Clear
Lead Graphic Papers

ข่าวสั้น

เว็บไซต์ฟิชชิ่งเกินครึ่งใช้ HTTPS แล้ว ดูไอคอนกุญแจอย่างเดียวไม่ได้ต้องตรวจสอบโดเมนเว็บไซต์ด้วย

ก่อนหน้านี้หนึ่งในคำแนะนำในการตรวจสอบเว็บไซต์ฟิชชิ่ง (Phishing - เว็บไซต์ปลอมที่ทำขึ้นมาหลอกขโมยข้อมูล) คือการดูว่าเว็บไซต์ดังกล่าวนั้นใช้การเชื่อมต่อแบบที่มีการเข้ารหัสลับข้อมูลหรือไม่ ซึ่งสามารถสังเกตได้ง่ายโดยการเชื่อมต่อจะเป็นแบบ HTTPS และมีไอคอนรูปกุญแจอยู่ตรงแถบที่อยู่เว็บไซต์ สาเหตุของข้อแนะนำนี้เกิดจากในสมัยก่อนนั้นการขอใบรับรองดิจิทัลเพื่อให้เว็บไซต์สามารถใช้ HTTPS ได้นั้นมีราคาแพงและมีเงื่อนไขการขอที่ค่อนข้างเข้มงวด ส่วนใหญ่จึงมีเฉพาะเว็บไซต์ที่เกี่ยวข้องกับการเงินหรือเว็บไซต์ที่มีการรับส่งข้อมูลสำคัญที่มีการใช้งาน HTTPS ไม่ค่อยพบเว็บไซต์ฟิชชิ่งที่ใช้เทคนิคนี้เท่าไหร่นักเนื่องจากยังไม่คุ้มค่ากับการลงทุน

อย่างไรก็ตาม ในช่วงหลังค่าใช้จ่ายในการขอใบรับรองดิจิทัลเพื่อทำเว็บไซต์ให้รองรับ HTTPS นั้นเริ่มถูกลง (หรือแม้กระทั่งสามารถขอได้ฟรี) จึงเริ่มมีการพบเว็บไซต์ฟิชชิ่งที่ใช้ HTTPS เพิ่มมากขึ้น (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-04-17-01.html) เมื่อวันที่ 20 มิถุนายน 2562 บริษัท PhishLabs ได้เปิดเผยสถิติเว็บไซต์ฟิชชิ่งในช่วงไตรมาสแรกของปี 2562 พบว่าเกินครึ่ง (58%) ใช้ HTTPS แล้ว และมีแนวโน้มที่จะพบมากขึ้นเรื่อยๆ จากข้อมูลดังกล่าวน่าจะพอสรุปได้ว่าปัจจุบันคำแนะนำให้ตรวจสอบว่าเว็บไซต์ใช้การเชื่อมต่อแบบ HTTPS หรือไม่นั้นไม่สามารถใช้ยืนยันได้อีกต่อไปแล้ว

ในทางเทคนิคแล้ว เว็บไซต์ที่ใช้การเชื่อมต่อแบบ HTTPS นั้นหมายความว่าข้อมูลที่รับส่งระหว่างผู้ใช้กับตัวเว็บไซต์นั้นถูกเข้ารหัสลับไว้ บุคคลอื่นไม่สามารถดักอ่านหรือแก้ไขข้อมูลที่อยู่ระหว่างทางได้ อย่างไรก็ตาม การรับส่งข้อมูลอย่างปลอดภัยนั้นไม่ได้เป็นการยืนยันว่าข้อมูลดังกล่าวจะถูกส่งให้กับผู้ให้บริการตัวจริงหรือส่งไปยังเว็บไซต์ที่ถูกต้องแต่อย่างใด ดังนั้นเพื่อหลีกเลี่ยงการตกเป็นเหยื่อเว็บไซต์ฟิชชิ่ง ผู้ใช้ควรตรวจสอบโดเมนและที่อยู่ของเว็บไซต์ให้ถูกต้องทุกครั้งก่อนกรอกข้อมูลหรือดำเนินการใด ๆ

วันที่: 2019-06-25 | ที่มา: Bleeping Computer, PhishLabs | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ใน VLC อาจถูกแฮกยึดเครื่องได้เพียงแค่เปิดดูไฟล์วิดีโอ ควรอัปเดตเป็นเวอร์ชัน 3.0.7

VLC หรือ VideoLAN Client เป็นโปรแกรมเล่นไฟล์มัลติมีเดียแบบ open source ที่ได้รับความนิยมสูง เมื่อวันที่ 21 มิถุนายน 2562 Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Pen Test Partners ได้รายงานช่องโหว่ด้านความมั่นคงปลอดภัยในโปรแกรม VLC โดยเป็นช่องโหว่ประเภท remote code execution ที่เปิดโอกาสให้ผู้ประสงค์ร้ายสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อเพื่อแฮกเข้ามายึดเครื่องได้ ช่องโหว่นี้มีรหัส CVE-2019-5439 และ CVE-2019-12874 มีผลกระทบกับ VLC เวอร์ชัน 3.0.6 หรือต่ำกว่า

สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในฟังก์ชันการประมวลผลไฟล์วิดีโอ ทำให้ผู้ประสงค์ร้ายสามารถแทรกโค้ดอันตรายเข้ามาในไฟล์ .avi หรือ .mkv ได้ ซึ่งหากเหยื่อใช้โปรแกรม VLC เปิดไฟล์ดังกล่าว โค้ดอันตรายที่ฝังอยู่ก็จะถูกโหลดไปประมวลผล โดยสิทธิ์ที่ผู้ประสงค์ร้ายได้รับนั้นจะเทียบเท่ากับสิทธิ์ของผู้ใช้ที่เปิดโปรแกรม VLC ทั้งนี้ เนื่องจากช่องโหว่นี้มีผลกระทบกับ VLC เวอร์ชันที่เป็นปลั๊กอินของเบราว์เซอร์ด้วย ดังนั้นการโจมตีอาจไม่ได้จำกัดแค่การส่งไฟล์วิดีโอมาให้เปิดแต่อาจใช้วิธีหลอกให้เหยื่อเข้าไปยังเว็บไซต์ที่มีการเล่นไฟล์วิดีโอก็ได้

ทางผู้พัฒนาโปรแกรม VLC ได้ออกอัปเดตเวอร์ชัน 3.0.7 มาเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ผู้ใช้ควรรีบอัปเดตโปรแกรม VLC ให้เป็นเวอร์ชันล่าสุดโดยเร็ว หากยังไม่สามารถอัปเดตได้ควรงดใช้โปรแกรม VLC เปิดไฟล์วิดีโอและปิดการใช้งานปลั๊กอิน VLC ในเบราว์เซอร์ก่อนเป็นการชั่วคราว

