Independent Living Systems (ILS) ซึ่งเป็นผู้ให้บริการด้านการดูแลสุขภาพในไมอามี่ ยืนยันการรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 4,226,508 ราย

จำนวนผู้ใช้งานที่ได้รับผลกระทบถือว่าเป็นจำนวนมากที่สุดในภาคการดูแลสุขภาพที่มีการเปิดเผยออกมาในปีนี้จากการแจ้งเตือนที่ถูกส่งไปยังสำนักงานอัยการสูงสุด โดยบริษัทพบว่าเครือข่ายถูกโจมตีในวันที่ 5 กรกฎาคม 2022

ในระหว่างการตรวจสอบ บริษัทพบว่าผู้โจมตีสามารถเข้าถึงระบบ ILS ได้ระหว่างวันที่ 30 มิถุนายนถึง 5 กรกฎาคม 2022 และสามารถเข้าถึงข้อมูลในช่วงเวลาดังกล่าวได้ โดยจากการตรวจสอบของ ILS พบว่าผู้โจมตีสามารถเข้าถึงระบบ ILS ได้บางระบบ (more…)

พบการประกาศขายข้อมูลของผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ในฟอรั่มของ Dark Web ชื่อดัง โดยในฟอรั่มได้อ้างว่าเป็นฐานข้อมูลของผู้ใช้งาน WhatsApp ในปี 2022 จำนวนกว่า 487 ล้านหมายเลข

โดย WhatsApp ถือว่าเป็นหนึ่งในแอพพลิเคชัน Instant messaging และ VoIP ยอดนิยม ที่มีผู้ใช้งานมากกว่า 2,000 ล้านคนต่อเดือนทั่วโลก

โดยในรายละเอียดของข้อมูลที่ถูกประกาศขาย ประกอบไปด้วยชุดข้อมูลของผู้ใช้ WhatsApp จากกว่า 84 ประเทศ เช่น

ผู้ใช้ในประเทศสหรัฐอเมริกา จำนวน 32 ล้านรายชื่อ
ผู้ใช้ในประเทศอียิปต์ จำนวน 45 ล้านรายชื่อ
ผู้ใช้ในประเทศอิตาลี จำนวน 35 ล้านรายชื่อ
ผู้ใช้ในประเทศซาอุดีอาระเบีย จำนวน 29 ล้านรายชื่อ
ผู้ใช้ในประเทศฝรั่งเศส จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศตุรกี จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศรัสเซีย จำนวน 10 ล้านรายชื่อ
ผู้ใช้ในประเทศอังกฤษ จำนวน 11 ล้านรายชื่อ

โดย Hacker ได้เสนอขายชุดข้อมูลเหล่านี้ แยกเป็นรายประเทศ เช่น ข้อมูลผู้ใช้ในประเทศสหรัฐอเมริกา ขายในราคา 7,000 ดอลลาร์, ข้อมูลผู้ใช้ในประเทศอังกฤษ ขายในราคา 2,500 ดอลลาร์ และข้อมูลผู้ใช้ในประเทศเยอรมนี ขายในราคา 2,000 ดอลลาร์ รวมไปถึง Hacker ยังได้ปล่อยตัวอย่างชุดข้อมูลที่มีข้อมูลผู้ใช้งานของประเทศอังกฤษ 1,097 ราย และประเทศสหรัฐอเมริกา 817 ราย เพื่อพิสูจน์ว่าข้อมูลเหล่านี้เป็นของจริง และนำไปใช้งานได้

จากการตรวจสอบของ Cybernews พบว่าชุดข้อมูลตัวอย่างที่ได้มานั้นเป็นข้อมูลของผู้ใช้งานจริง และสามารถติดต่อไปยังผู้ใช้งานได้ โดย Hacker ที่ขายข้อมูลไม่ได้บอกว่าได้ชุดข้อมูลเหล่านี้มาด้วยวิธีการใด โดยระบุเพียงว่าพวกเขามีวิธีการที่สามารถเข้าถึงฐานข้อมูล เพื่อให้ได้ข้อมูลดังกล่าวมา รวมทั้งยังยืนยันกับ Cybernews ว่าข้อมูลดังกล่าวทั้งหมดสามารถนำไปใช้ได้จริง

