แฮ็กเกอร์กำลังแอบใช้กลไก OAuth Redirection ที่ทำงานอย่างถูกต้อง เพื่อ Bypass ระบบป้องกัน Phishing บนอีเมล และ Web Browser เพื่อหลอกล่อให้ผู้ใช้เข้าไปยังหน้าเว็บที่เป็นอันตราย

นักวิจัยจาก Microsoft Defender ระบุว่า การโจมตีดังกล่าวมุ่งเป้าไปที่หน่วยงานรัฐบาล และองค์กรภาครัฐ โดยใช้ Phishing link เพื่อหลอกให้ผู้ใช้ทำการยืนยันตัวตนเข้าสู่แอปพลิเคชันที่เป็นอันตราย

(more…)

นักวิจัยจาก Infoblox Threat Intel ตรวจพบแคมเปญ Phishing ที่มีความซับซ้อนสูง ซึ่งใช้ประโยชน์จากช่องโหว่ในโครงสร้างพื้นฐานของอินเทอร์เน็ต เพื่อ Bypass ระบบ Security ขององค์กร (more…)

Olympique de Marseille สโมสรฟุตบอลอาชีพจากฝรั่งเศส ได้ออกมายอมรับถึงการถูกโจมตีทางไซเบอร์จริง ภายหลังจากที่มีการกล่าวอ้างเมื่อวันจันทร์ที่ผ่านมา (23 ก.พ. 2026) ว่ามีผู้ไม่ประสงค์ดีสามารถเจาะเข้าถึงเซิร์ฟเวอร์บางส่วนของสโมสรได้ตั้งแต่ช่วงต้นเดือนเดียวกัน โดยสโมสรได้เผยแพร่แถลงการณ์ยืนยันเรื่องดังกล่าวเมื่อวันอังคารที่ผ่านมา

Olympique de Marseille เป็นสโมสรฟุตบอลเก่าแก่ที่ก่อตั้งมายาวนานกว่า 126 ปี ปัจจุบันเข้าร่วมแข่งขันในลีกสูงสุดของฝรั่งเศสอย่าง Ligue 1 และเคยสร้างประวัติศาสตร์ด้วยการเป็นสโมสรฝรั่งเศสทีมแรกที่คว้าแชมป์ยูฟ่า แชมเปียนส์ลีกเมื่อปี 1993

ผู้ไม่หวังดีรายนี้ได้ปล่อยตัวอย่างข้อมูลที่อ้างว่าขโมยมา เผยแพร่บนฟอรัมของกลุ่มแฮ็กเกอร์พร้อมระบุว่า ได้เข้าถึง และนำฐานข้อมูลซึ่งมีข้อมูลของพนักงาน และแฟนบอลของ Olympique de Marseille ออกไปได้

สโมสรระบุในแถลงการณ์ว่า “โอลิมปิก เดอ มาร์กเซย เพิ่งตกเป็นเป้าของความพยายามโจมตีทางไซเบอร์เมื่อไม่นานมานี้ ท่ามกลางสถานการณ์ทั้งในระดับประเทศ และนานาชาติที่กำลังเกิดกระแสการโจมตีองค์กรขนาดใหญ่อีกระลอกหนึ่ง”

แถลงการณ์ระบุเพิ่มเติมว่า ทีมเทคนิคของสโมสร และผู้เชี่ยวชาญภายนอก ได้ดำเนินการตอบสนองอย่างรวดเร็ว ทำให้สามารถควบคุมสถานการณ์ไว้ได้ทันท่วงที ขณะนี้การดำเนินงานทั้งหมดของสโมสรยังคงเป็นไปตามปกติ ภายใต้มาตรการรักษาความปลอดภัยที่เข้มงวด และกำลังดำเนินการตรวจสอบขอบเขตของเหตุการณ์อย่างละเอียดต่อไป ทั้งนี้ สโมสรยืนยันว่าไม่มีข้อมูลทางการเงิน หรือรหัสผ่านของผู้สนับสนุนรายใดถูกละเมิด

