Clear
Lead Graphic Papers

ข่าวสั้น

สถิติมัลแวร์เรียกค่าไถ่ครึ่งปี 2562 หน่วยงานภาคธุรกิจคือเป้าหมายหลักของการโจมตี

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นซอฟต์แวร์ที่มีจุดประสงค์เพื่อสร้างความเสียหาย โดยจะเข้ารหัสลับไฟล์ข้อมูลภายในเครื่องเพื่อไม่ให้สามารถใช้งานข้อมูลนั้น ๆ ได้ จากนั้นจะเรียกร้องให้จ่ายเงินค่าไถ่เพื่อแลกกับการได้กุญแจถอดรหัสลับข้อมูลกลับคืน (ซึ่งอาจไม่สามารถยืนยันได้ว่าหากจ่ายเงินแล้วจะกู้คืนข้อมูลได้จริงตามที่อ้าง)

จากรายงานของบริษัท Malwarebytes สถิติตั้งแต่ไตรมาสที่สองของปี 2561 จนถึงไตรมาสที่สองของปี 2562 พบมัลแวร์เรียกค่าไถ่โจมตีหน่วยงานภาคธุรกิจเพิ่มขึ้นกว่า 363% ในขณะที่การโจมตีผู้ใช้งานทั่วไปพบน้อยลง 12% สาเหตุเนื่องจากกลุ่มหน่วยงานภาคธุรกิจมีโอกาสจ่ายเงินค่าไถ่มากกว่าผู้ใช้งานทั่วไป

ข้อมูลดังกล่าวสอดคล้องกับรายงานของบริษัท Vectra โดยพบว่ามัลแวร์เรียกค่าไถ่ที่พบในอเมริกาเหนือนั้นมีการโจมตีหน่วยงานด้านการเงินและประกันภัยมากที่สุด (38%) รองลงมาคือสถานศึกษา (37%) ในขณะที่ทางฝั่งยุโรปและตะวันออกกลาง อันดับหนึ่งยังคงเป็นหน่วยงานด้านการเงินและประกันภัย (35%) โดยหน่วยงานด้านสาธารณสุขและหน่วยงานด้านพลังงานนั้นพบในอัตรา 18% และ 17% ตามลำดับ

ในประเทศไทยเองก็มีรายงานหน่วยงานถูกโจมตีจากมัลแวร์เรียกค่าไถ่อยู่เรื่อย ๆ ข้อแนะนำเบื้องต้น หน่วยงานควรติดตามข่าวสารด้านความมั่นคงปลอดภัย เฝ้าระวังมัลแวร์สายพันธุ์ใหม่ ๆ รวมถึงเพิ่มมาตรการทั้งการป้องกัน การรับมือ และการกู้คืนระบบหากเกิดปัญหา นอกจากนี้ หน่วยงานควรสร้างความตระหนักเรื่องความปลอดภัยทางไซเบอร์ให้กับบุคลากรในองค์กรอย่างสม่ำเสมอ เพื่อลดโอกาสและความเสี่ยงที่จะตกเป็นเหยื่อ

วันที่: 2019-08-15 | ที่มา: Bleeping Computer, Help Net Security | Share on Facebook Share on Twitter Share on Google+
อัปเดตด่วน Microsoft ออกแพตช์แก้ไขช่องโหว่ร้ายแรงในบริการ Remote Desktop ที่อาจถูกใช้แพร่กระจายมัลแวร์ผ่านเครือข่ายได้

เมื่อวันที่ 13 สิงหาคม 2562 บริษัท Microsoft ได้ออกแพตช์ประจำเดือนเพื่อแก้ไขช่องโหว่ทั้งหมด 89 จุด โดยมีช่องโหว่จำนวน 2 จุดในบริการ Remote Desktop ที่มีความร้ายแรงระดับ Critical ซึ่งทั้ง 2 ช่องโหว่อาจถูกใช้โจมตีเพื่อแพร่กระจายมัลแวร์ผ่านเครือข่ายได้แบบอัตโนมัติ

ทั้ง 2 ช่องโหว่มีรหัส CVE-2019-1181 และ CVE-2019-1182 ลักษณะคล้ายกับช่องโหว่ BlueKeep ที่ Microsoft ได้ออกแพตช์ไปแล้วก่อนหน้านี้ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-05-24-01.html) ระบบที่ได้รับผลกระทบจากช่องโหว่นี้ประกอบด้วย Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 และ Windows 10 ทุกเวอร์ชันรวมถึง Windows Server เวอร์ชันที่ยังได้รับการสนับสนุนจากทาง Microsoft อย่างไรก็ตาม ทาง Microsoft แจ้งว่า Windows XP, Windows Server 2003 และ Windows 2008 ไม่ได้รับผลกระทบจากช่องโหว่เหล่านี้

