Clear
Lead Graphic Papers

ข่าวสั้น

จุดอ่อนของโปรแกรมสร้างความตระหนักรู้ในองค์กร

หากพูดถึงหนึ่งในมาตรการเสริมสร้างด้านความมั่นคงปลอดภัยที่องค์กรนำมาปฏิบัติ ก็มักจะนึกถึงการสร้างความตระหนักรู้ให้กับพนักงานในองค์กร ทำให้พนักงานรู้จักรูปแบบภัยคุกคาม เช่น รู้จักสังเกตลักษณะของอีเมลหลอกลวง เพื่อให้รู้เท่าทันหลีกเลี่ยงการตกเป็นเหยื่อ แต่โปรแกรมเหล่านี้อาจยังไม่ช่วยป้องกันได้อย่างสมบูรณ์ เนื่องจาก สุดท้ายแล้วขึ้นอยู่กับการตัดสินใจของพนักงานเองว่าการกระทำที่พบเป็นการหลอกลวงหรือไม่ ซึ่งกลไกที่มาช่วยเติมเต็มในส่วนนี้คือการมีกระบวนการที่ชัดเจน

ยกตัวอย่าง เช่น การหลอกลวงติดต่อไปยัง HR เพื่อขอข้อมูลส่วนบุคคลของพนักงาน หากให้ HR เป็นผู้พิจารณาเองก็มีโอกาสที่ HR จะตกเป็นเหยื่อ แต่หากมีกระบวนการที่ดี กำหนดชัดเจนว่าใครที่สามารถขอข้อมูลเหล่านี้ได้ และมีการลงนามเพื่อยืนยันตัวตน ผู้ประสงค์ร้ายต้องใช้ความพยายามปลอมเป็นผู้มีอำนาจในการเข้าถึงข้อมูล ถือเป็นการยกระดับการปกป้องกัน ช่วยลดความเสี่ยงได้มาก

อีกตัวอย่างเป็นเรื่องของ กลไก เรื่องเหตุการณ์ทดสอบหลอกให้ยามออกตราป้ายเพื่อเข้าถึงข้อมูลสำคัญ ซึ่งองค์กรของยามนั้นไม่มีกระบวนการที่ชัดเจนในการกำกับการออกป้าย ยิ่งไปกว่านั้นคือไม่มีการบันทึก ทำให้ไม่รู้ว่าเป็นยามคนไหนที่ออกป้าย ซึ่งผู้รับผิดก็คือหัวหน้าผู้จัดการที่ดูแลเรื่องความปลอดภัย

สุดท้ายเป็นเรื่องของ การสูญหายของ Thumb Drive ที่เก็บข้อมูล ซึ่งองค์กรมักจะบอกพนักงานว่าให้ระวังไม่ให้สูญหาย แต่วิธีที่ดีกว่านั้นคือการกำหนดว่าข้อมูลสำคัญระดับใดที่สามารถเก็บใส่ Thumb Drive ได้ หรือคำนึงถึงเผื่อกรณีสูญหาย ให้เข้ารหัสลับไว้หากต้องถ่ายข้อมูลสำคัญลง Thumb Drive โดยวิธีง่ายวิธีหนึ่งคือการเก็บในรูปแบบไฟล์สกุล zip ที่ใส่รหัสลับไว้

ดังนั้นแล้ว จึงเป็นเรื่องที่ดีที่องค์กรควรตรวจสอบว่าส่วนใดที่ต้องพึ่งการใช้วิจารณญาณของพนักงาน กล่าวคือ พนักงานต้องระวังในเรื่องใด เพื่อไม่ให้ตกเป็นเหยื่อ แล้วลองคิดว่าจะหากระบวนการใดมาชดเชยเพื่อลดความเสี่ยง แทนที่จะบอกให้ระวังอย่างเดียว ก็จะช่วยเสริมให้องค์กรมีความมั่นคงปลอดภัยมากขึ้น

วันที่: 2018-07-20 | ที่มา: Dark Reading | Share on Facebook Share on Twitter Share on Google+
ความมั่นคงปลอดภัยของข้อมูลบนโซเชียลมีเดีย

ในโลกโซเชียลมีเดียที่เรียกได้ว่าหลายคนใช้เวลาอยู่ในโลกแห่งนี้มากกว่าโลกแห่งความจริง แต่คำถามที่คนส่วนใหญ่ไม่ได้นึกถึงคือ ข้อมูลของเราบนโซเชียลมีเดียมีความมั่นคงปลอดภัยแค่ไหน ซึ่งหากพูดถึงความมั่นคงปลอดภัย เราสามารถจำกัดความของคำนี้ด้วยคุณสมบัติ 3 ด้านคือ