ปัจจุบัน Cybernews ได้ติดต่อไปยังบริษัท Meta ซึ่งเป็นบริษัทแม่ของ WhatsApp เพื่อสอบถามถึงเหตุการณ์ที่เกิดขึ้น แต่ยังไม่ได้รับการตอบกลับ โดยเมื่อไม่กี่วันก่อนหน้านี้ก็จะพบว่ามีการรั่วไหลของข้อมูลภายในของ LinkedIn และ Facebook Business accounts ซึ่งอยู่ภายใต้บริษัท Meta ที่ถูกนำมาขายในฟอรั่มของ Dark Web ชื่อดังเช่นเดียวกัน

ผลกระทบ

โดยชุดข้อมูลที่รั่วไหลเหล่านี้ อาจถูกเหล่า Hackers นำไปใช้ประโยชน์ในการโจมตีในรูปแบบ Social Engineering ได้ ไม่ว่าจะเป็นการหลอกลวงผ่านข้อความ หรือการโทร (Smishing and Vishing Attacks), การโจมตีผ่าน Email (Phishing Attack) รวมไปถึงการโจมตีในรูปแบบ Business Email Compromise

การป้องกัน

ระมัดระวังการเปิดข้อความ SMS อีเมลล์ หรือไฟล์แนบที่ถูกส่งมา ถึงแม้ผู้ส่งจะเป็นบุคคลใกล้ชิด เพื่อนร่วมงาน หรือบุคคลที่มีชื่อเสียงก็ตาม

ที่มา : cybernews

แคมเปญฟิชชิ่งทาง SMS มุ่งเป้าการโจมตีไปยังลูกค้าของธนาคารอินเดีย โดยการปลอมเป็นแอปพลิเคชันของธนาคารเพื่อที่จะใช้มัลแวร์ในการขโมยข้อมูล

ทีมนักวิจัยจาก Microsoft 365 Defender ระบุว่า ข้อความฟิชชิ่งจะมีลิงก์ที่เปลี่ยนเส้นทางของผู้ใช้งานไปยังเว็บไซต์ที่จะทำให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันปลอมของธนาคาร ICICI Bank

นักวิจัย Shivang Desai, Abhishek Pustakala และ Harshita Tripathi ระบุว่า "ความสามารถของมัลแวร์ทำให้ผู้โจมตีสามารถดักจับการแจ้งเตือนที่สำคัญของอุปกรณ์ เช่น ข้อความเข้า ซึ่งเป็นความพยายามในการดักจับข้อความจาก two-factor authentication (2FA)

รูปแบบการโจมตีเป็นรูปแบบเดียวกันกับ Social Engineering โดยปกติ เช่นใช้โลโก้ และชื่อแบรนด์ที่คุ้นเคย เพื่อหลอกให้ผู้ใช้งานติดตั้งแอปพลิเคชันปลอม

การโจมตีนี้เกิดขึ้นในลักษณะเดียวกันกับการเผยแพร่แอปธนาคารปลอมที่เกิดขึ้นกับธนาคารอินเดียอื่น ๆ เช่น State Bank of India (SBI) และ Axis Bank ในอดีต

เมื่อติดตั้งแล้ว แอปพลิเคชันปลอมไม่เพียงแต่ขอการอนุญาตในการเข้าถึงบัญชี แต่ยังขอให้ผู้ใช้งานป้อนข้อมูลบัตรเครดิต/เดบิตของตนซึ่งเป็นส่วนหนึ่งของกระบวนการลงชื่อเข้าใช้ ซึ่งในขณะนั้นโทรจันจะรอคำสั่งเพิ่มเติมจากผู้โจมตี

คำสั่งเหล่านี้จะทำให้มัลแวร์สามารถรวบรวมข้อมูลของระบบ บันทึกการโทร ดักจับการโทร ตลอดจนขโมยข้อมูลประจำตัวสำหรับบัญชีอีเมล เช่น Gmail, Outlook และ Yahoo