แม้ Olympique de Marseille จะไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์ดังกล่าว แต่ผู้ไม่หวังดีอ้างว่า ฐานข้อมูลที่ถูกขโมยไปมีข้อมูลของบุคคลมากถึง 400,000 ราย ครอบคลุมทั้งชื่อ ที่อยู่ ข้อมูลการสั่งซื้อ อีเมล และหมายเลขโทรศัพท์มือถือ

กลุ่มผู้ไม่หวังดีได้ออกมากล่าวอ้างว่า ข้อมูลที่ขโมยไปนั้นประกอบด้วยบัญชีผู้ใช้งานระบบจัดการเนื้อหา (CMS) Drupal มากกว่า 2,050 บัญชี โดยแยกเป็นบัญชีพนักงานของสโมสร Olympique Marseille (OM) จำนวน 34 ราย และบัญชีผู้ร่วมเขียนบทความ หรือผู้ดูแลระบบอีก 1,770 บัญชี

นอกจากนี้ กลุ่มผู้ไม่หวังดีได้โพสต์ข้อความเสนอขายข้อมูลดังกล่าว โดยระบุว่าเป็น "ข้อมูลของ Olympique de Marseille (OM) จากเดือนกุมภาพันธ์ 2026" พร้อมทั้งเน้นย้ำถึงสถานะของสโมสรในฐานะทีมระดับตำนานแห่ง Ligue 1 ซึ่งมีทั้งร้านค้าออนไลน์สำหรับสินค้าของสโมสร ระบบสมาชิกแฟนคลับ และฐานผู้สนับสนุนขนาดใหญ่ทั้งในประเทศฝรั่งเศส และทั่วโลก

แม้สโมสรจะยังไม่ได้ยืนยันเกี่ยวกับการรั่วไหลของข้อมูลจริง แต่ก็ได้ดำเนินการแจ้งเรื่องดังกล่าวต่อหน่วยงานกำกับดูแลด้านการคุ้มครองข้อมูลของฝรั่งเศส (Commission nationale de l’informatique et des libertés - CNIL) รวมถึงยื่นคำร้องทุกข์ นอกจากนี้ ยังได้แจ้งเตือนแฟนบอลให้ "เพิ่มความระมัดระวังต่อการพยายามฟิชชิง และรายงานความเคลื่อนไหวที่น่าสงสัยทุกกรณี"

โฆษกของ Olympique de Marseille ยังไม่ได้ให้ความเห็นในทันที หลังจากที่ BleepingComputer ได้ติดต่อสอบถามไปก่อนหน้านี้ในวันนี้ (26 ก.พ. 2026)

ทั้งนี้ เมื่อเดือนพฤศจิกายนที่ผ่านมา French Football Federation (FFF) ก็ได้เปิดเผยเหตุข้อมูลรั่วไหลเช่นกัน หลังผู้โจมตีสามารถเข้าถึงซอฟต์แวร์บริหารจัดการด้านงานธุรการที่สโมสรฟุตบอลต่าง ๆ ใช้งานอยู่ ผ่านบัญชีผู้ใช้ที่ถูกเจาะระบบ

ที่มา : bleepingcomputer.

เมื่อสัปดาห์ที่ผ่านมาพบกลุ่มมิจฉาชีพกำลังใช้เทคนิค Phishing ใหม่บน LinkedIn ด้วยวิธีการโพสต์ตอบกลับในช่องคอมเมนต์ ซึ่งทำหน้าตาเหมือนเป็นข้อความเตือนจากระบบของ LinkedIn เอง โดยอ้างว่าบัญชีของคุณทำผิดกฎนโยบายบางอย่าง และเร่งให้รีบกด Link ภายนอกที่แนบมาเพื่อตรวจสอบ

ความน่ากลัวคือ ข้อความเหล่านี้เลียนแบบรูปแบบของ LinkedIn ได้เหมือนจริงมาก ในบางกรณียังใช้ระบบ URL shortener ที่เป็น lnkd.

