Abuse.ch ออก "I Got Phished" ส่งคำเตือนไปยังองค์กรเมื่อพบว่าบุคลากรในองค์กรหลงเชื่อ Phishing

“I Got Phished" คือโปรเจคจาก Abuse.

พบเบอร์โทรของผู้ใช้ Facebook 267 ล้านคนรั่วไหลบนฐานข้อมูล

นักวิจัยด้านการรักษาความปลอดภัย Bob Diachenko พบฐานข้อมูลที่โพสต์อยู่บนฟอรั่มของแฮกเกอร์ เปิดให้ดาวน์โหลดในวันที่ 12 ธันวาคม ที่ผ่านมาก่อนจะถูกลบออก ฐานข้อมูลดังกล่าวมีข้อมูลกว่า 267 ล้านรายการ ประกอบด้วยหมายเลข Facebook ID ซึ่งเป็นเลขสาธารณะที่ใช้ระบุผู้ใช้งาน เบอร์โทรศัพท์ของผู้ใช้งาน ชื่อเต็ม และ Timestamp โดยข้อมูลส่วนใหญ่มาจากผู้ใช้งาน Facebook ในสหรัฐอเมริกา ยังไม่ทราบว่าข้อมูลดังกล่าวถูกรวบรวมจาก Facebook ได้อย่างไรแต่นักวิจัยคาดว่าข้อมูลจะมาจากการเรียก Facebook API ในช่วงเวลาก่อนที่ Facebook API จะปิดไม่ให้สามารถเข้าถึงเบอร์โทรศัพท์ได้ในช่วงปี 2018

ข้อมูลที่พบในฐานข้อมูลนี้สามารถเอาไปโจมตีแบบ Spam หรือ Phishing ได้ โดยนักวิจัยแนะนำให้ปรับตั้งค่าการแสดงข้อมูลใน Facebook เป็น private เพื่อช่วยลดการมองเห็นจากบุคคลที่สาม

ที่มา : 267M Facebook Users’ Phone Numbers Exposed Online

แฮกเกอร์หันมาใช้ SharePoint และเอกสาร OneNote ที่ถูกแฮกเพื่อโจมตีเหยื่อในธุรกิจธนาคารและการเงินโดยการทำฟิชชิ่ง
ผู้โจมตีใช้ประโยชน์จากโดเมนที่ใช้โดยแพลตฟอร์มการทำงานร่วมกันบน SharePoint ของ Microsoft ที่มักจะถูกมองข้ามโดยการรักษาความปลอดภัยเกตเวย์ของอีเมล ซึ่งจะทำให้ข้อความฟิชชิ่งมักเข้าถึงกล่องข้อความเป้าหมายได้โดยไม่มีการตรวจพบ

อีเมลฟิชชิ่งดังกล่าวจะถูกส่งโดยบัญชีที่ถูกแฮกและขอให้เป้าหมายประเมินข้อกฎหมายส่วนบุคคลผ่าน URL SharePoint ที่มากับข้อความภายในอีเมล เมื่อเหยื่อเข้าไปตามลิงค์ดังกล่าวจะพบเอกสารที่อ่านไม่ได้ที่มีลิงค์นำไปยังหน้าฟิชชิ่ง เมื่อเป้าหมายเข้าถึงหน้าฟิชชิ่ง พวกเขาจะเห็นเป็นหน้าเลียนแบบ OneDrive for Business และมีข้อความว่า “เอกสารนี้ปลอดภัย โปรดเข้าสู่ระบบเพื่อดู แก้ไข หรือดาวน์โหลด เลือกตัวเลือกด้านล่างเพื่อดำเนินการต่อ” โดยจะมีตัวเลือกจะให้เลือกว่าจะเข้าสู่ระบบด้วยบัญชี Office 365 หรือบัญชีผู้ให้บริการอีเมลอื่น ซึ่งเทคนิคฟิชชิ่งถูกออกแบบมาในการเก็บข้อมูลส่วนตัวถ้าเป้าหมายไม่ได้ต้องการเข้าสู่ระบบด้วยบัญชี Microsoft

เมื่อเหยื่อหลงกรอกข้อมูล ข้อมูลของเหยื่อจะถูกเก็บด้วยฟิชชิ่ง kit ของ BlackShop Tools และบัญชีของเหยื่อก็ถูกใช้โจมตีต่อไป

ผู้ที่สนใจสามารถอ่านรายงานการค้นพบดังกล่าวพร้อมกับดูรายการ IOC ของแคมเปญนี้ได้จากรายงานของ Cofense ที่ https://cofense.