ที่มา : thehackernews

อีเมลฟิชชิ่งปลอมเป็น WeTransfer โดยมีการแชร์ไฟล์สองไฟล์ให้กับเหยื่อ และลิงก์สำหรับดูไฟล์เหล่านั้น

Armorblox รายงานว่า ผู้โจมตีทำการปลอมแปลงเป็นอีเมลจากระบบของ WeTransfer เพื่อโจมตีแบบ credential phishing โดยอีเมลที่ถูกปลอมแปลงขึ้นมาจะนำไปสู่หน้าฟิชชิ่งที่มีรูปแบบของ Microsoft Excel ซึ่งเป้าหมายหลักของการโจมตีครั้งนี้ คือการขโมยข้อมูล email credentials Office 365 ของเหยื่อ

WeTransfer เป็นเว็บไซต์ให้บริการถ่ายโอนไฟล์ มักถูกใช้สำหรับการแชร์ไฟล์ที่มีขนาดใหญ่เกินไปที่จะส่งผ่านทางอีเมล

การโจมตี

อีเมลฟิชชิ่งจะถูกส่งโดย WeTransfer เนื่องจากมีชื่อผู้ส่งเป็น Wetransfer และมีชื่อไฟล์ที่แสดงการส่งผ่าน WeTransfer โดยมีความคล้ายคลึงกันกับอีเมล WeTransfer ของจริง และเนื้อหาของอีเมลยังอ้างอิงถึงองค์กรเพื่อให้ดูเหมือนถูกต้องอีกด้วย จึงสามารถหลอกผู้ใช้ที่ไม่ระวังได้อย่างง่าย

เนื้อหาอีเมลแจ้งว่า WeTransfer ได้แชร์ไฟล์สองไฟล์กับเหยื่อ และมีลิงก์สำหรับดูไฟล์เหล่านั้น เมื่อเหยื่อคลิกดูไฟล์ ลิงก์จะนำไปยังหน้าฟิชชิ่งที่คาดว่าน่าจะเป็นของ Microsoft Excel นอกจากนี้ยังมี spreadsheet ที่เบลอเป็นพื้นหลัง และแสดงแบบฟอร์มกำหนดให้เหยื่อต้องป้อนข้อมูลการเข้าสู่ระบบ

โดเมนของผู้ส่งอีเมลเป็นผู้ให้บริการเว็บโฮสติ้งชื่อ 'valueserver[.]jp.

จากรายงานของ McAfee ปัจจุบันผู้ไม่หวังดีใช้ Browser Push Notifications ซึ่งมีลักษณะที่คล้ายกับ Windows Push Notifications มาใช้ในการหลอกล่อให้เหยื่อดำเนินการตามที่ต้องการ

โดยจะปลอมการแจ้งเตือนที่มีลักษณะเหมือนการแจ้งเตือนปกติ เพื่อให้เหยื่อหลงเชื่อ และดำเนินการกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตราย ซึ่งซอฟต์แวร์เหล่านั้นจะทำหน้าที่ในการเก็บรวบรวมข้อมูลของผู้ใช้งาน

ในรายงานผู้เชี่ยวชาญอธิบายวิธีการโจมตีในรูปแบบ Social Engineering นี้ จะหลอกให้เหยื่อนั้นทำการติดตั้ง Windows Defender ปลอม ซึ่งความจริงแล้วเป็นซอฟต์แวร์อันตราย

แทนที่จะใช้วิธีส่งอีเมลล์สำหรับโจมตีด้วยวิธีการ Phishing ผู้โจมตีจะแฮ็คการแจ้งเตือนแบบ Pop-up ของเว็ปไซต์ และใช้ข้อความโดยใช้ชื่อ และ Logo ของ McAfee โดยทำเหมือนว่าเป็น Windows Defender Update และเมื่อเหยื่อกดที่ข้อความแจ้งเตือนนั้น ก็จะเป็นการนำเหยื่อให้เข้าสู่หน้าเว็บไซต์ปลอม หลังจากนั้นก็จะเป็นการแจ้งข้อมูลหลอกเหยื่อต่างๆ เช่น McAfee ของพวกเขาหมดอายุ, McAfee ตรวจพบภัยคุกคามในระบบของพวกเขา, หรือ ข้อความที่อ้างว่าเป็นลิงก์โดยตรงที่ใช้ในการสมัครสมาชิก McAfee

