Clear
Lead Graphic Papers

ข่าวสั้น

ข้อแนะนำแนวทางการประกาศแจ้งเตือนต่อสาธารณะในกรณีเหตุการณ์ข้อมูลรั่วไหล

เหตุการณ์ข้อมูลรั่วไหลหรือ data breach นั้นอาจเกิดได้จากหลายสาเหตุ ไม่ว่าจะเป็น ถูกเจาะระบบ ข้อมูลถูกเปิดให้เข้าถึงได้แบบสาธารณะ หรือเกิดจากสาเหตุอื่น ๆ ซึ่งในกฎหมายที่เกี่ยวข้องกับเรื่องการคุ้มครองข้อมูล ไม่ว่าจะเป็น GDPR หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล นั้นก็ได้มีข้อกำหนดให้หน่วยงานที่ประสบเหตุจำเป็นต้องแจ้งสถานการณ์ข้อมูลรั่วไหลต่อหน่วยงานกำกับดูแลหรือแจ้งต่อสาธารณะด้วย

เพื่อให้การสื่อสารนั้นชัดเจนและตรงตามข้อเท็จจริง แถลงการณ์แจ้งเตือนเรื่องเหตุการณ์ข้อมูลรั่วไหลนั้นควรประกอบด้วยข้อมูลดังต่อไปนี้

  • หัวข้อของแถลงการณ์ควรระบุให้ชัดเจนว่าเป็นการชี้แจงเรื่องเหตุการณ์ข้อมูลรั่วไหล
  • ประเมินจำนวนรายการของข้อมูลที่รั่วไหล หรือจำนวนของผู้ที่คาดว่าจะได้รับผลกระทบ
  • ระบุประเภทของข้อมูลที่รั่วไหล เช่น ชื่อนามสกุล หมายเลขโทรศัพท์ อีเมล ข้อมูลด้านการเงิน หรือข้อมูลการใช้งานอื่น ๆ
  • ประเมินความเสี่ยงว่าข้อมูลที่รั่วไหลนั้นอาจถูกนำไปใช้ประโยชน์ในทางมิชอบในลักษณะใดได้บ้าง
  • ระบุแนวทางการแก้ไขปัญหาหรือเยียวยาผู้ที่ได้รับผลกระทบ
  • ระบุช่องทางการติดต่อผู้ที่รับผิดชอบเรื่องการคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ ตัวอย่างแนวทางการแจ้งเตือนและกรณีศึกษา สามารถดูเพิ่มเติมได้จากที่มา

วันที่: 2020-05-26 | ที่มา: EDPS, Data Protection Commission, VISA | Share on Facebook Share on Twitter Share on Google+
ศูนย์ความมั่นคงปลอดภัยไซเบอร์ออสเตรเลีย สรุปภาพรวมแนวโน้มรูปแบบการโจมตีทางไซเบอร์ที่พบในปี 2019-2020

ศูนย์ความมั่นคงปลอดภัยไซเบอร์ของออสเตรเลีย (Australian Cyber Security Centre หรือ ACSC) ได้ออกรายงานแนวโน้มรูปแบบการโจมตีทางไซเบอร์ที่พบในระหว่างปี 2019-2020 โดยภาพรวมเป็นการวิเคราะห์กลยุทธ์ เทคนิค และวิธีการที่ผู้โจมตีใช้เพื่อบุกรุกระบบหรือขโมยข้อมูล อ้างอิงตาม MITRE ATT&CK โดยรูปแบบการโจมตีที่พบมีดังนี้

Initial Access ขั้นตอนแรกสุดของการโจมตีคือการเข้าถึงระบบของเป้าหมาย เช่น

  • เจาะระบบผ่านช่องโหว่ของแอปพลิเคชันที่เปิดให้เข้าถึงได้แบบสาธารณะ เช่น ช่องโหว่การอัปโหลดไฟล์ขึ้นไปบนเว็บไซต์ ช่องโหว่ของโปรแกรมบริหารจัดการเว็บไซต์ หรือช่องโหว่ของโปรแกรม VPN
  • เดารหัสผ่านของบัญชีผู้ใช้ หากระบบไม่ได้ถูกตั้งค่าให้ป้องกันการ brute force ก็มีโอกาสสูงที่รหัสผ่านจะหลุดได้ง่าย
  • ส่งอีเมลฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งโดยส่วนใหญ่มักเป็นการส่งมัลแวร์แนบไปกับอีเมลเพื่อให้เหยื่อเปิดไฟล์มัลแวร์นั้น

Execution หลังจากสามารถเข้าถึงระบบของเป้าหมายได้แล้ว ขั้นตอนถัดมาคือการเรียกโปรแกรมหรือคำสั่งอันตรายขึ้นมาประมวลผล เช่น

  • เรียกใช้งานโปรแกรมผ่าน command line หรือ PowerShell ซึ่งเป็นช่องทางที่ถูกออกแบบมาไว้เพื่อใช้สั่งรันโปรแกรมบน Windows อยู่แล้ว
  • รันโค้ดผ่านสคริปต์ เช่น ไฟล์ .BAT, JavaScript, หรือ Microsoft Office macro
  • หลอกให้เหยื่อดาวน์โหลดไฟล์มัลแวร์ไปเรียกใช้งานเอง

Persistence หลังจากที่มัลแวร์ถูกเรียกขึ้นมาทำงานแล้ว ขั้นตอนถัดมาคือเป็นการพยายามทำให้มัลแวร์ยังคงทำงานอยู่ในระบบถึงแม้จะถูกรีสตาร์ท เช่น

  • เพิ่มข้อมูลใน Registry หรือสร้าง shortcut ในโฟลเดอร์ Startup เพื่อให้มีการเรียกมัลแวร์ขึ้นมาทำงานทุกครั้งที่เปิดเครื่อง
  • ในกรณีการโจมตีเว็บไซต์ เทคนิคที่มักถูกใช้คือการฝัง web shell ซึ่งเป็นการอัปโหลดหน้าเว็บไซต์สำหรับใช้เป็นช่องทางรับคำสั่งหรือเชื่อมต่อเข้าไปยังระบบในภายหลัง

Privilege escalation ขั้นตอนนี้เป็นการทำเพื่อให้ได้สิทธิ์การทำงานที่สูงกว่าสิทธิ์ของผู้ใช้ทั่วไป จุดประสงค์เพื่อเข้าถึงหรือแก้ไขไฟล์ด้วยสิทธิ์ที่มากขึ้น หรือเปลี่ยนแปลงการตั้งค่าของระบบ ตัวอย่างรูปแบบการโจมตีที่พบ เช่น ใช้เครื่องมือ RottenPotato ในการโจมตีเพื่อให้ได้สิทธิ์สูงสุดของระบบ