วันที่: 2019-06-24 | ที่มา: The Hacker News, Pen Test Partners, VideoLAN | Share on Facebook Share on Twitter Share on Google+
Bitdefender ปล่อยเครื่องมือกู้คืนไฟล์จากมัลแวร์เรียกค่าไถ่ GandCrab ทุกเวอร์ชัน ดาวน์โหลดได้ฟรี

มัลแวร์เรียกค่าไถ่ GandCrab พบการแพร่ระบาดมาตั้งแต่ช่วงเดือนมกราคม 2561 โดยมีการประเมินว่าน่าจะมีเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อมัลแวร์นี้แล้วกว่า 1.5 ล้านเครื่องทั่วโลก ความเสียหายรวมกว่า 2 พันล้านดอลลาร์สหรัฐฯ เมื่อกลางเดือนมิถุนายน 2562 บริษัท Bitdefender ได้เผยแพร่เครื่องมือกู้คืนไฟล์ที่ถูกเข้ารหัสลับโดยมัลแวร์เรียกค่าไถ่ GandCrab ซึ่งจากข้อมูลระบุว่าสามารถรองรับการกู้คืนไฟล์จาก GandCrab ได้ทุกเวอร์ชัน

เครื่องมือกู้คืนไฟล์สามารถดาวน์โหลดได้จากเว็บไซต์ของ Bitdefender (https://labs.bitdefender.com/2019/06/good-riddance-gandcrab-were-still-fixing-the-mess-you-left-behind/) คู่มือการใช้งานสามารถศึกษาได้จากเว็บไซต์ No More Ransom (https://www.nomoreransom.org/uploads/GANDCRAB%20RANSOMWARE%20DECRYPTION%20TOOL%20(002).pdf) ทั้งนี้ ผู้ใช้ควรคัดลอกไฟล์ที่ถูกเข้ารหัสลับออกมากู้คืนข้อมูลบนเครื่องคอมพิวเตอร์อื่นที่ไม่ใช่เครื่องที่ติดมัลแวร์ เพื่อป้องกันปัญหาที่อาจจะเกิดขึ้น

อย่างไรก็ตาม ถึงแม้มัลแวร์เรียกค่าไถ่บางตัวจะมีเครื่องมือที่สามารถกู้คืนไฟล์ได้โดยไม่ต้องจ่ายเงิน แต่ก็มีมัลแวร์เรียกค่าไถ่อีกเป็นจำนวนมากที่จนถึงปัจจุบันก็ยังไม่มีผู้พัฒนาเครื่องมือลักษณะนี้ออกมาให้ อีกทั้งระยะเวลาที่ต้องใช้ในการศึกษาและพัฒนาเครื่องมือสำหรับกู้คืนข้อมูลก็อาจใช้เวลานานหลายเดือน ดังนั้นจึงไม่ควรคาดหวังว่าถ้าติดมัลแวร์เรียกค่าไถ่แล้วจะสามารถแก้ไขปัญหาได้เสมอไป นอกจากนี้ ยังมีบางกรณีที่ผู้พัฒนามัลแวร์เรียกค่าไถ่ปิดเว็บไซต์และยุติการทำงาน ซึ่งอาจมีการทำลายกุญแจสำหรับถอดรหัสลับข้อมูลทิ้งด้วย ทำให้ผู้ที่ตกเป็นเหยื่อไม่มีโอกาสกู้คืนข้อมูลได้ถึงแม้จะยอมจ่ายเงินออกไป (ซึ่งกรณีของ GandCrab นี้ก็เป็นหนึ่งในนั้น)

แนวทางการรับมือมัลแวร์เรียกค่าไถ่ที่ดีที่สุดคือการหมั่นสำรองข้อมูลสำคัญอยู่อย่างสม่ำเสมอ เนื่องจากหากเกิดความเสียหายขึ้นก็ยังมีข้อมูลสำรองที่พร้อมกู้ระบบกลับคืนมาทำงานต่อได้ทันที แนวทางการสำรองข้อมูลสามารถศึกษาได้จากบทความของไทยเซิร์ต (https://www.thaicert.or.th/papers/general/2017/pa2017ge002.html) นอกจากนี้ ผู้ใช้ควรตระหนักและหลีกเลี่ยงความเสี่ยงที่อาจทำให้ติดมัลแวร์ได้ เช่น ไม่คลิกลิงก์หรือเปิดไฟล์แนบในอีเมลที่น่าสงสัย ไม่ติดตั้งโปรแกรมจากแหล่งที่ไม่สามารถยืนยันได้ รวมถึงอัปเดตระบบปฏิบัติการ ซอฟต์แวร์ที่ใช้งาน รวมถึงฐานข้อมูลของโปรแกรมแอนติไวรัสอย่างสม่ำเสมอ

วันที่: 2019-06-20 | ที่มา: The Hacker News, Bitdefender | Share on Facebook Share on Twitter Share on Google+
อัปเดตด่วน Firefox ออกแพตช์แก้ไขช่องโหว่ร้ายแรงที่อาจทำให้ถูกแฮกยึดเครื่องได้ เริ่มพบการโจมตีแล้ว

เมื่อวันที่ 18 มิถุนายน 2562 ทาง Mozilla ได้ออกอัปเดตเบราว์เซอร์ Firefox เวอร์ชัน 67.0.3 และ Firefox ESR เวอร์ชัน 60.7.1 เพื่อแก้ไขช่องโหว่ระดับ Critical ที่อาจส่งผลให้ผู้ประสงค์ร้ายสามารถสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อได้ ช่องโหว่นี้สามารถโจมตีได้ง่ายเพียงแค่หลอกให้เหยื่อเข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่ ช่องโหว่นี้มีรหัส CVE-2019-11707 กระทบเฉพาะเบราว์เซอร์ Firefox บน Windows, Mac, และ Linux

ถึงแม้ทาง Mozilla จะยังไม่เปิดเผยรายละเอียดทางเทคนิคของช่องโหว่ในตอนนี้ แต่ก็มีรายงานว่าโค้ดสำหรับใช้โจมตีช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแล้ว เนื่องจากช่องโหว่นี้มีความร้ายแรงสูงและสามารถโจมตีได้ง่าย ผู้ใช้งานเบราว์เซอร์ Firefox ควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็ว

