แฮ็กเกอร์รัสเซียใช้วิธีการ Social engineering แอบอ้างเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เพื่อ Bypass MFA และเข้าถึงบัญชี Gmail โดยอาศัย app-specific passwords โดยแฮ็กเกอร์กลุ่มนี้มีเป้าหมายเป็นนักวิชาการ และนักวิจารณ์รัฐบาลรัสเซีย โดยใช้เทคนิคที่มีความซับซ้อน ปรับแต่งเฉพาะบุคคล และไม่ใช้วิธีการกดดันให้เหยื่อรีบดำเนินการอย่างใดอย่างหนึ่ง (more…)

ตามรายงานของ Insikt Group จาก Recorded Future เมื่อวันศุกร์ที่ผ่านมาพบว่า กลุ่ม GrayAlpha กลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับกลุ่ม FIN7 ได้ดำเนินการเปิดเว็บไซต์ที่มีโปรแกรม 7-Zip ปลอม และซอฟต์แวร์อื่น ๆ เพื่อแพร่กระจายมัลแวร์ NetSupport ซึ่งเป็น Remote Access Trojan (RAT) (more…)

แบรนด์แฟชั่นชื่อดัง Victoria's Secret ได้ปิดเว็บไซต์ และบริการบางส่วนในร้านค้าเนื่องจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่กำลังดำเนินการแก้ไขอยู่

Victoria's Secret เปิดสาขาให้บริการประมาณ 1,380 แห่งในเกือบ 70 ประเทศ และรายงานรายได้ประจำปีอยู่ที่ 6.23 พันล้านดอลลาร์สหรัฐ สำหรับปีงบประมาณที่สิ้นสุดเมื่อวันที่ 1 กุมภาพันธ์ 2025

(more…)

บริษัทแลกเปลี่ยนสกุลเงินดิจิทัล Coinbase เปิดเผยว่า มีผู้โจมตีเจาะระบบของบริษัท และขโมยข้อมูลบัญชีของลูกค้าบางส่วนออกไป

บริษัทระบุในแถลงการณ์ว่า "กลุ่มผู้โจมตีมุ่งเป้าไปที่เจ้าหน้าที่ฝ่าย customer support ของเราที่อยู่ในต่างประเทศ พวกเขาใช้ข้อเสนอเป็นเงินสดเพื่อโน้มน้าวกลุ่มคนวงในกลุ่มเล็ก ๆ ให้คัดลอกข้อมูลจากระบบ customer support ของเรา ซึ่งทำให้ส่งผลกระทบกับลูกค้าประมาณ 1% ของผู้ใช้งานที่ทำธุรกรรมรายเดือนกับ Coinbase"

เป้าหมายสุดท้ายของแคมเปญนี้คือการรวบรวมรายชื่อลูกค้า และติดต่อไปโดยแอบอ้างว่าเป็น Coinbase เพื่อหลอกให้ลูกค้าส่ง cryptocurrency assets ของตนให้กับพวกเขา

Coinbase ระบุว่า ผู้โจมตีพยายามเรียกค่าไถ่จากบริษัทจำนวน 20 ล้านดอลลาร์ในวันที่ 11 พฤษภาคม 2025 แต่ไม่ประสบความสำเร็จ โดยผู้โจมตีอ้างว่าตนมีข้อมูลของบัญชีลูกค้าบางราย รวมถึงเอกสารภายใน รวมถึงแถลงการณ์ที่ส่งให้กับ Fortune บริษัท Coinbase ระบุว่า เจ้าหน้าที่ที่มีส่วนเกี่ยวข้องนั้นทำงานอยู่ที่ประเทศอินเดีย และทุกคนถูกไล่ออกแล้ว

Coinbase ย้ำว่า "ไม่มีการเปิดเผยรหัสผ่าน, private keys หรือเงินทุนใด ๆ และบัญชี Coinbase Prime ไม่ได้รับผลกระทบ" โดยสิ่งที่ผู้โจมตีได้ข้อมูลไปมีดังต่อไปนี้ :

ชื่อ, ที่อยู่, เบอร์โทรศัพท์ และอีเมล
หมายเลขประกันสังคมที่ถูกปิดบังไว้ (4 หลักท้ายเท่านั้น)
หมายเลขบัญชีธนาคารที่ถูกปิดบังไว้
รูปภาพบัตรประจำตัวประชาชน (เช่น ใบขับขี่, หนังสือเดินทาง)
ข้อมูลบัญชี (ยอดเงินในบัญชี และประวัติการทำธุรกรรม)
ข้อมูลระดับองค์กรบางส่วน เช่น เอกสาร, สื่อการฝึกอบรม และการสื่อสารที่เปิดให้เจ้าหน้าที่ฝ่าย support เข้าถึงได้