Defence evasion เป็นเทคนิคที่ใช้เพื่อหลบเลี่ยงการตรวจจับหรือการสังเกตความผิดปกติของระบบ เช่น

  • ใช้เทคนิค Timestomp เพื่อแก้ไขวันเวลาที่ไฟล์มัลแวร์ถูกติดตั้งลงในระบบ เช่น แก้ให้ไฟล์ web shell ถูกสร้างขึ้นในวันเวลาเดียวกับไฟล์อื่น ๆ ในเว็บไซต์ จุดประสงค์เพื่อให้ผู้ดูแลระบบมองข้ามไฟล์ดังกล่าวหรือเกิดความสับสนหากต้องตรวจสอบว่าระบบถูกโจมตีเมื่อใด
  • ลบไฟล์ล็อกของระบบ เช่น Windows event log หรือ web access log เพื่อไม่ให้ตรวจสอบได้ว่าถูกโจมตีด้วยวิธีใดหรือวันเวลาใด
  • ลบไฟล์มัลแวร์ทิ้งหลังโจมตีสำเร็จ หรือซ่อนไฟล์ไม่ให้ปรากฎเมื่อเรียกดูข้อมูลด้วยวิธีปกติ
  • ใช้วิธีบีบอัดข้อมูลของไฟล์มัลแวร์ จุดประสงค์เพื่อทำให้ค่า signature ของไฟล์เปลี่ยนไป ทำให้ระบบตรวจจับที่อาศัยแค่การวิเคราะห์จากข้อมูล signature เพียงอย่างเดียวนั้นไม่สามารถตรวจพบความผิดปกติได้

Credential access เป็นการขโมยหรือรวบรวมข้อมูลบัญชีผู้ใช้ในระบบ เช่น

  • ใช้เครื่องมือ เช่น Mimikatz ในการ dump บัญชีผู้ใช้และรหัสผ่าน
  • ใช้เครื่องมือในลักษณะ keylogging เพื่อบันทึกข้อมูลที่ผู้ใช้พิมพ์ ซึ่งจะได้ชื่อผู้ใช้และรหัสผ่านด้วย
  • อ่านข้อมูลจากไฟล์การตั้งค่า เช่น ระบบเว็บไซต์บางแห่งจะเก็บชื่อบัญชีและรหัสผ่านสำหรับเข้าถึงฐานข้อมูลไว้ในไฟล์ตั้งค่า หากสามารถอ่านข้อมูลจากไฟล์ดังกล่าวได้ก็จะสามารถเข้าถึงฐานข้อมูลได้

Discovery เป็นเทคนิคที่ใช้เพื่อรวบรวมข้อมูลที่เกี่ยวข้องกับเครื่องคอมพิวเตอร์เป้าหมายหรือเครื่องคอมพิวเตอร์อื่น ๆ ที่อยู่ในเครือข่ายเดียวกัน จุดประสงค์เพื่อศึกษาสภาพแวดล้อมของระบบหรือใช้หาช่องทางโจมตีคอมพิวเตอร์เครื่องอื่น ๆ ต่อ เช่น

  • ใช้เครื่องมือพื้นฐานที่ติดตั้งมาในระบบ เช่น คำสั่ง ping, net, หรือ sc เพื่อรวบรวมข้อมูล
  • ใช้เครื่องมือ PowerSploit เพื่อรวบรวมข้อมูลบัญชีผู้ใช้และอุปกรณ์อื่น ๆ ในเครือข่าย หรือใช้เครื่องมือ SharpHound เพื่อรวบรวมข้อมูล Active Directory

Lateral movement หลายครั้งการโจมตีจะไม่ได้เกิดขึ้นแค่ในคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง แต่จะเป็นการรวบรวมข้อมูลเครือข่ายแล้วเจาะไปยังคอมพิวเตอร์เครื่องอื่นต่อ ซึ่งอาจมีข้อมูลสำคัญหรือมีสิทธิ์ในการทำงานมากกว่าเครื่องที่เจาะได้ตอนแรก เช่น

  • เชื่อมต่อไปยังคอมพิวเตอร์เครื่องอื่นผ่านช่องทาง secure shell (SSH) หรือ remote desktop (RDP)
  • โจมตีผ่าน SMB โดยอาศัยฟีเจอร์ Windows Admin Shares เพื่อขโมยข้อมูลหรือสั่งรันโปรแกรมที่เครื่องปลายทาง
  • เพิ่มไฟล์มัลแวร์ลงในโฟลเดอร์ที่มีการแชร์ผ่านเครือข่าย โดยตั้งชื่อไฟล์ให้ดูเหมือนว่าเป็นไฟล์ทั่วไป ซึ่งผู้ใช้คนอื่นในระบบก็มีโอกาสที่จะหลงเชื่อและเปิดไฟล์ดังกล่าว

Collection เป็นการรวบรวมข้อมูลจากระบบของเป้าหมาย เช่น

  • ขโมยไฟล์จากเครื่องคอมพิวเตอร์ของเป้าหมาย หรือไฟล์ที่แชร์ผ่านเครือข่าย
  • ในบางกรณีผู้โจมตีอาจใช้วิธีรวบรวมข้อมูลแล้วสร้างเป็นไฟล์บีบอัดขึ้นมา จากนั้นค่อยส่งไฟล์ดังกล่าวออกไปในภายหลัง

Command and control เป็นเทคนิคที่ผู้โจมตีใช้เพื่อเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ ตัวอย่างรูปแบบการโจมตีที่พบ เช่น ส่งคำสั่งผ่าน web shell

Exfiltration เป็นรูปแบบของการส่งข้อมูลที่รวบรวมได้ออกไปให้ผู้โจมตี เช่น

  • ส่งข้อมูลออกไปในรูปแบบของไฟล์ที่ถูกบีบอัดเพื่อลดขนาดของข้อมูล โดยอาจมีการตั้งรหัสผ่านของไฟล์บีบอัดไว้ด้วยเพื่อป้องกันระบบตรวจจับ
  • ส่งข้อมูลผ่านช่องทางพิเศษที่มัลแวร์ใช้ติดต่อกับเครื่องสั่งการและควบคุม
  • ใช้ช่องทางปกติเพื่อทำให้ดูเหมือนเป็นการใช้งานทั่วไป เช่น หลังจากที่ขโมยข้อมูลออกมาได้ก็สร้างเป็นไฟล์ไว้ในหน้าดาวน์โหลดของเว็บไซต์ แล้วตั้งชื่อไฟล์ให้ดูเหมือนเป็นไฟล์ปกติ จากนั้นดาวน์โหลดไฟล์ดังกล่าวจากหน้าเว็บไซต์โดยตรง