วันที่: 2019-06-19 | ที่มา: Mozilla, The Hacker News, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบมัลแวร์ใน Android หลอกขอสิทธิ์อ่าน notification เพื่อขโมย OTP

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท ESET ได้แจ้งเตือนมัลแวร์ใน Android ที่ขโมยข้อมูล OTP โดยใช้วิธีหลอกขอสิทธิ์อ่าน notification ตัวมัลแวร์ปรากฎบน Google Play Store ในช่วงต้นเดือนมิถุนายน 2562 ปัจจุบันถูกนำออกไปแล้ว

การยืนยันตัวตนแบบ 2 ปัจจัย (2-factor authentication) เป็นกระบวนการล็อกอินโดยอาศัยข้อมูล 2 อย่างมาประกอบกัน โดยทั่วไปมักจะใช้รหัสผ่านร่วมกับรหัส OTP (one-time password) ที่ได้รับทาง SMS หรืออีเมล ซึ่งปัจจุบันหลายบริการ เช่น ธนาคาร มักจะใช้วิธีการยืนยันตัวตนในรูปแบบนี้ ถึงแม้ว่าก่อนหน้านี้จะมีรายงานมัลแวร์ที่ขโมยรหัสผ่านและแอบอ่าน SMS ของเครื่องเพื่อขโมยรหัส OTP ซึ่งในช่วงหลังผู้ใช้ส่วนใหญ่ก็เริ่มตระหนักเรื่องความปลอดภัยและสังเกตพบความผิดปกติได้ง่ายขึ้น ผู้พัฒนามัลแวร์จึงเปลี่ยนไปใช้วิธีใหม่ที่แนบเนียนกว่าโดยขอสิทธิ์ในการอ่าน notification ของระบบ

ในระบบปฏิบัติการ Android นั้นผู้ใช้สามารถอนุญาตให้แอปพลิเคชันเข้าถึงหรือจัดการ notification ของระบบได้ โดยแอปพลิเคชันที่ได้รับสิทธิ์นี้จะสามารถเห็นข้อความหรือข้อมูลสำคัญที่เป็นความลับได้หมด ไม่ว่าจะเป็นเนื้อหาในอีเมล ข้อความสนทนา หรือ SMS ซึ่งถึงแม้ในหน้าจอการขออนุญาตสิทธิ์เพื่อให้แอปพลิเคชันอ่าน notification จะมีการระบุถึงความเสี่ยงเหล่านี้ไว้อยู่แล้วก็ตาม แต่ผู้ใช้ก็อาจไม่ตระหนักหรือไม่สนใจและกดยินยอมมอบสิทธิ์ไปโดยง่าย

แอปพลิเคชันมัลแวร์ที่นักวิจัยพบนี้ชื่อ BtcTurk Pro Beta ซึ่งเป็นการตั้งชื่อเลียนแบบแอปพลิเคชันของจริงโดยมีจุดประสงค์เพื่อหลอกให้ผู้ใช้สับสน ตัวแอปพลิเคชันจะหลอกขอสิทธิ์ในการอ่าน notification และเลือกกรองเฉพาะข้อความจากแอปพลิเคชันที่น่าจะใช้เพื่อรับส่ง OTP เช่น แอปพลิเคชัน SMS หรืออีเมล โดยนอกจากการอ่านข้อความแล้ว ตัวแอปะลิเคชันยังได้รับสิทธิ์ปิดหรือลบ notification ออกด้วย เพื่อป้องกันไม่ให้ผู้ใช้รู้ตัวว่าถูกสวมรอยบัญชีแล้ว

ถึงแม้ว่าแอปพลิเคชันมัลแวร์ดังกล่าวจะถูกถอดออกจาก Google Play Store ไปแล้วโดยที่ยังมียอดดาวน์โหลดไม่มากนัก แต่พฤติกรรมการขโมยข้อมูลด้วยวิธีนี้ก็เป็นตัวอย่างที่ดีถึงความเสี่ยงของการให้สิทธิ์แอปพลิเคชันเข้าถึงข้อมูลสำคัญโดยเฉพาะการอ่าน notification ดังนั้นเพื่อลดความเสี่ยงและป้องกันความเสียหาย ผู้ควรพิจารณาอย่างถี่ถ้วนก่อนมอบสิทธิ์ใดๆ ให้แอปพลิเคชัน

วันที่: 2019-06-18 | ที่มา: We Live Security, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ร้ายแรงในโปรแกรม Exim เวอร์ชันต่ำกว่า 4.92 อาจถูกแฮกยึดเครื่องได้ ควรรีบอัปเดต (CVE-2019-10149)

Exim เป็นโปรแกรมประเภท mail transfer agent (MTA) สำหรับใช้ให้บริการอีเมล เมื่อต้นเดือนมิถุนายน 2562 ผู้พัฒนา Exim ได้ออกแพตช์แก้ไขช่องโหว่ร้ายแรงรหัส CVE-2019-10149 ซึ่งเป็นช่องโหว่ที่เปิดให้โอกาสผู้ไม่หวังดีสามารถสั่งให้เครื่องปลายทางประมวลผลคำสั่งอันตรายได้จากระยะไกลรวมทั้งได้สิทธิ์ของ root โดยช่องโหว่นี้ถูกเรียกว่า The Return of the WIZard ข้อมูลช่องโหว่พร้อมโค้ดตัวอย่างได้ถูกเผยแพร่สู่สาธารณะแล้ว

ช่องโหว่นี้มีผลกระทบกับ Exim เวอร์ชัน 4.87 ถึง 4.91 ถึงแม้วิธีการโจมตีช่องโหว่นี้ต้องอาศัยองค์ประกอบหลายอย่าง แต่ก็มีรายงานว่าตั้งแต่วันที่ 9 มิถุนายน 2562 พบเซิร์ฟเวอร์ที่ถูกโจมตีผ่านช่องโหว่นี้เพิ่มมากขึ้นเรื่อยๆ โดยจากข้อมูลพบว่ามีเครื่องคอมพิวเตอร์ประมาณ 3.5 ล้านเครื่องทั่วโลกที่มีความเสี่ยงถูกโจมตีผ่านช่องโหว่นี้

แนวทางการแก้ไข เนื่องจากผู้พัฒนาได้ออกอัปเดตเพื่อแก้ไขช่องโหว่นี้แล้ว ผู้ดูแลระบบควรตรวจสอบเครื่องให้บริการอีเมลและอัปเดตโปรแกรม Exim ให้เป็นเวอร์ชัน 4.92 โดยเร็วที่สุดเพื่อลดความเสี่ยงและผลกระทบที่อาจจะเกิดขึ้น

