พบการประกาศขายข้อมูลของผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ในฟอรั่มของ Dark Web ชื่อดัง โดยในฟอรั่มได้อ้างว่าเป็นฐานข้อมูลของผู้ใช้งาน WhatsApp ในปี 2022 จำนวนกว่า 487 ล้านหมายเลข

โดย WhatsApp ถือว่าเป็นหนึ่งในแอพพลิเคชัน Instant messaging และ VoIP ยอดนิยม ที่มีผู้ใช้งานมากกว่า 2,000 ล้านคนต่อเดือนทั่วโลก

โดยในรายละเอียดของข้อมูลที่ถูกประกาศขาย ประกอบไปด้วยชุดข้อมูลของผู้ใช้ WhatsApp จากกว่า 84 ประเทศ เช่น

ผู้ใช้ในประเทศสหรัฐอเมริกา จำนวน 32 ล้านรายชื่อ
ผู้ใช้ในประเทศอียิปต์ จำนวน 45 ล้านรายชื่อ
ผู้ใช้ในประเทศอิตาลี จำนวน 35 ล้านรายชื่อ
ผู้ใช้ในประเทศซาอุดีอาระเบีย จำนวน 29 ล้านรายชื่อ
ผู้ใช้ในประเทศฝรั่งเศส จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศตุรกี จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศรัสเซีย จำนวน 10 ล้านรายชื่อ
ผู้ใช้ในประเทศอังกฤษ จำนวน 11 ล้านรายชื่อ

โดย Hacker ได้เสนอขายชุดข้อมูลเหล่านี้ แยกเป็นรายประเทศ เช่น ข้อมูลผู้ใช้ในประเทศสหรัฐอเมริกา ขายในราคา 7,000 ดอลลาร์, ข้อมูลผู้ใช้ในประเทศอังกฤษ ขายในราคา 2,500 ดอลลาร์ และข้อมูลผู้ใช้ในประเทศเยอรมนี ขายในราคา 2,000 ดอลลาร์ รวมไปถึง Hacker ยังได้ปล่อยตัวอย่างชุดข้อมูลที่มีข้อมูลผู้ใช้งานของประเทศอังกฤษ 1,097 ราย และประเทศสหรัฐอเมริกา 817 ราย เพื่อพิสูจน์ว่าข้อมูลเหล่านี้เป็นของจริง และนำไปใช้งานได้

จากการตรวจสอบของ Cybernews พบว่าชุดข้อมูลตัวอย่างที่ได้มานั้นเป็นข้อมูลของผู้ใช้งานจริง และสามารถติดต่อไปยังผู้ใช้งานได้ โดย Hacker ที่ขายข้อมูลไม่ได้บอกว่าได้ชุดข้อมูลเหล่านี้มาด้วยวิธีการใด โดยระบุเพียงว่าพวกเขามีวิธีการที่สามารถเข้าถึงฐานข้อมูล เพื่อให้ได้ข้อมูลดังกล่าวมา รวมทั้งยังยืนยันกับ Cybernews ว่าข้อมูลดังกล่าวทั้งหมดสามารถนำไปใช้ได้จริง

ปัจจุบัน Cybernews ได้ติดต่อไปยังบริษัท Meta ซึ่งเป็นบริษัทแม่ของ WhatsApp เพื่อสอบถามถึงเหตุการณ์ที่เกิดขึ้น แต่ยังไม่ได้รับการตอบกลับ โดยเมื่อไม่กี่วันก่อนหน้านี้ก็จะพบว่ามีการรั่วไหลของข้อมูลภายในของ LinkedIn และ Facebook Business accounts ซึ่งอยู่ภายใต้บริษัท Meta ที่ถูกนำมาขายในฟอรั่มของ Dark Web ชื่อดังเช่นเดียวกัน

ผลกระทบ

โดยชุดข้อมูลที่รั่วไหลเหล่านี้ อาจถูกเหล่า Hackers นำไปใช้ประโยชน์ในการโจมตีในรูปแบบ Social Engineering ได้ ไม่ว่าจะเป็นการหลอกลวงผ่านข้อความ หรือการโทร (Smishing and Vishing Attacks), การโจมตีผ่าน Email (Phishing Attack) รวมไปถึงการโจมตีในรูปแบบ Business Email Compromise

การป้องกัน

ระมัดระวังการเปิดข้อความ SMS อีเมลล์ หรือไฟล์แนบที่ถูกส่งมา ถึงแม้ผู้ส่งจะเป็นบุคคลใกล้ชิด เพื่อนร่วมงาน หรือบุคคลที่มีชื่อเสียงก็ตาม