Craig Schmugar วิศวกรอาวุโสของ McAfee ได้เขียนอธิบายวิธีการไว้ใน blog post "ในการหลอกเหยื่อ ผู้ไม่หวังดีจะใช้ปุ่มลบโฆษณา, ปุ่มลบเเจ้งเตือน หรือ ปุ่มที่คล้ายๆ กันนำเหยื่อไปยังเว็บไซต์ที่ผู้ไม่หวังดีต้องการ ซึ่งส่วนใหญ่จะเป็นเว็บไซต์ที่ต้องการให้ผู้ใช้อนุญาตให้มีการแจ้งเตือนเพิ่มเติม ซึ่งหากเหยื่อเข้าไปยังเว็บไซต์เหล่านั้นก็จะทำให้เกิด pop-up แจ้งเตือนขึ้นจำนวนมาก"

ซอฟต์แวร์ ที่เป็นอันตรายถ้าหากถูกติดตั้งไปแล้วนั้นสามารถที่จะขโมยข้อมูลระบบได้ซึ่งประกอบไปด้วย ข้อมูล process, ข้อมูลของไดรฟ์, Serial numbers, ข้อมูลของ Ram และ ข้อมูลของ Graphics card
นอกจากนี้ยังสามารถเข้าถึงข้อมูลโปรไฟล์แอปพลิเคชันเช่น Chrome, Exodus wallets, Ethereum wallets, Opera และ Telegram Desktops และข้อมูลบัตรเครดิตของเหยื่อได้

"ในขณะที่การ Phishing ด้วยอีเมลนั้นยังเป็นที่นิยมในโจมตีของเหล่าผู้ไม่หวังดี แต่พวกเขานั้นก็ยังพยายามที่จะแสวงหาช่องทางอื่นๆ อีกในการโจมตี เช่น ทางโซเชียลมีเดีย หรือ ในเหตุการณ์นี้ที่พวกเขานั้นใช้ Windows Push Notifications เพื่อหวังว่าเหยื่อนั้นจะหลงเชื่อ และกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตรายตามที่พวกเขาต้องการ" Javvad Malik security awareness advocate ของ KnowBe4. กล่าว

ผลกระทบในภายภาคหน้า
Malik กล่าวว่า "หากเหยื่อเชื่อว่าไฟล์ที่ดาวน์โหลดมานั้นเป็นไฟล์ที่ถูกต้อง พวกเขาก็อาจจะมองข้ามคำเตือนด้านความปลอดภัย หรือแจ้งเตือนด้านความปลอดภัย ในบางกรณีพวกเขาอาจจะทำการปิดการทำงานของ ซอฟต์แวร์รักษาความปลอดภัย เพื่อที่จะให้การดาวน์โหลดนั้นดำเนินการได้สะดวก เมื่อซอฟต์แวร์ที่เป็นอันตรายทำการติดตั้งสำเร็จ ผู้ไม่หวังดีก็จะสามารถเข้าถึงเครื่องของเหยื่อได้ และสามารถทำอะไรก็ได้ตามที่พวกเขาต้องการไม่ว่าจะเป็น ปล่อย Ransomware, ขโมยข้อมูล, หรือ การเคลื่อนย้ายจากเครื่องของเหยื่อเข้าไปยังองค์กรของพวกเขา เพื่อวัตถุประสงค์อื่นๆ อีกต่อไป"

นักวิจัยตั้งข้อสังเกตว่า "เว็บไซต์ปลอมของผู้ไม่หวังดีนั้นจะมีไฟล์ ms-appinstaller (MSIX) ให้ดาวน์โหลด เมื่อไฟล์ถูกดาวน์โหลด และถูกเรียกใช้ เหยื่อก็จะได้รับแจ้งให้ติดตั้ง Defender Update จาก 'Publisher: Microsoft' หลังจากติดตั้งแอปพลิเคชัน 'Defender Update' จะปรากฏในเมนูเริ่มต้นเหมือนกับแอป Windows อื่นๆ"