วันที่: 2019-06-14 | ที่มา: Cybereason, ZDNet, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
อย่านิ่งนอนใจ พบการโจมตีช่องโหว่เว็บไซต์ที่ใช้ Magento ภายใน 16 ชั่วโมงหลังปล่อยแพตช์ ควรติดตามข่าวสารและรีบอัปเดต

Magento เป็นซอฟต์แวร์ประเภท CMS สำหรับใช้ในการพัฒนาและบริหารจัดการเนื้อหาเว็บไซต์ประเภท e-commerce เนื่องจากเป็นซอฟต์แวร์ที่ได้รับความนิยมสูง จึงทำให้ในช่วงที่ผ่านมาเว็บไซต์ที่ใช้ Magento ตกเป็นเป้าหมายการโจมตีทางไซเบอร์อยู่บ่อยครั้ง เนื่องจากหากโจมตีสำเร็จผู้ประสงค์ร้ายอาจได้ข้อมูลทางการเงินของผู้ที่ใช้บริการเว็บไซต์ดังกล่าว ถึงแม้ผู้พัฒนา Magento จะออกอัปเดตแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยอยู่เรื่อยๆ แต่ผู้ดูแลเว็บไซต์หลายแห่งก็อาจไม่ได้ติดตามข่าวสารและติดตั้งอัปเดตเวอร์ชันล่าสุด ซึ่งเป็นความเสี่ยงที่อาจก่อให้เกิดความเสียหายต่อระบบและข้อมูลทางการเงินได้ เพราะจากข้อมูลล่าสุดพบว่าผู้ประสงค์ร้ายเริ่มโจมตีช่องโหว่ใน Magento เพียงแค่ประมาณ 16 ชั่วโมงหลังจากที่มีการออกแพตช์

บริษัท Sanguine Security รายงานว่า หลังจากที่ผู้พัฒนา Magento ได้ออกอัปเดตซอฟต์แวร์เวอร์ชันใหม่เพื่อแก้ไขช่องโหว่ร้ายแรง และนักวิจัยที่ค้นพบช่องโหว่ดังกล่าวได้เปิดเผยข้อมูลทางเทคนิคที่เกี่ยวข้องกับช่องโหว่แล้วนั้น พบข้อมูลว่าเริ่มมีการโจมตีเว็บไซต์ที่มีช่องโหว่ดังกล่าวภายในเวลาแค่ 16 ชั่วโมงหลังจากปล่อยแพตช์ และปริมาณการโจมตีได้เพิ่มขึ้นอย่างต่อเนื่องอยู่เรื่อยๆ โดยในรายงานนั้นได้อ้างถึงช่องโหว่ใน Magento 2.x ที่ถูกแก้ไขไปในแพตช์ที่ออกมาตั้งแต่เมื่อปลายเดือนมีนาคม 2562 จากสถิติพบว่าในเดือนเมษายนมีเว็บไซต์ที่ถูกโจมตีสำเร็จประมาณ 50 แห่ง ในเดือนพฤษภาคมเพิ่มขึ้นเป็นกว่า 100 แห่ง และในเดือนมิถุนายนมีเว็บไซต์เกือบ 300 แห่งที่ถูกโจมตีผ่านช่องโหว่ดังกล่าว ซึ่งจากข้อมูลแสดงให้เห็นว่าถึงแม้ผู้พัฒนาจะมีการประกาศแจ้งเตือนและออกแพตช์แก้ไขปัญหามาแล้ว แต่ก็ยังมีเว็บไซต์จำนวนมากที่ไม่ได้รับการอัปเดตแพตช์เป็นเวลานานจนเป็นเหตุให้ถูกโจมตีได้

ดังนั้น เพื่อป้องกันและลดความเสี่ยงที่อาจจะเกิดขึ้น ผู้ดูแลเว็บไซต์ควรหมั่นติดตามข่าวสารด้านความมั่นคงปลอดภัยและอัปเดตซอฟต์แวร์ที่ใช้งานอยู่อย่างสม่ำเสมอหากทำได้ เนื่องจากระยะเวลาที่ต้องใช้ในการแก้ไขช่องโหว่นั้นสั้นลงเรื่อยๆ และหากปล่อยไว้อาจก่อให้เกิดความเสียหายขึ้นก่อนที่จะสามารถแก้ไขปัญหาได้สำเร็จ

วันที่: 2019-06-14 | ที่มา: ZDNet, Sanguine Security | Share on Facebook Share on Twitter Share on Google+
Microsoft แก้ไขช่องโหว่ร้ายแรงใน NTLM ที่อาจส่งผลให้ถูกยึดเครื่องหรือถูกสวมรอยบัญชีได้ รีบแพตช์ด่วน

ในบรรดาแพตช์ความมั่นคงปลอดภัยประจำเดือนมิถุนายน 2562 ทาง Microsoft ได้แก้ไขช่องโหว่ใน NTLM ซึ่งเป็นโพรโทคอลที่ใช้ในการยืนยันตัวตน โดยช่องโหว่ที่ถูกแก้ไขมีทั้งหมด 2 จุด ซึ่งมีความร้ายแรงและมีผลกระทบสูงเนื่องจากสามารถถูกใช้เพื่อสั่งประมวลผลคำสั่งอันตรายใดๆ ในเครื่องคอมพิวเตอร์ปลายทาง หรือถูกใช้เพื่อสวมรอยบัญชีได้ ผู้ดูแลระบบควรพิจารณาติดตั้งแพตช์โดยเร็วที่สุด

NTLM เป็นโพรโทคอลการยืนยันตัวตนที่ถูกออกแบบและใช้งานมาอย่างยาวนาน ถึงแม้โพรโทคอลนี้จะมีปัญหาทางเทคนิคที่อาจส่งผลต่อความมั่นคงปลอดภัย แต่หลายหน่วยงานก็ยังจำเป็นต้องใช้ NTLM อยู่เนื่องจากต้องรองรับระบบเก่าๆ ด้วย นักวิจัยจากบริษัท Preempt ได้ค้นพบช่องโหว่ของโพรโทคอล NTLM และพบวิธีข้ามกระบวนการตรวจสอบความถูกต้องของข้อมูล ทำให้สามารถแก้ไขเปลี่ยนแปลงข้อมูลการยืนยันตัวตน หรือดักรับและส่งต่อข้อมูลเพื่อสวมรอยล็อกอินเข้าใช้งานบริการอื่นในระบบได้ ซึ่งหนึ่งในช่องโหว่ที่พบนี้ผู้ประสงค์ร้ายสามารถได้สิทธิ์ในการสั่งประมวลผลคำสั่งอันตรายใดๆ ในเครื่องคอมพิวเตอร์ปลายทางได้ด้วย ตัวอย่างความเสียหายที่อาจจะเกิดขึ้น เช่น ผู้ประสงค์ร้ายสามารถแอบอ่านอีเมลของผู้ใช้คนอื่น หรือเชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ที่ใช้สำหรับเก็บไฟล์สำคัญที่ตนเองไม่มีสิทธิ์เข้าถึง เป็นต้น รายละเอียดเพิ่มเติมของทั้ง 2 ช่องโหว่สามารถศึกษาได้จาก CVE-2019-1019 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1019) และ CVE-2019-1040 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040)