ถึงแม้ทาง Microsoft แจ้งว่ายังไม่พบรายงานว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริง แต่ก็แนะนำให้ผู้ใช้รีบติดตั้งแพตช์เพื่อลดความเสี่ยง ทั้งนี้ หากผู้ใช้ยังไม่สามารถอัปเดตแพตช์ได้ ควรเปิดใช้งาน Network Level Authentication (NLA) หรือตั้งค่าไม่ให้เชื่อมต่อบริการ Remote Desktop จากเครือข่ายภายนอก หรือปิดการใช้งานบริการดังกล่าวหากไม่จำเป็น

ผู้ใช้สามารถดาวน์โหลดแพตช์ที่เกี่ยวข้องได้จาก

วันที่: 2019-08-14 | ที่มา: Microsoft, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
กล้อง Canon DSLR ก็ติดมัลแวร์เรียกค่าไถ่ได้ ระวังก่อนเชื่อมต่อ PC หรือ Wi-Fi สาธารณะ

กล้อง DSLR สมัยใหม่รองรับการถ่ายโอนรูปภาพจากตัวกล้องเข้าสู่เครื่องคอมพิวเตอร์ผ่านโหมด Picture Transfer Protocol (PTP) ซึ่งสามารถทำได้ทั้งผ่าน USB และ Wi-Fi อย่างไรก็ตาม ถึงแม้ชื่อ PTP จะบ่งบอกว่าเป็นโพรโทคอลที่ใช้เพื่อถ่ายโอนรูปภาพ แต่ผู้ผลิตกล้องบางรายก็ใช้งาน PTP สำหรับคุณสมบัติอื่นเช่น ควบคุมการทำงานของกล้อง หรือใช้เพื่ออัปเดตเฟิร์มแวร์ของตัวกล้องได้ด้วย

นักวิจัยจากบริษัท Check Point พบว่ากล้อง Canon DSLR บางรุ่นนั้นมีข้อผิดพลาดในการตรวจสอบหรือประมวลผลข้อมูลที่รับส่งผ่าน PTP รวมถึงการตรวจสอบความถูกต้องของไฟล์อัปเดต ทำให้นักวิจัยสามารถสร้างไฟล์เฟิร์มแวร์ที่ฝังโค้ดเข้ารหัสลับไฟล์รูปภาพที่อยู่ในกล้องเพื่อเรียกค่าไถ่ได้ ช่องทางการโจมตีมี 2 แบบ คือเชื่อมต่อตัวกล้องเข้ากับเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ผ่ายสาย USB หรือเชื่อมต่อกล้องเข้ากับ Wi-Fi ในเครือข่ายเดียวกับเครื่องคอมพิวเตอร์ที่ติดมัลแวร์เชื่อมต่ออยู่ หากเชื่อมต่อสำเร็จเครื่องคอมพิวเตอร์ดังกล่าวจะส่งไฟล์อัปเดตเข้าไปเขียนทับเฟิร์มแวร์เดิมบนตัวกล้องแล้วเข้ารหัสลับไฟล์รูปภาพทั้งหมดที่มี

นักวิจัยได้รายงานช่องโหว่ให้ทาง Canon ทราบแล้ว โดยทางผู้พัฒนาแจ้งว่าอยู่ระหว่างทยอยออกแพตช์ให้กับอุปกรณ์ที่ได้รับผลกระทบ ซึ่งคาดว่ามีประมาณ 30 รุ่น (ทั้ง Canon EOS และ PowerShot) โดย ณ เวลาที่เขียนข่าวพบว่ายังมีแพตช์เฉพาะรุ่น EOS 80D (ตรวจสอบรุ่นที่ได้รับผลกระทบได้จาก https://www.canonwatch.com/canon-detected-security-flaw-in-wifi-protocol-lots-of-firmware-updates-to-come/amp/)

ถึงแม้ช่องโหว่นี้จะยังไม่มีรายงานการโจมตีในวงกว้างและความเสียหายยังค่อนข้างจำกัด แต่ผู้ใช้งานกล้องที่ได้รับผลกระทบก็ควรพิจารณาอัปเดตเฟิร์มแวร์เพื่อแก้ไขช่องโหว่หากทำได้ ทั้งนี้ทาง Canon ได้ให้ข้อแนะนำเพิ่มเติมว่า ในระหว่างที่ยังไม่มีเฟิร์มแวร์แก้ไขช่องโหว่ เพื่อความปลอดภัยของข้อมูล ผู้ใช้ควรพิจารณาก่อนเชื่อมต่อกล้องเข้ากับเครื่องคอมพิวเตอร์หรือ Wi-Fi ที่อาจมีความเสี่ยงด้านความมั่นคงปลอดภัย รวมทั้งควรปิดการเชื่อมต่อ Wi-Fi หากไม่จำเป็นต้องใช้งาน

วันที่: 2019-08-13 | ที่มา: Check Point, Canon, Canon Watch | Share on Facebook Share on Twitter Share on Google+
IKEA สิงคโปร์เผลอเปิดเผยข้อมูลส่วนบุคคลเนื่องจากใส่รายชื่ออีเมลลูกค้ากว่า 400 รายในช่อง To:

บริษัท IKEA ผู้จัดจำหน่ายสินค้าเฟอร์นิเจอร์ได้ออกแถลงการณ์ขออภัยลูกค้าในประเทศสิงคโปร์เนื่องจากบริษัทเผลอเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต สาเหตุเกิดจากเมื่อวันที่ 1 สิงหาคม 2562 เจ้าหน้าที่ของ IKEA ได้ส่งอีเมลประชาสัมพันธ์ โดยได้ใส่อีเมลของลูกค้าจำนวน 410 รายลงในช่อง To: แทนที่จะเป็น Bcc: ซึ่งเมื่ออีเมลฉบับดังกล่าวถูกส่งออกไปก็ทำให้ผู้รับอีเมลทราบว่ามีรายชื่ออีเมลใดบ้างที่สมัครเป็นลูกค้าของทาง IKEA

ทาง IKEA แจ้งว่าได้ประสานกับคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประเทศสิงคโปร์ (Personal Data Protection Commission of Singapore หรือ PDPC) เพื่อชี้แจงเหตุการณ์ที่เกิดขึ้นแล้ว โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศสิงคโปร์นั้นระบุว่าหน่วยงานต้องได้รับการยินยอมจากเจ้าของข้อมูลในการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งตามกฎหมายแล้วรายชื่ออีเมลก็ถือเป็นข้อมูลส่วนบุคคลด้วย

วันที่: 2019-08-07 | ที่มา: The Straitstimes Singapore | Share on Facebook Share on Twitter Share on Google+
ผลสำรวจพบ ผู้ใช้ 71% เชื่อมต่อ Wi-Fi สาธารณะโดยไม่ตระหนักเรื่องความมั่นคงปลอดภัย เสี่ยงถูกขโมยข้อมูล

เมื่อวันที่ 1 สิงหาคม 2562 องค์กร DecisionData ได้เผยแพร่ผลสำรวจการเชื่อมต่อ Wi-Fi สาธารณะ โดยเป็นข้อมูลที่รวบรวมจากกลุ่มผู้ใช้งานในประเทศสหรัฐอเมริกาจำนวน 1,195 คนเป็นเวลากว่า 2 สัปดาห์ สถิติและแนวโน้มที่น่าสนใจมีดังนี้

ผู้ตอบแบบสอบถามจำนวน 82% ยอมรับว่าเชื่อมต่อ Wi-Fi สาธารณะที่เปิดให้ใช้งานได้ฟรี โดยในจำนวนนี้มีถึง 71% ที่ไม่ได้ตระหนักหรือมีความกังวลเรื่องความมั่นคงปลอดภัยในการใช้งานแต่อย่างใด ทั้งนี้ มีผู้ใช้เพียง 25% เท่านั้นที่ตอบว่ามีความตระหนักในการใช้งาน Wi-Fi ฟรี ซึ่งจากข้อมูลเหล่านี้จะเห็นได้ว่าผู้ใช้ส่วนใหญ่มีความเสี่ยงสูงที่จะถูกขโมยข้อมูลหรืออาจถูกโจมตีทางไซเบอร์ได้

ในการเปิดให้บริการจุดเชื่อมต่อ Wi-Fi ผู้ประสงค์ร้ายสามารถตั้งชื่อเครือข่ายให้คล้ายคลึงกับชื่อของ Wi-Fi สาธารณะที่เปิดใช้งานทั่วไปได้ เช่น ตั้งเป็นชื่อร้านกาแฟหรือผู้ให้บริการอินเทอร์เน็ต จุดประสงค์เพื่อหลอกผู้ใช้งานให้เข้ามาเชื่อมต่อ ความเสี่ยงของการใช้งาน Wi-Fi ประเภทนี้คืออาจถูกขโมยข้อมูล รวมทั้งอาจมีความเสี่ยงที่จะติดมัลแวร์หรือถูกโจมตีทางไซเบอร์อีกด้วย

แนวทางการป้องกัน ผู้ใช้ควรตระหนักถึงความเสี่ยงและพิจารณาก่อนเชื่อมต่อ Wi-Fi สาธารณะ หากจำเป็นต้องใช้อาจเชื่อมต่อผ่าน VPN เพื่อลดความเสี่ยงถูกดักขโมยข้อมูล รวมถึงไม่ควรใช้ Wi-Fi สาธารณะในการทำธุรกรรมทางการเงินผ่านช่องทางออนไลน์

วันที่: 2019-08-05 | ที่มา: DecisionData | Share on Facebook Share on Twitter Share on Google+
รัฐนอร์ทแคโรไลนาสูญเงินกว่า 1.7 ล้านเหรียญเพราะตกเป็นเหยื่ออีเมลหลอกให้โอนเงิน (BEC scam)

เมื่อวันที่ 29 กรกฎาคม 2562 คาบาร์รัสเคาน์ตี้ มณฑลหนึ่งในรัฐนอร์ทแคโรไลนาของสหรัฐอเมริกา ได้ประกาศว่าตกเป็นเหยื่อของการหลอกลวงจากเหตุสวมรอยอีเมลทางธุรกิจ (Business Email Compromise scam หรือ BEC scam) มูลค่าความเสียหายรวมกว่า 1.7 ล้านดอลลาร์สหรัฐฯ