Impact คือผลกระทบหรือความเสียหายที่เกิดขึ้นจากการโจมตี ซึ่งอาจมีได้หลายรูปแบบ ไม่ว่าจะเป็น ข้อมูลรั่วไหล ระบบไม่สามารถให้บริการต่อได้ หรือข้อมูลสำคัญถูกเข้ารหัสลับเพื่อเรียกค่าไถ่

การศึกษาแนวโน้มเทคนิคการโจมตีที่เคยเกิดขึ้นนั้นสามารถช่วยให้องค์กรวางแผนรับมือภัยคุกคามที่เป็นปัจจุบันได้ ข้อมูลอื่น ๆ สามารถดูเพิ่มเติมได้จากที่มา

วันที่: 2020-05-26 | ที่มา: ACSC | Share on Facebook Share on Twitter Share on Google+
กรณีศึกษา GitLab ทดสอบส่งอีเมลฟิชชิ่งภายในบริษัท พบพนักงาน 1 ใน 5 หลงเชื่อคลิกลิงก์และกรอกรหัสผ่าน

การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัย (security awareness) นั้นเป็นหนึ่งในปัจจัยสำคัญที่จะช่วยให้องค์กรสามารถลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้ หนึ่งในวิธีที่นิยมใช้คือการส่งอีเมลฟิชชิ่งเพื่อประเมินว่าพนักงานในองค์กรนั้นสามารถแยกแยะหรือสังเกตความผิดปกติของอีเมลดังกล่าวได้มากน้อยเพียงใด

เมื่อเดือนพฤษภาคม 2563 บริษัท GitLab ได้ทดสอบความตระหนักรู้เรื่องอีเมลฟิชชิ่งกับพนักงานจำนวน 50 คน โดยได้ทำการสร้างเว็บไซต์ปลอมและส่งอีเมลฟิชชิ่งไปหลอกพนักงาน จุดประสงค์เพื่อทดสอบการตอบสนองและการรับมืออีเมลฟิชชิ่ง โดยรูปแบบของอีเมลที่ใช้ทดสอบนั้นมีเนื้อหาระบุว่าแผนกไอทีของบริษัทจะอัปเกรดโน้ตบุ๊คให้กับพนักงาน ผู้ที่สนใจสามารถลงทะเบียนแจ้งความประสงค์ได้จากลิงก์ในอีเมล ซึ่งลิงก์ดังกล่าวจะพาไปยังหน้าเว็บไซต์ปลอมเพื่อหลอกขโมยบัญชีผู้ใช้และรหัสผ่าน

ผลการทดสอบพบว่ามีพนักงานจำนวน 17 คนที่คลิกลิงก์ โดยมี 10 คนที่กรอกรหัสผ่านในเว็บไซต์ปลอม และมีพนักงานแค่ 6 คนเท่านั้นที่รายงานมายังทีมความมั่นคงปลอดภัยของบริษัทว่าพบอีเมลต้องสงสัย

จากกรณีศึกษาดังกล่าว มีประเด็นสำคัญอยู่ 2 เรื่อง คือ การสร้างความตระหนักให้กับผู้ใช้ และแนวทางการแจ้งเตือนสถานการณ์ผิดปกติให้กับทีมไอทีหรือทีมความมั่นคงปลอดภัยทราบ เพราะหากพนักงานพบความผิดปกติแต่ไม่ได้มีการรายงาน ทางทีมที่เกี่ยวข้องก็อาจไม่สามารถประเมินสถานการณ์หรือจำกัดความเสียหายได้ทันเวลา

วันที่: 2020-05-26 | ที่มา: GitLab | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการส่ง SMS หลอกให้ดาวน์โหลดแอปพลิเคชัน ไทยชนะ แท้จริงเป็นมัลแวร์ขโมยข้อมูลทางการเงิน

ไทยเซิร์ตพบการแพร่กระจายมัลแวร์ โจมตีผู้ใช้งาน Android ในประเทศไทย โดยช่องทางการโจมตีผู้ไม่หวังดีจะส่ง SMS ที่แอบอ้างว่าเป็นการดาวน์โหลดแอปพลิเคชัน ไทยชนะ ใน SMS ดังกล่าวจะมีลิงก์ไปยังเว็บไซต์หลอกลวง เช่น

  • thaichana[.]asia
  • thai-chana[.]asia
  • thaichana[.]pro

ตัวอย่าง SMS แสดงดังรูป

หน้าเว็บไซต์ดังกล่าวสร้างเลียนแบบเว็บไซต์จริงของโครงการ ไทยชนะ โดยจะมีปุ่มที่ให้ดาวน์โหลดไฟล์ .apk มาติดตั้ง ไฟล์ดังกล่าวตรวจสอบแล้วเป็นมัลแวร์ขโมยข้อมูลทางการเงิน (บางแอนติไวรัสระบุว่าเป็นมัลแวร์สายพันธุ์ Cerberus) โดยตัวมัลแวร์ขอสิทธิ์ในการเข้าถึงข้อมูลการโทร รับส่ง SMS แอบอัดเสียง และเข้าถึงข้อมูลต่างๆ ภายในเครื่อง

ปัจจุบัน (ณ ขณะที่เผยแพร่บทความ) โครงการ ไทยชนะ มีเฉพาะเว็บไซต์ https://www.ไทยชนะ.com/ และ https://www.thaichana.com/ โดยรูปแบบการใช้งานจะเป็นการเข้าผ่านเว็บไซต์เท่านั้น ยังไม่มีแอปพลิเคชันให้ดาวน์โหลดแต่อย่างใด

จากการตรวจสอบข้อมูลของเว็บไซต์หลอกลวง พบว่าถูกจดโดเมนในช่วงวันที่ 19 พฤษภาคม 2563 ปัจจุบันไทยเซิร์ตได้ประสานเพื่อระงับการเข้าถึงเว็บไซต์ดังกล่าวแล้ว ทั้งนี้ ผู้ใช้ควรระมัดระวังก่อนคลิกลิงก์ที่ส่งมาใน SMS รวมถึงไม่ควรดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ไม่สามารถยืนยันความน่าเชื่อถือของแหล่งที่มา

ข้อมูล IOC #1

  • ชื่อไฟล์: thaichana.apk
  • MD5: 057ac46b3032f6dcfdcf1621e66fb588
  • SHA-1: 0e5bbebbe594a69076fb08201d896f6a4dde058b
  • SHA-256: 2723f136c3e87029e5dfb1a8142cd2f728c1674ca65162da3419f15631c795d0