แนวทางการป้องกัน ผู้ดูแลระบบควรติดตั้งแพตช์แก้ไขช่องโหว่โดยเร็วที่สุด หากยังไม่สามารถดำเนินการได้อาจพิจารณาเปิดใช้งาน SMB Signing, LDAP/S Signing, EPA, รวมถึงบล็อคการใช้งาน NTLMv1 และพยายามปรับปรุงกระบวนการยืนยันตัวตนไปใช้โพรโทคอลอื่นที่มีความมั่นคงปลอดภัยกว่า NTLM หากทำได้

วันที่: 2019-06-14 | ที่มา: Help Net Security, Preempt | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบช่องโหว่ร้ายแรงใน Vim เปิดไฟล์แล้วถูกสั่งรันโค้ดอันตรายบนเครื่องได้ ควรรีบอัปเดต

Armin Razmjou นักวิจัยด้านความมั่นคงปลอดภัยได้รายงานช่องโหว่ในโปรแกรม Vim และ Neovim ซึ่งเป็นโปรแกรมประเภท text editor ที่ได้รับความนิยมในกลุ่มผู้ใช้งานระบบปฏิบัติการสาย Unix เช่น Linux หรือ macOS โดยช่องโหว่ที่พบนี้ส่งผลให้เครื่องคอมพิวเตอร์ของเหยื่อถูกสั่งรันโค้ดอันตรายได้เพียงแค่เปิดไฟล์ขึ้นมาดูหรือแก้ไข สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในฟีเจอร์ modelines ซึ่งผู้ประสงค์ร้ายสามารถอาศัยฟีเจอร์นี้ในการสั่งประมวลผลคำสั่งใด ๆ ในเครื่องของเหยื่อได้ ช่องโหว่นี้มีรหัส CVE-2019-12735

ฟีเจอร์ modelines อนุญาติให้ผู้ใช้กำหนดค่าการทำงานของโปรแกรม Vim หรือ Neovim ได้โดยใส่ข้อมูลเฉพาะไว้ในส่วนหัวหรือส่วนท้ายของไฟล์เอกสาร ซึ่งเมื่อสั่งให้โปรแกรม Vim หรือ Neovim เปิดไฟล์ดังกล่าว ข้อมูลการตั้งค่านั้นก็จะถูกนำมาเรียกใช้งานทันที (ในโปรแกรม Vim และ Neovim ฟีเจอร์ modelines ถูกเปิดมาเป็นค่าเริ่มต้น) ตัวอย่างการใช้งานฟีเจอร์ modelines เช่นคำสั่ง /* vim: tw=60 ts=2: */ จะเป็นการกำหนดให้ความกว้างของกล่องข้อความเท่ากับ 60 ตัวอักษร

อย่างไรก็ตาม ฟีเจอร์ modelines นอกจากจะสามารถใช้เพื่อกำหนดค่าการทำงานของโปรแกรม Vim หรือ Neovim แล้ว ยังสามารถใช้อ่านข้อมูลการตั้งค่าจากไฟล์อื่นหรือเรียกคำสั่งอื่น ๆ ของระบบได้ด้วย ซึ่งถึงแม้ทางผู้พัฒนาโปรแกรมจะกำหนดให้คำสั่งที่รันผ่านฟีเจอร์ modelines จะทำงานได้จำกัดรวมถึงทำงานอยู่ภายใต้โหมด sandbox แล้วก็ตาม แต่นักวิจัยฯ ก็พบว่าสามารถสั่งให้ประมวลผลโค้ดที่ทะลุการป้องกันนี้ออกมาได้ โดยได้เผยแพร่ตัวอย่างโค้ดสำหรับทดสอบช่องโหว่เป็นไฟล์ .txt ที่มีโค้ดพิเศษอยู่ หากใช้ Vim หรือ Neovim เปิดไฟล์ดังกล่าวก็จะถูกรันคำสั่งสร้าง backdoor เพื่อเปิดช่องทางให้ผู้ประสงค์ร้ายเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้

หลังจากที่มีการรายงานช่องโหว่ ทางผู้พัฒนาโปรแกรม Vim และ Neovim ได้ออกอัปเดตแก้ไขมาเป็นที่เรียบร้อยแล้ว โดยเป็น Vim เวอร์ชัน 8.1.1365 และ Neovim เวอร์ชัน 0.3.6 ผู้ใช้ควรอัปเดตโปรแกรมดังกล่าวให้เป็นเวอร์ชันล่าสุดโดยเร็ว ทั้งนี้ ผู้ใช้ Linux น่าจะสามารถอัปเดตได้ผ่านช่องทางปกติของ distro ที่ใช้งานอยู่ หรือดาวน์โหลดอัปเดตจาก repository ของนักพัฒนา แต่สำหรับผู้ใช้ macOS เนื่องจากโปรแกรม Vim ถูกติดตั้งมาในลักษณะที่เป็นส่วนหนึ่งของระบบ อาจต้องรออัปเดตอย่างเป็นทางการจากทาง Apple หรือพิจารณาการใช้ช่องทางอัปเดตผ่าน Homebrew ไม่ควรดาวน์โหลดไฟล์โปรแกรมเวอร์ชันใหม่มาติดตั้งทับไฟล์เดิมโดยตรงเพราะอาจส่งผลกระทบได้ ทั้งนี้ หากยังไม่สามารถติดตั้งอัปเดตได้อาจพิจารณาปิดการใช้งานฟีเจอร์ modelines ก่อนชั่วคราว ซึ่งสามารถศึกษาวิธีการตรวจสอบและปิดฟีเจอร์ดังกล่าวได้จากที่มา

วันที่: 2019-06-12 | ที่มา: The Hacker News, Github | Share on Facebook Share on Twitter Share on Google+
ระวังภัย มัลแวร์ GoldBrute โจมตีเครื่องคอมพิวเตอร์ที่เปิด Remote Desktop ด้วยการเดารหัสผ่าน

