House of Dior หรือที่รู้จักกันในชื่อ Dior ได้เปิดเผยว่าเกิดเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ที่อาจส่งผลให้ข้อมูลของลูกค้าถูกเปิดเผย

โฆษกของบริษัทให้ข้อมูลกับ BleepingComputer โดยระบุว่า เหตุการณ์นี้ส่งผลกระทบต่อลูกค้ากลุ่ม Dior Fashion และ Accessories ซึ่งในขณะนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังสืบสวน และตรวจสอบเหตุการณ์ดังกล่าวเพื่อประเมินขอบเขตของผลกระทบ

โฆษกของ Dior ระบุว่า "เราเพิ่งตรวจพบเมื่อไม่นานมานี้ว่ามีบุคคลภายนอกที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลบางส่วนที่เราเก็บรักษาไว้สำหรับกลุ่มลูกค้า Dior Fashion และ Accessories ของเรา"

“เราได้ดำเนินการตามมาตรการทันทีเพื่อจำกัดขอบเขตของเหตุการณ์นี้ ทีมงานของ Dior พร้อมด้วยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ชั้นนำ ยังคงดำเนินการตรวจสอบ และรับมือกับเหตุการณ์ดังกล่าวที่เกิดขึ้น”

Dior ได้ชี้แจงกับ BleepingComputer โดยระบุว่า เหตุการณ์ครั้งนี้ไม่ได้ทำให้รหัสผ่านบัญชี หรือข้อมูลบัตรเครดิตของผู้ใช้งานรั่วไหล เนื่องจากข้อมูลเหล่านี้ถูกเก็บไว้ในฐานข้อมูลอื่นที่ไม่ได้รับผลกระทบ

“ไม่มีรหัสผ่าน หรือข้อมูลการชำระเงินใด ๆ รวมถึงข้อมูลบัญชีธนาคาร หรือบัตรเครดิต อยู่ในฐานข้อมูลที่ได้รับผลกระทบจากเหตุการณ์นี้”

“เรากำลังดำเนินการแจ้งหน่วยงานกำกับดูแลที่เกี่ยวข้อง และลูกค้าตามที่กฎหมายกำหนด”

“การรักษาความลับ และความปลอดภัยข้อมูลของลูกค้าเป็นสิ่งสำคัญสูงสุดสำหรับ House of Dior เราขอแสดงความเสียใจอย่างจริงใจต่อความกังวล หรือความไม่สะดวกที่อาจเกิดขึ้นกับลูกค้าของเราจากเหตุการณ์นี้”

เกาหลี และจีน ยืนยันว่าได้รับผลกระทบดังกล่าว

แม้ว่า Dior จะไม่ได้ระบุจำนวนลูกค้า หรือภูมิภาคที่ได้รับผลกระทบอย่างชัดเจน แต่มีการแจ้งเตือนยืนยันว่าเว็บไซต์ของ Dior ในประเทศเกาหลีใต้ได้รับผลกระทบ และยังมีรายงานว่าลูกค้าชาวจีนบางรายได้รับการแจ้งเตือนเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหลจากแบรนด์แฟชั่นดังกล่าว

จากภาพหน้าจอของการแจ้งเตือนที่ถูกเผยแพร่ทางออนไลน์ เหตุการณ์นี้ถูกตรวจพบเมื่อวันที่ 7 พฤษภาคม โดยมีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และข้อมูลที่ถูกเปิดเผยมีรายละเอียดดังต่อไปนี้ :

ชื่อ-นามสกุล
เพศ
หมายเลขโทรศัพท์
ที่อยู่อีเมล
ที่อยู่ไปรษณีย์
ประวัติการสั่งซื้อ

ประกาศที่โพสต์บนเว็บไซต์ของร้าน Dior ในเกาหลีใต้ ได้ระบุวันที่เกิดเหตุการณ์ข้อมูลรั่วไหลว่าเป็นวันที่ 7 พฤษภาคม 2025 ซึ่งแสดงให้เห็นว่าเป็นเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่อาจส่งผลกระทบในระดับนานาชาติ