ผู้ไม่หวังดีหลายกลุ่มกำลังโจมตีบัญชี Microsoft 365 ผ่านการโจมตีแบบ phishing ที่อาศัยกลไกการยืนยันตัวตนด้วย Device code ของ OAuth (OAuth device code authorization) (more…)

การแพร่กระจายของชุดเครื่องมือฟิชชิง Tycoon 2FA ถือเป็นภัยคุกคามร้ายแรงต่อองค์กรทั่วโลก เนื่องจากชุดเครื่องมือสำเร็จรูปลักษณะนี้ถูกออกแบบมาให้ใช้งานได้ง่าย แม้แต่ผู้ที่ไม่มีความเชี่ยวชาญก็สามารถใช้เพื่อ Bypass ระบบยืนยันตัวตนหลายปัจจัย (MFA) และแอปยืนยันตัวตนที่องค์กรต่าง ๆ ใช้อยู่ ซึ่งปัจจุบันพบการนำมาใช้งานอย่างแพร่หลาย

จนถึงปีนี้ มีการติดตามการโจมตีไปแล้วมากกว่า 64,000 ครั้ง โดยหลายครั้งมุ่งเป้าไปที่ Microsoft 365 และ Gmail เพราะแพลตฟอร์มเหล่านี้คือเส้นทางที่ง่าย และรวดเร็วที่สุดในการเจาะเข้าสู่องค์กร

ฟิชชิงแบบ Service พร้อมใช้ ไม่ต้องมีทักษะใด ๆ

ความสามารถของ Tycoon 2FA อยู่ที่การไม่ต้องใช้ทักษะทางเทคนิค เนื่องจากมันเป็นชุดเครื่องมือ "Phishing as a Service" ที่พร้อมใช้งาน ฟังก์ชันครบถ้วน และเป็นระบบอัตโนมัติ แม้แต่ผู้ที่ไม่มีพื้นฐานการเขียนโค้ดก็สามารถใช้งานได้ ชุดเครื่องมือนี้จะแนะนำผู้ใช้ตั้งแต่การตั้งค่า การจัดเตรียมหน้าล็อกอินปลอม ไปจนถึงการเปิดเซิร์ฟเวอร์ reverse proxy ให้พร้อมใช้งาน

ชุดเครื่องมือจะทำทุกอย่างที่ยุ่งยากแทนผู้โจมตีทั้งหมด เหลือเพียงให้ผู้โจมตีส่งลิงก์ไปยังเหยื่อ แล้วรอแค่คนใดคนหนึ่งถูกหลอกเท่านั้น

Real-Time MFA Relay และการขโมยเซสชัน

Tycoon 2FA จะดำเนินการทันทีที่เหยื่อหลงกล โดยระบบจะดักจับชื่อผู้ใช้ และรหัสผ่านแบบเรียลไทม์, จัดเก็บ session cookies, และทำหน้าที่เป็นพร็อกซีในขั้นตอนที่ MFA ถูกส่งไปยัง Microsoft หรือ Google เหยื่อจะเข้าใจว่าตนเองกำลังดำเนินการยืนยันตัวตนตามปกติ แต่ในความเป็นจริงแล้ว พวกเขากำลังยืนยันตัวตนให้กับผู้โจมตี

ส่วนที่อันตรายที่สุดคือผู้ใช้ที่ได้รับการฝึกอบรมมาอย่างดีก็ยังอาจตกเป็นเหยื่อได้ เพราะทุกอย่างดูสมจริง หน้าเว็บเป็นแบบไดนามิก และสามารถแสดงผลข้อมูล responses จากเซิร์ฟเวอร์จริงได้

ตัวอย่างเช่น หาก Microsoft ขอให้กรอกรหัส หน้าเว็บก็จะอัปเดตทันที หรือถ้า Google ส่งข้อความแจ้ง (prompt) มันก็จะปรากฏขึ้นตามที่ควรจะเป็น