การรักษาความลับของข้อมูล (Confidentiality)

นั่นหมายถึงผู้ใช้สามารถกำหนดว่าใครสามารถเข้าถึงข้อมูลได้บ้าง ใน Facebook ผู้ใช้สามารถกำหนดได้ว่าให้ ใครก็ตาม เพื่อนหรือ กลุ่มคนที่เฉพาะ ให้สามารถอ่านโพสต์ที่สร้างไว้ สำหรับ Instagram ข้อความต่าง ๆ จะเป็นรูปแบบที่ใครก็ตามสามารถอ่านได้ แต่ก็มีช่องทาง direct message สำหรับสื่อสารในรูปแบบตัวต่อตัว

ข้อมูลไม่ถูกใครแอบมาแก้ไข (Integrity)

ในโซเชียลมีเดีย ไม่ค่อยมีปัญหาในด้านนี้ เพราะข้อมูลจะถูกแสดงในรูปแบบที่เราโพสต์โดยเป็นเรื่องยากที่จะมีคนอื่นมาแก้ไข แต่ในฐานะผู้ที่อ่านโพสต์ควรระลึกไว้ว่าข้อความที่โพสต์นั้นที่เห็นอยู่ อาจถูกแก้ไขก่อนหน้าโดยเจ้าของโพสต์เอง ซึ่งไม่ใช่ปัญหาของ Integrity และในกรณีของ Facebook ผู้ที่อ่านโพสต์ สามารถตรวจสอบดูประวัติการแก้ไขของโพสต์ได้

ข้อมูลพร้อมใช้งาน (Availability)

หมายความว่าผู้ใช้สามารถอ่านหรือแชร์ข้อความหรือรูปในโซเชียลเมื่อต้องการ แต่ในแง่มุมนึงอาจจะพูดถึงคุณสมบัติการดึงข้อมูลบนโซเชียลมีเดีย เช่น รูป หรือคลิป มาเก็บไว้บนเครื่องเพื่อใช้งานในเวลาที่ไม่สามารถเข้าถึงโซเชียลมีเดียได้ ซึ่งผู้ใช้ Facebook สามารถเรียกใช้งานความสามารถนี้ได้ที่ https://www.facebook.com/settings?tab=your_facebook_information

การที่เรารู้จักใช้วิธีควบคุม และรู้จักเลือกกำหนดการเข้าถึงข้อมูลให้เหมาะสมกับข้อมูลที่จะโพสต์ จะทำให้ข้อมูลมีความมั่นคงปลอดภัยมากขึ้น ใน Facebook หรือโซเชียลมีเดียต่าง ๆ อาจมีการอัปเดตเปลี่ยนแปลงรูปแบบการกำหนดดังกล่าว ผู้ใช้จึงควรเช็คเป็นประจำ หากต้องการข้อมูลเพิ่มเติม ผู้ใช้สามารถศึกษาข้อแนะนำในการใช้โซเชียลมีเดียได้จาก Infographic ของไทยเซิร์ต (https://www.thaicert.or.th/downloads/files/BROCHURE_Social_Network.jpg)

วันที่: 2018-07-02 | ที่มา: Trend Micro | Share on Facebook Share on Twitter Share on Google+
พบกลุ่มปฏิบัติการโจมตีใหม่ Rancor มุ่งเป้าโจมตีเฉพาะเพื่อขโมยข้อมูลในประเทศสิงค์โปร์และกัมพูชา

บริษัท Palo Alto ได้เผยแพร่การค้นพบปฏิบัติการโจมตีทางไซเบอร์โจมตีในประเทศสิงคโปร์ และกัมพูชา โดยตั้งชื่อกลุ่มผู้โจมตีว่า Rancor เชื่อว่ากลุ่มดังกล่าวมีเป้าหมายเฉพาะโจมตีหน่วยงานหรือบุคคลที่เกี่ยวข้องกับการเมืองเพื่อขโมยข้อมูล

ผู้ประสงค์ร้ายได้ใช้ไฟล์ 3 ประเภทในการเริ่มต้นโจมตีเพื่อดาวน์โหลดมัลแวร์ ได้แก่

  1. ไฟล์เอกสารประเภท Excel ที่มีโค้ดอันตรายในรูปแบบ Macro หากผู้ใช้เปิดไฟล์และเปิดใช้งาน Macro ก็จะประมวลผลโค้ดอันตรายดังกล่าว
  2. ไฟล์แนบอีเมลประเภท .hta (HTML Application File) เมื่อเปิดไฟล์ดังกล่าว จะดาวน์โหลดมัลแวร์และรูปภาพที่มีข้อมูลเกี่ยวกับการเมือง
  3. ไฟล์ประเภท DDL Loader ถูกพบในเว็บไซต์ของรัฐบาลกัมพูชา