อย่างไรก็ตาม ในกรณีดังกล่าว ข้อมูลที่ถูกเปิดเผยมีเฉพาะข้อมูลการติดต่อ, ข้อมูลการสั่งซื้อ และข้อมูลความชื่นชอบที่ลูกค้าเคยแจ้งไว้กับแบรนด์เท่านั้น

ขณะเดียวกัน สื่อเกาหลีใต้รายงานว่า Dior กำลังเผชิญกับการตรวจสอบทางกฎหมาย เนื่องจากไม่ได้แจ้งหน่วยงานที่เกี่ยวข้องทั้งหมดในประเทศเกี่ยวกับการรั่วไหลของข้อมูล

Dior แนะนำให้ลูกค้าเฝ้าระวังอีเมล หรือข้อความหลอกลวง (phishing) ที่พยายามขอข้อมูลส่วนตัว และขอให้ติดต่อบริษัททันทีหากพบว่ามีการแอบอ้างใช้ชื่อของแบรนด์ดังกล่าว

ในขณะนี้ รายละเอียดเกี่ยวกับจำนวนลูกค้า และประเทศที่ได้รับผลกระทบยังไม่ได้ถูกเปิดเผยต่อสาธารณะ

ที่มา : bleepingcomputer

ระหว่างเดือนมกราคมถึงเมษายน 2025 ชุดเครื่องมือฟิชชิ่งใหม่ 'CoGUI' ถูกใช้เพื่อส่งอีเมลฟิชชิ่งกว่า 580 ล้านฉบับ โดยแอบอ้างเป็นแบรนด์ดัง เช่น Amazon, Rakuten, PayPal, Apple, หน่วยงานจัดเก็บภาษี และธนาคาร เพื่อขโมยข้อมูลบัญชีผู้ใช้ และข้อมูลการชำระเงิน (more…)

นักวิจัยพบกลุ่ม phishing-as-a-service (PhaaS) ชื่อว่า Morphing Meerkat ได้ใช้ protocol DNS over HTTPS (DoH) เพื่อหลีกเลี่ยงการตรวจจับ

รวมถึงยังพบการใช้ประโยชน์จาก DNS email exchange (MX) records เพื่อระบุผู้ให้บริการอีเมลของเหยื่อ และเพื่อให้บริการหน้าเข้าสู่ระบบปลอมแบบไดนามิกสำหรับแบรนด์ต่าง ๆ มากกว่า 114 แบรนด์

Morphing Meerkat ได้เริ่มทำการโจมตีมาตั้งแต่ปี 2020 เป็นอย่างน้อย ซึ่งนักวิจัยด้านความปลอดภัยจาก Infoblox เป็นผู้ค้นพบกลุ่มดังกล่าว แม้ว่าจะมีการบันทึกการดำเนินการของกลุ่มนี้ไว้บางส่วนแล้ว แต่ส่วนใหญ่ก็ไม่ค่อยมีการตรวจพบมานานหลายปี

แคมเปญ Phishing ขนาดใหญ่

Morphing Meerkat คือ PhaaS platform ที่มีชุดเครื่องมือสำหรับการโจมตี phishing ที่มีประสิทธิภาพ ปรับรูปแบบได้ และหลบเลี่ยงการตรวจจับได้ โดยไม่จำเป็นต้องมีความรู้ทางเทคนิคในการโจมตีขั้นสูงก็สามารถใช้งานได้

ตัวระบบมี SMTP infrastructure แบบรวมศูนย์เพื่อแพร่กระจาย spam อีเมล โดยอีเมลที่ติดตามได้ 50% มีต้นทางมาจากบริการอินเทอร์เน็ตที่ให้บริการโดย iomart (สหราชอาณาจักร) และ HostPapa (สหรัฐอเมริกา)

แคมเปญ Phishing นี้สามารถปลอมแปลงเป็นผู้ให้บริการอีเมล และบริการอื่น ๆ มากกว่า 114 ราย รวมถึง Gmail, Outlook, Yahoo, DHL, Maersk และ RakBank โดยส่งข้อความที่มี subject ที่ได้รับการออกแบบมาเพื่อกระตุ้นให้ผู้รับดำเนินการอย่างเร่งด่วน เช่น “ต้องดำเนินการ: ปิดใช้งานบัญชี” โดยอีเมลจะถูกส่งในหลายภาษา รวมถึงภาษาอังกฤษ สเปน รัสเซีย และแม้แต่จีน และสามารถปลอมแปลงชื่อและที่อยู่ของผู้ส่งได้