ไม่มีอะไรแตกต่างให้สังเกตเห็นได้ ไม่มีร่องรอยใด ๆ และไม่มีวิธีการใดที่ MFA แบบเดิม หรือแอปยืนยันตัวตนจะสามารถป้องกันการโจมตีนี้ได้ เนื่องจาก Tycoon ถูกออกแบบมาให้เป็นผู้โจมตีแบบ Man-in-the-Middle โดยตรง

ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ

Tycoon 2FA มาพร้อมกับชั้นของการป้องกันการตรวจจับที่เทียบเท่ากับมัลแวร์ระดับสูงหลายตัว โดยใช้เทคนิคต่าง ๆ เช่น การเข้ารหัส Base64, การบีบอัดแบบ LZ string, เทคนิค DOM vanishing, การทำให้โค้ดอ่านไม่ออกด้วย CryptoJS, ระบบกรอง Bot อัตโนมัติ, CAPTCHA และการตรวจจับเครื่องมือ Debugging

ชุดเครื่องมือนี้จะซ่อนพฤติกรรมตัวเองจากเครื่องมือ Scan และนักวิจัยทุกวิถีทาง มันจะแสดงพฤติกรรมจริงก็ต่อเมื่อเป้าหมายเป็นมนุษย์จริง ๆ เท่านั้น และเมื่อมันทำขั้นตอนการยืนยันตัวตนสำเร็จ ผู้โจมตีก็จะได้สิทธิ์เข้าถึงเซสชันเต็มรูปแบบภายใน Microsoft 365 หรือ Gmail

จากจุดเริ่มต้นนั้น ผู้โจมตีสามารถขยายผลการโจมตีไปยังระบบต่าง ๆ ได้อย่างกว้างขวาง เช่น SharePoint, OneDrive, อีเมล, Teams, ระบบ HR, ระบบการเงิน และอื่น ๆ อีกมากมาย การฟิชชิงที่ประสบความสำเร็จเพียงครั้งเดียวอาจนำไปสู่การถูกเจาะระบบทั้งหมดได้

MFA แบบดั้งเดิมอาจไม่เพียงพอแล้ว

สาเหตุที่ MFA แบบดั้งเดิมไม่เพียงพอ เพราะรหัส SMS, การแจ้งเตือนแบบกดอนุมัติ (push) และแอป TOTP ล้วนมีจุดอ่อนเดียวกัน เนื่องจากขึ้นอยู่กับพฤติกรรมของผู้ใช้ และความคาดหวังว่าผู้ใช้จะสังเกตเห็นสิ่งผิดปกติด้วยตนเอง

ระบบเหล่านี้ใช้กลไกที่ผู้โจมตีสามารถดักจับ ส่งต่อ หรือนำมาใช้ซ้ำได้ Tycoon 2FA และเครื่องมืออีกนับสิบชนิดโจมตีจากช่องโหว่นี้ตรง ๆ พวกมันเปลี่ยนผู้ใช้ให้กลายเป็นช่องทางโจมตี และแม้แต่ passkey ก็เริ่มถูกเจาะได้แล้ว เมื่อมีการซิงก์ผ่านบัญชีคลาวด์ หรือมีช่องทางกู้คืน (recovery) ที่สามารถขโมยข้อมูลแบบ social engineering ได้

ผู้โจมตีเข้าใจเรื่องนี้ดีมาก กลุ่มอาชญากรรมอย่าง Scattered Spider, Octo Tempest และ Storm 1167 ใช้ชุดเครื่องมือเหล่านี้ทุกวัน มันคือวิธีโจมตีที่เพิ่มขึ้นเร็วที่สุดในโลก เพราะใช้ง่าย ขยายผลได้มาก และไม่ต้องการทักษะใด ๆ

หลายบริษัทเร่งนำระบบยืนยันตัวตนแบบหลายปัจจัย (MFA) และแอปยืนยันตัวตนมาใช้ แต่กลับพบว่าระบบเหล่านี้อาจไม่เพียงพอเมื่อเจอกับชุดเครื่องมือฟิชชิงที่ออกแบบมาโดยเฉพาะ หากผู้โจมตีสามารถหลอกให้ผู้ใช้งานกรอกรหัส หรืออนุมัติคำขอได้ ผู้โจมตีก็จะประสบความสำเร็จ ซึ่ง Tycoon ทำสิ่งนี้ได้อย่างแม่นยำ

