พบแคมเปญ Phishing ครั้งใหญ่ ใช้โดเมนจำนวนมากเพื่อขโมยข้อมูลบัญชีผู้ใช้

แคมเปญ Phishing ขนาดใหญ่นี้ได้ใช้โดเมนหลายร้อยโดเมน เพื่อขโมยข้อมูล Credential ของผู้ใช้ Naver ซึ่งเป็นแพลตฟอร์มออนไลน์ในประเทศเกาหลีใต้ที่ให้บริการในลักษณะคล้ายกับ Google  จากข้อมูลของระบบที่เกี่ยวข้องกับการโจมตีนั้นมีความเชื่อมโยงกับ TrickBot botnet โดยการโจมตีครั้งนี้แสดงให้เห็นความพยายามของอาชญากรไซเบอร์ในการเก็บรวบรวมข้อมูล Login ของผู้ใช้เพื่อนำไปใช้ในการโจมตีอื่น ๆ

Naver ให้บริการเซอร์วิสต่าง ๆ ที่หลากหลายคล้ายกับ Google ตั้งแต่การค้นหาบนเว็บไปจนถึง Email ข่าว และ NAVER Knowledge iN ซึ่งเป็นแพลตฟอร์ม Q&A ออนไลน์  นอกจากทำให้เข้าถึงบัญชีผู้ใช้บริการของ Naver ได้แล้ว Credential ที่ผู้โจมตีได้ไปจากผู้ใช้ Naver ยังอาจจะทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ในองค์กรต่าง ๆ ได้ด้วย เนื่องจากพบมีผู้ใช้งานมีการใช้ Password ซ้ำกันในบริการต่างๆ

(more…)

แคมเปญ Emotet tax-season phishing กลับมาอีกครั้ง ด้วยลูกเล่นใหม่

แคมเปญฟิชชิ่งในรูปแบบของกรมสรรพากร ซึ่งมักพบทุกปีในฤดูกาลเสียภาษีประจำปี จึงเป็นที่น่าสนใจว่ามีอะไรเปลี่ยนไปบ้างในปัจจุบัน

นักวิจัยที่ Cofense บริษัทรักษาความปลอดภัยทางไซเบอร์ได้กล่าวว่า "อีเมลปลอมมีความพยายามทำให้ตัวมันดูมีความน่าเชื่อถือมากขึ้น และมีเทคนิคที่มากกว่าปีก่อนหน้านี้ โดยแคมเปญฟิชชิ่งล่าสุดนี้จะมีการใส่โลโก้ IRS ไว้ มีการส่งให้โดยระบุเฉพาะบุคคลที่เป็นเป้าหมาย และไฟล์ที่แนบมากับอีเมลต้องใส่รหัสผ่านที่ระบุมาในเนื้อหาอีเมลจึงจะเปิดได้"

นักวิจัยที่ Cofense ยังกล่าวอีกว่า การเปิด และบันทึกแบบฟอร์ม W-9 (คำขอหมายเลขประจำตัวผู้เสียภาษีอากร และใบรับรอง) อาจส่งผลให้ Emotet แพร่กระจายตัวเองบนระบบของผู้รับเมื่อเปิดสเปรดชีต Office-macro-laden ที่อยู่ในไฟล์ ที่มีการเข้ารหัสไว้ด้วยรหัสผ่านที่แนบมาในอีเมล หาก Macro ถูกเปิดใช้งาน ไฟล์ Emotet.

NFT มูลค่ากว่า 1.7 ล้านดอลลาร์ ถูกขโมยจากผู้ใช้งาน OpenSea ผ่านการโจมตีแบบ Phishing

ในวันเสาร์ที่ผ่านมา พบผู้โจมตีได้ทำการขโมย NFT หลายร้อยชิ้น จากผู้ใช้งาน OpenSea จนก่อให้เกิดความแตกตื่นกับผู้ใช้งานเว็บไซต์

Spreadsheet ที่รวบรวมโดย PeckShield บริษัทให้บริการรักษาความปลอดภัยบน Blockchain แสดงจำนวน NFT ที่ถูกขโมยจากการโจมตีนี้ว่ามีทั้งหมด 254 ชิ้น ซึ่งรวมถึง NFT จาก Decentraland และ Bored Ape Yacht Club ด้วย

การโจมตีจำนวนมากเกิดขึ้นเมื่อวันเสาร์ เวลา 5PM ถึง 8PM Eastern Time (วันอาทิตย์ 5 นาฬิกา ถึง 8 นาฬิกา เวลาไทย) โดยมีเป้าหมายเป็นผู้ใช้งานทั้งหมด 32 บัญชี

Molly White เจ้าของบล็อก web3isgoinggreat.

