Hostinger ผู้ให้บริการเว็บโฮสติงทำการรีเซตรหัสผ่านของลูกค้าทั้งหมด หลังจากพบว่าแฮกเกอร์สามารถเข้าถึงระบบและฐานข้อมูลที่มีข้อมูลจำนวนนับล้านรายการ เมื่อวันที่ 23 สิงหาคมที่ผ่านมา ซึ่งส่งผลกระทบกับผู้ใช้ถึง 14 ล้านคน

Daugirdas Jankus หัวหน้าเจ้าหน้าที่การตลาดของ Hostinger ได้อธิบายว่า "แฮกเกอร์สามารถเข้าถึงระบบ API ภายในของบริษัท และสามารถเข้าถึงรหัสผ่านที่มีการจัดเก็บในรูปแบบของ Hash และข้อมูลอื่นๆ ที่ไม่ใช่ข้อมูลทางการเงินของลูกค้า อาทิ ชื่อผู้ใช้, ที่อยู่เมล์, ip addresses แต่ทางบริษัทยื่นยันว่าการละเมิดข้อมูลดังกล่าวไม่กระทบกับข้อมูลทางการเงินของลูกค้าเนื่องจากมีการจัดเก็บข้อมูลไว้กับ Third-party

ลูกค้าที่ได้รับผลกระทบควรระมัดระวังการโจมตีในลักษณะของ Phishing ที่อ้างว่ามาจาก Hostinger

ที่มา Grahamcluley

US National Trade Association ALTA เตือนให้ระวังการขโมยข้อมูล

American Land Title Association (ALTA) เผยแพร่คำเตือนเกี่ยวกับรายชื่อบริษัทนับร้อยที่ถูกขโมย ซึ่งเป็นส่วนหนึ่งของแคมเปญของ Phishing ที่มีเป้าหมายคือสมาชิก ALTA

ALTA กล่าวเตือนว่ามีบุคคลอ้างว่าเป็นแฮกเกอร์ที่ติดต่อ ALTA ผ่าน Twitter และมอบไฟล์ที่มีข้อมูลประมาณ 600 รายการ ประกอบด้วย Domain, IP address, Usernames และ Passwords โดยจากการวิเคราะห์ข้อมูลไม่ทราบที่มาว่าข้อมูลเหล่านี้หลุดได้อย่างไร โดยพบอีเมล 182 อีเมลที่ไม่ซ้ำกันและโดเมน 154 โดเมน

ALTA แนะนำว่าบริษัทที่อาจได้รับผลกระทบสามารถปกป้องระบบของพวกเขาจากการโจมตีในอนาคตโดย สแกนระบบและอุปกรณ์เพื่อให้แน่ใจว่าปลอดจากมัลแวร์, อัปเดตซอฟต์แวร์และระบบปฏิบัติการ, ให้พนักงานอัปเดตและเปลี่ยนรหัสผ่านระบบโดยเฉพาะผู้ที่มีข้อมูลลูกค้าและบริการธนาคาร

อีเมลที่น่าสงสัยที่ได้รับจากสมาชิก ALTA ควรรายงานต่อศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตแห่งชาติของสำนักงานสืบสวนกลางพร้อมรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์การโจรกรรมข้อมูลนี้เพื่อส่งให้เจ้าหน้าที่ของ ALTA โดยส่งอีเมลไปยัง vulnerabilities@americanlandtitleassociation.

พบ Phishing campaign ใหม่ ปลอมเป็นการแจ้งเตือนจาก Office 365 Team ที่ระบุว่า "Unusual volume of file deletion" บนบัญชีผู้ใช้งาน

เมื่อหลงเชื่อกดลิงก์ View alert details" ในอีเมล จะมีการเปิดหน้า Office 365 ปลอมที่สร้างไว้บนบริการ Web Hosting ของ Microsoft ทำให้เว็บไซต์ปลอมดังกล่าวมีการใช้งาน SSL Certificate ที่เป็นของ Microsoft เพื่อหลอกให้ป้อนรหัสผ่าน

ข้อมูลที่กรอกจะถูกส่งไปที่ hxxps://moxxesd.