ที่มา : cybernews

Group-IB Threat Intelligence ได้ทำการรายงานถึงแคมเปญที่ใช้ชื่อว่า “PerSwaysion” ซึ่งเป็นแคมเปญการโจมตีฟิชชิ่งที่ใช้ประโยชน์จากบริการของ Microsoft Sway, SharePoint และ OneNote เพื่อทำการโจมตีแบบฟิชชิ่งซึ่งพุ่งเป้าหมายไปยังผู้บริหารระดับสูงของบริษัทต่างๆ โดยเฉพาะธุรกิจการเงิน, กฎหมายและอสังหาริมทรัพย์ในเยอรมนี, อังกฤษ, เนเธอร์แลนด์, ฮ่องกงและสิงคโปร์ โดยพบว่าบัญชีอีเมลของผู้บริหารระดับสูงของบริษัทอย่างน้อย 156 คนตกเป็นเหยื่อแล้ว

Group-IB ยังกล่าวอีกว่าแคมเปญ “PerSwaysion” มีจุดประสงค์เพื่อทำการขโมยข้อมูลบัญชีของ Microsoft Office 365 ผู้โจมตีเลือกบริการแชร์เนื้อหาและใช้ลิงก์ที่เชื่อมกับบริการของ Microsoft Sway, Microsoft SharePoint และ OneNote เพื่อหลีกเลี่ยงการตรวจจับและสร้างความน่าเชื่อถือให้กับอีเมลฟิชชิ่ง

โดยอีเมลฟิชชิ่งที่ใช้นั้นจะแนบไฟล์ PDF ที่ถูกฝัง JavaScript ไว้เมื่อทำการเปิดอ่านไฟล์ JavaScript จะทำการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็ปไซต์ฟิชชิ่งของผู้โจมตี โดย Group-IB พบว่าผู้โจมตีจากแคมเปญนี้ส่วนใหญ่มาจากไนจีเรียและแอฟริกาใต้

คำเเนะนำ

ผู้ที่สงสัยว่าตกเองได้ตกเป็นเหยื่อของแคมเปญ “PerSwaysion” นี้ Group-IB ได้ทำการรวบรวมข้อมูลและได้สร้างเว็ปไซต์เพื่อให้ผู้ที่สงสัยว่าตัวเองตกเป็นเหยื่อสามารถทำการตรวจสอบได้ที่ https://www.

Google เตือนธุรกิจต่างๆให้ระวัง Phishing Attack ที่มีรัฐบาลหนุนหลัง

การโจมตีแบบฟิชชิ่งอาจไม่ใช่ปัญหาใหม่ แต่ก็ไม่ใช่เรื่องง่ายที่บริษัทจะป้องกันการโจมตี ซึ่งเป็นเรื่องสำคัญของความปลอดภัยที่จะต้องสนใจ ไม่เสมอไปที่ผู้โจมตีจะต้องใช้ช่องโหว่ zero day หรือเขียนมัลแวร์ที่มีความสามารถในการดักจับการพิมพ์ (keystroke) แต่ทั้งหมดที่ต้องทำคือหลอกล่อให้ผู้ใช้งานคลิ๊กไปยังเว็บไซต์ที่ดูเหมือนจะน่าเชื่อถือ เพื่อที่จะขโมยรหัสผ่าน

เมื่อไม่นานมานี้มีการโจมตีแบบฟิชชิ่งเป็นจำนวนมากซึ่งดูเหมือนว่าแฮกเกอร์ได้รับการหนุนหลังจากหน่วยงานรัฐบาล การโจมตีแบบฟิชชิ่งนี้อาจพบได้น้อยกว่าการขโมยข้อมูลส่วนตัวและอาชญากรออนไลน์ทั่วไป แต่อย่างไรก็ตามการรั่วไหลของข้อมูลก็ยังคงที่เป็นที่ต้องติดตามและให้ความสนใจ ฟิชชิ่งแบบที่มีรัฐบาลหนุนหลังนั้นอาจจะมีเป้าหมาย เช่น นักข่าว นักวิจารณ์การเมือง และองค์กรต่าง ๆ อย่างไรก็ตามหากไม่สามารถได้ข้อมูลที่ต้องการจากบัญชี Gmail ของบุคคลเหล่านี้ได้ ก็อาจะทำการเปลี่ยนเป้าหมายเป็นคนใดคนหนึ่งที่ทำงานอยู่ในองค์กรแทน