ฟีเจอร์ commenting ของ Google Docs ถูกนำไปใช้โจมตีด้วย spear-phishing

 

 

 

 

 

 

 

ฟีเจอร์ commenting ของ Google Docs ถูกนำไปใช้โจมตีด้วย spear-phishing

พบรูปแบบใหม่ในการโจมตีแบบ phishing เกิดขึ้นในเดือนธันวาคม 2021, โดยผู้ไม่หวังดีใช้ประโยชน์จากฟีเจอร์ commenting ของ Google Docs เพื่อส่งอีเมล phishing ที่ดูแล้วน่าเชื่อถือ

Google Docs ถูกใช้งานจากผู้ใช้งานจำนวนมาก เนื่องจากสามารถทำงานร่วมกันในไฟล์เดียวกันจากที่ใดก็ได้ ดังนั้นผู้ใช้งานส่วนใหญ่ที่ได้รับอีเมลแจ้งเตือนจาก Google Docs จึงไม่ค่อยให้ความระมัดระวังมากนัก

เนื่องจากผู้โจมตีใช้ฟีเจอร์ของ Google เองในการส่งอีเมล phishing พวกนี้ ทำให้อุปกรณ์จำพวก email security ไม่ได้ระบุว่าอีเมลพวกนี้เป็นอันตราย

จริง ๆ แล้ววิธีการนี้ถูกใช้ตั้งแต่เดือนตุลาคมปีที่แล้ว โดย Google เองก็พยายามแก้ไขปัญหานี้อยู่ในเบื้องต้น แต่ยังไม่สามารถแก้ไขได้ทั้งหมด

ล่าสุดพบว่ามีจำนวน phishing ลักษณะนี้เพิ่มขึ้นจำนวนมาก โดยนักวิเคราะห์ภัยคุกคามจาก Avanan ได้แบ่งปันข้อมูลรายงานกับ Bleeping Computer ก่อนเผยแพร่รายงานออกสู่สาธารณะ

วิธีการที่ผู้โจมตีใช้

แฮกเกอร์จะใช้บัญชี Google ของตนเพื่อสร้าง Google Docs แล้วใส่ comment ใน Docs จากนั้นก็แท็กเป้าหมายด้วย @ หลังจากนั้น Google จะส่งอีเมลแจ้งเตือนไปยังอีเมลของเป้าหมายเพื่อแจ้งให้ทราบว่ามีผู้ใช้รายอื่น comment ในเอกสาร และแท็กถึงพวกเขา

 

 

 

 

 

 

 

comment ในอีเมลอาจมีลิงก์ที่เป็นอันตรายซึ่งนำไปสู่หน้าเว็บที่มีการฝัง malware หรือ หน้าเว็บ phishing โดยอีเมลของผู้โจมตีจะไม่แสดงในการแจ้งเตือน และผู้รับจะเห็นเพียงชื่อเท่านั้น ทำให้สามารถแอบอ้างเป็นบุคคลอื่นได้ง่าย และเพิ่มโอกาสความสำเร็จให้กับผู้โจมตีอีกด้วย

 

 

 

 

 

 

 

เทคนิคเดียวกันนี้ใช้ได้กับฟีเจอร์ comment ของ Google Slide เช่นกัน และ Avanan รายงานว่าพบผู้โจมตีใช้ประโยชน์จาก Google Workspace service อีกด้วย ที่อันตรายคือผู้โจมตีไม่จำเป็นต้องแชร์เอกสารกับเป้าหมาย เนื่องจากการแท็กถึงพวกเขานั้นก็เพียงพอที่จะส่งการแจ้งเตือนที่มีเนิ้อหาที่เป็นอันตราย

เริ่มพบการโจมตีเป็นวงกว้าง และมาตรการป้องกัน

จากข้อมูลของ Avanan ผู้โจมตีที่อยู่เบื้องหลังการโจมตีเหล่านี้ดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้งาน Outlook แต่กลุ่มเป้าหมายไม่ได้จำกัดอยู่เพียงผู้ใช้เหล่านั้น แคมเปญ spear-phishing ที่กำลังดำเนินอยู่นี้้ใช้บัญชี Google มากกว่า 100 บัญชีและมีการส่งอีเมลไปถึง 500 อีเมลในกว่า 30 องค์กรแล้ว

วิธีที่จะลดความเสี่ยงของแคมเปญนี้ และแคมเปญที่คล้ายคลึงกันคือ

-ยืนยันว่าอีเมลผู้ส่งตรงกับเพื่อนร่วมงานของคุณ (หรือบุคคลที่อ้างสิทธิ์)
-หลีกเลี่ยงการคลิกลิงก์ที่ส่งมาถึงทางอีเมล และถูกฝังอยู่ใน comment
-ปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมที่ใช้ในการแชร์ไฟล์ที่เข้มงวดมากยิ่งขึ้นใน Google Workspace
-ใช้โซลูชันความปลอดภัยทางอินเทอร์เน็ตซึ่งมีการป้องกัน phishing URL