ขั้นต่อไป MFA ที่ฟิชชิงไม่ได้จริง ๆ

ยังมีวิธีการแก้ไขที่ชัดเจน และสามารถเริ่มใช้งานได้รวดเร็ว นั่นคือระบบยืนยันตัวตนที่ป้องกันฟิชชิงด้วยข้อมูล biometric บนฮาร์ดแวร์ FIDO2 โดยใช้การยืนยันตัวตนแบบ proximity based, domain bound และไม่สามารถถูกรีเลย์ หรือปลอมแปลงได้ ระบบที่ไม่มีรหัสให้กรอก ไม่มีการอนุมัติแจ้งเตือน ไม่มี shared secrets ที่ถูกดักจับได้ และไม่มีวิธีใดที่หลอกให้ผู้ใช้งานช่วยผู้โจมตีได้อีกต่อไป

ระบบที่ปฏิเสธเว็บไซต์ปลอมโดยอัตโนมัติ ระบบที่บังคับให้มีการยืนยันแบบไบโอเมตริกซ์บนอุปกรณ์จริง ซึ่งต้องอยู่ใกล้คอมพิวเตอร์ที่กำลังล็อกอินเท่านั้น

ทั้งหมดนี้เปลี่ยนเกมไปอย่างสิ้นเชิง เพราะมันนำผู้ใช้ออกจากกระบวนการตัดสินใจ แทนที่จะหวังให้คนรู้ทันหน้าเว็บปลอม ตัวอุปกรณ์ยืนยันตัวตนจะตรวจสอบแหล่งที่มาแบบเข้ารหัสเอง

แทนที่จะหวังว่าผู้ใช้จะปฏิเสธการแจ้งเตือนที่เป็นอันตราย อุปกรณ์ยืนยันตัวตนจะไม่มีทางได้รับแจ้งเตือนแบบนั้นตั้งแต่แรก

โมเดลของโทเคน

นี่คือโมเดลที่อยู่เบื้องหลัง Token Ring และ Token BioStick ซึ่งป้องกันฟิชชิงด้วยสถาปัตยกรรม บังคับใช้ไบโอเมตริกซ์เป็นค่าเริ่มต้น อิงตาม Proximity based และผูกกับโดเมนผ่านการเข้ารหัส

การโจมตีจะไม่สำเร็จ เพราะไม่มีโค้ดให้ขโมย ไม่มีการอนุมัติให้หลอกลวง และไม่มีขั้นตอนกู้คืนบัญชีให้มิจฉาชีพใช้โจมตีได้เลย ต่อให้ผู้ใช้พลาดคลิกลิงก์น่าสงสัย หรือแม้แต่บอกรหัสผ่านออกไป (ถ้ายังมีรหัส) หรือโดน Social Engineering ที่แอบอ้างเป็นฝ่ายไอทีโทรมาหลอก การยืนยันตัวตนก็จะไม่สำเร็จอยู่ดี เพราะระบบจะตรวจสอบว่าโดเมนไม่ตรง และไม่มีการยืนยันไบโอเมตริกซ์บนอุปกรณ์จริง

องค์กรที่ใช้อุปกรณ์เหล่านี้พบว่าพนักงานยอมรับได้ง่ายมากกับโซลูชันไร้รหัสผ่านลักษณะนี้ การยืนยันตัวตนทำได้เร็ว (เพียง 2 วินาที) ไม่ต้องจำอะไร ไม่ต้องพิมพ์อะไร ไม่ต้องกดยืนยันอะไร มอบประสบการณ์ผู้ใช้ที่ดีกว่า และสร้างมาตรการความปลอดภัยที่แข็งแกร่งยิ่งกว่าเดิมมาก