นักวิจัยด้านความมั่นคงปลอดภัยจาก Morphus Labs แจ้งเตือนการแพร่ระบาดของมัลแวร์ GoldBrute ซึ่งเป็นมัลแวร์ประเภทบอทเน็ต (Botnet) โดยตัวมัลแวร์จะรับคำสั่งจากเครื่องควบคุมแล้วสแกนหาเครื่องคอมพิวเตอร์ที่เปิดให้สามารถล็อกอินผ่าน Remote Desktop ได้จากอินเทอร์เน็ต จากนั้นจะพยายามล็อกอินเข้าไปยังเครื่องดังกล่าวด้วยการเดารหัสผ่าน หากล็อกอินได้สำเร็จจะส่งข้อมูลกลับไปยังผู้ที่ควบคุมบอทเน็ตเพื่อนำไปใช้สร้างความเสียหายต่อไป

ยังไม่มีข้อมูลว่ามัลแวร์ GoldBrute แพร่กระจายผ่านช่องทางใด แต่เครื่องที่ติดมัลแวร์จะเชื่อมต่อไปยังเครื่องควบคุมผ่านพอร์ต 8333 โดยรายละเอียดการติดต่อสื่อสารผ่านช่องทางดังกล่าวจะถูกเข้ารหัสลับข้อมูลไว้ ในขั้นแรกเครื่องคอมพิวเตอร์ที่ติดบอทเน็ตจะสแกนหา IP ของเครื่องคอมพิวเตอร์ในอินเทอร์เน็ตที่เปิดให้สามารถล็อกอินได้ผ่าน Remote Desktop เมื่อรวบรวมปริมาณ IP ได้ครบตามจำนวนที่กำหนดจะส่งข้อมูลดังกล่าวกลับไปให้เครื่องควบคุม เพื่อที่ทางฝั่งเครื่องควบคุมจะเป็นผู้คัดเลือกและส่งรายการเครื่องคอมพิวเตอร์เป้าหมายมาให้โจมตี ทั้งนี้ เทคนิคการโจมตีที่มัลแวร์ GoldBrute ใช้คือจะล็อกอินแค่ 1 username/password ต่อเครื่องเท่านั้น หากไม่สำเร็จจะย้ายไปทำเป้าหมายถัดไปและเปลี่ยนให้คอมพิวเตอร์เครื่องอื่นที่ติดบอทเน็ตสลับเข้ามาเดารหัสล็อกอินในเครื่องเป้าหมายแทน สาเหตุที่ทำเช่นนี้เพื่อหลีกเลี่ยงระบบตรวจจับ

ข้อแนะนำในการป้องกัน
- หากไม่จำเป็นไม่ควรเปิดให้ล็อกอินผ่าน Remote Desktop ได้จากอินเทอร์เน็ต ควรอนุญาตให้เข้าถึงได้เฉพาะจากเครือข่ายภายใน
- ควรตั้งค่า Remote Desktop เพื่อตรวจสอบและป้องกันการล็อกอินที่ผิดปกติ เช่น การใส่รหัสผ่านผิดเป็นจำนวนหลายครั้ง
- ปิดกั้นการเข้าถึง IP ของเครื่องคอมพิวเตอร์ที่ใช้ควบคุมและสั่งการมัลแวร์ (สามารถดูข้อมูลเพิ่มเติมได้จากที่มา)
- อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ที่ใช้งาน และฐานข้อมูลของโปรแกรมแอนติไวรัสอย่างสม่ำเสมอ

วันที่: 2019-06-10 | ที่มา: SANS, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบคลิปสอนสร้างเงิน Bitcoin แต่ที่จริงหลอกให้ติดตั้งมัลแวร์ขโมยข้อมูล ควรตรวจสอบก่อนดาวน์โหลด

นักวิจัยด้านความมั่นคงปลอดภัยพบคลิปวิดีโอบน YouTube ที่หลอกว่าสามารถสร้างเงินสกุล Bitcoin ได้โดยการดาวน์โหลดโปรแกรมมาติดตั้ง แต่แท้จริงแล้วโปรแกรมดังกล่าวนั้นเป็นมัลแวร์ขโมยข้อมูล โดยคลิปวิดีโอที่ว่านี้แสดงวิธีใช้โปรแกรม Bitcoin Generator ซึ่งอ้างว่าสามารถสร้างเงินดิจิทัลสกุล Bitcoin ได้ พร้อมแนบลิงก์สำหรับดาวน์โหลดโปรแกรมดังกล่าวภายใต้คลิปวิดีโอ หากผู้ใช้หลงเชื่อแล้วดาวน์โหลดโปรแกรมดังกล่าวมาติดตั้งก็อาจตกเป็นเหยื่อของมัลแวร์ขโมยข้อมูลได้

มัลแวร์ที่พบนี้ชื่อ Qulab มีความสามารถขโมยชื่อผู้ใช้ รหัสผ่าน คุกกี้ และประวัติการเข้าชมเว็บไซต์ที่ถูกบันทึกอยู่บนเว็บเบราว์เซอร์ ขโมยข้อมูลการล็อกอินที่ถูกบันทึกไว้ในโปรแกรม FileZilla, Discord และ Steam รวมถึงค้นหาและขโมยไฟล์สกุล .txt, .maFile และ .wallet บนเครื่องของเหยื่อด้วย นอกจากนี้ยังสามารถตรวจจับและแก้ไขที่อยู่บัญชีเงินดิจิทัลในคลิปบอร์ดได้เพื่อหลอกให้ผู้ใช้โอนเงินดิจิทัลไปยังกระเป๋าของผู้ไม่หวังดี

ถึงแม้ว่าทาง YouTube จะลบคลิปวิดีโอดังกล่าวเพื่อยังยั้งการแพร่กระจายของมัลแวร์แล้วก็ตาม แต่นักวิจัยพบว่าผู้ไม่หวังดีก็ยังสามารถอัปโหลดคลิปใหม่ขึ้นมาได้เรื่อย ๆ ดังนั้น เพื่อป้องกันไม่ให้ตกเป็นเหยื่อ ผู้ใช้ควรพิจารณาและตรวจสอบข้อมูลเพิ่มเติมก่อนเชื่อเนื้อหาที่ปรากฎในคลิปวิดีโอเหล่านั้น รวมถึงตรวจสอบแหล่งที่มาของโปรแกรมที่จะติดตั้งลงในเครื่อง แนวทางการแก้ไขหากตกเป็นเหยื่อ ปัจจุบันโปรแกรมแอนตี้ไวรัสเริ่มทยอยอัปเดตฐานข้อมูลเพื่อให้สามารถตรวจจับและกำจัดมัลแวร์ Qulab ได้แล้ว ผู้ใช้ควรอัปเดตโปรแกรมให้เป็นเวอร์ชันล่าสุด นอกจากนี้ควรเปลี่ยนรหัสผ่านของทุกบัญชีที่มีการใช้งาน โดยเฉพาะอย่างยิ่งบัญชีที่เกี่ยวข้องกับธุรกรรมทางการเงิน