Hostinger ผู้ให้บริการเว็บโฮสติงทำการรีเซตรหัสผ่านของลูกค้าทั้งหมด หลังจากพบว่าแฮกเกอร์สามารถเข้าถึงระบบและฐานข้อมูลที่มีข้อมูลจำนวนนับล้านรายการ เมื่อวันที่ 23 สิงหาคมที่ผ่านมา ซึ่งส่งผลกระทบกับผู้ใช้ถึง 14 ล้านคน

Daugirdas Jankus หัวหน้าเจ้าหน้าที่การตลาดของ Hostinger ได้อธิบายว่า "แฮกเกอร์สามารถเข้าถึงระบบ API ภายในของบริษัท และสามารถเข้าถึงรหัสผ่านที่มีการจัดเก็บในรูปแบบของ Hash และข้อมูลอื่นๆ ที่ไม่ใช่ข้อมูลทางการเงินของลูกค้า อาทิ ชื่อผู้ใช้, ที่อยู่เมล์, ip addresses แต่ทางบริษัทยื่นยันว่าการละเมิดข้อมูลดังกล่าวไม่กระทบกับข้อมูลทางการเงินของลูกค้าเนื่องจากมีการจัดเก็บข้อมูลไว้กับ Third-party

ลูกค้าที่ได้รับผลกระทบควรระมัดระวังการโจมตีในลักษณะของ Phishing ที่อ้างว่ามาจาก Hostinger

ที่มา Grahamcluley

US National Trade Association ALTA เตือนให้ระวังการขโมยข้อมูล

American Land Title Association (ALTA) เผยแพร่คำเตือนเกี่ยวกับรายชื่อบริษัทนับร้อยที่ถูกขโมย ซึ่งเป็นส่วนหนึ่งของแคมเปญของ Phishing ที่มีเป้าหมายคือสมาชิก ALTA

ALTA กล่าวเตือนว่ามีบุคคลอ้างว่าเป็นแฮกเกอร์ที่ติดต่อ ALTA ผ่าน Twitter และมอบไฟล์ที่มีข้อมูลประมาณ 600 รายการ ประกอบด้วย Domain, IP address, Usernames และ Passwords โดยจากการวิเคราะห์ข้อมูลไม่ทราบที่มาว่าข้อมูลเหล่านี้หลุดได้อย่างไร โดยพบอีเมล 182 อีเมลที่ไม่ซ้ำกันและโดเมน 154 โดเมน

ALTA แนะนำว่าบริษัทที่อาจได้รับผลกระทบสามารถปกป้องระบบของพวกเขาจากการโจมตีในอนาคตโดย สแกนระบบและอุปกรณ์เพื่อให้แน่ใจว่าปลอดจากมัลแวร์, อัปเดตซอฟต์แวร์และระบบปฏิบัติการ, ให้พนักงานอัปเดตและเปลี่ยนรหัสผ่านระบบโดยเฉพาะผู้ที่มีข้อมูลลูกค้าและบริการธนาคาร

อีเมลที่น่าสงสัยที่ได้รับจากสมาชิก ALTA ควรรายงานต่อศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ตแห่งชาติของสำนักงานสืบสวนกลางพร้อมรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์การโจรกรรมข้อมูลนี้เพื่อส่งให้เจ้าหน้าที่ของ ALTA โดยส่งอีเมลไปยัง vulnerabilities@americanlandtitleassociation.