ข้อมูล IOC #2

  • ชื่อไฟล์: Thaichana.apk
  • MD5: 7557a88cf8e930d33675a1cf2a3ca0f0
  • SHA-1: dff8dd372f1d3137bb41820f89b67acecb7204c1
  • SHA-256: 25f8c85774f2c0cfb7122f2a1de2301498c70c239a42d0cd9399c904c22a35b9

ข้อมูล IOC #3

  • ชื่อไฟล์: Thaichana.apk
  • MD5: f4af1492989c34a59bce963cf2d5020c
  • SHA-1: f1fad4554859695e807e724326faf4a444085e33
  • SHA-256: 6a30cb81e55c02f5ffc1f9410d067ff703b56bb0f3e48164a81c5d73f733c6f0
วันที่: 2020-05-23 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
มัลแวร์เรียกค่าไถ่ Ragnar Locker แอบติดตั้ง virtual machine ลงบนเครื่องของเหยื่อเพื่อหลบระบบตรวจจับ

ทีมวิจัยจาก Sophos Labs ได้รายงานเทคนิคที่อาชญากรใช้ในการหลบเลี่ยงระบบความมั่นคงปลอดภัยเพื่อรวบรวมและขโมยข้อมูลจากระบบของเป้าหมายก่อนที่จะติดตั้งมัลแวร์เรียกค่าไถ่ Ragnar Locker โดยเทคนิคที่ผู้โจมตีใช้นั้นคือการติดตั้ง virtual machine ที่มีเครื่องมือเจาะระบบเตรียมพร้อมไว้อยู่แล้ว จากนั้นเรียกใช้งานเครื่องมือดังกล่าวจากภายใน virtual machine แทนที่จะเป็นการดาวน์โหลดเครื่องมือโจมตีมาติดตั้งและเรียกใช้งานจากเครื่องคอมพิวเตอร์ของเหยื่อโดยตรง ซึ่งเทคนิคลักษณะนี้ทำให้ระบบตรวจจับการโจมตีนั้นป้องกันได้ยาก เนื่องจากแอปพลิเคชันและพฤติกรรมการทำงานนั้นเกิดขึ้นภายใน virtual machine ไม่ใช้บนเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ

จากรายงานของ Sophos Labs เมื่อช่วงเดือนเมษายน 2563 ผู้โจมตีได้ใช้เทคนิคนี้ดาวน์โหลดไฟล์ virtual disk image ของ Windows XP มารันบนเครื่องคอมพิวเตอร์ของเหยื่อผ่านโปรแกรม VirtualBox โดยนอกจากการติดตั้งมัลแวร์ Ragnar Locker แล้วยังได้ขโมยข้อมูลที่เป็นความลับออกไปกว่า 10 TB แล้วเรียกค่าไถ่กว่า 11 ล้านดอลลาร์สหรัฐฯ เพื่อแลกกับการไม่นำข้อมูลเหล่านั้นออกไปเผยแพร่ต่อ

ทั้งนี้ การหลบเลี่ยงระบบตรวจจับการโจมตีโดยอาศัย virtual machine มาช่วยอำพรางนั้นไม่ใช่เทคนิคใหม่ เนื่องจากมีรายงานการโจมตีโดยอาศัยเทคนิคลักษณะนี้มาก่อนหน้านี้แล้ว ผู้ดูแลระบบอาจพิจารณาปรับปรุงระบบความมั่นคงปลอดภัยโดยตรวจสอบการใช้งาน virtual machine (เช่น การรัน process หรือการติดตั้ง hardware ของ virtual machine ในระบบ) รวมถึงพิจารณาพฤติกรรมผิดปกติทางเครือข่ายร่วมด้วย

วันที่: 2020-05-22 | ที่มา: Sophos | Share on Facebook Share on Twitter Share on Google+
Microsoft เปิดข้อมูลการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับ COVID-19 ให้ใช้งานได้ฟรี รับผ่าน MISP ได้

หนึ่งในกระบวนการที่จะช่วยให้องค์กรสามารถรับมือ ตรวจจับ และป้องกันการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ คือการติดตามข้อมูลข่าวสารอย่างสม่ำเสมอ ซึ่งโดยหลัก ๆ แล้วสามารถทำได้ 2 วิธี คือ การติดตามสถานการณ์ทางไซเบอร์จากสื่อสาธารณะ (เป็นการใช้คนอ่านข้อมูล) และการรับข้อมูลที่เกี่ยวข้องกับการโจมตีจาก feed แบบอัตโนมัติ (เป็นการใช้ระบบอ่านข้อมูล) ซึ่งในช่วงสถานการณ์การระบาดของโรค COVID-19 นี้ก็มีหลายภาคส่วนได้พัฒนาแหล่งข้อมูลในลักษณะที่เป็น threat intelligence สำหรับแลกเปลี่ยนข้อมูลภัยคุกคามและการโจมตี เช่น ข้อมูลของมัลแวร์ หรือรูปแบบพฤติกรรมการโจมตีที่ควรตรวจสอบ

เมื่อวันที่ 14 พฤษภาคม 2563 บริษัท Microsoft ได้ประกาศเปิดแหล่งข้อมูลการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับ COVID-19 ให้องค์กรหรือผู้ที่สนใจดาวน์โหลดไปใช้งานได้ฟรี โดยตัวข้อมูลจะเป็นในลักษณะ indicator ค่าแฮชของมัลแวร์ จุดประสงค์เพื่อให้ผู้ดูแลระบบนำข้อมูลดังกล่าวไปปรับปรุงระบบตรวจจับหรือป้องกันการโจมตี (เช่น ตั้งค่าการบล็อคอีเมลใน Office 365 หรือเพิ่มในฐานข้อมูลของโปรแกรมแอนติไวรัส) การรับข้อมูลดังกล่าวสามารถทำได้ทั้งผ่าน Azure Sentinel และ MISP โดยตัวอย่างการตั้งค่าสามารถศึกษาเพิ่มเติมได้จากที่มา

วันที่: 2020-05-18 | ที่มา: Microsoft | Share on Facebook Share on Twitter Share on Google+
เทคนิคใหม่ของมัลแวร์เรียกค่าไถ่ ขู่ให้จ่ายเงินหากไม่อยากให้เผยแพร่เอกสารลับ