วันที่: 2019-05-30 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
ระวังภัย มัลแวร์เรียกค่าไถ่ Shade (Troldesh) กลับมาระบาดใหม่อีกรอบ แพร่ผ่านไฟล์แนบในอีเมล ในไทยตกเป็นเหยื่อแล้วกว่า 700 ราย

Shade หรือ Troldesh เป็นมัลแวร์เรียกค่าไถ่ที่พบการแพร่ระบาดมาตั้งแต่ปี 2557 ก่อนหน้านี้ตัวมัลแวร์แพร่กระจายผ่านอีเมลและชุดเครื่องมือเจาะระบบ (exploit kit) เมื่อปลายเดือนพฤษภาคม 2562 บริษัท Palo Alto Networks ได้รายงานการแพร่ระบาดของมัลแวร์ Shade เวอร์ชันใหม่ โดยหลังจากที่มัลแวร์ติดตั้งตัวเองลงในเครื่องคอมพิวเตอร์ของเหยื่อแล้วจะเข้ารหัสลับไฟล์ในเครื่อง จากนั้นเปลี่ยนนามสกุลไฟล์เป็น .crypted000007 พร้อมทั้งเปลี่ยนภาพพื้นหลังหน้าจอให้เป็นสีดำแสดงข้อความเป็นภาษารัสเซียและภาษาอังกฤษ รวมถึงสร้างไฟล์ README(ตัวเลข 1 - 10).txt ไว้บน Desktop ด้วย รายละเอียดในไฟล์ดังกล่าวจะแจ้งให้เหยื่อส่งอีเมลติดต่อกลับไปยังผู้สร้างมัลแวร์เพื่อขอข้อมูลวิธีกู้ไฟล์กลับคืน

ตั้งแต่เดือนกุมภาพันธ์ 2562 มีรายงานมัลแวร์เรียกค่าไถ่ Shade สายพันธุ์ใหม่แพร่กระจายผ่านอีเมล โดยลักษณะคือส่งลิงก์เพื่อให้กดเข้าไปดาวน์โหลดไฟล์ หรือแนบไฟล์ประเภท PDF หรือไฟล์ Zip ที่ข้างในจะมีไฟล์ JavaScript อันตรายฝังอยู่ ซึ่งหากเหยื่อหลงเชื่อเปิดไฟล์ดังกล่าวก็จะถูกดาวน์โหลดมัลแวร์เรียกค่าไถ่มาติดตั้งลงในเครื่อง เนื่องจากไฟล์ที่แนบมากับอีเมลนั้นไม่ได้เป็นไฟล์มัลแวร์จริงๆ แต่เป็นไฟล์ประเภท downloader ที่ใช้สำหรับดาวน์โหลดมัลแวร์จากเว็บไซต์ภายนอกมาติดตั้ง (ซึ่งเป็นเว็บไซต์ที่ถูกเจาะระบบเพื่อนำไฟล์มัลแวร์ไปวางไว้อีกทีหนึ่ง) ทาง Palo Alto Networks ได้วิเคราะห์การเข้าถึง URL ของเว็บไซต์ที่ถูกใช้แพร่กระจายมัลแวร์ พบว่า URL เหล่านั้นถูกเรียกจากประเทศไทยจำนวน 723 ครั้ง ซึ่งเป็นไปได้ว่าอาจมีเครื่องคอมพิวเตอร์ในไทยตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ดังกล่าวแล้วไม่ต่ำกว่า 700 เครื่อง

แนวทางการรับมือมัลแวร์เรียกค่าไถ่ หน่วยงานหรือผู้ใช้ควรสำรองข้อมูลสำคัญอย่างสม่ำเสมอ อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และฐานข้อมูลแอนติไวรัส รวมถึงพิจารณาก่อนคลิกลิงก์หรือเปิดไฟล์แนบในอีเมล ทั้งนี้ ข้อมูลเพิ่มเติม เช่น ค่า hash ของมัลแวร์ และ URL ของเว็บไซต์ที่ถูกใช้แพร่กระจายมัลแวร์ สามารถตรวจสอบได้จากที่มา

วันที่: 2019-05-29 | ที่มา: Palo Alto Networks, Security Affairs | Share on Facebook Share on Twitter Share on Google+
ผลกระทบจาก GDPR บริษัทขนาดเล็กรับภาระค่าใช้จ่ายไม่ไหว กฎหมายบางข้อถูกนำไปใช้ผิดวัตถุประสงค์

General Data Protection Regulation หรือ GDPR เป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้ในกลุ่มประเทศแถบยุโรป ซึ่งกฎหมายนี้ครอบคลุมถึงส่วนงานหรือธุรกิจที่เกี่ยวข้องกับการทำธุรกรรมร่วมกับกลุ่มประเทศในแถบนี้ด้วย ตัวกฎหมายนี้มีผลบังคับใช้ตั้งแต่วันที่ 25 พฤษภาคม 2561 เว็บไซต์ Truth on the Market ได้สรุปเหตุการณ์ที่เกิดขึ้นตลอดระยะเวลา 1 ปีหลังจากที่กฎหมายนี้ถูกประกาศใช้ โดยพบว่าถึงแม้กฎหมายฉบับนี้จะมีข้อดีหลายประการแต่ผลกระทบจากการบังคับใช้ก็ทำให้หน่วยงานด้านธุรกิจมีค่าใช้จ่ายเพิ่มขึ้น รวมถึงกฎหมายบางข้อถูกนำไปใช้ผิดวัตถุประสงค์ด้วย