ที่มา : bleepingcomputer

แคมเปญการโจมตีอีเมล์ฟิชชิ่ง DocuSign มุ่งเป้าไปที่พนักงานระดับปฏิบัติการ

ปัจจุบันกลุ่มผู้โจมตีฟิชชิ่งกำลังเปลี่ยนการกำหนดเป้าหมายการโจมตีอีเมลฟิชชิงเป็นกลุ่มพนักงานทั่วไปแทนกลุ่มผู้บริหารระดับสูง เพราะบุคคลกลุ่มนี้ก็ยังเป็นกลุ่มที่สามารถเข้าถึงระบบ หรือข้อมูลที่สำคัญภายในองค์กรได้

จากรายงานของนักวิจัยจาก Avanan พบว่าครึ่งหนึ่งของอีเมลฟิชชิ่งทั้งหมดที่ได้ทำการวิเคราะห์ในช่วงไม่กี่เดือนที่ผ่านมา มีการแอบอ้างเป็นพนักงานทั่วไปของบริษัทโดย 77% ของเป้าหมายในการส่งอีเมลฟิชชิ่ง จะเป็นการส่งไปยังพนักงานในระดับเดียวกัน ซึ่งก่อนหน้านี้ส่วนใหญ่อีเมลฟิชชิ่งจะถูกปลอมแปลงเป็นอีเมลที่ส่งจากผู้บริหารระดับสูง (Chief Executive Officer (CEO)) และ ผู้บริหารสูงสุดทางด้านการเงิน (Chief Financial Officer (CFO)) โดยมีเป้าหมายเพื่อหลอกให้พนักงานทั่วไปในบริษัทให้หลงเชื่อ เนื่องจากเป็นอีเมลที่มาจากผู้บริหารระดับสูง หรือผู้บังคับบัญชาจะยิ่งเพิ่มโอกาสให้ผู้รับหลงเชื่อข้อความในอีเมลเหล่านั้นได้ง่ายขึ้น แต่ปัจจุบันในกลุ่มผู้บริหารระดังสูงมีการเพิ่มความระมัดระวังมากขึ้น และองค์กรขนาดใหญ่มีการเพิ่มการป้องกันความปลอดภัยสำหรับบัญชีที่สำคัญเพิ่มขึ้นอีกด้วย จึงทำให้ผู้โจมตีเปลี่ยนเป้าหมายในการปลอมแปลงอีเมลเป็นกลุ่มของพนักงานทั่วไปแทน

จากรายงานของทาง Avanan ระบุว่าผู้โจมตีใช้เทคนิคในการโจมตีโดยอาศัย Docusign ซึ่งเป็นแพลตฟอร์มระบบจัดการลายมือชื่ออิเล็กทรอนิกส์ หรือ e-Signature ที่สามารถระบุตัวตนผู้ทำธุรกรรมกับเอกสารหรือข้อมูลอิเล็กทรอนิกส์บนคลาวด์ที่ถูกต้องตามกฎหมาย

ผู้โจมตีใช้ DocuSign เป็นทางเลือกเพื่อหลอกลวงให้ผู้รับลงลายมือชื่ออิเล็กทรอนิกส์สำหรับเอกสารจากอีเมลที่ทำการส่ง และขอให้ผู้รับป้อนข้อมูลประจำตัวเพื่อเปิดดูเอกสารและลงชื่อ

แม้ว่าอีเมลจะถูกสร้างมาเพื่อให้ดูเหมือนว่าเป็นข้อความที่ถูกต้องจาก Docusign แต่อีเมลเหล่านั้นไม่ได้ถูกส่งจากแพลตฟอร์ม เพราะหากเป็นอีเมลจริงของ DocuSign ผู้ใช้จะไม่ถูกขอให้ป้อนรหัสผ่าน แต่จะส่งอีเมลรหัสการตรวจสอบสิทธิ์ไปยังผู้รับแทน ด้วยความเร่งรีบในการทำงานประจำวัน มีแนวโน้มว่าพนักงานหลายคนอาจถูกหลอกโดยข้อความเหล่านี้ และเข้าใจว่าข้อความนี้เป็นคำขอจาก DocuSign จริง และทำการป้อนข้อมูลที่สำคัญลงไปทำให้ข้อมูลเหล่านั้นถูกส่งต่อให้กับผู้โจมตี