กลุ่มแฮกเกอร์ชื่อว่า "Sea Turtle" ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาล โจมตีเพื่อทำการควบคุม DNS ในหลายประเทศ (DNS Hijacking) และใช้เป็นเครื่องมือในการเปลี่ยนเส้นทาง เพื่อหลอกลวงเหยื่อไปยังเว็บไซต์ปลอมและขโมยข้อมูลสำคัญ

เมื่อสัปดาห์ที่ผ่านมามีรายงานจาก Cisco Talos ระบุว่าพบมีหน่วยงานและองค์กรทั้งจากภาครัฐและเอกชนประมาณ 40 แห่งใน 13 ประเทศของตะวันออกกลางและอเมริกาเหนือตกเป็นเหยื่อการโจมตีที่ยาวนานมาตั้งแต่เมื่อประมาณสองปีที่แล้ว โดยผู้โจมตีจะทำการควบคุม DNS Server ของเหยื่อ เพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่ถูกสร้างขึ้นให้เหมือนเว็บไซต์จริงที่ถูกต้อง เพื่อขโมยข้อมูลสำคัญ อย่างเช่นชื่อผู้ใช้งาน และรหัสผ่านสำหรับเข้าสู่ระบบ เพื่อนำไปใช้ขโมยข้อมูลสำคัญในองค์กรต่อไป อย่างเช่น SSL Certificate เป็นต้น

ทั้งนี้เชื่อว่าวิธีการที่กลุ่มแฮกเกอร์ใช้ในการโจมตีครั้งนี้มีทั้งการหลอกให้พนักงานที่อยู่ในบริษัทที่รับจดทะเบียนโดเมนติดตั้งมัลแวร์ผ่านอีเมลหลอกลวงที่ส่งมา (Spear Phishing) และอาศัยช่องโหว่ในระบบเพื่อเข้าถึงระบบ โดยหนึ่งในช่องโหว่ที่เชื่อว่าถูกนำมาใช้คือ ช่องโหว่ที่อนุญาตให้สามารถรันคำสั่งอันตราย (RCE) ผ่าน Telnet ใน Cluster Management Protocol ของ Cisco IOS และ IOS XE Router (CVE-2017-3881)

Cisco Talos ได้แนะนำให้องค์กรที่มีการใช้งาน DNS Record เลือกที่จะใช้งาน Registry Lock Service เพื่อแจ้งให้ทราบเมื่อพบว่ามีความพยายามเปลี่ยนแปลง DNS Record หรือเลือกใช้งาน multi-factor authentication เช่น DUO เพื่อเข้าถึง DNS Record ขององค์กร นอกเหนือจากนี้ไม่ควรมองข้ามการแพทช์เครื่อง server ให้อัพเดทอย่างสม่ำเสมอ

สามารถอ่านข้อมูล IOCs ได้จากรายงานฉบับเต็ม:blog.

เมื่อต้นปีที่ผ่านมา นักวิจัยด้านความปลอดภัยได้เผยแพร่เครื่องมือที่สามารถทำการโจมตีแบบฟิชชิ่งและยังสามารถเข้าสู่บัญชีได้โดยเลี่ยงการป้องกัน two-factor authentication (2FA)

Modlishka เครื่องมือใหม่นี้ถูกสร้างขึ้นโดย Piotr Duszyński นักวิจัยชาวโปแลนด์ ใช้วิธี reverse proxy ทำการปรับเปลี่ยนทราฟฟิกขาเข้าจากผู้ใช้เพื่อขโมยข้อมูลจากผู้ใช้เป้าหมาย