หากเหยื่อคลิกลิงก์ที่เป็นอันตรายในข้อความ ก็จะเข้าสู่กระบวนการโจมตีแบบ open redirect exploits บนแพลตฟอร์มเทคโนโลยีโฆษณา เช่น Google DoubleClick ซึ่งหลายครั้งจะมาจาก WordPress sites ที่ถูกโจมตี โดเมนปลอม และบริการโฮสติ้งฟรี

เมื่อเหยื่อไปถึงเว็บไซต์ปลายทางแล้ว เครื่องมือ phishing จะโหลด และตรวจสอบ MX record ของโดเมนอีเมลของเหยื่อโดยใช้ DoH ผ่านทาง Google หรือ Cloudflare และต่อมาก็จะโหลดหน้าล็อกอินปลอมโดยกรอกอีเมลของเหยื่อโดยอัตโนมัติ

เมื่อเหยื่อกรอกข้อมูล credentials แล้ว ข้อมูลดังกล่าวจะถูกส่งต่อไปยัง Hacker ผ่าน AJAX requests ไปยังเซิร์ฟเวอร์ภายนอก และ PHP scripts ที่โฮสต์บนหน้าฟิชชิ่ง นอกจากนี้ยังสามารถส่งต่อแบบ Real-time โดยใช้ Telegram bot webhooks ได้อีกด้วย

เมื่อทำการกรอกข้อมูลเป็นครั้งแรก จะมีข้อความแจ้งข้อผิดพลาดว่า “รหัสผ่านไม่ถูกต้อง กรุณากรอกอีเมล รหัสผ่านที่ถูกต้อง” เพื่อให้เหยื่อกรอกรหัสผ่านใหม่อีกครั้ง เพื่อให้แน่ใจว่าข้อมูลถูกต้อง เมื่อเหยื่อทำเช่นนั้นแล้ว จะถูกส่งต่อไปยังหน้าการยืนยันตัวตนที่ถูกต้องเพื่อลดความน่าสงสัย

DoH และ DNS MX

การใช้ DoH และ DNS MX ทำให้ Morphing Meerkat โดดเด่นจากเครื่องมืออื่น ๆ ที่คล้ายกัน เนื่องจากเป็นเทคนิคขั้นสูงที่ช่วยในด้านการโจมตีได้เป็นอย่างดี

DNS over HTTPS (DoH) เป็นโปรโตคอลที่ดำเนินการ DNS resolution โดยใช้ HTTPS requests ที่เข้ารหัส แทน DNS queries ที่ใช้ UDP แบบ plaintext ดั้งเดิม

MX (Mail Exchange) record เป็น type หนึ่งของ DNS record ที่แจ้งให้อินเทอร์เน็ตทราบว่าเซิร์ฟเวอร์ใดจัดการอีเมลสำหรับโดเมนที่กำหนด

เมื่อเหยื่อคลิกลิงก์ใน phishing เครื่องมือ phishing kit จะถูกโหลดลงในเบราว์เซอร์ และส่ง DNS request ไปยัง Google หรือ Cloudflare เพื่อค้นหา MX records ของ domain อีเมลของพวกเขา วิธีการดังกล่าวช่วยหลีกเลี่ยงการตรวจจับได้ เนื่องจาก query เกิดขึ้นในฝั่งไคลเอนต์ และการใช้ DoH จะช่วยหลีกเลี่ยงจากการตรวจสอบ DNS

เมื่อระบุผู้ให้บริการอีเมลจาก MX record แล้ว phishing kit จะสามารถส่งแคมเปญ Phishing ที่ตรงกันให้กับเหยื่อได้

Infoblox เสริมว่า แนวทางป้องกันที่แนะนำในการรับมือกับ Phishing ประเภทนี้ก็คือ "การใช้ DNS control ที่เข้มงวดยิ่งขึ้น เพื่อไม่ให้ผู้ใช้สามารถเชื่อมต่อกับ DoH servers หรือการบล็อกการเข้าถึงของผู้ใช้ใน adtech หรือ file sharing infrastructure ที่ไม่สำคัญต่อธุรกิจ"

 

ที่มา : bleepingcomputer.