Coinbase ระบุว่า บริษัทจะคืนเงินให้ลูกค้าที่ถูกหลอกให้โอนเงินให้กับผู้โจมตี เนื่องจากการโจมตีด้วยเทคนิค social engineering โดยยังไม่ชัดเจนว่ามีลูกค้าจำนวนเท่าใดที่ตกเป็นเหยื่อ แต่บริษัทแจ้งกับ TechCrunch ว่ามีลูกค้าน้อยกว่า 1% ของลูกค้า 9.7 ล้านรายต่อเดือนที่ได้รับผลกระทบ

บริษัทกำลังบังคับใช้การตรวจสอบ ID เพิ่มเติม สำหรับบัญชีที่ถูกทำเครื่องหมายไว้บางบัญชีเมื่อทำการถอนเงินจำนวนมาก และกำลังเพิ่มความแข็งแกร่งให้กับระบบป้องกันภัยจากภัยคุกคามภายในองค์กร อีกทั้งยังตั้งกองทุนรางวัลมูลค่า 20 ล้านดอลลาร์สำหรับผู้ที่ให้เบาะแสนำไปสู่การจับกุม และดำเนินคดีกับผู้โจมตี

เพื่อเป็นการลดผลกระทบ แนะนำให้ผู้ใช้งานเปิดใช้งานรายการอนุญาตการถอนเงิน เพื่ออนุญาตให้โอนได้เฉพาะที่อยู่ที่ระบุไว้ใน address books ของตนเอง รวมถึงเปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (2FA) และระมัดระวังบุคคลที่แอบอ้างเป็นเจ้าหน้าที่เพื่อหลอกให้โอนเงินไปยัง wallet ที่อ้างว่าปลอดภัย

อัปเดต #

Coinbase ได้ออกแถลงการณ์ร่วมกับ Bloomberg โดยระบุว่า ได้เริ่มสังเกตเห็นกิจกรรมที่ผิดปกติจากตัวแทนฝ่ายบริการลูกค้าบางรายตั้งแต่เมื่อเดือนมกราคมที่ผ่านมา นอกจากนี้ Coinbase ยังได้โต้แย้งข้อกล่าวอ้างที่รายงานว่า ผู้โจมตีได้ติดสินบนตัวแทนฝ่ายบริการลูกค้ามากพอที่จะสามารถเข้าถึงข้อมูลลูกค้าของ Coinbase ได้ตามต้องการในช่วง 5 เดือนที่ผ่านมา

Philip Martin หัวหน้าฝ่ายรักษาความปลอดภัยของ Coinbase ระบุว่า "สิ่งที่ผู้โจมตีทำคือค้นหาพนักงาน และ contractors ของ Coinbase ที่อยู่ในอินเดีย ซึ่งเป็นการเอาท์ซอร์สทางธุรกิจ หรือการดำเนินการฝ่าย support ของเรา และติดสินบนพวกเขาเพื่อให้ได้ข้อมูลลูกค้ามา"

"มีเหตุการณ์ติดสินบนเฉพาะเจาะจงจำนวนหนึ่ง ที่ผู้โจมตีอ้างว่าเกี่ยวข้องในช่วงเวลาดังกล่าว แต่พวกเขาไม่ได้เข้าถึงข้อมูลอย่างต่อเนื่องตลอดช่วงเวลาดังกล่าว"

ที่มา : thehackernews

พบแคมเปญการโจมตีใหม่ที่ใช้เทคนิค ClickFix โดยมีการโจมตีทั้งระบบปฏิบัติการ Windows และ Linux ผ่านคำสั่งที่ออกแบบมาให้สามารถติดมัลแวร์ได้บนทั้งสองระบบปฏิบัติการ (more…)

ตั้งแต่ต้นปีที่ผ่านมา กลุ่มแฮ็กเกอร์ ColdRiver ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า LostKeys เพื่อขโมยไฟล์ข้อมูล โดยมีเป้าหมายเป็นรัฐบาลชาติตะวันตก, นักข่าว, ศูนย์วิจัยนโยบาย และองค์กรพัฒนาเอกชน (NGOs) (more…)

หน่วยงานให้ความช่วยเหลือด้านกฎหมาย (LAA) ซึ่งเป็นหน่วยงานบริหารภายใต้กระทรวงยุติธรรมแห่งสหราชอาณาจักร มีหน้าที่ดูแลเงินทุนสนับสนุนด้านกฎหมายมูลค่าหลายพันล้านปอนด์ ได้แจ้งเตือนสำนักงานกฎหมายต่าง ๆ เกี่ยวกับเหตุการณ์ด้านความปลอดภัย และระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลทางการเงินได้ (more…)