ผู้พัฒนามัลแวร์เรียกค่าไถ่หรือ ransomware นั้นมีการพัฒนาเทคนิคใหม่เพื่อทำให้เหยื่อต้องจ่ายเงินเพิ่มมากขึ้น จากเดิมจะเป็นแค่การเข้ารหัสลับข้อมูลในเครื่องของเหยื่อเพื่อให้จ่ายเงินแลกกับเครื่องมือกู้คืนไฟล์ แต่ในช่วงหลังผู้พัฒนามัลแวร์เรียกค่าไถ่ได้เริ่มใช้วิธีเข้ามาอยู่ในระบบเพื่อขโมยข้อมูลสำคัญก่อน จากนั้นเข้ารหัสลับข้อมูลในเครื่อง พร้อมทั้งขู่ว่าได้ข้อมูลลับไปด้วย หากไม่ยอมจ่ายเงินจะเผยแพร่ข้อมูลลับดังกล่าวออกสู่สาธารณะ ทั้งนี้พบมัลแวร์เรียกค่าไถ่หลายสายพันธุ์ได้เริ่มใช้เทคนิคนี้แล้ว เช่น Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza และ Netwalker ซึ่งพฤติกรรมการโจมตีในลักษณะนี้ส่งผลให้ผู้โจมตีมีโอกาสได้เงินมากขึ้น เพราะถึงแม้ว่าเหยื่อจะมีข้อมูลสำรอง ทำให้ไม่จำเป็นต้องจ่ายเงินค่าปลดล็อคไฟล์ แต่ก็ยังมีโอกาสที่จะต้องยอมจ่ายเงินเพื่อป้องกันไม่ให้ข้อมูลความลับรั่วไหลอยู่ดี

อย่างไรก็ตาม หากตกเป็นเหยื่อในกรณีดังกล่าว ไม่แนะนำให้จ่ายเงินค่าไถ่ทั้งการถอดรหัสลับกู้คืนข้อมูลและการจ่ายเงินเพื่อไม่ให้เผยแพร่ข้อมูลลับ เนื่องจากไม่สามารถยืนยันได้ว่าเมื่อจ่ายเงินไปแล้วผู้ไม่หวังดีจะให้เครื่องมือสำหรับกู้คืนหรือจะทำการลบข้อมูลตามที่ได้รับปากจริงแต่อย่างใด

เพื่อป้องกันและหลีกเลี่ยงการตกเป็นเหยื่อ ผู้ใช้งานควรอัปเดตแพตช์ของซอฟต์แวร์และระบบปฏิบัติการในเครื่อง ติดตั้งโปรแกรมป้องกันไวรัสและอัปเดตฐานข้อมูลให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และไม่ควรเปิดลิงก์หรือไฟล์ที่มาจากอีเมลที่น่าสงสัยหรือดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ

วันที่: 2020-05-18 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
ใบรับรอง CISSP มีผลเทียบเท่ากับการจบปริญญาโทจากมหาวิทยาลัยในสหราชอาณาจักร

เมื่อวันที่ 13 พฤษภาคม 2563 หน่วยงาน UK NARIC (National Recognition Information Centre) ซึ่งรับผิดชอบในเรื่องการจัดทำกรอบคุณวุฒิ (Regulated Qualifications Framework หรือ RQF) ได้ประกาศให้การสอบผ่านใบรับรอง CISSP ของ (ISC)² นั้นสามารถเทียบเคียงได้กับวุฒิปริญญาโทจากมหาวิทยาลัยในสหราชอาณาจักร องค์กรใดที่มีการกำหนดคุณสมบัติของพนักงานสามารถใช้หลักเกณฑ์นี้เพื่อพิจารณาได้

ระบบการศึกษาของสหราชอาณาจักรจะแบ่งกรอบคุณวุฒิออกเป็น 8 ระดับ โดยการศึกษาในชั้นปริญญาตรี โท เอก จะอยู่ที่ระดับ 6, 7, และ 8 ตามลำดับ ที่ผ่านมาใบรับรอง CISSP นั้นได้รับการยอมรับว่ามีความครอบคลุมในด้านความรู้เรื่องความมั่นคงปลอดภัยไซเบอร์โดยเฉพาะอย่างยิ่งในฝั่งของการบริหารจัดการ ซึ่งองค์กรหลายแห่งก็ได้ใช้ใบรับรองนี้เป็นส่วนหนึ่งในกระบวนการพิจารณาคุณสมบัติของพนักงาน ทั้งในแง่ของการรับเข้าทำงานและการปรับตำแหน่ง โดยบางองค์กรอาจพิจารณาเฉพาะวุฒิการศึกษาหรือใบรับรอง ในขณะที่บางองค์กรอาจพิจารณาทั้งคู่ การที่หน่วยงาน UK NARIC ประกาศให้ใบรับรอง CISSP มีคุณสมบัติเทียบเท่ากับการจบปริญญาโท (RQF level 7 ของสหราชอาณาจักร หรือ EQF level 7 ของสหภาพยุโรป) ก็ทำให้องค์กรในประเทศเหล่านี้สามารถปรับปรุงแนวทางการพิจารณาได้

จากประกาศของ UK NARIC หลักเกณฑ์ในการพิจารณานั้นได้ประเมินจากระดับความรู้ทั้ง 8 โดเมนของ CISSP เทียบกับรูปแบบการเรียนการสอนและการประเมินผลของมหาวิทยาลัยในสหราชอาณาจักร ซึ่งพบว่าระดับเนื้อหาและทักษะจากการสอบผ่าน CISSP นั้นเทียบได้กับระดับความรู้และทักษะของการศึกษาในระดับปริญญาโท (ดูเพิ่มเติมได้จาก https://www.isc2.org//-/media/ISC2/Certifications/CISSP/Benchmarking-the-ISC2-UK-NARIC-Exec-SumApril-2020-V2b.ashx) อย่างไรก็ตาม การสอบผ่าน CISSP นั้นไม่ได้หมายความว่าจะได้วุฒิเทียบเท่าปริญญาโท เนื่องจากระดับ RFQ นั้นมีไว้เพื่ออ้างอิงว่าผู้ที่อยู่ในระดับนี้มีความรู้ความเข้าใจที่เพียงพอตามที่ระดับมาตรฐานได้กำหนดไว้ ซึ่งข้อมูลนี้เป็นเพียงหนึ่งในปัจจัยของการพิจารณาในเรื่องการทำงานหรือการศึกษาต่อในระดับที่สูงขึ้น (ดูเพิ่มเติมได้จาก https://blog.isc2.org/isc2_blog/2020/05/cissp-comparable-to-uk-masters-degree-standard.html) ในทางปฏิบัติอาจต้องพิจารณาหลักเกณฑ์คุณสมบัติที่ทางองค์กรหรือสถาบันการศึกษาประกาศเพิ่มเติมต่อไป

วันที่: 2020-05-14 | ที่มา: Help Net Security, Infosecurity Magazine | Share on Facebook Share on Twitter Share on Google+
Microsoft และ Adobe ออกแพตช์ประจำเดือนพฤษภาคม 2563 แก้ไขช่องโหว่ระดับวิกฤตหลายรายการ ยังไม่พบรายงานการโจมตี

