน Android กลับมาอีกครั้งในชื่อ 'Escobar' พร้อมคุณสมบัติใหม่สามารถขโมยรหัส multi-factor authentication จาก Google Authenticator ได้

คุณสมบัติใหม่ของ Aberebot เวอร์ชันล่าสุดคือสามารถควบคุมอุปกรณ์ Android ที่ติดมัลแวร์โดยใช้ VNC และยังสามารถบันทึกเสียง และแอบถ่ายภาพได้ โดยเป้าหมายหลักของมันคือการขโมยข้อมูลเพื่อเข้าถึงบัญชีธนาคารของเหยื่อ แอบทำธุรกรรม และขโมยเงินในบัญชีของเหยื่อ

แพลตฟอร์ม DARKBEAST ของ KELA ผู้พัฒนา Aberebot มีการโปรโมทมัลแวร์ในเวอร์ชันใหม่ที่ชื่อว่า 'Escobar Bot Android Banking Trojan' โดยผู้ใดสนใจสามารถเช่ามัลแวร์รุ่นเบต้าได้ในราคา 3,000 ดอลลาร์/เดือน และวางแผนที่จะเพิ่มราคาเป็น 5,000 ดอลลาร์ หลังจากพัฒนาเสร็จแล้ว

(more…)

ไมโครซอฟต์แนะนำให้เลิกใช้ Multi-factor authentication ที่ส่งผ่านทางเครือข่ายโทรศัพท์

Alex Weinert ผู้อำนวยการฝ่าย Identity Security จากไมโครซอฟต์ ได้มีการพูดถึงแนวทางการเลือกใช้ Multi-factor authentication (MFA) ในบล็อกล่าสุดของเขาว่า หากเป็นไปได้นั้น ผู้ใช้ทุกคนควรหยุดใช้งานโซลูชันของ MFA ที่ต้องพึ่งการส่งข้อมูลทางเครือข่ายโทรศัพท์ ไม่ว่าจะเป็นข้อความ OTP หรือการโทรเข้ามา และเปลี่ยนไปใช้แอปพลิเคชันหรือ security key

ปัญหาของความปลอดภัยในเครือข่ายโทรศัพท์ที่ทำให้กระทบต่อความปลอดภัยของ MFA เป็นที่ทราบกันดีอยู่แล้ว Weinert ระบุว่าทั้ง SMS และพูดคุยกันในเครือข่ายโทรศัพท์นั้นเป็นรูปแบบของการส่งข้อมูลที่ไม่ถูกเข้ารหัส ส่งให้ผู้ข้อมูลในลักษณะดังกล่าวสามารถถูกดับจับได้โดยเทคนิคการโจมตีผ่าน SDR, FEMTO cell และการโจมตีเครือข่าย SS7 ได้ ลักษณะของการยืนยันตัวตนทางเครือข่ายโทรศัพท์ยังมีความเสี่ยงต่อการโจมตีในลักษณะ SIM swapping ซึ่งเทคนิคการโจมตีแบบวิศวกรรมทางสังคมด้วย

Weinert กล่าวย้ำว่า การยืนยันตัวตนผ่านทางเครือข่ายโทรศัพท์ทั้งในรูปแบบของ SMS หรือสัญญาณเสียงนั้นเป็นวิธีการยืนยันตัวตนที่มีความปลอดภัยต่ำที่สุด สิ่งที่ผู้ใช้งานควรปฏิบัติคือการเปลี่ยนไปใช้โซลูชัน MFA อย่างเช่นแอปพลิเคชันหรือใช้ security key ที่มีความปลอดภัยกว่าแทน

เราขอแนะนำให้ผู้ใช้งานเปิดใช้ฟีเจอร์ MFA เสมอ และหากเป็นไปได้ให้เลือกวิธีการ MFA ที่ปลอดภัยที่สุด แม้วิธีการอย่าง SMS หรือสัญญาณเสียงจะไม่ปลอดภัยภันเท่าที่ควร แต่การมีการป้องกันเอาไว้ก็ยังดีกว่าไม่มีการป้องกันใด ๆ เลย

ที่มา: zdnet.

บันทึกของผู้เดินทางกว่า 45 ล้านคนที่เดินทางมายังประเทศไทยและมาเลเซียถูกเปิดเผยใน Dark web

ผู้เชี่ยวชาญจากบริษัท Cyble ได้เปิดเผยว่าได้พบบันทึกของผู้เดินทางกว่า 45 ล้านคนที่เดินทางมายังประเทศไทยและมาเลเซียจากหลายประเทศโผล่ใน Darkweb

ผู้เชี่ยวชาญกล่าวว่าข้อมูลจำนวนมหาศาลถูกค้นพบนั้น ถูกพบระหว่างที่พวกเขาทำการติดตามตรวจสอบกิจกรรมต่างๆ ใน Deepweb และ Darkweb โดยบันทึกของผู้เดินทางที่รั่วไหลนั้น ได้แก่ รหัสผู้โดยสาร, ชื่อเต็ม, หมายเลขโทรศัพท์มือถือ, รายละเอียดหนังสือเดินทาง, ที่อยู่, เพศและรายละเอียดเที่ยวบิน

ผู้เชี่ยวชาญได้ทำการวิเคราะห์ข้อมูลที่ถูกค้นพบและได้จัดทำข้อมูลเพื่อใช้ในการตรวจสอบข้อมูลที่รั่วไหลแล้วที่ AmiBreached.