กลุ่มแฮ็กเกอร์จากรัสเซีย ใช้ช่องโหว่ OAuth 2.0 authentication เพื่อแฮ็กบัญชี Microsoft 365 ของพนักงานในองค์กรที่เกี่ยวข้องกับยูเครน และองค์กรด้านสิทธิมนุษยชน

ผู้โจมตีแอบอ้างตัวเป็นเจ้าหน้าที่จากประเทศในยุโรป และติดต่อเป้าหมายผ่านแอปส่งข้อความอย่าง WhatsApp และ Signal โดยเป้าหมายคือการโน้มน้าวให้เหยื่อใส่รหัส authorization codes สำหรับ Microsoft หรือทำการคลิกลิงก์อันตราย เพื่อเก็บข้อมูลการล็อกอิน และรหัสผ่านแบบ One-Time Codes

บริษัทด้านความปลอดภัยทางไซเบอร์ Volexity สังเกตเห็นพฤติกรรมนี้ตั้งแต่ช่วงต้นเดือนมีนาคม 2025 หลังจากที่เคยเกิดเหตุการณ์ในลักษณะเดียวกันนี้ในเดือนกุมภาพันธ์ ซึ่งเคยถูกรายงานโดย Volexity และ Microsoft โดยในครั้งนั้นผู้โจมตีใช้เทคนิคฟิชชิงผ่าน Device Code Authentication เพื่อขโมยบัญชี Microsoft 365

Volexity ได้ติดตามกลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีทั้งสองแคมเปญในชื่อ UTA0352 และ UTA0355 และประเมินด้วยความมั่นใจในระดับปานกลางว่าทั้งสองกลุ่มเป็นชาวรัสเซีย

ลำดับการโจมตี

ในรายงานที่เผยแพร่วันที่ 25 เมษายน 2025 นักวิจัยได้อธิบายว่า การโจมตีเริ่มต้นจากการส่งข้อความผ่านแอปพลิเคชัน Signal หรือ WhatsApp

โดย Volexity ระบุว่า ในบางกรณี ข้อความดังกล่าวถูกส่งมาจากบัญชีของรัฐบาลยูเครนที่ถูกโจมตี

โดยผู้โจมตีจะแอบอ้างเป็นเจ้าหน้าที่ทางการเมืองของยุโรป หรือเจ้าหน้าที่การทูตของยูเครน และหลอกเป้าหมายด้วยคำเชิญให้เข้าร่วมการประชุมวิดีโอส่วนตัวเพื่อหารือเกี่ยวกับประเด็นที่เกี่ยวข้องกับยูเครน

เมื่อสามารถสร้างช่องทางการสื่อสารกับเป้าหมายได้แล้ว ผู้โจมตีจะส่ง phishing URL ในรูปแบบ OAuth โดยอ้างว่าเป็นลิงก์ที่จำเป็นสำหรับเข้าร่วมการประชุม

กลุ่ม UTA0352 อาจส่งคำแนะนำในการเข้าร่วมประชุมในรูปแบบไฟล์ PDF พร้อมกับลิงก์อันตรายที่ถูกออกแบบมาให้ใช้สำหรับล็อกอินเข้าสู่ระบบ Microsoft และแอปของ third-party ซึ่งใช้ในขั้นตอน OAuth ของ Microsoft 365

หลังจากเป้าหมายทำการยืนยันตัวตนเรียบร้อยแล้ว นักวิจัยระบุว่า จะมีการเปลี่ยนเส้นทางผู้ใช้ไปยัง Visual Studio Code เวอร์ชันในเบราว์เซอร์ ซึ่งโฮสต์อยู่ที่ insiders.