หน่วยงานจำนวนมากเปิดเผยว่าการปรับปรุงระบบให้สอดคล้องกับ GDPR นั้นมีค่าใช้จ่ายที่สูง เพราะต้องจ้างทั้งวิศวกรและนักกฎหมายเพื่อให้สามารถปรับปรุงกระบวนการทำงานให้สอดคล้องกับข้อกำหนด อย่างไรก็ตาม มีบางกรณีที่ถึงแม้บริษัทจะพยายามปรับปรุงระบบเพื่อให้สอดคล้องกับกฎหมายแล้วแต่ก็ยังไม่ครอบคลุมพอจนต้องจ่ายค่าปรับด้วย ซึ่งค่าใช้จ่ายที่เกิดขึ้นนี้ส่งผลกระทบโดยตรงต่อความสามารถในการแข่งขันของบริษัทขนาดเล็กและกลาง โดยบริษัทหลายแห่งเช่น startup หรือศูนย์วิจัยที่จำเป็นต้องใช้ข้อมูลส่วนบุคคลนั้นไม่สามารถแบกรับต้นทุนค่าใช้จ่ายเพื่อให้ปฏิบัติตามกฎหมาย GDPR ได้จึงต้องปิดตัวไป ในขณะที่บริษัทขนาดใหญ่เช่น Google หรือ Facebook นั้นไม่ได้รับผลกระทบจากเรื่องนี้มากนัก

ตัวอย่างการนำข้อกฎหมายไปใช้ในเชิงไม่ตรงกับวัตถุประสงค์ เช่น
- มาตรา 15 ผู้ใช้มีสิทธิ์ตรวจสอบข้อมูลทั้งหมดของตนเองที่ผู้ให้บริการเก็บบันทึกไว้ ซึ่งหลายบริการอนุญาตให้ผู้ใช้ดาวน์โหลดข้อมูลออกมาเพื่อตรวจสอบว่าถูกเก็บข้อมูลอะไรไปบ้าง อย่างไรก็ตาม ช่องทางนี้หากผู้ประสงค์ร้ายสามารถเข้าถึงบัญชีผู้ใช้ได้ก็สามารถสั่งดาวน์โหลดข้อมูลทั้งหมดที่เกี่ยวข้องออกมาดูได้
- มาตรา 17 ผู้ใช้มีสิทธิ์ขอให้ search engine นำข้อมูลของตนเองออกจากผลการค้นหา ซึ่งมีหลายกรณีที่ผู้ต้องสงสัยในคดีฉ้อโกงหรือผู้ที่ได้รับคำวิจารณ์แบบแง่ลบได้ขอให้ search engine นำข้อมูลเหล่านั้นออกจากผลการค้นหา
- มาตรา 21 ผู้ใช้มีสิทธิ์เลือกได้ว่าจะอนุญาตให้นำข้อมูลส่วนตัวไปใช้ในหการวิเคราะห์ได้หรือไม่ ซึ่งทำให้บางบริการหากผู้ใช้ไม่ยินยอมที่จะเปิดเผยข้อมูลก็อาจไม่ได้รับการให้บริการหรือไม่สามารถเข้าถึงเนื้อหาได้เทียบเท่ากับผู้ที่ยินยอมให้นำข้อมูลไปใช้งาน

อย่างไรก็ตาม บทความนี้ส่วนใหญ่เป็นเสียงสะท้อนจากฝั่งของผู้ประกอบการเป็นหลัก โดยในความเห็นจากฝั่งของผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์มองว่าเจตนาของกฎหมายนี้มีเพื่อปกป้องสิทธิและข้อมูลของประชาชนเป็นหลัก ซึ่งในระยะสั้นอาจจะมีผลกระทบกับหน่วยงานอยู่บ้าง แต่ในระยะยาวภาพรวมของความมั่นคงปลอดภัยโดยเฉพาะการดูแลรักษาและป้องกันไม่ให้เกิดปัญหาข้อมูลรั่วไหลนั้นจะถูกปรับปรุงให้ดีขึ้นอย่างต่อเนื่องในอนาคต

วันที่: 2019-05-27 | ที่มา: Truth on the Market, F-Secure | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบแอปพลิเคชันปลอมบน Google Play Store หลอกขโมยบัญชีเงินดิจิทัล มีผู้ตกเป็นเหยื่อแล้วประมาณ 1,000 ราย

เมื่อวันที่ 23 พฤษภาคม 2562 Lukas Stefanko นักวิจัยจากบริษัท ESET รายงานแอปพลิเคชันปลอมจำนวน 2 รายการบน Google Play Store โดยแอปพลิเคชันปลอมดังกล่าวใช้ชื่อว่า Trezor Mobile Wallet และ Coin Wallet มีผู้ตกเป็นเหยื่อดาวน์โหลดแอปพลิเคชันปลอมทั้ง 2 รายการรวมแล้วกว่า 1,000 ครั้ง

แอปพลิเคชัน Trezor Mobile Wallet ตั้งชื่อเลียนแบบแอปพลิเคชัน TREZOR Manager ที่ใช้สำหรับควบคุมอุปกรณ์เก็บเงินดิจิทัลของบริษัท TREZOR จุดประสงค์เพื่อสร้างความสับสนและหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันปลอมลงบนเครื่องเพื่อขโมยบัญชีผู้ใช้และรหัสผ่าน ส่วนแอปพลิเคชัน Coin Wallet นั้นหลอกว่าเป็นแอปพลิเคชันที่ใช้สำหรับสร้างกระเป๋าเงินดิจิทัล แต่แท้จริงแล้วกระเป๋าเงินที่ถูกสร้างขึ้นนั้นเป็นกระเป๋าของผู้ไม่หวังดี จุดประสงค์เพื่อหลอกให้เหยื่อโอนเงินดิจิทัลเข้าไปยังกระเป๋าเงินดังกล่าว

หลังจากที่นักวิจัยได้เผยแพร่รายงานออกไป แอปพลิเคชันปลอมทั้ง 2 รายการได้ถูกถอดออกจาก Google Play Store เรียบร้อยแล้ว ผู้ใช้ที่เคยติดตั้งแอปพลิเคชันดังกล่าวควรถอนการติดตั้งแอปพลิเคชันและเปลี่ยนรหัสผ่านของบริการ Trezor หากเผลอกรอกชื่อบัญชีและรหัสผ่านลงไป ทั้งนี้ ผู้ใช้ควรตรวจสอบความถูกต้องและความน่าเชื่อถือของแอปพลิเคชันว่ามาจากผู้พัฒนาตัวจริงหรือไม่ โดยเฉพาะแอปพลิเคชันที่เกี่ยวกับด้านการเงิน และควรพิจารณาอย่างรอบคอบก่อนกรอกข้อมูลสำคัญใด ๆ เพื่อป้องกันการตกเป็นเหยื่อ

วันที่: 2019-05-24 | ที่มา: ESET | Share on Facebook Share on Twitter Share on Google+