พบ Phishing campaign ใหม่ ปลอมเป็นการแจ้งเตือนจาก Office 365 Team ที่ระบุว่า "Unusual volume of file deletion" บนบัญชีผู้ใช้งาน

เมื่อหลงเชื่อกดลิงก์ View alert details" ในอีเมล จะมีการเปิดหน้า Office 365 ปลอมที่สร้างไว้บนบริการ Web Hosting ของ Microsoft ทำให้เว็บไซต์ปลอมดังกล่าวมีการใช้งาน SSL Certificate ที่เป็นของ Microsoft เพื่อหลอกให้ป้อนรหัสผ่าน

ข้อมูลที่กรอกจะถูกส่งไปที่ hxxps://moxxesd.

กลุ่มแฮกเกอร์ชื่อว่า "Sea Turtle" ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาล โจมตีเพื่อทำการควบคุม DNS ในหลายประเทศ (DNS Hijacking) และใช้เป็นเครื่องมือในการเปลี่ยนเส้นทาง เพื่อหลอกลวงเหยื่อไปยังเว็บไซต์ปลอมและขโมยข้อมูลสำคัญ

เมื่อสัปดาห์ที่ผ่านมามีรายงานจาก Cisco Talos ระบุว่าพบมีหน่วยงานและองค์กรทั้งจากภาครัฐและเอกชนประมาณ 40 แห่งใน 13 ประเทศของตะวันออกกลางและอเมริกาเหนือตกเป็นเหยื่อการโจมตีที่ยาวนานมาตั้งแต่เมื่อประมาณสองปีที่แล้ว โดยผู้โจมตีจะทำการควบคุม DNS Server ของเหยื่อ เพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่ถูกสร้างขึ้นให้เหมือนเว็บไซต์จริงที่ถูกต้อง เพื่อขโมยข้อมูลสำคัญ อย่างเช่นชื่อผู้ใช้งาน และรหัสผ่านสำหรับเข้าสู่ระบบ เพื่อนำไปใช้ขโมยข้อมูลสำคัญในองค์กรต่อไป อย่างเช่น SSL Certificate เป็นต้น

ทั้งนี้เชื่อว่าวิธีการที่กลุ่มแฮกเกอร์ใช้ในการโจมตีครั้งนี้มีทั้งการหลอกให้พนักงานที่อยู่ในบริษัทที่รับจดทะเบียนโดเมนติดตั้งมัลแวร์ผ่านอีเมลหลอกลวงที่ส่งมา (Spear Phishing) และอาศัยช่องโหว่ในระบบเพื่อเข้าถึงระบบ โดยหนึ่งในช่องโหว่ที่เชื่อว่าถูกนำมาใช้คือ ช่องโหว่ที่อนุญาตให้สามารถรันคำสั่งอันตราย (RCE) ผ่าน Telnet ใน Cluster Management Protocol ของ Cisco IOS และ IOS XE Router (CVE-2017-3881)

Cisco Talos ได้แนะนำให้องค์กรที่มีการใช้งาน DNS Record เลือกที่จะใช้งาน Registry Lock Service เพื่อแจ้งให้ทราบเมื่อพบว่ามีความพยายามเปลี่ยนแปลง DNS Record หรือเลือกใช้งาน multi-factor authentication เช่น DUO เพื่อเข้าถึง DNS Record ขององค์กร นอกเหนือจากนี้ไม่ควรมองข้ามการแพทช์เครื่อง server ให้อัพเดทอย่างสม่ำเสมอ

สามารถอ่านข้อมูล IOCs ได้จากรายงานฉบับเต็ม:blog.