Modlishka ตั้งอยู่ระหว่างผู้ใช้เป้าหมายและเว็บไซต์ เช่น Gmail, Yahoo หรือ ProtonMail ผู้ที่ตกเป็นเหยื่อฟิชชิ่งจะเชื่อมต่อกับเซิร์ฟเวอร์ Modlishka (โฮสต์โดเมนฟิชชิ่ง) และ reverse proxy ส่งคำขอไปยังเว็บไซต์ที่ต้องการปลอม

Modlishka ยังจัดการระบบ 2FA ได้ เนื่องจากสามารถรวบรวมโทเค็น 2FA แบบเรียลไทม์ได้โดยไม่ต้องใช้เทมเพลตปลอมใด ๆ พวกเขาสามารถใช้เข้าสู่บัญชีของเหยื่อและสร้างเซสชันใหม่ได้อย่างถูกต้องแต่ผู้โจมตีต้องมีชื่อโดเมนฟิชชิ่ง (ไปยังโฮสต์บนเซิร์ฟเวอร์ Modlishka) และใบรับรอง TLS ที่ถูกต้องเพื่อหลีกเลี่ยงการแจ้งเตือนผู้ใช้เมื่อขาดการเชื่อมต่อ HTTPS

โดยสุดท้ายนั้นเมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Modlishka จะเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นของจริงและถูกต้องเพื่อไม่ให้ผู้ใช้งานสงสัยและป้องกันไม่ให้ผู้ใช้งานสังเกตความผิดปกติของโดเมนเนมปลอมที่ผู้โจมตีสร้างขึ้น

ที่มา:zdnet.

EdgeWave บริษัทรักษาความปลอดภัยเกี่ยวกับอีเมล ค้นพบแคมเปญ Phishing และ Malspam โดยผู้โจมตีจะส่งอีเมลที่ปลอมเป็นหน้ายืนยันการสั่งซื้อของ Amazon ที่ดูน่าเชื่อถือ และมีหัวข้อ (Subject) ของอีเมลว่า "Your Amazon.

แจ้งเตือนผู้ใช้งาน Office 365 พบภัยคุกคามประเภทฟิชชิ่งที่แอบอ้างว่าเป็นระบบแจ้งเตือน non-delivery จาก Office 365 ซึ่งเมื่อผู้ใช้คลิกระบบแจ้งเตือนดังกล้าวจะทำให้เชื่อมต่อไปยังหน้าเว็บที่พยายามขโมยข้อมูลของผู้ใช้ทันทีที่ทำการ login เข้าในหน้า Office 365 ปลอมที่ผู้ไม่ประสงค์ดีได้ทำไว้

ฟิชชิ่งแบบใหม่นี้ได้ถูกค้นพบโดย ISC Handler Xavier Mertens จะมีเนื้อหาอีเมล (Subject) ระบุว่า "Microsoft found Several Undelivered Messages" เพื่อแจ้งให้เหยื่อคลิกที่ลิงก์ "Send Again" เพื่อลองส่งอีเมลอีกครั้ง หากผู้ใช้หลงเชื่อและคลิกที่ลิงก์เพื่อพยายามส่งอีเมลอีกครั้ง จะทำให้เชื่อมต่อไปยังหน้า login ของ Office 365 ที่เป็นหน้าปลอมเพื่อหลอกขโมยข้อมูลจากผู้ใช้งาน Office 365

เมื่อผู้ใช้ป้อนรหัสผ่านฟังก์ชัน JavaScript ที่ชื่อ sendmails() จะทำงาน เพื่อส่งอีเมลและรหัสผ่านที่ป้อนไปยังสคริปต์บน sendx.