การโจมตีแบบ SIM swapping ยังคงเป็นภัยคุกคามที่สำคัญต่อบุคคล และสถาบันการเงิน แม้จะมีความพยายามอย่างต่อเนื่องจากผู้ให้บริการโทรคมนาคม และหน่วยงานกำกับดูแลในการเพิ่มมาตรการด้านความปลอดภัย

การโจมตีประเภทนี้เกี่ยวข้องกับผู้ไม่หวังดีที่ควบคุมหมายเลขโทรศัพท์ของเหยื่อจากการแลกเปลี่ยน หรือย้ายหมายเลข SIM โดยส่วนใหญ่จะใช้ข้อมูลส่วนตัว และข้อมูลทางการเงินที่ถูกขโมยมา ผ่านการโจมตีแบบฟิชชิ่ง หรือ social engineering

การพัฒนากลยุทธ์การโจมตีแบบ SIM swapping

โดยทั่วไปแล้ว ผู้ไม่หวังดีจะเริ่มการขอเปลี่ยน SIM โดยการใช้ช่องโหว่ในระบบของผู้ให้บริการโทรคมนาคม โดยส่วนมากจะใช้แอปพลิเคชันมือถือในการยื่นคำขอเปลี่ยน SIM

เพื่อหลีกเลี่ยงมาตรการป้องกันความปลอดภัย เช่น แพลตฟอร์มการยืนยันตัวตนทางอิเล็กทรอนิกส์ของรัฐบาลที่ต้องการการยืนยันตัวตนด้วยลายนิ้วมือ หรือการอนุมัติการเข้าสู่ระบบ ผู้ไม่หวังดีจะหลอกเหยื่อให้อนุมัติการแลกเปลี่ยน SIM โดยที่เหยื่อไม่รู้ตัว

การหลอกลวงนี้มักจะทำได้โดยการแอบอ้างเป็นตัวแทนจากบริการที่น่าเชื่อถือ เช่น การสมัครงาน หรือการอัปเดตบัญชี

เมื่อ SIM ของเหยื่ออยู่ภายใต้การควบคุมแล้ว ผู้ไม่หวังดีสามารถดักจับรหัสการยืนยันตัวตนแบบสองขั้นตอน (2FA) ผ่าน SMS ซึ่งทำให้สามารถทำธุรกรรมที่ไม่ได้รับอนุญาต และเข้าถึงบัญชีที่มีข้อมูลสำคัญได้

เว็บไซต์ฟิชชิ่งมีบทบาทสำคัญในการโจมตีแบบ SIM swapping เนื่องจากเว็บไซต์เหล่านี้ถูกออกแบบมาเพื่อเลียนแบบบริการที่น่าเชื่อถือ เช่น บริการที่เกี่ยวข้องกับรถยนต์, แพลตฟอร์มการจ้างงาน และสถาบันของรัฐบาล

ตามรายงานของ Group-IB เว็บไซต์เหล่านี้จะเก็บข้อมูลที่สำคัญจากผู้ใช้งานที่ไม่ทันระวัง ซึ่งข้อมูลเหล่านี้จะถูกนำไปใช้ในการดำเนินการแลกเปลี่ยน SIM และการเข้ายึดบัญชี

กรณีที่น่าสนใจเกี่ยวข้องกับเครือข่ายฟิชชิ่งที่มุ่งเป้าไปที่ลูกค้าประกันภัย ซึ่งมีหลายโดเมนที่เชื่อมโยงกับเครือข่ายของเว็บไซต์ปลอม แสดงให้เห็นถึงความจำเป็นในการร่วมมือกันในอุตสาหกรรม และการใช้ข้อมูลภัยคุกคามเชิงรุกเพื่อขัดขวางการดำเนินการเหล่านี้ตั้งแต่เนิ่น ๆ

ผลกระทบทางการเงิน

ผลกระทบทางการเงินจากการโจมตีแบบ SIM swapping อาจทำให้สูญเสียเงินตั้งแต่ไม่กี่ร้อยดอลลาร์จนถึงมากกว่า 160,000 ดอลลาร์ในกรณีที่ร้ายแรง

เพื่อลดความเสี่ยงเหล่านี้ สถาบันการเงินได้รับคำแนะนำให้ทำการระงับธุรกรรมที่มีความเสี่ยงสูงโดยอัตโนมัติเมื่อมีการตรวจพบการแลกเปลี่ยน SIM และต้องการการยืนยันตัวตนเพิ่มเติม

ผู้ใช้งานสามารถป้องกันได้โดยการเปลี่ยนการยืนยันตัวตนแบบสองขั้นตอนที่ใช้ SMS เป็นแอปพลิเคชันยืนยันตัวตนแทน และควรระมัดระวังการแจ้งเตือนด้านความปลอดภัยที่ผิดปกติ

ที่มา : gbhackers

 

นักวิจัยพบระบบจัดการการเข้าถึง (Access Management Systems - AMS) ที่ตั้งค่าผิดพลาด และถูกเปิดเผยกว่า 49,000 รายการในหลายอุตสาหกรรม และหลายประเทศ ซึ่งอาจส่งผลกระทบต่อความเป็นส่วนตัว และความปลอดภัยทางกายภาพในภาคส่วนที่สำคัญ (more…)