ความจริงที่ทุกองค์กรต้องยอมรับ

ทุกองค์กรต้องยอมรับว่าผู้โจมตีได้พัฒนาไปอีกขั้นแล้ว และระบบป้องกันก็ต้องพัฒนาตามให้ทัน การยืนยันตัวตนแบบหลายปัจจัย (MFA) แบบเดิม ๆ รวมถึงแอปยืนยันตัวตน (Authenticator Apps) และแม้แต่ Passkey ก็ไม่อาจป้องกันภัยคุกคามนี้ได้ ดังที่ Tycoon 2FA ได้แสดงให้เห็นว่า ระบบใดก็ตามที่ยังต้องการให้ผู้ใช้ "กรอก" หรือ "กดอนุมัติ" จะสามารถถูกเจาะระบบได้ภายในเวลาไม่กี่วินาที

ที่มา : bleepingcomputer

Checkout.com บริษัทเทคโนโลยีด้านการเงินจากสหราชอาณาจักรประกาศว่า กลุ่มผู้โจมตีที่ชื่อ ShinyHunters ได้โจมตีระบบจัดเก็บข้อมูลบนคลาวด์เวอร์ชันเก่าของบริษัท และกำลังข่มขู่เพื่อเรียกค่าไถ่อยู่ในขณะนี้ (more…)

ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติสวิส (NCSC) กำลังเตือนเจ้าของ iPhone เกี่ยวกับข้อความหลอกลวงที่อ้างว่าพบ iPhone ที่สูญหาย หรือถูกขโมยไป แต่แท้จริงแล้วพยายามที่จะขโมยข้อมูล credentials ของ Apple ID ของคุณ

เมื่อลูกค้า iPhone ทำโทรศัพท์หาย หรือถูกขโมย พวกเขาสามารถตั้งค่าข้อความที่กำหนดเองในแอป Find My ของ Apple ซึ่งจะปรากฏบนหน้าจอล็อก เมื่อทำหาย ข้อความนี้อาจมีอีเมล หรือหมายเลขโทรศัพท์เพื่อติดต่อเจ้าของ

จากข้อมูลของ NCSC ผู้ไม่หวังดีอาจใช้ข้อมูลนี้ส่งข้อความฟิชชิ่ง (smishing) แบบเจาะจงผ่านทาง SMS หรือ iMessage ไปยังข้อมูลติดต่อที่แสดงไว้ โดยอ้างว่ามาจากทีม Find My ของ Apple และระบุว่าพบโทรศัพท์ของพวกเขาแล้ว

NCSC อธิบายว่า การทำ iPhone หายถือเป็นเรื่องที่น่ารำคาญ ไม่เพียงแต่อุปกรณ์จะหายไป แต่ข้อมูลส่วนตัวของคุณก็อาจสูญหายไปด้วย

หลังจากทำโทรศัพท์หาย คนส่วนใหญ่ยังหวังว่าจะมีคนหามันเจอ แต่ถ้ามิจฉาชีพได้โทรศัพท์ของคุณไป พวกเขาอาจพยายามใช้ประโยชน์จากความหวังนี้ โดยส่งข้อความตัวอักษร หรือ iMessages ที่ดูเหมือนว่ามาจาก Apple โดยอ้างว่า iPhone ที่หายไปถูกพบในต่างประเทศ

ข้อความฟิชชิ่งมีรายละเอียดที่น่าเชื่อถือ เช่น รุ่นของโทรศัพท์ สี และข้อมูลอื่นใดที่สามารถดึงออกมาได้โดยตรงจากอุปกรณ์ที่ล็อกอยู่

ข้อความฟิชชิ่ง ระบุว่า "เรายินดีที่จะแจ้งให้คุณทราบว่า iPhone 14 128GB สี Midnight ที่หายไปของคุณ ถูกค้นพบเรียบร้อยแล้ว"

"หากต้องการดูตำแหน่งปัจจุบันของอุปกรณ์ของคุณ โปรดคลิกลิงก์ด้านล่าง: <phishing url>"

"หากคุณไม่ได้เป็นผู้รายงานอุปกรณ์หาย หรือเชื่อว่าข้อความนี้ถูกส่งมาโดยผิดพลาด โปรดเพิกเฉยต่อข้อความนี้ หรือติดต่อทีมสนับสนุนของเราทันที"