แทนที่จะไปอัปเดตจริง ผู้ไม่หวังดีก็จะหลอกให้เหยื่อคลิ้กผ่านทางลัดที่เป็นซอฟต์แวร์อันตรายที่ถูกติดตั้งไป หลังนั้นซอฟต์แวร์ดังกล่าวก็จะไปดาวน์โหลดโทรจันเพื่อมาขโมยข้อมูลของเหยื่อ

คำแนะนำในการลดความเสี่ยง

เหล่านักวิจัยเรียกร้องให้องค์กรต่างๆ ให้ความรู้แก่พนักงานในการอ่านข้อความแจ้งเตือน รวมไปถึงการอนุญาตให้สิทธ์ต่างๆ อย่างถี่ถ้วน และคลิก "อนุญาต" บนไซต์ที่เชื่อถือได้เท่านั้น นอกจากนี้พวกเขายังแนะนำให้ปิดการใช้งานการแจ้งเตือนบนหน้าเว็บเพื่อลดความเสี่ยง

"ในปัจจุบันกลโกงต่างๆ นั้นทำได้แนบเนียน และน่าเชื่อถือ ดังนั้นสิ่งที่จะดีกว่าการ Block ที่รวดเร็วคือการอ่าน และทำความเข้าใจอย่างช้าๆ ก่อนที่จะอนุญาตอะไรไป" Schmugar กล่าว และ เขาแนะนำเพิ่มเติมว่า สำหรับการอัปเดตระบบปฏิบัติการ Windows นั้นพนักงานควรทำการตรวจสอบด้วยตนเอง และอัปเดตผ่านเมนูเริ่มต้น หรือป้อนที่อยู่เว็บที่ถูกต้องด้วยตนเอง แทนที่จะคลิกลิงก์ที่ได้รับมา

ที่มา : bankinfosecurity

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือซึ่งได้กำหนดเป้าหมายการโจมตีไปยังนักวิจัยความปลอดภัยทางไซเบอร์ โดยการชักชวนให้เข้าร่วมในการวิจัยช่องโหว่ ซึ่งการโจมตีดังกล่าวได้รับการตรวจพบโดยทีม Google Threat Analysis Group (TAG) ซึ่งเป็นทีมรักษาความปลอดภัยของ Google ที่เชี่ยวชาญในการตามล่ากลุ่มภัยคุกคาม

ตามรายงานของ TAG ระบุว่ากลุ่มแฮกชาวเกาหลีเหนือได้ใช้เทคนิค Social engineering attack ในการโจมตีกลุ่มเป้าหมาย โดยการสร้างโปรไฟล์บนเครือข่าย Social ต่าง ๆ เช่น Twitter, LinkedIn, Telegram, Discord และ Keybase เพื่อติดต่อกับนักวิจัยด้านความปลอดภัยโดยใช้รูปและที่อยู่ของบุคคลปลอม หลังจากการสร้างความน่าเชื่อถือเบื้องต้นกลุ่มเเฮกเกอร์จะเชิญชวนให้นักวิจัยทำการช่วยเหลือในการวิจัยเกี่ยวกับช่องโหว่ ซึ่งภายในโครงการวิจัยช่องโหว่นั้นจะมีโค้ดที่เป็นอันตราย ซึ่งถูกสั่งให้ติดตั้งมัลแวร์บนระบบปฏิบัติการของนักวิจัยที่ตกเป็นเป้าหมาย จากนั้น มัลแวร์ทำหน้าที่เป็นแบ็คดอร์ในการรับคำสั่งระยะไกลจากเซิร์ฟเวอร์ Command and Control (C&C) ของกลุ่มแฮกเกอร์