เมื่อวันที่ 13 พฤษภาคม 2563 ตามเวลาในประเทศไทย บริษัท Microsoft และ Adobe ได้ออกแพตช์แก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยประจำเดือน โดยรอบนี้ไม่มีช่องโหว่ 0-day หรือช่องโหว่ที่มีรายงานว่าถูกนำมาใช้โจมตีจริง อย่างไรก็ตาม ผู้ดูแลระบบและผู้ใช้งานทั่วไปควรตรวจสอบและอัปเดตแพตช์เพื่อลดความเสี่ยง

แพตช์ของ Microsoft มีช่องโหว่ที่ถูกแก้ไขทั้งหมด 111 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 13 จุด และช่องโหว่สำคัญ (Important) จำนวน 91 จุด โดยช่องโหว่ระดับวิกฤตส่วนใหญ่เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ซึ่งส่งผลให้ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายมาประมวลผลในเครื่องเป้าหมายได้จากระยะไกล และช่องโหว่ประเภท Memory Corruption ซึ่งเป็นช่องโหว่ที่อนุญาตผู้ไม่หวังดีให้สามารถแก้ไขค่าในหน่วยความจำเพื่อรันโค้ดอันตรายได้ ตัวอย่างซอฟต์แวร์ที่ได้รับผลกระทบ เช่น SharePoint, Microsoft Edge, Microsoft Scripting Engine

สำหรับแพตช์ของ Adobe มีช่องโหว่ที่ถูกแก้ไขทั้งหมด 36 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 16 จุด ส่วนใหญ่เป็นช่องโหว่ประเภท Arbitrary Code Execution ที่อนุญาตให้ผู้ไม่หวังดีสามารถรันโค้ดอันตรายบนเครื่องของเหยื่อได้ โดยแพตช์ในครั้งนี้แก้ไขช่องโหว่ในโปรแกรม Adobe Acrobat, Reader และ Adobe DNG Software Development Kit

อย่างไรก็ตาม ยังไม่มีรายงานว่าช่องโหว่เหล่านี้ถูกใช้โจมตีจริงแต่อย่างใด แต่เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ดูแลระบบและผู้ใช้งานทั่วไปควรพิจารณาอัปเดตแพตช์ เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

วันที่: 2020-05-13 | ที่มา: Bleeping Computer, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการส่ง SMS แอบอ้างเป็นรัฐบาลไทยส่งข่าวเรื่อง COVID-19 แท้จริงเป็นมัลแวร์ขโมยข้อมูลทางการเงิน

ไทยเซิร์ตพบการแพร่กระจายมัลแวร์ โจมตีผู้ใช้งาน Android ในประเทศไทย โดยช่องทางการโจมตีผู้ไม่หวังดีจะส่ง SMS ที่แอบอ้างว่าเป็นการแจ้งเตือนเรื่อง COVID-19 จากรัฐบาลไทย ใน SMS ดังกล่าวจะมีลิงก์ไปยังเว็บไซต์ thaigov[.]online ตัวอย่าง SMS แสดงในรูปที่ 1

หากเข้าไปยังเว็บไซต์ดังกล่าวโดยใช้โทรศัพท์มือถือ Android จะพบหน้าจอแจ้งให้ดาวน์โหลดโปรแกรม Adobe Flash Player มาติดตั้งในลักษณะเป็นไฟล์ .apk ดังแสดงในรูปที่ 2 ทั้งนี้มีข้อสังเกตว่าทั้งข้อความใน SMS และข้อความบนเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์นั้นเป็นภาษาไทยที่มีลักษณะเหมือนการใช้โปรแกรมแปลภาษา

จากการวิเคราะห์ไฟล์ดังกล่าวพบว่าเป็นมัลแวร์ขโมยข้อมูลทางการเงินสายพันธุ์ Cerberus ซึ่งเป็นมัลแวร์ที่มีการซื้อขายในตลาดมืด ตัวมัลแวร์มีการขอสิทธิ์ที่อาจส่งผลต่อความเป็นส่วนตัวด้วย เช่น เข้าถึงโทรศัพท์ รับส่ง SMS และบันทึกเสียง

จากการตรวจสอบข้อมูลของเว็บไซต์ thaigov[.]online พบว่าถูกจดโดเมนเมื่อวันที่ 11 พฤษภาคม 2563 ปัจจุบันไทยเซิร์ตได้ประสานเพื่อระงับการเข้าถึงเว็บไซต์ดังกล่าวแล้ว ทั้งนี้ ผู้ใช้ควรระมัดระวังก่อนคลิกลิงก์ที่ส่งมาใน SMS รวมถึงไม่ควรดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ไม่สามารถยืนยันความน่าเชื่อถือของแหล่งที่มา

ข้อมูล IOC

  • ชื่อไฟล์: UpdateFlashPlayer_11_5_2.apk
  • MD5: 6c95ffb85bc191d275f134487e7e7bbf
  • SHA-1: ff8cbe141c90514adcae89df86e2c13f423dfe9e
  • SHA-256: 51f0c43d37323aa67019769b0c9d4edb51dec18b788ba26b7b2439ce3914f267
วันที่: 2020-05-13 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
งานวิจัยจาก Intel และ Microsoft แปลงไฟล์โปรแกรมให้เป็นรูปภาพ แล้วใช้ machine learning ช่วยจำแนกประเภทมัลแวร์

ทีมวิจัยจาก Intel Labs และ Microsoft Threat Protection Intelligence ได้เปิดเผยงานวิจัยร่วมที่ใช้เทคนิค machine learning มาช่วยวิเคราะห์และจำแนก (Classify) ประเภทมัลแวร์ โดยงานวิจัยนี้มีชื่อว่า STAtic Malware-as-Image Network Analysis หรือ STAMINA หลักการทำงานแบบคร่าว ๆ คือเป็นการแปลงข้อมูลจากไฟล์ binary ให้อยู่ในรูปแบบของไฟล์รูปภาพ โดยแทนค่าโค้ดการทำงานของโปรแกรมด้วยค่าสีที่แตกต่างกันแล้วบันทึกผลที่ได้ทีละพิกเซล จากนั้นใช้เทคนิค computer vision ร่วมกับ deep learning มาช่วยวิเคราะห์รูปภาพดังกล่าวเพื่อศึกษาว่ารูปแบบของข้อมูลที่ได้นั้นเข้าข่ายเป็นมัลแวร์ประเภทใด งานวิจัยนี้ทดลองกับตัวอย่างมัลแวร์กว่า 2.2 ล้านรายการ แบ่งรูปแบบการทดลองเป็น 2 โมเดล สำหรับไฟล์ขนาดเล็กและไฟล์ขนาดใหญ่ โดยพบว่าโมเดลสำหรับการวิเคราะห์ไฟล์ขนาดเล็กนั้นสามารถจำแนกประเภทของมัลแวร์ได้ถูกต้องประมาณ 99% ส่วนโมเดลสำหรับไฟล์ขนาดใหญ่นั้นมีความถูกต้องประมาณ 95%