พบกลุ่ม Hacker กำลังใช้กลวิธีเพื่อหลอกล่อให้ผู้ใช้งานปิดฟีเจอร์ Phishing Protection สำหรับข้อความของ Apple iMessage และหลังจากนั้นก็เปิดกลับมาอีกครั้ง

(more…)

พบแคมเปญ Phishing ที่มุ่งเป้าหมายการโจมตีไปยังบริษัทผู้ผลิตยานยนต์ เคมีภัณฑ์ และอุตสาหกรรมในเยอรมนี และสหราชอาณาจักร โดยใช้ HubSpot เพื่อขโมย credentials ของบัญชี Microsoft Azure

โดยกลุ่ม Hacker ได้ใช้ลิงก์ HubSpot Free Form Builder และ PDF ที่เลียนแบบ DocuSign เพื่อเปลี่ยนเส้นทางของเหยื่อไปยังเว็บไซต์ Phishing เพื่อขโมยข้อมูล credentials

ตามรายงานของทีมนักวิจัย Unit 42 ของ Palo Alto Networks พบแคมเปญ Phishing ดังกล่าวมาตั้งแต่เดือนมิถุนายน 2024 และยังคงดำเนินการอยู่จนถึงเดือนกันยายน 2024 ซึ่งขโมย Azure account ไปแล้วประมาณ 20,000 บัญชี

ใช้ HubSpot เพื่อรวบรวมข้อมูล Credentials
**

HubSpot เป็นแพลตฟอร์มการจัดการลูกค้าสัมพันธ์ (CRM) ซึ่งถูกใช้ในระบบการตลาดอัตโนมัติ, การขาย, การบริการลูกค้า, การวิเคราะห์ และการสร้างเว็บไซต์ และ landing pages
**

Form Builder เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มออนไลน์ที่กำหนดเองเพื่อรวบรวมข้อมูลจากผู้เยี่ยมชมเว็บไซต์

นักวิจัย Unit 42 พบว่า Hacker ได้ใช้ HubSpot Form Builder เพื่อสร้างแบบฟอร์มหลอกลวงอย่างน้อย 17 แบบ เพื่อล่อลวงเหยื่อให้กรอกข้อมูล credentials ที่มีความสำคัญในโดเมน '.buzz' ซึ่งเลียนแบบหน้าเข้าสู่ระบบของ Microsoft Outlook Web App และ Azure

รวมถึง Hacker ยังใช้เว็บไซต์ที่เลียนแบบระบบการจัดการเอกสารของ DocuSign สำนักงานรับรองเอกสารของฝรั่งเศส และพอร์ทัลการเข้าสู่ระบบเฉพาะองค์กรในการโจมตีด้วย

โดยต่อมาเหยื่อจะถูกส่งต่อไปยังหน้าเว็บไซต์เหล่านั้นโดย phishing messages ที่มีโลโก้ DocuSign ซึ่งมี links ไปยัง HubSpot โดยเป็น PDF ที่แนบมา หรือ HTML ที่ฝังไว้ในเมล์

เนื่องจากอีเมลทั่วไปมองว่าการแนบ links ไปยัง HubSpot ไม่เป็นอันตราย จึงทำให้ email security tools จะไม่ระบุว่า links เหล่านั้น มีแนวโน้มที่จะเป็น Phishing Email ทำให้จะสามารถเข้าถึงกล่องจดหมายของเป้าหมายได้มากกว่า เนื่องจากไม่ผ่านการตรวจสอบจาก Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication, Reporting, และ Conformance (DMARC)