ตามรายงานเพิ่มเติมระบุว่ามัลแวร์ที่ถูกติดตั้งนี้มีความเชื่อมโยงกับ Lazarus Group ซึ่งเป็นกลุ่มแฮกเกอร์ปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ นอกจากการแจกจ่ายโค้ดที่เป็นอันตรายแล้วในบางกรณีกลุ่มเเฮกเกอร์ได้ขอให้นักวิจัยด้านความปลอดภัยเยี่ยมชมบล็อกผลงานการวิจัยของกลุ่มคือ blog[.]br0vvnn[.]io ซึ่งภายในบล็อกมีโค้ดที่เป็นอันตรายซึ่งทำให้คอมพิวเตอร์ของนักวิจัยด้านความปลอดภัยติดไวรัสหลังจากเข้าถึงเว็บไซต์

ทั้งนี้ผู้ที่สนใจรายละเอียดของข้อมูลและ IOC ของกลุ่มเเฮกเกอร์ดังกล่าวสามารถดูเพิ่มเติมได้ที่: blog.

CISA ออกประกาศรหัส AA20-301A เมื่อวันที่ 27 ที่ผ่านมาโดยมีเนื้อหาสำคัญถึงการพูดถึงพฤติกรรมและความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Kimsuky ซึ่งมีเป้าหมายการโจมตีอยู่ทั่วโลก

จากรายงานที่เผยแพร่ออกมา กลุ่ม Kimsuky เริ่มการเคลื่อนไหวตั้งแต่ปี 2012 โดยถูกควบคุมและสั่งการจากรัฐบาลเกาหลีเพื่อการสืบหาข่าวกรอง เป้าหมายของการโจมตีโดยส่วนใหญ่เป็นบุคคลและองค์กรในเกาหลีใต้ ญี่ปุ่นและสหรัฐอเมริกา พฤติกรรมของกลุ่มไม่มีความแตกต่างเท่าใดนักหากเทียบกับแฮกเกอร์กลุ่มอื่น โดย Kimsuky จะโจมตีเป้าหมายโดยวิธีการแบบ Social engineering และ Watering hole ก่อนจะเข้าถึงและเคลื่อนย้ายตัวเองในเครือข่ายของเป้าหมาย เมื่อถึงจุดหนึ่ง กลุ่ม Kimsuky จะรวบรวมข้อมูลและลักลอบส่งออกมาทั้งทางอีเมลหรือติดต่อไปยัง C&C

CISA มีการระบุถึงพฤติกรรมเชิงลึกของกลุ่มพร้อมกับ TTP และ IOC ข้อมูลเพื่อช่วยในลดความเสี่ยงที่จะถูกโจมตีเหล่านี้สามารถดูเพิ่มเติมได้จากแหล่งที่มา

ที่มา: us-cert.

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer

เด็กหนุ่มวัย 17 ปีตกเป็นผู้ต้องสงสัยในคดีแฮก Twitter และทำการหลอกลวงให้โอนเงิน Bitcoin

ในการเเถลงการของกระทรวงยุติธรรมและอัยการรัฐซึ่งเเถลงโดย Andrew H. Warren อัยการสูงสุดของฮิลส์โบโร่ ได้ประกาศการจับกุมผู้ต้องสงสัย 3 คนในการเเฮกบัญชี Twitter และทำการหลอกลวงให้โอนเงิน Bitcoin ไปยังบัญชีที่เกี่ยงข้องกับกลุ่มเเฮกเกอร์ ตามรายงานข่าว WFLA-TV ของฟลอริด้าซึ่งรายงานเกี่ยวกับการจับกุมผู้ต้องสงสัยที่ถูกจับกุมเป็นรายเเรกคือ Graham Ivan Clark เด็กหนุ่มวัย 17 ปีจาก Tampa เขต Hillsborough, Florida รายที่ 2 คือ Mason Sheppard หรือที่รู้จักกันในชื่อ "Chaewon” อายุ 19 ปีอาศัยอยู่ที่ Bognor Regis ในสหราชอาณาจักร และคนสุดท้าย Nima Fazeli หรือที่รู้จักกันในชื่อ “Rolex” อายุ 22 ปี จาก Orlando, Florida การจับกุมครั้งนี้เป็นการร่วมมือกันของหน่วยงาน FBI, IRS, DOJ และหน่วยสืบราชการลับ