ข้อความฟิชชิ่งมีลิงก์ไปยังเว็บไซต์ Find My ที่อ้างว่าแสดงตำแหน่งของอุปกรณ์

อย่างไรก็ตาม แทนที่จะนำไปสู่เว็บไซต์ทางการของ Apple มันกลับเปลี่ยนเส้นทางไปยังหน้าฟิชชิ่งที่มีหน้าแจ้งให้ล็อกอินซึ่งเลียนแบบเว็บไซต์ Find My ของ Apple เมื่อเหยื่อกรอก Apple ID และรหัสผ่าน ข้อมูล credentials เหล่านั้นจะถูกส่งไปยังผู้โจมตี ทำให้พวกเขาเข้าถึงบัญชีได้อย่างเต็มรูปแบบ

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์อธิบายว่า เป้าหมายที่แท้จริงของมิจฉาชีพคือการปลดล็อกการเปิดใช้งาน (Activation Lock) ของ Apple คุณสมบัติด้านความปลอดภัยนี้ใช้เพื่อเชื่อมโยง iPhone เข้ากับ Apple ID ของเจ้าของ และป้องกันไม่ให้ผู้อื่นลบข้อมูล หรือนำไปขายต่อ

เนื่องจากไม่มีวิธีในการ Bypass การล็อกนี้ อาชญากรจึงอาศัยการโจมตีแบบฟิชชิ่งเพื่อหลอกลวงให้ผู้ใช้เปิดเผยข้อมูลประจำตัวของตน

NCSC ระบุว่า ยังไม่รู้แน่ชัดว่าผู้โจมตีได้หมายเลขโทรศัพท์ของเป้าหมายมาได้อย่างไร แต่อาจมาจากซิมการ์ดในอุปกรณ์ หรือจากข้อความที่กำหนดเองที่แสดงบนหน้าจอล็อกเมื่ออุปกรณ์นั้นถูกรายงานว่าสูญหาย

หน่วยงานแนะนำให้ทำสิ่งต่อไปนี้:

ห้ามคลิกลิงก์ในข้อความที่คุณไม่ได้ร้องขอ หรือกรอกรายละเอียด Apple ID บนเว็บไซต์ภายนอก
หากอุปกรณ์สูญหาย ให้เปิดใช้งานโหมดสูญหาย (Lost Mode) ทันทีผ่านแอป Find My หรือ iCloud.

แฮ็กเกอร์กำลังใช้ LinkedIn เพื่อมุ่งเป้าโจมตีผู้บริหารทางด้านการเงิน ด้วยการโจมตีแบบฟิชชิงผ่าน direct-message โดยปลอมแปลงเป็นคำเชิญให้เข้าร่วมคณะกรรมการบริหาร โดยมีเป้าหมายเพื่อขโมยข้อมูล credentials ของ Microsoft

แคมเปญนี้ถูกตรวจพบโดย Push Security ซึ่งระบุว่าเมื่อเร็ว ๆ นี้ บริษัทได้บล็อกหนึ่งในการโจมตีแบบฟิชชิงเหล่านี้ซึ่งเริ่มต้นจากข้อความ LinkedIn ที่มีลิงก์อันตราย

BleepingComputer ได้รับข้อมูลว่า ข้อความฟิชชิงเหล่านี้อ้างว่าเป็นคำเชิญให้ผู้บริหารเข้าร่วมคณะกรรมการบริหารของกองทุนรวม 'Common Wealth' ที่จัดตั้งขึ้นใหม่

ข้อความฟิชชิงบน LinkedIn ระบุว่า "ผมรู้สึกตื่นเต้นที่จะมอบคำเชิญสุดพิเศษให้คุณเข้าร่วมเป็นคณะกรรมการบริหารของกองทุนรวม Common Wealth ในอเมริกาใต้ โดยร่วมมือกับ AMCO สาขาการจัดการสินทรัพย์ของเรา ซึ่งเป็นกองทุนร่วมลงทุนใหม่ที่โดดเด่น ซึ่งกำลังเปิดตัวกองทุนเพื่อการลงทุนในอเมริกาใต้"