ดังนั้นเมื่อผู้ใช้ได้รับอีเมล สิ่งสำคัญคือต้องใช้เวลาและประเมินอีเมลเพื่อหาสัญญาณของการหลอกลวง รวมถึงไฟล์แนบที่ไม่พึงประสงค์ การสะกดคำผิด และการคำขอให้ทำการป้อนข้อมูลประจำตัวลงในอีเมลถือว่าเป็นสิ่งสำคัญในการพิจารณา

การโจมตีฟิชชิ่งโดยการอาศัย Docusign นั้นไม่ใช่เรื่องใหม่ และถูกใช้โดยผู้โจมตีจำนวนมากเพื่อขโมยข้อมูลสำหรับการเข้าสู่ระบบ และการแพร่กระจายมัลแวร์ โดยในช่วงเดือนสิงหาคม 2019 ผู้โจมตีใช้ DocuSign landing pages took พยายามหลอกล่อให้ผู้ใช้งานป้อนข้อมูลประจำตัวที่สำคัญสำหรับบริการอีเมลทั้งหมดของผู้ใช้

ที่มา : bleepingcomputer

Google เตือน YouTuber บัญชีผู้ใช้อาจถูก hijack ด้วยมัลแวร์ขโมย Cookie

Google แจ้งว่าเจ้าของบัญชี YouTube ต่างๆ อาจตกเป็นเป้าหมายของมัลแวร์ขโมยรหัสผ่านในการโจมตีแบบ Phishing โดยนักวิจัยจากกลุ่มการวิเคราะห์ภัยคุกคาม (TAG) ของ Google ตรวจพบแคมเปญนี้ครั้งแรกเมื่อปลายปี 2019

ผู้โจมตีใช้วิธีการ Social Engineering และอีเมล Phishing ในการหลอกให้ผู้ใช้งาน Youtube ติดตั้งมัลแวร์เพื่อขโมยข้อมูล

Channels ที่โดนโจมตีแบบ Pass-the-cookie

มัลแวร์ที่ถูกพบว่าใช้ในการโจมตีด้วย เช่น RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad และ Kantal รวมถึง Open-source เช่น AdamantiumThief และ Sorano

เมื่อมัลแวร์เข้าไปยังระบบของเป้าหมายแล้ว มัลแวร์จะถูกใช้เพื่อขโมย Credentials และคุกกี้ของเบราว์เซอร์ ซึ่งจะทำให้ให้ผู้โจมตีเข้าใช้บัญชีของเหยื่อได้จากการ pass-the-cookie แม้ว่าเทคนิคนี้มีมานานแล้ว แต่การกลับมาของเทคนิคนี้อาจเกิดจากการใช้งาน Multi-factor authentication (MFA) ที่มากขึ้น ทำให้ยากต่อการขโมยข้อมูลโดยตรง มัลแวร์ที่ตรวจพบส่วนใหญ่สามารถขโมยทั้งรหัสผ่าน และคุกกี้ของผู้ใช้งานได้

Google ระบุโดเมนอย่างน้อย 1,011 โดเมนที่เชื่อมโยงกับการโจมตีเหล่านี้ และบัญชีประมาณ 15,000 บัญชีที่สร้างขึ้นโดยเฉพาะสำหรับแคมเปญนี้ และใช้เพื่อส่งอีเมล Phishing ที่มีลิงก์ที่สามารถเปลี่ยนเส้นทางไปยังหน้า Landing Page ของมัลแวร์ ทำการส่งไปยังอีเมลของเจ้าของบัญชี YouTube

ช่อง YouTube จำนวนมากที่โดนการโจมตี ถูกเปลี่ยนชื่อในภายหลังเพื่อแอบอ้างเป็นผู้บริหารระดับสูงด้านเทคโนโลยี หรือบริษัทแลกเปลี่ยนสกุลเงินดิจิทัล ส่วนอื่นๆ ถูกขายในตลาดซื้อขายบัญชีใต้ดิน ซึ่งมีมูลค่าระหว่าง 3 ถึง 4,000 ดอลลาร์ ขึ้นอยู่กับจำนวน Subscribers ของพวกเขา

Shen กล่าวเสริมว่า Threat Analysis Group ของ Google ลดอีเมล Phishing ที่เชื่อมโยงกับการโจมตีเหล่านี้ใน Gmail 99.6% ตั้งแต่เดือนพฤษภาคม 2021 ทำการบล็อกข้อความที่ส่งถึงเป้าหมาย 1.6 ล้านข้อความ แสดงคำเตือนหน้า Phishing ประมาณ 62K Safe Browsing บล็อกไฟล์ 2.4K และกู้คืนบัญชีประมาณ 4K ได้สำเร็จ ด้วยความพยายามในการตรวจจับที่เพิ่มขึ้น สังเกตเห็นว่าผู้โจมตีเปลี่ยนจาก Gmail ไปยังผู้ให้บริการอีเมลรายอื่น (ส่วนใหญ่เป็น email.