สาเหตุเกิดจากเจ้าหน้าที่ของรัฐได้รับอีเมลที่อ้างว่าส่งมาจากบริษัทเอกชนที่เป็นคู่สัญญา แจ้งว่าขอเปลี่ยนสาขาและเลขบัญชีที่ใช้รับเงินค่าก่อสร้างโรงเรียน โดยหลังจากได้รับอีเมลดังกล่าว ทางเจ้าหน้าที่ได้เปลี่ยนเลขบัญชีในระบบโดยไม่ได้โทรศัพท์ไปสอบถามยืนยันกับทางบริษัทแต่อย่างใด ในเวลาต่อมาเจ้าหน้าที่ได้โอนเงินออกไปยังบัญชีดังกล่าวรวมกว่า 2.5 ล้านดอลลาร์สหรัฐฯ โดยหลังจากที่โอนเงินออกไปแล้วเป็นระยะเวลาหนึ่งทางบริษัทได้โทรมาสอบถามเนื่องจากยังไม่ได้รับเงิน ทางรัฐได้ตรวจสอบจึงได้ทราบว่าถูกหลอกลวง เนื่องจากเงินที่ธนาคารสามารถอาญัติและการคุ้มครองจากบริษัทที่ทางรัฐได้ทำประกันไว้นั้นสามารถชดเชยค่าเสียหายได้รวมแล้วแค่ 7.7 แสนดอลลาร์ ทำให้เงินส่วนที่เหลือคือ 1.7 ล้านดอลลาร์นั้นไม่สามารถเรียกคืนได้

กรณีการส่งอีเมลปลอมเพื่อหลอกให้โอนเงินในลักษณะ BEC scam นั้นเป็นเรื่องที่เกิดขึ้นอยู่บ่อยครั้งและยังคงมีการรายงานและแจ้งเตือนกันอยู่เรื่อยๆ ซึ่งสาเหตุหลักเกิดจากอีเมลที่ใช้ติดต่อทางธุรกิจ (ของฝั่งใดฝั่งหนึ่งหรือทั้งสองฝั่ง) ถูกผู้ไม่หวังดีเข้าถึงและอ่านเนื้อหาในอีเมลได้ และผู้ไม่หวังดีได้สวมรอยบัญชีอีเมลนั้นหรือสร้างอีเมลใหม่ที่ตั้งชื่อคล้ายกับบัญชีเดิมแล้วสวมรอยเข้ามาคุยเพื่อหลอกให้โอนเงินไปอีกบัญชี

แนวทางการป้องกันไม่ให้ตกเป็นเหยื่อ BEC scam ทำได้โดยการตั้งรหัสผ่านบัญชีอีเมลให้คาดเดาได้ยาก รวมถึงเปิดใช้งานการล็อกอินแบบ 2 ชั้น หากได้รับอีเมลที่มีลักษณะแจ้งเปลี่ยนบัญชีที่ใช้โอนเงิน ควรตรวจสอบยืนยันความถูกต้องเช่นโทรศัพท์สอบถามกับผู้ติดต่อของบริษัทนั้นๆ ก่อนดำเนินการใดๆ

วันที่: 2019-08-02 | ที่มา: Bleeping Computer, Cabarrus County | Share on Facebook Share on Twitter Share on Google+
แนะนำเว็บไซต์ Adversary Playbooks รวบรวบข้อมูลการโจมตีจาก threat actor แสดงผลตาม MITRE ATT&CK

บริษัท Palo Alto Networks ได้พัฒนาและเผยแพร่เว็บไซต์ชื่อ Adversary Playbooks เมื่อตอนปลายปี 2560 โดยเว็บไซต์ดังกล่าวเป็นการรวบรวมข้อมูลการโจมตีจาก threat actor ต่างๆ แล้วนำมาจัดแสดงในรูปแบบที่เข้าใจง่าย เพื่อให้นักวิจัยหรือผู้ปฏิบัติงานด้าน incident response และ threat intelligence สามารถนำข้อมูลดังกล่าวไปใช้วิเคราะห์หรือศึกษาต่อ โดยการจัดเรียงข้อมูลจะแยกตามรายชื่อ threat actor หรือ attack campaign ตามช่วงเวลาที่ก่อเหตุ พร้อมจำแนกพฤติกรรมการโจมตีโดยอ้างอิงตาม MITRE ATT&CK framework โดยมีข้อมูล IOC ที่เกี่ยวข้องกับหัวข้อนั้นๆ เช่น โดเมนของเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ หรือค่าแฮชของไฟล์มัลแวร์ ร่วมด้วย