ข้อความฟิชชิงเหล่านี้จะจบลงด้วยการบอกให้ผู้รับคลิกลิงก์เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับโอกาสดังกล่าว

อย่างไรก็ตาม Push Security ระบุว่า เมื่อผู้รับคลิกลิงก์ พวกเขาจะถูกเปลี่ยนเส้นทางหลายขั้นตอน การเปลี่ยนเส้นทางครั้งแรกจะผ่าน Google open redirect ซึ่งจะนำไปสู่เว็บไซต์ที่ผู้โจมตีควบคุม จากนั้นจะเปลี่ยนเส้นทางไปยังหน้า landing page ที่สร้างขึ้นเองซึ่งโฮสต์อยู่บน firebasestorage.

X ออกประกาศเตือนให้ผู้ใช้ทำการลงทะเบียน security keys หรือ passkeys สำหรับ two-factor authentication (2FA) ใหม่อีกครั้งก่อนวันที่ 10 พฤศจิกายน มิเช่นนั้นผู้ใช้อาจถูกล็อกไม่ให้เข้าถึงบัญชีของตนจนกว่าจะดำเนินการลงทะเบียนใหม่

ในบนแพลตฟอร์ม X บริษัทระบุว่า การเปลี่ยนแปลงนี้จะมีผลเฉพาะกับผู้ใช้ที่ใช้ หรือ hardware-based security keys เช่น YubiKey เท่านั้น

ทั้งสองวิธีการยืนยันตัวตนนี้ จะมีการป้องกันที่แข็งแกร่งต่อการโจมตีแบบฟิชชิง โดยใช้ cryptographic keys ที่ถูกจัดเก็บไว้อย่างปลอดภัยภายในอุปกรณ์ หรือระบบปฏิบัติการในการตรวจสอบตัวตนของผู้ใช้ แทนที่จะพึ่งพาข้อมูล credentials แบบเดิมซึ่งเสี่ยงต่อการถูกขโมยจากมัลแวร์ หรือการโจมตีแบบฟิชชิง

บัญชีทางการด้านความปลอดภัย (Safety) ของ X โพสต์เมื่อสัปดาห์ที่แล้วว่า ภายในวันที่ 10 พฤศจิกายนนี้ บัญชีผู้ใช้ทั้งหมดที่ใช้ security keys เป็นวิธีการยืนยันตัวตนแบบ two-factor authentication (2FA) จะต้องทำการลงทะเบียน keys ของตนใหม่ เพื่อให้สามารถเข้าถึง X ได้ตามปกติ

ผู้ใช้มีทางเลือกลงทะเบียน security keys ใหม่ได้สองวิธีคือ ลงทะเบียน security keys ที่มีอยู่แล้วซ้ำ หรือเพิ่ม security keys ใหม่ อย่างไรก็ตาม หากเลือกเพิ่ม security keys ใหม่ keys เก่าทั้งหมดจะไม่สามารถใช้งานได้อีกต่อไปจนกว่าจะลงทะเบียนซ้ำ

หลังวันที่ 10 พฤศจิกายน บัญชีที่ไม่ได้ลงทะเบียน security keys ใหม่จะถูกล็อก การเข้าถึงบัญชีจะกลับมาเป็นปกติเมื่อผู้ใช้ลงทะเบียน security keys ใหม่ ใช้วิธี 2FA แบบอื่น หรือปิดใช้งาน 2FA ทั้งนี้ X ยังคงแนะนำให้เปิดใช้งาน 2FA เพื่อความปลอดภัยสูงสุดของบัญชี

ทั้งนี้ X ชี้แจงว่าการเปลี่ยนแปลงดังกล่าวไม่ได้เกิดจากเหตุการณ์ด้านความปลอดภัย แต่เป็นผลจากการย้ายระบบจากโดเมน twitter.