แคมเปญฟิชชิ่งใช้การหลอกโดยเลียนแบบ Live Chat ของ PayPal

การ Phishing แบบใหม่ที่ใช้การลอกเลียนแบบบริการจาก PayPal ผู้โจมตีใช้ออโต้สคริปต์ และช่องทาง Live Chat ในการโจมตีเพื่อหลีกเลี่ยงการตรวจจับของ Email Gateways จากพฤติกรรมของผู้โจมตีชี้ให้เห็นถึงความจำเป็นที่องค์กรต้องเพิ่มการป้องกันการโจมตีประเภทนี้ ซึ่งอาจมีเป้าหมายเป็นข้อมูลส่วนตัวของผู้ใช้งาน นักวิจัยของ Cofense Phishing Defense Center ระบุว่าผู้โจมตีแคมเปญนี้ไม่เพียงแต่สร้างหน้าแบบฟอร์มที่ปลอมแปลงเท่านั้น แต่ยังมีการใช้อีเมลที่สร้างขึ้นมาอย่างแนบเนียน ซึ่งดูเผินๆแล้วจะเหมือนเป็นอีเมลที่ถูกต้อง นอกจากว่าผู้ใช้งานจะเข้าไปดูในส่วนของอีเมลเฮดเดอร์

โดยหัวข้ออีเมลจะเป็นเรื่องการพยายามขอติดต่อผ่าน Live Chat เพื่อหารือเกี่ยวกับประกาศบริการที่เกี่ยวข้องกับบัญชี PayPal ของเป้าหมาย ดังนั้นจึงเป็นการเร่งให้เป้าหมายพยายามติดต่อรีบแก้ไขปัญหาอย่างรวดเร็ว อย่างไรก็ตามผู้โจมตีไม่ได้พยายามปิดบังชื่อผู้ส่งมากพอ ทำให้บางครั้งก็ยังสามารถระบุได้ว่าอีเมลดังกล่าวไม่ใช่อีเมลที่ถูกส่งมาจาก PayPal จริงๆ

นักวิจัย Geoghagan อธิบายว่าเมื่อวางเมาส์ไว้ที่ปุ่มที่ระบุว่า "ยืนยันบัญชีของคุณ" จะสังเกตได้ว่าจะไม่ใช่ ​​URL ของ PayPal แต่จะเป็น ​​URL direct[.]lc[.]chat หากผู้ใช้งานที่ใช้งาน PayPal อยู่เป็นประจำอาจจะสังเกตได้จากขั้นตอนนี้ เพราะ Live Chat จริงๆของ PayPal ที่ถูกต้องนั้นโฮสต์อยู่ในโดเมนของ PayPal และกำหนดให้คุณเข้าสู่ระบบก่อนเพื่อใช้งานเท่านั้น แต่หากเหยื่อหลงเชื่อเข้า Live Chat หลอกลวง ผู้โจมตีจะใช้ออโต้สคริปต์เพื่อเริ่มการสื่อสาร โดยจะพยายามขอรายละเอียดเกี่ยวกับอีเมล และหมายเลขโทรศัพท์จากเหยื่อ เพื่อใช้ในการพยายามหาข้อมูลในด้านอื่นๆต่อ

เมื่อผู้โจมตีได้รับหมายเลขโทรศัพท์ และรายละเอียดข้อมูลอีเมล ผู้โจมตีจะพยายามหาวิธีเข้าถึงข้อมูลบัตรเครดิตของเหยื่อ สุดท้ายรหัสยืนยันจะถูกส่งทาง SMS ไปยังหมายเลขโทรศัพท์ของเป้าหมายที่ให้ไว้ก่อนหน้านี้ เพื่อยืนยันว่าหมายเลขโทรศัพท์ที่เหยื่อให้มาใช้งานได้จริง และเหยื่อสามารถเข้าถึงอุปกรณ์ที่รับ SMS ได้จริง เมื่อได้ข้อมูลมากพอ ผู้โจมตีจะพยายามโทรหาเป้าหมายโดยตรงเพื่อดำเนินการหลอกลวงในขั้นตอนถัดไป

ที่มา: bankinfosecurity

ระวัง! การเชื่อมต่อกับเครือข่ายไร้สายสามารถหยุดการทำงานฟีเจอร์ Wi-Fi บน iPhone ของคุณได้

พบบั๊กในการตั้งชื่อเครือข่ายไร้สายในระบบปฏิบัติการ iOS ของ Apple ที่ทำให้ iPhone ไม่สามารถเชื่อมต่อกับเครือข่าย Wi-Fi ได้