เมื่อวันที่ 30 กรกฎาคม 2562 ทาง Palo Alto Networks ได้อัปเดต Adversary Playbooks โดยเพิ่มเติมข้อมูล theat actor และ attack campaign อีก 11 รายการ ซึ่งส่วนใหญ่เป็นข้อมูลที่พบในช่วงปี 2561 - 2562 ผู้ที่สนใจสามารถเข้าไปดูข้อมูลดังกล่าวได้จากเว็บไซต์ https://pan-unit42.github.io/playbook_viewer/

ทั้งนี้ ทางไทยเซิร์ตได้จัดทำและเผยแพร่เอกสารชื่อ Threat Group Cards: A Threat Actor Encyclopedia ซึ่งเป็นการรวบรวมข้อมูลของ threat actor ที่เคยโจมตีมาก่อนหน้านี้ ผู้ที่สนใจสามารถใช้เอกสารดังกล่าวในการอ้างอิงประกอบการวิเคราะห์ได้ โดยสามารถดาวน์โหลดได้จาก https://www.thaicert.or.th/downloads/files/A_Threat_Actor_Encyclopedia.pdf

วันที่: 2019-08-01 | ที่มา: Palo Alto Networks, Palo Alto Networks | Share on Facebook Share on Twitter Share on Google+
เปลี่ยนรหัสผ่านด่วน! Sephora ถูกแฮก ข้อมูลส่วนบุคคลถูกเข้าถึงโดยไม่ได้รับอนุญาต

Sephora เป็นบริษัทจำหน่ายผลิตภัณฑ์ด้านความงาม โดยมีช่องทางการสั่งซื้อสินค้าแบบออนไลน์ได้จากเว็บไซต์และแอปพลิเคชันในโทรศัพท์มือถือ เมื่อวันที่ 29 กรกฎาคม 2562 บริษัท Sephora ได้เผยแพร่ประกาศแจ้งเตือนว่าระบบถูกโจมตี ข้อมูลลูกค้าบางรายถูกเข้าถึงโดยไม่ได้รับอนุญาต โดยเหตุการณ์นี้เกิดขึ้นในช่วงต้นเดือนกรกฎาคม 2562 และมีผลกระทบกับผู้ใช้ในเอเชียตะวันออกเฉียงใต้และออสเตรเลีย/นิวซีแลนด์ (รวมถึงประเทศไทยด้วย)

ในเบื้องต้นทาง Sephora ได้รีเซตรหัสผ่านของผู้ใช้ทุกคน พร้อมแจ้งเตือนผู้ใช้ให้ตรวจสอบและตั้งรหัสผ่านใหม่ ทั้งนี้ทางบริษัทได้แจ้งว่าข้อมูลบัตรเครดิตของลูกค้าไม่ได้หลุดไปด้วย ข้อมูลที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต (อ้างอิงการใช้คำตามประกาศของ Sephora) ประกอบด้วย ชื่อต้น นามสกุล วันเกิด เพศ ที่อยู่อีเมล และรหัสผ่านแบบเข้ารหัส รวมถึงข้อมูลเกี่ยวกับความพึงพอใจด้านความงาม ทั้งนี้ ทางบริษัทแจ้งว่าลูกค้าที่ไม่ได้ซื้อสินค้าผ่านช่องทางออนไลน์จะไม่ได้รับผลกระทบจากเหตุการณ์นี้

ผู้ที่ใช้เคยบริการซื้อสินค้าออนไลน์ผ่านเว็บไซต์หรือแอปพลิเคชันของ Sephora ควรตรวจสอบผลกระทบและเปลี่ยนรหัสผ่านของบริการที่ใช้งานอยู่ ทั้งนี้ควรพิจารณาตั้งรหัสผ่านที่ไม่ซ้ำกับบริการอื่นเพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายนำรหัสผ่านที่ได้ไปสวมรอยบัญชีของบริการอื่นด้วย

วันที่: 2019-07-30 | ที่มา: Sephora, Tripwire | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบการใช้เว็บไซต์ฝากไฟล์ WeTransfer เพื่อส่งอีเมลฟิชชิ่ง อย่าหลงเชื่อเปิดไฟล์

บริษัท Cofense แจ้งเตือนเทคนิคอีเมลฟิชชิ่งรูปแบบใหม่ อาศัยเว็บไซต์บริการฝากไฟล์อย่าง WeTransfer เพื่อแพร่กระจายเว็บไซต์ปลอม หากตกเป็นเหยื่ออาจถูกสวมรอยบัญชีหรือถูกขโมยข้อมูลได้ ควรระวังก่อนคลิกลิงก์

วิธีการโจมตี ผู้ประสงค์ร้ายจะสร้างไฟล์ .html ที่มีสคริปต์สำหรับพาเข้าไปยังเว็บไซต์ปลอม จากนั้นอัปโหลดไฟล์ดังกล่าวขึ้นไปยังเว็บไซต์บริการฝากไฟล์ (ในกรณีนี้เป็น WeTransfer แต่อาจมีบริการอื่นๆ ได้อีก) แล้วส่งอีเมลไฟล์นี้ให้กับเหยื่อ โดยอาจระบุข้อความในช่อง note ว่าเป็นไฟล์ที่เกี่ยวข้องกับการเงิน บัญชี หรืออื่นๆ เพื่อหลอกล่อให้เหยื่อคลิกลิงก์เข้าไปดาวน์โหลดไฟล์ดังกล่าว หากเหยื่อหลงเชื่อกดดาวน์โหลดแล้วเปิดไฟล์ ก็จะถูกพาไปยังเว็บไซต์ปลอมเพื่อหลอกขโมยข้อมูล