ข้อดีของการวิเคราะห์ข้อมูลในลักษณะนี้คือสามารถใช้เพื่อคัดกรองไฟล์ที่น่าสงสัยในเบื้องต้นได้โดยไม่จำเป็นต้องรันตัวมัลแวร์หรือวิเคราะห์จากพฤติกรรม (เป็นการทำงานในลักษณะ static analysis) อย่างไรก็ตาม ข้อจำกัดของเทคนิคนี้คือระบบยังไม่สามารถทำงานได้ดีนักหากต้องวิเคราะห์ไฟล์ binary ที่มีขนาดใหญ่มาก ๆ แผนการวิจัยในขั้นต่อไปคือพัฒนาโปรแกรมให้มีประสิทธิภาพมากยิ่งขึ้นพร้อมกับใช้ข้อมูลที่สกัดได้จากไฟล์มัลแวร์มาช่วยในการวิเคราะห์ด้วย ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมจากงานวิจัยดังกล่าวได้จากที่มา

วันที่: 2020-05-12 | ที่มา: Intel, Microsoft | Share on Facebook Share on Twitter Share on Google+
ข้อมูลลูกค้าของบริษัท GoDaddy และ DigitalOcean รั่วไหล อาจถูกใช้โจมตีได้

เมื่อช่วงต้นเดือนพฤษภาคม 2563 มีรายงานเหตุการณ์ข้อมูลรั่วไหลจากผู้ให้บริการจดทะเบียนโดเมนและบริการโฮสติ้ง ประกอบด้วย GoDaddy และ DigitalOcean ทำให้มีความเสี่ยงที่ผู้ไม่หวังดีอาจใช้ข้อมูลดังกล่าวเพื่อก่อให้เกิดความเสียหายแก่ผู้ใช้บริการได้ โดยทางผู้ให้บริการทั้ง 2 รายได้ออกแถลงการณ์และแจ้งเตือนไปยังลูกค้าที่ได้รับผลกระทบแล้ว

บริษัท GoDaddy แจ้งว่าได้ตรวจพบความผิดปกติเมื่อวันที่ 23 เมษายน 2563 โดยพบข้อมูลการตั้งค่าการเชื่อมต่อ SSH ที่น่าสงสัยบนเซิร์ฟเวอร์ของบริษัท และพบกิจกรรมทางเครือข่ายที่ผิดปกติ จึงสืบย้อนกลับไปจนพบว่าระบบดังกล่าวน่าจะถูกโจมตั้งแต่วันที่ 19 ตุลาคม 2562 แล้ว ซึ่งเหตุการณ์ที่เกิดขึ้นนั้นอาจส่งผลกระทบทำให้ข้อมูลบัญชีและรหัสผ่านเว็บโฮสติ้งของลูกค้าประมาณ 28,000 รายรั่วไหล ผู้ไม่หวังดีอาจใช้ข้อมูลดังกล่าวเพื่อเข้าถึงระบบหลังบ้านของเว็บไซต์ลูกค้าและก่อให้เกิดความเสียหายตามมาได้ ทั้งนี้ ทาง GoDaddy แจ้งว่าข้อมูลที่รั่วไหลมีเพียงชื่อบัญชีและรหัสผ่านของเว็บโฮสติ้งเท่านั้น โดยข้อมูลส่วนตัวอื่น ๆ ของลูกค้านั้นไม่ได้รับผลกระทบ อย่างไรก็ตาม ทาง GoDaddy กำลังตรวจสอบหาต้นตอสาเหตุที่เกิดขึ้นพร้อมทั้งได้รีเซ็ตบัญชีผู้ใช้และรหัสผ่านที่ได้รับผลกระทบแล้ว

ส่วนในกรณีของ DigitalOcean นั้นข้อมูลที่รั่วไหลไม่ได้เกิดจากการถูกเจาะระบบแต่เกิดจากการอัปโหลดเอกสารใช้ภายในซึ่งมีข้อมูลของลูกค้าให้สามารถเข้าถึงได้แบบสาธารณะ เอกสารนี้ถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องอย่างน้อย 15 ครั้งก่อนที่ข้อมูลจะถูกนำออก เนื้อหาในเอกสารดังกล่าวประกอบด้วยชื่ออีเมล ชื่อบัญชีผู้ใช้ ข้อมูลการชำระเงิน บันทึกการสื่อสารกับฝ่ายขายหรือฝ่ายช่วยเหลือ เป็นต้น อย่างไรก็ตาม ทาง DigitalOcean แจ้งว่าเหตุการณ์นี้ข้อมูลที่หลุดออกไปมีแค่ข้อมูลของลูกค้า โดยรหัสผ่านนั้นไม่ได้หลุดออกไปด้วย

จากตัวอย่างเหตุการณ์ทั้ง 2 กรณีนั้นจะพบว่าเหตุการณ์ข้อมูลรั่วไหลนั้นสามารถเกิดได้จากหลายสาเหตุ ไม่ว่าจะเป็นการโจมตีทางไซเบอร์ หรือการที่พนักงานเผลอปล่อยให้ข้อมูลภายในสามารถเข้าถึงได้แบบสาธารณะ ซึ่งระดับความเสียหายและผลกระทบก็จะแตกต่างกันออกไป เพื่อเป็นการป้องกัน องค์กรควรมีนโยบายคุ้มครองข้อมูล รวมถึงควรมีมาตรการตรวจสอบและแจ้งเตือนผู้ใช้ที่ได้รับผลกระทบโดยเร็ว

วันที่: 2020-05-12 | ที่มา: Bleeping Computer, The Hacker News | Share on Facebook Share on Twitter Share on Google+
ข้อมูลผู้เล่นเกม Roblox ถูกเข้าถึงโดยไม่ได้รับอนุญาต เหตุคนในนำออกมาเผยแพร่ บริษัทกำลังเร่งตรวจสอบ