นักวิจัยด้านความปลอดภัย Carl Schou พบว่าฟังก์ชัน Wi-Fi ของโทรศัพท์จะถูกปิดใช้งานอย่างถาวร หลังจากเชื่อมต่อกับเครือข่าย Wi-Fi ที่มีชื่อผิดปกติว่า "%p%s%s%s%s%n" แม้ว่าจะทำการรีบูตหรือเปลี่ยนชื่อเครือข่าย เช่น service set identifier หรือ SSID แล้วก็ตาม

ผู้ไม่หวังดีสามารถใช้ประโยชน์จากปัญหานี้ เพื่อวางฮอตสปอต Wi-Fi หลอกลวงด้วยการตั้งชื่อที่เป็นปัญหา เพื่อหยุดการทำงานเครือข่ายไร้สายของ iPhone

Zhi Zhou ซึ่งเป็น Senior Security Engineer ของ Ant Financial Light-Year Security Labs เปิดเผยการวิเคราะห์สั้นๆว่า ปัญหาเกิดจากบั๊กในการจัดรูปแบบสตริง ที่ iOS แยกการวิเคราะห์อินพุต SSID จึงทำให้เกิด Denial of Service ระหว่างการประมวลผล แต่วิธีการนี้ไม่น่าจะส่งผลกระทบให้เกิดการโจมตีในลักษณะการเข้าควบคุมเครื่องได้

หากจะโจมตีให้สำเร็จโดยใช้บั๊กนี้ จะต้องมีการเชื่อมต่อกับ Wi-Fi นั้นๆก่อน ซึ่งหากเหยื่อเห็น SSID ที่มีชื่อแปลกๆก็อาจไม่ได้ทำการเชื่อมต่อ ซึ่งหากตั้งใจหาผลประโยชน์จากการโจมตีผ่าน Wi-Fi จริงๆ การโจมตีด้วยวิธีการ Phishing ผ่าน Wi-Fi Portal น่ามีประสิทธิภาพมากกว่า

อุปกรณ์ Android ไม่ได้รับผลกระทบจากปัญหานี้ แต่ผู้ใช้งาน iPhone ที่ได้รับผลกระทบจะต้องรีเซ็ตการตั้งค่าเครือข่าย iOS โดยไปที่การตั้งค่า > ทั่วไป > รีเซ็ต > รีเซ็ตการตั้งค่าเครือข่าย แล้วยืนยันการดำเนินการ

ที่มา : thehackernews

Windows Push Notifications ถูกนำไปใช้เพื่อหลอกขโมยข้อมูลเหยื่อ

จากรายงานของ McAfee ปัจจุบันผู้ไม่หวังดีใช้ Browser Push Notifications ซึ่งมีลักษณะที่คล้ายกับ Windows Push Notifications มาใช้ในการหลอกล่อให้เหยื่อดำเนินการตามที่ต้องการ

โดยจะปลอมการแจ้งเตือนที่มีลักษณะเหมือนการแจ้งเตือนปกติ เพื่อให้เหยื่อหลงเชื่อ และดำเนินการกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตราย ซึ่งซอฟต์แวร์เหล่านั้นจะทำหน้าที่ในการเก็บรวบรวมข้อมูลของผู้ใช้งาน

ในรายงานผู้เชี่ยวชาญอธิบายวิธีการโจมตีในรูปแบบ Social Engineering นี้ จะหลอกให้เหยื่อนั้นทำการติดตั้ง Windows Defender ปลอม ซึ่งความจริงแล้วเป็นซอฟต์แวร์อันตราย

แทนที่จะใช้วิธีส่งอีเมลล์สำหรับโจมตีด้วยวิธีการ Phishing ผู้โจมตีจะแฮ็คการแจ้งเตือนแบบ Pop-up ของเว็ปไซต์ และใช้ข้อความโดยใช้ชื่อ และ Logo ของ McAfee โดยทำเหมือนว่าเป็น Windows Defender Update และเมื่อเหยื่อกดที่ข้อความแจ้งเตือนนั้น ก็จะเป็นการนำเหยื่อให้เข้าสู่หน้าเว็บไซต์ปลอม หลังจากนั้นก็จะเป็นการแจ้งข้อมูลหลอกเหยื่อต่างๆ เช่น McAfee ของพวกเขาหมดอายุ, McAfee ตรวจพบภัยคุกคามในระบบของพวกเขา, หรือ ข้อความที่อ้างว่าเป็นลิงก์โดยตรงที่ใช้ในการสมัครสมาชิก McAfee