การส่งอีเมลฟิชชิ่งโดยอาศัยบริการฝากไฟล์เพื่อบังหน้านั้นเป็นเทคนิคการโจมตีที่เริ่มแพร่หลายมากขึ้น เนื่องจากอีเมลที่ถูกส่งออกไปนั้นเป็นอีเมลที่มาจากผู้ให้บริการตัวจริง และระบบคัดกรองอีเมลหรือระบบป้องกันฟิชชิ่งส่วนใหญ่ก็เชื่อถือบริการเหล่านี้ ทำให้การตรวจสอบและป้องกันนั้นอาจทำได้ยาก ตัวอย่างกรณีที่เคยเกิดขึ้นมาก่อนหน้านี้เช่นผู้ประสงค์ร้ายใช้ Dropbox และ OneDrive เพื่อแพร่กระจายมัลแวร์ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-07-01-01.html)

ผู้ใช้ทั่วไปควรตรวจสอบให้แน่ใจว่าอีเมลแจ้งให้ดาวน์โหลดไฟล์จากเว็บไซต์บริการฝากไฟล์นั้นมาจากผู้ส่งตัวจริง (ควรสอบถามกับเจ้าตัวโดยตรงเพื่อป้องกันกรณีอีเมลถูกแฮกสวมรอย) และพิจารณาก่อนเปิดไฟล์แนบที่เป็นอันตราย สำหรับผู้ดูแลระบบอาจต้องพิจารณาตรวจสอบการเข้าถึงหรือจำกัดการใช้งานบริการฝากไฟล์ เนื่องจากอาจเป็นช่องทางที่ใช้ในการโจมตีได้

วันที่: 2019-07-26 | ที่มา: Cofense, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
พบช่องโหว่ร้ายแรงใน ProFTPD อาจถูกสั่งรันโค้ดอันตรายหรือขโมยไฟล์จากเซิร์ฟเวอร์ได้ ควรรีบอัปเดต (CVE-2015-3306)

ProFTPD เป็นโปรแกรมสำหรับให้บริการ FTP ที่ได้รับความนิยมสูง จากข้อมูลมีเซิร์ฟเวอร์ที่ใช้งานโปรแกรมนี้รวมแล้วกว่า 1 ล้านเครื่องทั่วโลก เมื่อวันที่ 17 กรกฎาคม 2562 ผู้พัฒนา ProFTPD ได้แจ้งเตือนช่องโหว่ร้ายแรงในโปรแกรม ProFTPD เวอร์ชัน 1.3.5b หรือต่ำกว่า ซึ่งเป็นช่องโหว่ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายในเซิร์ฟเวอร์ได้จากระยะไกลรวมถึงสามารถขโมยข้อมูลจากเซิร์ฟเวอร์ได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีรหัส CVE-2015-3306

ช่องโหว่นี้ถูกรายงานโดยนักวิจัยชื่อ Tobias Mädel สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในการจัดการสิทธิ์ในโมดูล mod_copy ส่งผลให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถส่งคำสั่งและคัดลอกไฟล์ใดๆ ที่อยู่บนเซิร์ฟเวอร์ได้ เนื่องจาก mod_copy นั้นถูกติดตั้งและเปิดใช้งานมาเป็นค่าเริ่มต้นใน Linux distribution ส่วนใหญ่ (เช่น Debian) ทำให้เซิร์ฟเวอร์จำนวนมากอาจอยู่ในความเสี่ยง ทั้งนี้เนื่องจากทางผู้พัฒนา ProFTPD ได้ออกเวอร์ชัน 1.3.6 มาเพื่อแก้ไขช่องโหว่นี้แล้ว ผู้ดูแลระบบควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็ว อย่างไรก็ตาม หากยังไม่สามารถติดตั้งอัปเดตได้ควรพิจารณาปิดการใช้งาน mod_copy ก่อนเป็นการชั่วคราวเพื่อลดความเสี่ยงและผลกระทบ

วันที่: 2019-07-23 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
ระวัง แอปแต่งรูป FaceApp อัปโหลดไฟล์ขึ้นไปประมวลผลบนเซิร์ฟเวอร์ของผู้พัฒนา อยากลบต้องแจ้งเอง