สิ่งที่เกิดขึ้นหลังการโจมตีสำเร็จ

นักวิจัย Unit 42 พบว่าหลังจากโจมตีด้วย Phishing Campaign สำเร็จ Hacker จะใช้ VPN เพื่อทำให้ดูเหมือนว่าตั้งอยู่ในประเทศขององค์กรที่ตกเป็นเหยื่อ และหากฝ่ายไอทีพยายามกลับมาควบคุมบัญชีดังกล่าว Hacker ก็จะเริ่มต้นการรีเซ็ตรหัสผ่านทันทีเพื่อพยายามที่จะเข้าควบคุมบัญชีอีกครั้ง

โดยทั้งนี้แม้ว่าเซิร์ฟเวอร์ส่วนใหญ่ที่ทำหน้าที่เป็น backbone ของแคมเปญ Phishing จะออฟไลน์ไปนานแล้ว แต่การดำเนินการดังกล่าวก็ยังนับว่าเป็นตัวอย่างของการโจมตีของแคมเปญที่พบ เนื่องจาก Hacker พยายามจะค้นหาช่องทางใหม่ ๆ เพื่อหลีกเลี่ยงเครื่องมือด้านความปลอดภัยอยู่เสมอ

ที่มา : bleepingcomputer

 

 

 

 

ผู้ไม่หวังดีเริ่มใช้ไฟล์แนบ Scalable Vector Graphics (SVG) มากขึ้นเพื่อแสดงแบบฟอร์มฟิชชิง หรือแพร่กระจายมัลแวร์ และหลีกเลี่ยงการตรวจจับ (more…)

มีการพบเห็นการโจมตีด้วยมัลแวร์รูปแบบใหม่ที่เกี่ยวข้องกับภาษี โดยมีการมุ่งเป้าไปที่ธุรกิจประกันภัย และการเงินโดยใช้ลิงก์ GitHub ในข้อความอีเมลฟิชชิ่งเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัย และส่งมัลแวร์ Remcos RAT โดยวิธีการนี้กำลังได้รับความนิยมในกลุ่มแฮ็กเกอร์ (more…)

ตั้งแต่ปี 2021 ประเทศอินเดียต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับมัลแวร์บน Android ที่มุ่งเป้าหมายไปที่ลูกค้าธนาคาร

ผู้ไม่หวังดีได้เริ่มแพร่กระจายมัลแวร์ในช่วงแรกผ่านการส่งข้อความ SMS ที่มีลิงก์ฟิชชิ่ง ซึ่งให้ผู้ใช้ดำเนินการดาวน์โหลดแอปพลิเคชันปลอมที่เป็นอันตรายบน Android โดยมีหัวข้อเกี่ยวกับ คะแนนรางวัลบัตรเครดิต และการอัปเดต KYC

ในปี 2021 CRIL เน้นย้ำถึงแคมเปญการโจมตีนี้ ซึ่งมุ่งเป้าหมายไปที่ผู้ใช้งานธนาคารในประเทศอินเดีย โดยใช้มัลแวร์ขโมยข้อมูลบน Android จากนั้นเมื่อไม่นานมานี้ CRIL พบการเพิ่มขึ้นของแคมเปญฟิชชิ่งนี้ โดยผู้ไม่หวังดีได้พัฒนาวิธีการให้ครอบคลุมยิ่งขึ้น โดยการการเพิ่มหัวข้อที่เกี่ยวกับการชำระค่าสาธารณูปโภค และโครงการของรัฐบาล นอกจากนี้ยังมีการเปลี่ยนแปลงจากการส่งข้อความฟิชชิ่งผ่าน SMS มาเป็นการใช้ข้อความใน WhatsApp แทน

(more…)

 

พบแคมเปญ phishing-as-a-service (PhaaS) platform ใหม่ในชื่อ ONNX Store ได้กำหนดเป้าหมายการโจมตีไปยังบัญชี Microsoft 365 สำหรับพนักงานในบริษัททางด้านการเงิน โดยใช้ QR code ในไฟล์แนบ PDF (more…)

แฮ็กเกอร์แอบอ้างเป็นทีมรักษาความปลอดภัย และการสรรหาบุคลากรของ GitHub ใช้การโจมตีแบบฟิชชิ่งเพื่อ hijack repositories โดยใช้แอป OAuth ที่เป็นอันตราย ในแคมเปญการข่มขู่ลบข้อมูลบน repositories ที่ถูกแฮ็ก

(more…)