Craig Schmugar วิศวกรอาวุโสของ McAfee ได้เขียนอธิบายวิธีการไว้ใน blog post "ในการหลอกเหยื่อ ผู้ไม่หวังดีจะใช้ปุ่มลบโฆษณา, ปุ่มลบเเจ้งเตือน หรือ ปุ่มที่คล้ายๆ กันนำเหยื่อไปยังเว็บไซต์ที่ผู้ไม่หวังดีต้องการ ซึ่งส่วนใหญ่จะเป็นเว็บไซต์ที่ต้องการให้ผู้ใช้อนุญาตให้มีการแจ้งเตือนเพิ่มเติม ซึ่งหากเหยื่อเข้าไปยังเว็บไซต์เหล่านั้นก็จะทำให้เกิด pop-up แจ้งเตือนขึ้นจำนวนมาก"

ซอฟต์แวร์ ที่เป็นอันตรายถ้าหากถูกติดตั้งไปแล้วนั้นสามารถที่จะขโมยข้อมูลระบบได้ซึ่งประกอบไปด้วย ข้อมูล process, ข้อมูลของไดรฟ์, Serial numbers, ข้อมูลของ Ram และ ข้อมูลของ Graphics card
นอกจากนี้ยังสามารถเข้าถึงข้อมูลโปรไฟล์แอปพลิเคชันเช่น Chrome, Exodus wallets, Ethereum wallets, Opera และ Telegram Desktops และข้อมูลบัตรเครดิตของเหยื่อได้

"ในขณะที่การ Phishing ด้วยอีเมลนั้นยังเป็นที่นิยมในโจมตีของเหล่าผู้ไม่หวังดี แต่พวกเขานั้นก็ยังพยายามที่จะแสวงหาช่องทางอื่นๆ อีกในการโจมตี เช่น ทางโซเชียลมีเดีย หรือ ในเหตุการณ์นี้ที่พวกเขานั้นใช้ Windows Push Notifications เพื่อหวังว่าเหยื่อนั้นจะหลงเชื่อ และกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตรายตามที่พวกเขาต้องการ" Javvad Malik security awareness advocate ของ KnowBe4. กล่าว

ผลกระทบในภายภาคหน้า
Malik กล่าวว่า "หากเหยื่อเชื่อว่าไฟล์ที่ดาวน์โหลดมานั้นเป็นไฟล์ที่ถูกต้อง พวกเขาก็อาจจะมองข้ามคำเตือนด้านความปลอดภัย หรือแจ้งเตือนด้านความปลอดภัย ในบางกรณีพวกเขาอาจจะทำการปิดการทำงานของ ซอฟต์แวร์รักษาความปลอดภัย เพื่อที่จะให้การดาวน์โหลดนั้นดำเนินการได้สะดวก เมื่อซอฟต์แวร์ที่เป็นอันตรายทำการติดตั้งสำเร็จ ผู้ไม่หวังดีก็จะสามารถเข้าถึงเครื่องของเหยื่อได้ และสามารถทำอะไรก็ได้ตามที่พวกเขาต้องการไม่ว่าจะเป็น ปล่อย Ransomware, ขโมยข้อมูล, หรือ การเคลื่อนย้ายจากเครื่องของเหยื่อเข้าไปยังองค์กรของพวกเขา เพื่อวัตถุประสงค์อื่นๆ อีกต่อไป"

นักวิจัยตั้งข้อสังเกตว่า "เว็บไซต์ปลอมของผู้ไม่หวังดีนั้นจะมีไฟล์ ms-appinstaller (MSIX) ให้ดาวน์โหลด เมื่อไฟล์ถูกดาวน์โหลด และถูกเรียกใช้ เหยื่อก็จะได้รับแจ้งให้ติดตั้ง Defender Update จาก 'Publisher: Microsoft' หลังจากติดตั้งแอปพลิเคชัน 'Defender Update' จะปรากฏในเมนูเริ่มต้นเหมือนกับแอป Windows อื่นๆ"

แทนที่จะไปอัปเดตจริง ผู้ไม่หวังดีก็จะหลอกให้เหยื่อคลิ้กผ่านทางลัดที่เป็นซอฟต์แวร์อันตรายที่ถูกติดตั้งไป หลังนั้นซอฟต์แวร์ดังกล่าวก็จะไปดาวน์โหลดโทรจันเพื่อมาขโมยข้อมูลของเหยื่อ

คำแนะนำในการลดความเสี่ยง

เหล่านักวิจัยเรียกร้องให้องค์กรต่างๆ ให้ความรู้แก่พนักงานในการอ่านข้อความแจ้งเตือน รวมไปถึงการอนุญาตให้สิทธ์ต่างๆ อย่างถี่ถ้วน และคลิก "อนุญาต" บนไซต์ที่เชื่อถือได้เท่านั้น นอกจากนี้พวกเขายังแนะนำให้ปิดการใช้งานการแจ้งเตือนบนหน้าเว็บเพื่อลดความเสี่ยง