Roblox เป็นเกมออนไลน์ในลักษณะโลกเสมือนที่เปิดให้ผู้เล่นสามารถออกแบบหรือเข้าเล่นเกมในโลกของผู้เล่นคนอื่นได้ เกมนี้ได้รับความนิยมสูง มียอดผู้เล่นออนไลน์กว่า 100 ล้านคนทั่วโลก ตัวเกมมีให้เล่นทั้งบนคอมพิวเตอร์ คอนโซล และโทรศัพท์มือถือ เมื่อวันที่ 4 พฤษภาคม 2563 สำนักข่าว Motherboard ได้รายงานว่าพนักงานของบริษัทที่พัฒนาเกม Roblox ได้นำข้อมูลภายในซึ่งเป็นข้อมูลของผู้เล่นเกมดังกล่าวออกมาเปิดเผยให้กับบุคคลภายนอก

จากรายงาน ผู้โจมตีได้ติดสินบนพนักงานสัญญาจ้างในแผนก customer support เพื่อให้ได้สิทธิ์เข้าถึงระบบหลังบ้านของบริการเกมออนไลน์ Roblox จากช่องทางดังกล่าว ผู้โจมตีสามารถดูอีเมล เปลี่ยนรหัสผ่าน หรือดูข้อมูลอื่น ๆ ที่เกี่ยวข้องกับบัญชีนั้นได้ ผู้สื่อข่าวของ Motherboard ได้ติดต่อไปยังผู้โจมตี โดยได้รับข้อมูลตัวอย่างภาพหน้าจอของระบบหลังบ้านที่แสดงรายละเอียดบัญชีของผู้เล่นเกม รวมถึงตัวอย่างหน้าจอระบบ customer support ทั้งนี้ทางผู้โจมตีได้ระบุว่า การประทำดังกล่าวมีจุดประสงค์เพื่อแสดงให้เห็นว่ากระบวนการหลังบ้านของ Roblox นั้นมีปัญหาจริง ๆ ทั้งนี้ ทางผู้พัฒนาเกม Roblox ได้ตอบกลับทาง Motherboard ว่าอยู่ระหว่างการแก้ไขปัญหา โดยเบื้องต้นได้แจ้งเตือนไปยังผู้เล่นที่ได้รับผลกระทบแล้ว

ถึงแม้เหตุการณ์นี้จะยังไม่มีรายงานผลกระทบที่รุนแรง (เช่น การขโมยข้อมูลบัตรเครดิตหรือการนำข้อมูลออกมาขายในตลาดมืด) แต่ก็เป็นกรณีศึกษาที่สำคัญของกระบวนการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เพราะนอกจากการแก้ไขปัญหาช่องโหว่ของระบบ และการอบรมเพื่อป้องกันไม่ให้พนักงานตกเป็นเหยื่อของฟิชชิ่งหรือมัลแวร์แล้ว หนึ่งในมาตรการป้องกันที่สำคัญและมักถูกละเลยคือการที่คนในองค์กรเป็นผู้นำข้อมูลออกมาเปิดเผยเสียเอง ซึ่งระบบที่ดีควรออกแบบกระบวนการตรวจสอบและป้องกันเหตุการณ์ในลักษณะนี้ด้วย

วันที่: 2020-05-05 | ที่มา: Motherboard, Engadget | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตี PerSwaysion ใช้บริการแชร์เอกสารออนไลน์ของ Microsoft เพื่อส่งอีเมลฟิชชิ่ง

Group-IB บริษัทด้านความมั่นคงปลอดภัยไซเบอร์จากประเทศสิงคโปร์ได้เปิดเผยเทคนิคการโจมตีที่ถูกเรียกว่า PerSwaysion ซึ่งเป็นการใช้ Microsoft Sway ที่เป็นบริการแชร์ไฟล์แบบออนไลน์ของ Microsoft เพื่อส่งอีเมลฟิชชิ่ง โดยทาง Group-IB รายงานว่าเทคนิคดังกล่าวถูกใช้โจมตีเจ้าหน้าที่ระดับสูงในบริษัทต่าง ๆ แล้วกว่า 150 แห่งทั่วโลก ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชี Microsoft Office 365 ของเหยื่อได้ และเสี่ยงที่ความลับภายในองค์กรรั่วไหล

การโจมตีแบบ PerSwaysion ผู้ประสงค์ร้ายจะใช้บริการ Microsoft Sway เพื่อส่งอีเมลแนบไฟล์ PDF โดยในไฟล์ดังกล่าวจะมีปุ่ม “Read Now” เพื่อให้คลิกไปยังหน้าเว็บไซต์ฟิชชิ่งอีกทีหนึ่ง จุดประสงค์ของการโจมตีในลักษณะนี้เพื่อหลีกเลี่ยงระบบคัดกรองอีเมล ทั้งนี้ เทคนิคการโจมตีโดยอาศัยบริการ Microsoft Sway นั้นเคยถูกใช้มาก่อนหน้านี้แล้ว (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-01-14-01.html) หน้าเว็บไซต์ฟิชชิ่งจะถูกสร้างให้ดูคล้ายกับบริการออนไลน์ของ Microsoft (เช่น Sway, SharePoint, หรือ OneNote) หากเหยื่อหลงเชื่อกรอกข้อมูลบัญชีผู้ใช้ รหัสผ่าน และข้อมูลอื่น ๆ ในหน้าฟิชชิ่งดังกล่าว ผู้ประสงค์ร้ายจะนำข้อมูลที่ได้เช่น ชื่อ นามสกุล อีเมล ชื่อบริษัท ไปสร้างไฟล์ PDF เพื่อสวมรอยหลอกลวงเหยื่อรายอื่นต่อไป

เพื่อป้องกันไม่ให้ตกเป็นเหยื่อของการโจมตีในลักษณะดังกล่าว ผู้ใช้ควรเปิดการใช้การยืนยันตัวตน 2 ขั้นตอน (2-Factor Authentication) เพื่อเพิ่มความมั่นคงปลอดภัย และระมัดระวังการคลิกลิงก์ในอีเมลน่าสงสัย รวมถึงตรวจสอบความถูกต้องของเว็บไซต์ทุกครั้งก่อนกรอกข้อมูลใด ๆ

ทั้งนี้ ทาง Group-IB ได้รวบรวมรายการอีเมลที่ได้รับผลกระทบ และจัดทำเว็บไซต์ให้ผู้ใช้งานได้เข้าไปตรวจสอบว่าตกเป็นเหยื่อของการโจมตีแบบ PerSwaysion ด้วยหรือไม่ ตามลิงก์ต่อไปนี้ https://www.group-ib.com/landing/publicalert.html ผู้ที่ต้องการตรวจสอบข้อมูลควรพิจารณาตามความเหมาะสม

วันที่: 2020-05-01 | ที่มา: Group-IB, TheHackerNews | Share on Facebook Share on Twitter Share on Google+
Clear