เมื่อต้นปีที่ผ่านมา นักวิจัยด้านความปลอดภัยได้เผยแพร่เครื่องมือที่สามารถทำการโจมตีแบบฟิชชิ่งและยังสามารถเข้าสู่บัญชีได้โดยเลี่ยงการป้องกัน two-factor authentication (2FA)

Modlishka เครื่องมือใหม่นี้ถูกสร้างขึ้นโดย Piotr Duszyński นักวิจัยชาวโปแลนด์ ใช้วิธี reverse proxy ทำการปรับเปลี่ยนทราฟฟิกขาเข้าจากผู้ใช้เพื่อขโมยข้อมูลจากผู้ใช้เป้าหมาย

Modlishka ตั้งอยู่ระหว่างผู้ใช้เป้าหมายและเว็บไซต์ เช่น Gmail, Yahoo หรือ ProtonMail ผู้ที่ตกเป็นเหยื่อฟิชชิ่งจะเชื่อมต่อกับเซิร์ฟเวอร์ Modlishka (โฮสต์โดเมนฟิชชิ่ง) และ reverse proxy ส่งคำขอไปยังเว็บไซต์ที่ต้องการปลอม

Modlishka ยังจัดการระบบ 2FA ได้ เนื่องจากสามารถรวบรวมโทเค็น 2FA แบบเรียลไทม์ได้โดยไม่ต้องใช้เทมเพลตปลอมใด ๆ พวกเขาสามารถใช้เข้าสู่บัญชีของเหยื่อและสร้างเซสชันใหม่ได้อย่างถูกต้องแต่ผู้โจมตีต้องมีชื่อโดเมนฟิชชิ่ง (ไปยังโฮสต์บนเซิร์ฟเวอร์ Modlishka) และใบรับรอง TLS ที่ถูกต้องเพื่อหลีกเลี่ยงการแจ้งเตือนผู้ใช้เมื่อขาดการเชื่อมต่อ HTTPS

โดยสุดท้ายนั้นเมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Modlishka จะเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นของจริงและถูกต้องเพื่อไม่ให้ผู้ใช้งานสงสัยและป้องกันไม่ให้ผู้ใช้งานสังเกตความผิดปกติของโดเมนเนมปลอมที่ผู้โจมตีสร้างขึ้น

ที่มา:zdnet.

EdgeWave บริษัทรักษาความปลอดภัยเกี่ยวกับอีเมล ค้นพบแคมเปญ Phishing และ Malspam โดยผู้โจมตีจะส่งอีเมลที่ปลอมเป็นหน้ายืนยันการสั่งซื้อของ Amazon ที่ดูน่าเชื่อถือ และมีหัวข้อ (Subject) ของอีเมลว่า "Your Amazon.

แจ้งเตือนผู้ใช้งาน Office 365 พบภัยคุกคามประเภทฟิชชิ่งที่แอบอ้างว่าเป็นระบบแจ้งเตือน non-delivery จาก Office 365 ซึ่งเมื่อผู้ใช้คลิกระบบแจ้งเตือนดังกล้าวจะทำให้เชื่อมต่อไปยังหน้าเว็บที่พยายามขโมยข้อมูลของผู้ใช้ทันทีที่ทำการ login เข้าในหน้า Office 365 ปลอมที่ผู้ไม่ประสงค์ดีได้ทำไว้

ฟิชชิ่งแบบใหม่นี้ได้ถูกค้นพบโดย ISC Handler Xavier Mertens จะมีเนื้อหาอีเมล (Subject) ระบุว่า "Microsoft found Several Undelivered Messages" เพื่อแจ้งให้เหยื่อคลิกที่ลิงก์ "Send Again" เพื่อลองส่งอีเมลอีกครั้ง หากผู้ใช้หลงเชื่อและคลิกที่ลิงก์เพื่อพยายามส่งอีเมลอีกครั้ง จะทำให้เชื่อมต่อไปยังหน้า login ของ Office 365 ที่เป็นหน้าปลอมเพื่อหลอกขโมยข้อมูลจากผู้ใช้งาน Office 365

เมื่อผู้ใช้ป้อนรหัสผ่านฟังก์ชัน JavaScript ที่ชื่อ sendmails() จะทำงาน เพื่อส่งอีเมลและรหัสผ่านที่ป้อนไปยังสคริปต์บน sendx.