"ในปัจจุบันกลโกงต่างๆ นั้นทำได้แนบเนียน และน่าเชื่อถือ ดังนั้นสิ่งที่จะดีกว่าการ Block ที่รวดเร็วคือการอ่าน และทำความเข้าใจอย่างช้าๆ ก่อนที่จะอนุญาตอะไรไป" Schmugar กล่าว และ เขาแนะนำเพิ่มเติมว่า สำหรับการอัปเดตระบบปฏิบัติการ Windows นั้นพนักงานควรทำการตรวจสอบด้วยตนเอง และอัปเดตผ่านเมนูเริ่มต้น หรือป้อนที่อยู่เว็บที่ถูกต้องด้วยตนเอง แทนที่จะคลิกลิงก์ที่ได้รับมา

ที่มา : bankinfosecurity

ข้อมูลของบริษัท Audi และ Volkswagen รั่วไหลทำให้ส่งผลกระทบต่อลูกค้า 3.3 ล้านคน

เมื่อวันที่ 20 มีนาคมที่ผ่านมา VMGoA (Volkswagen Group of America, Inc.) ได้รับแจ้งจาก Vendor ว่ามีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และได้ข้อมูลของลูกค้าของ Audi, Volkswagen และตัวแทนจำหน่ายบางราย โดยทาง VWGoA ได้ระบุว่าข้อมูลที่รัวไหลออกไปนั้น มีข้อมูลที่เกี่ยวข้องกับลูกค้า 3.3 ล้านคน โดย 97% เป็นของ Audi ซึ่งข้อมูลที่รั่วไหลนั้นประกอบไปด้วย ข้อมูลการติดต่อไปจนถึงข้อมูลหมายเลขประกันสังคมและหมายเลขเงินกู้

โดยทาง TechCrunch ได้รายงานเกี่ยวกับข้อมูลที่รั่วไหลออกไปนั้นจะประกอบไปด้วย ชื่อและนามสกุล ที่อยู่ส่วนบุคคลหรือทางธุรกิจ อีเมล หมายเลขโทรศัพท์ ข้อมูลเกี่ยวกับรถที่ซื้อหรือเช่า หมายเลขรถ (VIN) ยี่ห้อ รุ่น ปี สี และชุดแต่ง โดยข้อมูลดังกล่าว ยังมีข้อมูลที่มีความละเอียดอ่อนมากยิ่งขึ้นที่เกี่ยวข้องกับสิทธิ์ในการซื้อ เงินกู้ หรือสัญญาเช่า โดยมากกว่า 95% เป็นหมายเลขใบขับขี่ นอกจากนี้ยังมีข้อมูลของ วันเกิด ประกันสังคม เลขที่ประกัน เลขที่บัญชีหรือเงินกู้ และเลขประจำตัวผู้เสียภาษี อีกด้วย และสำหรับลูกค้า 90,000 ราย ที่มีการรั่วไหลของข้อมูลที่ละเอียดอ่อน ทาง Volkswagen จะให้การคุ้มครองเครดิต และบริการตรวจสอบฟรี ซึ่งรวมถึงประกันการโจรกรรมอีก 1 ล้านเหรียญสหรัฐ

แต่เป็นที่น่าสนใจ ข้อมูลที่รั่วไหลนั้นไม่ได้มาจาก Server ของทาง Volkswagen หรือ Audi แต่เป็นข้อมูลที่ทาง Vendor ของพวกเขาเก็บรวบรวมไว้ในช่วง 5 ปีระหว่าง 2014 ถึง 2019 โดยพวกเขากล่าวว่าข้อมูลดังกล่าวได้เก็บรวบรวมไว้เพื่อวัตถุประสงค์ทางการตลาดทั่วไป แต่ที่น่าเศร้าคือข้อมูลเหล่านั้นไม่ได้ถูกป้องกันและมีช่องโหว่

เนื่องจากข้อมูลของ Audi และ Volkswagen ไม่มีความปลอดภัยมาเป็นระยะเวลาหนึ่งแล้ว จึงไม่สามารถบอกได้ว่ามีข้อมูลใดบ้างที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต ดังนั้นหากมีข้อความ อีเมล หรือการติดต่อใด ๆ ที่อ้างว่ามาจากทาง Audi หรือ Volkswagen ให้ถือว่าเป็นพฤติกรรมที่น่าสงสัยไว้เป็นอันดับแรก โดยเฉพาะอีเมลหรือข้อความ sms

ที่มา : bleepingcomputer