ข้อมูลในจดหมายซึ่งถูกส่งไปที่กรมความมั่นคงแห่งมาตุภูมิ โดย Sen. Ron Wyden (D-OR) เมื่อวันอังคารที่ 18 July 2017 ที่ผ่านมาระบุว่าได้มีการเรียกร้องหน่วยงานรัฐบาลกลางให้ทำการพัฒนาวิธีการควบคุมเรื่อง e-mail ให้รัดกุมมากขึ้นเพื่อป้องกัน hacker จากการแอบอ้างตัวเองว่าเป็นคนจากหน่วยงานรัฐ Wyden เรียกการใช้ email protocol นี้ว่า Domain-based Message Authentication, Reporting and Conformance (DMARC) ซึ่งสามารถใช้ในการ filter หรือ block พวก spoofed email ซึ่งใช้ domain จริงในการส่ง แต่ว่าถูกส่งมาจากบุคคลที่สาม หรือจาก attacker
DMARC จะคอยปัด email spoofing ทิ้ง ซึ่งพวกนี้จะเป็นศูนย์กลางสำหรับการโจมตี Phishing อยู่แล้ว หลักการทำงานของ DMARC คือจะคอยตรวจเช็ค email กับ Domain Keys Identified Mail และกับ Sender Policy Framework validation systems ถ้าการตรวจสอบดังกล่าวผ่านทุกเงื่อนไข email ก็จะถูกปล่อยให้ผ่านไปยังผู้รับ แต่หากไม่ผ่านเงื่อนไข email นั้นจะถูกกักไว้ หรืออาจถูก blocked Phishing ยังคงเป็นภัยคุกคามที่ถูกใช้งานอย่างแพร่หลาย ไม่ใช่เพียงแค่จาก cybercriminals ซึ่งสนใจในเรื่องของการโกง และอาชญากรรมทางการเงินต่างๆ แต่ถูกใช้ในการโจมตีโดย nation-state attackers ด้วยเช่นกัน

ที่มา : threatpost

Security Researcher จาก PhishLabs พบการโจมตี Phishing ที่พยายามหลอกล่อให้กับ user หลงเข้าไปได้ง่ายขึ้นโดยการใส่ - ยาวๆเข้าไปใน domain โดยมุ่งเป้าไปที่มือถือเป็นหลัก

กลยุทธ์ใหม่นี้จะเน้นหลอกผู้ใช้ browser ในมือถือเป็นหลัก เพราะ Address Bar (ที่ใส่ URL) ในมือถือนั้นสั้นมาก เมื่อเทียบกับ Browser ในคอมพิวเตอร์ ดังนั้นถ้าหากเจอ URL ที่เป็น
hxxp://m.facebook.

PayPal เป็นเป้าหมายสำหรับการทำ Phishing มาตลอดเนื่องด้วยความใหญ่โตและความน่าเชื่อถือเกี่ยวกับการทำธุรกรรมของ PayPal ทำให้เราเห็น Phishing website ที่ปลอมเป็น PayPal อยู่บ่อยๆ แต่พบว่า PayPal Phishing website หลายๆอันไม่เพียงแต่จะหลอกให้ user กรอก username, password เท่านั้น รวมไปถึงหลอกให้ทำการถ่าย selfie กับบัตรประชาชนส่งมาให้ด้วย
Security Researcher จาก PhishMe พบการ spam Phishing website ไปยัง user ต่างๆทั่วโลก โดย Phishing website นั้นปลอมเป็น PayPal และตั้งอยู่บนเว็บไซด์ WordPress ใน New Zealand ที่ถูกแฮ็คมา ซึ่งสิ่งที่เว็บไซด์ Phishing ดังกล่าวแตกต่างจาก Phishing ทั่วไป โดยหน้า login จะมีให้ใส่ PayPal credentials จากนั้นเมื่อ login เข้ามา(แน่นอนว่าแกล้งให้เป็นการ login สำเร็จ)ก็จะแจ้งให้ผู้ใช้งานกรอกข้อมูลบัตรเครดิต, รวมถึงให้ user ถ่ายภาพ selfie พร้อมกับถือ ID card ไปด้วย
ซึ่งเข้าใจว่าการขอข้อมูลเหล่านั้นจะนำไปสู่การสร้าง account CryptoCurrency ต่างๆ ด้วยข้อมูลที่หลอกมาได้ต่อไปนั่นเอง
ที่มา : bleepingcomputer