ตามรายงานการจับกุมเปิดเผยว่าเมื่อ 15 กรกฎาคมที่ผ่านมา Clark สามารถเข้าถึงแบ็กเอนด์ของ Twitter โดยการใช้โทรศัพท์เพื่อทำการ Social-engineering พนักงานของ Twitter ด้วยการใช้ Credential ของพนักงาน Twitter ทำให้พวกเขาเข้าถึงเครื่องมือจากในแบ็กเอนด์ของ Twitter ได้จากนั้นพวกเขาทำการกำหมดเป้าหมายโดยเป็นบัญชี Twitter จำนวน 130 บัญชีเพื่อใช้ในการทวีตข้อความเพื่อหลอกลวงให้โอนเงิน Bitcoin ไปยังบัญชีที่เกี่ยงของกับพวกเขา จากนั้นทำการเซ็ตรหัสผ่าน 45 บัญชีเพื่อครอบครองบัญชีและส่งทวีตใหม่เพื่อโปรโมตการหลอกลวง จากนั้นทำการดาวน์โหลดข้อมูลส่วนตัว 8 บัญชี และกลุ่มเเฮกเกอร์ยังสามารถเข้าถึง Direct messages (DMs) จำนวน 36 บัญชี ซึ่ง 1 ในนั้นเป็นบัญชีการโหวตเสียงลงคะแนนเสียงอย่างเป็นทางการของประเทศเนเธอร์แลนด์

จากการเเฮกครั้งนี้พบว่ามีผู้โอนเงินมากกว่า $100,000 ไปยังบัญชีที่เกี่ยงข้องกับกลุ่มเเฮกเกอร์ จากการจับกุมในครั้งนี้กลุ่มเเฮกเกอร์ถูกตั้งข้อหาความผิดทางอาญาเป็นจำนวน 30 ข้อหา หลังจากเหตุการณ์นี้ Twitter กล่าวว่าจะมีการจำกัดจำนวนพนักงานที่สามารถเข้าถึงเครื่องมือภายในของ Twitter เพื่อป้องกันและลดความเสี่ยงจากการโจมตีในลักษณะนี้

ที่มา: zdnet

เเฮกเกอร์ทำการเข้ายึดบัญชี Twitter อย่างเป็นทางการของ Apple, Kanye, Gates, Bezos และหลายๆ คนดัง หลังจากนั้นเเฮกเกอร์ได้ทำการทวีตข้อความโดยสัญญาว่าจะมอบเงินบิทคอยน์เป็นจำนวนมากถึง 5,000 BTC (ประมาณ 1,436,024,782 บาท) สำหรับผู้ที่โอนเงินระหว่าง 0.1 BTC (ประมาณ 28,720 บาท) ถึง 20 BTC (ประมาณ 5,739,539 บาท) ไปยังที่อยู่บัญชีที่อยู่ในข้อความที่ทวีต

หลังจากพบความผิดปกติ Twitter ได้ทำการล็อคบัญชีที่ถูกแฮกไว้อย่างรวดเร็วและทำการลบทวีตปลอมทั้งหมด ล่าสุด Twitter ได้ทำการเเถลงว่าการที่ Twitter อย่างเป็นทางการของคนดังทั้งหลายที่ทำการทวีตข้อความเพื่อหลอกให้โอนเงินนั้น เกิดจากบัญชีของพนักงานของ Twitter โดนโจมตีโดยการใช้ Social Engineering และทำการเจาะจงบัญชีของพนักงานที่ตกเป็นเหยื่อ จึงทำให้แฮกเกอร์สามารถเข้าถึงระบบและเครื่องมือของ Twitter ได้

ขณะนี้ Twitter ได้ทำการล็อคบัญชีที่ถูกบุกรุกและทำการดำเนินการสอบสวนถึงสาเหตุที่เเท้จริง ซึ่งก็จะมีการอัพเดตเพิ่มเติมอย่างเป็นทางการต่อไป

ที่มา: bleepingcomputer  twitter