ธุรกิจกว่า 4 ล้านรายทั่วโลก มีการใช้งาน G Suite ที่ประกอบด้วยเครื่องมือหลากหลายใช้งานอยู่บนระบบ Cloud ของ Google ที่ถูกออกแบบมาเพื่อให้พนักงานทำงานอย่างมีประสิทธิภาพ ซึ่งไม่ต้องแปลกใจเลยว่าเหตุใดจึงเป็นที่สนใจของหน่วยงานและรัฐบาลทั่วโลก และเพื่อปกป้องลูกค้าขององค์กรให้ดียิ่งขึ้น เมื่อต้นเดือนที่ผ่านมา Google ได้ประกาศว่าให้ผู้ดูแลระบบ G Suite สามารถรับคำเตือนเมื่อ Google เชื่อว่าผู้บุกรุกที่ได้รับการสนับสนุนจากรัฐบาลมีความพยายามที่จะเข้าถึงข้อมูลผู้ใช้หรือเข้าถึงคอมพิวเตอร์โดยใช้วิธีการฟิชชิ่งหรือวิธีอื่น ๆ

ที่มา: Business Insights

Two-Factor Authentication(2FA) เป็นมาตรฐานความปลอดภัยในการเข้าสู่ระบบที่กำลังถูกใช้อย่างแพร่หลายไปทั่วโลก แต่ผู้โจมตีกำลังหาวิธีหลีกเลี่ยง เพื่อเข้าถึงบัญชีเป้าหมายด้วยการใช้ Phishing และมีเครื่องมือชื่อว่า "Evilginx" ถูกพัฒนาขึ้นมาโดย white hacker ที่มีชื่อว่า Kuba Gretzky

เริ่มต้นด้วยการที่ผู้โจมตีสร้าง URL ที่เป็นอันตราย ซึ่งออกแบบมาให้ดูคล้ายกับเว็บไซต์ที่ผู้คนส่วนใหญ่รู้จัก โดยการสาธิตเริ่มจากเปิดอีเมลปลอมที่คล้ายๆว่ามาจาก LinkedIn แต่ที่จริงมันคือ "llnked[dot]com" เมื่อเหยื่อคลิกลิงก์ดังกล่าวจะถูก redirect ไปยังหน้าเข้าสู่ระบบเพื่อหลอกให้ป้อนชื่อผู้ใช้, รหัสผ่าน และรหัสการตรวจสอบสิทธิ์ที่จะถูกส่งไปยังโทรศัพท์มือถือของเจ้าของบัญชี ในขณะเดียวกันผู้โจมตีจะมีการเก็บชื่อผู้ใช้ รหัสผ่าน และรหัส 6-Digit ที่กรอก รวมถึง Session Cookie ที่เกิดขึ้น

แม้ว่ารหัส 2FA ที่เหยื่อกรอก จะไม่สามารถถูกนำมาใช้ซ้ำได้ แต่สิ่งที่ผู้โจมตีต้องการคือ Session Cookie โดย Cookie ดังกล่าวจะถูกป้อนผ่าน Developer Tools บนเว็บไซต์จริง แล้วกด Refresh แค่นั้นเอง ก็สามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้แล้ว

รายละเอียดเครื่องมือ: https://breakdev.

Yan Zhu นักวิจัยด้านความปลอดภัยพบช่องโหว่ของแอพพลิเคชั่น Gmail บน Android ที่สามารถปลอมอีเมลของผู้ส่งได้ หรือเรียกเทคนิคนี้ว่า E-mail Spoofing
อาจส่งผลกระทบในการถูก Phishing จากผู้ที่ไม่หวังดีได้ อย่างไรก็ตาม Yan Zhu ได้พบช่องโหว่ที่สามารถเปลี่ยน display name อาจส่งผลทำให้ผู้รับอีเมลไม่สามารถรู้ได้ว่า ผู้ส่งใช่คนที่ส่งอีเมลมาจริงหรือไม่
Yan Zhu ได้สาธิตการส่งอีเมลโดยเปลี่ยน display name เป็น yan และปลอมอีเมลผู้ส่งเป็น security@google.

จากข่าวที่กลุ่ม Syrian Electronic Army ได้ทำการโจมตีบัญชีอีเมล์พนักงานของไมโครซอฟท์

ไมโครซอฟท์ได้ออกมายอมรับว่าบัญชีอีเมลของพนักงานหลายบัญชีถูก Syrian Electronic Army โจมตีจริงในรูปแบบฟิชชิ่ง แต่ได้ปฏิเสธว่าข้อมูลลูกค้าของไมโครซอฟท์ไม่ได้ถูกขโมยไป

ซึ่งทางไมโครซอฟท์ได้ทำการกู้บัญชีที่ได้รับผลกระทบคืนเรียบร้อยแล้ว

ที่มา : ehackingnews