FaceApp เป็นแอปพลิเคชันแต่งรูปที่ได้รับความนิยมและกำลังเป็นกระแสในโซเชียลเน็ตเวิร์ค ตัวอย่างความสามาถเด่นๆ เช่น การนำภาพเซลฟี่มาแต่งให้ดูหน้าแก่หรือจำลองการแต่งหน้าในรูปแบบต่างๆ ตัวแอปพลิเคชันนี้ถูกพัฒนาโดยบริษัทจากประเทศรัสเซีย ซึ่งทางผู้พัฒนาอ้างว่าใช้ AI มาช่วยในการวิเคราะห์และแต่งรูปด้วย อย่างไรก็ตาม ในเงื่อนไขข้อตกลงการใช้งานและกระบวนการทำงานนั้นไฟล์รูปภาพไม่ได้ถูกประมวลผลในเครื่องแต่จะถูกส่งไปยังเซิร์ฟเวอร์ภายนอก

ทั้งนี้ ทางผู้พัฒนาได้ชี้แจงว่า แอปพลิเคชัน FaceApp จะส่งเฉพาะรูปที่ผู้ใช้เลือกเข้าไปประมวลผลที่ฝั่งเซิร์ฟเวอร์ จุดประสงค์เพื่อเพิ่มประสิทธิ์ภาพการทำงาน โดยรูปที่ถูกอัปโหลดขึ้นไปจะถูกลบออกจากเซิร์ฟเวอร์ภายใน 48 ชั่วโมง อย่างไรก็ตาม หากผู้ใช้ต้องการให้ลบข้อมูลเร็วกว่านั้น ปัจจุบันยังไม่มีช่องทางให้เข้าไปลบข้อมูลได้แบบง่ายๆ ผู้ที่ต้องการขอลบข้อมูลสามารถทำได้โดยการเข้าไปที่หน้า Settings เลือก Support เลือก Report a bug และใส่คำว่า privacy ในช่องหัวข้อการรายงาน นอกจากนี้ ทางผู้พัฒนายังได้ให้ข้อมูลเพิ่มเติมว่าไม่ได้นำข้อมูลที่เก็บไว้ไปขายหรือส่งต่อให้บริษัทอื่น

การใช้แอปพลิเคชันแต่งรูปกับประเด็นความเป็นส่วนตัวนั้นเป็นสิ่งที่หลายฝ่ายเริ่้มให้ความสำคัญ ผู้ใช้ที่กังวลในเรื่องเหล่านี้ควรศึกษาข้อตกลงการใช้งานและตรวจสอบการอนุญาตสิทธิ์ก่อนทุกครั้ง รวมถึงพิจารณาก่อนอัปโหลดรูปที่อาจส่งผลกระทบต่อความเป็นส่วนตัวขึ้นสู่อินเทอร์เน็ต

วันที่: 2019-07-18 | ที่มา: TechCrunch, Forbes | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบคลิปสอนโหลดโปรแกรมโกงเกม PUBG, CS:GO ที่จริงเป็นมัลแวร์หลอกขโมยข้อมูล

ผู้ใช้ Twitter ที่ใช้นามแฝงว่า .sS.! ได้แจ้งเตือนว่ามีคลิปใน YouTube ที่สอนการใช้งานโปรแกรมโกงเกมออนไลน์อย่าง PUBG หรือ CS:GO โดยในคลิปดังกล่าวอ้างว่ามีโปรแกรมที่ใช้สำหรับโกงเกมได้ (เช่น วิ่งทะลุกำแพงหรือช่วยยิงอัตโนมัติ) พร้อมแนบลิงก์สำหรับเข้าไปดาวน์โหลดไฟล์ไว้ที่คำอธิบายด้านใต้ของคลิป อย่างไรก็ตาม ไฟล์ที่อยู่ในลิงก์ดังกล่าวนั้นแท้จริงแล้วเป็นมัลแวร์ขโมยข้อมูล

ลิงก์สำหรับดาวน์โหลดโปรแกรมโกงเกมจะพาไปยังเว็บไซต์บริการฝากไฟล์ (เช่น Mega) โดยไฟล์ที่ได้จะเป็น .zip ที่ข้างในมีตัวโปรแกรมและไฟล์ข้อความอธิบายการใช้งาน ซึ่งในไฟล์ดังกล่าวอ้างว่าก่อนใช้งานให้ปิดโปรแกรมแอนติไวรัสเพราะอาจมีผลกระทบกับโปรแกรมโกงเกม หากเหยื่อหลงเชื่อและปฏิบัติตามคำแนะนำดังกล่าวแล้วเปิดโปรแกรม ก็จะถูกขโมยข้อมูลในเครื่อง เช่น รหัสผ่านหรือประวัติการใช้งานเบราว์เซอร์ ส่งไปยังผู้ไม่หวังดี

การติดตั้งโปรแกรมที่ไม่สามารถตรวจสอบยืนยันแหล่งที่มาได้นั้นอาจมีความเสี่ยงที่ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบหรือข้อมูล ซึ่งวิธีการแพร่กระจายมัลแวร์โดยทำเป็นคลิปใน YouTube แล้วแนบลิงก์หลอกให้ดาวน์โหลดไฟล์นั้นก็มีรายงานการโจมตีกันอยู่เรื่อยๆ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-05-30-01.html) ผู้ใช้ควรระมัดระวังก่อนเชื่อหรือดาวน์โหลดโปรแกรมใดๆ จากแหล่งที่มาในลักษณะดังกล่าว

วันที่: 2019-07-12 | ที่มา: Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์แก้ไขช่องโหว่ประจำเดือนกรกฎาคม 2562 มี 2 ช่องโหว่ที่ถูกใช้โจมตีแล้ว ควรรีบอัปเดต

Microsoft ออกแพตช์แก้ไขช่องโหว่เป็นประจำทุกวันอังคารที่ 2 ของเดือน โดยแพตช์ประจำเดือนกรกฎาคม 2562 นี้แก้ไขช่องโหว่ทั้งสิ้น 77 จุด โดยมี 2 จุดที่เป็นช่องโหว่ระดับวิกฤติที่สามารถใช้เพื่อยกระดับสิทธิ์จากผู้ใช้ธรรมดาให้เป็นผู้ดูแลระบบได้ (CVE-2019-0880 และ CVE-2019-1132) ทั้ง 2 ช่องโหว่มีรายงานว่าถูกใช้โจมตีมาก่อนหน้านี้แล้ว ผู้ใช้ทั่วไปและผู้ดูแลระบบควรพิจารณาติดตั้งอัปเดตโดยเร็วที่สุดเพื่อลดความเสี่ยงและผลกระทบ

วันที่: 2019-07-10 | ที่มา: Tripwire, ZDNet | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบอีเมลฟิชชิ่งหลอกให้สแกน QR code พาเข้าเว็บไซต์ปลอมหลอกขโมยข้อมูล

นักวิจัยจากบริษัท Cofense รายงานการโจมตีแบบฟิชชิ่งที่ใช้วิธีส่งอีเมลแนบ QR code เพื่อหลอกให้ผู้ใช้นำโทรศัพท์มือถือมาสแกนโค้ดดังกล่าวซึ่งเป็นเว็บไซต์ปลอม จุดประสงค์เพื่อขโมยรหัสผ่านของบัญชี

รูปแบบวิธีการโจมตี ผู้ประสงค์ร้ายใช้การปลอมอีเมลหลอกว่าส่งมาจากพนักงานขององค์กร โดยมีเอกสารสำคัญอยู่ในระบบ SharePoint ซึ่งต้องล็อกอินเข้าไปดาวน์โหลดมาอ่าน เนื้อหาในอีเมลจะไม่มีลิงก์แต่จะมีแค่ QR code ที่อ้างว่าใช้สำหรับเข้าไปยังหน้าดาวน์โหลด หากเหยื่อหลงเชื่อยกมือถือขึ้นมาสแกนก็จะถูกพาไปยังหน้าเว็บไซต์ปลอมที่ทำหลอกว่าเป็นหน้าล็อกอินของบริการ SharePoint ซึ่งหากเหยื่อใส่ข้อมูลบัญชีและรหัสผ่านไปผู้ประสงค์ร้ายก็อาจนำข้อมูลนั้นไปสร้างความเสียหายได้

เทคนิคการหลอกให้สแกน QR code นี้ทำให้ผู้ประสงค์ร้ายสามารถข้ามระบบตรวจจับและป้องกันการโจมตีได้ โดยนอกจากอีเมลฟิชชิ่งจะถูกปล่อยผ่านให้เข้ามายังกล่องอีเมลของผู้ใช้ได้แล้ว กระบวนการยกโทรศัพท์มือถือขึ้นมาสแกน QR code นั้นยังทำให้ระบบตรวจจับฟิชชิ่งหรือมัลแวร์ขององค์กรไม่สามารถช่วยป้องกันได้ด้วยเพราะส่วนใหญ่แล้วผู้ใช้จะใช้อุปกรณ์ส่วนตัวในการดำเนินการ รวมถึงเบราว์เซอร์ของโทรศัพท์มือถืออาจไม่ได้มีการแสดง URL ที่ชัดเจนพอ ทำให้ผู้ใช้ตรวจสอบเว็บไซต์ปลอมได้ยากขึ้นด้วย

เนื่องจากความสามารถในการแชร์ลิงก์ในรูปแบบ QR code นั้นเป็นคุณสมบัติของ SharePoint อยู่แล้ว และอาจมีหลายหน่วยงานที่ใช้งานในลักษณะนี้อยู่ ดังนั้นเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ ผู้ใช้ควรตรวจสอบให้แน่ใจว่าอีเมลนั้นมาจากผู้ส่งตัวจริง เช่น ตรวจสอบชื่ออีเมล หรือสอบถามกับผู้ส่งเพื่อยืนยันความถูกต้องก่อนทำการสแกน QR code รวมถึงควรตรวจสอบที่อยู่ของเว็บไซต์ให้ถูกต้องก่อนทำการกรอกข้อมูลหรือดำเนินการใด ๆ

วันที่: 2019-07-03 | ที่มา: Cofense, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+