ในรายงานระบุมัลแวร์ที่ถูกดาวน์โหลด 2 สายพันธุ์คือ Loader และ PLAINTEE สำหรับผู้ดูแลระบบที่สนใจสามารถนำข้อมูลเกี่ยวกับมัลแวร์ในรายงาน เช่น ค่า hash ของมัลแวร์หรือหมายไอพีที่มัลแวร์ติดต่อ มาใช้ตรวจสอบการบุกรุกของระบบ

ในช่วงหลายปีที่ผ่านมา เริ่มมีการพบการโจมตีแบบมุ่งเป้าหมาย เพื่อแอบแฝงและขโมยข้อมูลในระบบขององค์กรในประเทศแถบอาเซียนอยู่หลายครั้ง องค์กรจึงควรใส่ใจในเรื่องความมั่นคงปลอดภัยไซเบอร์และสร้างความตระหนักให้พนักงานในองค์กรของตนรู้จักระวังการเปิดไฟล์หรือลิงก์ที่ได้รับตามช่องทางต่าง ๆ โดยเฉพาะรู้จักความเสี่ยงในการเปิดไฟล์เอกสารและเปิดใช้งาน Macro ซึ่งเป็นช่องทางที่ผู้ประสงค์ร้ายนิยมใช้ในการเผยแพร่มัลแวร์ และหากพบความผิดปกติหรือน่าสงสัยควรแจ้งเจ้าหน้าที่ไอที

วันที่: 2018-06-28 | ที่มา: Palo Alto | Share on Facebook Share on Twitter Share on Google+
สหรัฐอเมริกาเผยข้อมูลสำหรับตรวจจับมัลแวร์สายพันธุ์ใหม่จากปฏิบัติการโจมตี HIDDEN COBRA

เมื่อวันที่ 14 มิถุนายน 2561 US-CERT ประกาศแจ้งเตือนและเผยแพร่รายงานวิเคราะห์มัลแวร์ซึ่งเกิดจากความร่วมมือระหว่าง Federal Bureau of Investigation (FBI) และ Department of Homeland Security (DHS) ของสหรัฐอเมริกา ในรายงานระบุมัลแวร์ประเภทโทรจัน สายพันธุ์ TYPEFRAME ซึ่งรัฐบาลประเทศเกาหลีเหนือใช้ในปฏิบัติการโจมตีทางไซเบอร์ชื่อ HIDDEN COBRA รายงานนี้มีบทวิเคราะห์ตัวอย่างมัลแวร์ 11 รายการ เป็น executable file บน Windows ทั้ง 32-bit และ 64-bit และไฟล์เอกสาร Microsoft Word ซึ่งมี VBA macro โดยไฟล์เหล่านี้มีความสามารถดาวน์โหลดและติดตั้งมัลแวร์ ติดตั้ง proxy และ Remote Access Trojans (RATs) สามารถเชื่อมต่อกับเซิร์ฟเวอร์ของผู้ประสงค์ร้าย (command and control server : C2) เพื่อรับคำสั่งเพิ่มเติม รวมถึงตั้งค่าใน firewall ของเหยื่อให้เปิดรับการเชื่อมต่อจากภายนอก

ในรายงานมีข้อมูลที่องค์กรสามารถนำไปใช้ในการตรวจจับมัลแวร์ดังกล่าว รวมถึงข้อแนะนำในการป้องกัน ผู้ใช้สามารถอ่านรายงานการวิเคราะห์มัลแวร์ดังกล่าวฉบับเต็มได้ที่ https://www.us-cert.gov/ncas/analysis-reports/AR18-165A และ ศึกษาข้อแนะนำในการรับมือและจัดการมัลแวร์เพิ่มเติมจากคู่มือของ NIST (https://www.nist.gov/publications/guide-malware-incident-prevention-and-handling-desktops-and-laptops)

หากตรวจพบมัลแวร์ ผู้ใช้สามารถติดต่อไทยเซิร์ตเพื่อขอคำแนะนำและความช่วยเหลือในการรับมือภัยคุกคาม โดยติดต่อได้ที่ 0-2123-1212

วันที่: 2018-06-15 | ที่มา: US-CERT | Share on Facebook Share on Twitter Share on Google+
Microsoft ปล่อยอัปเดตประจำเดือนมิถุนายน ปิดช่องโหว่ของ Windows

Microsoft เผยแพร่อัปเดตด้านความมั่นคงปลอดภัยประจำเดือนมิถุนายน 2561 สำหรับระบบปฏิบัติการ Windows เพื่อปิดช่องโหว่ 50 รายการ โดยแบ่งระดับรุนแรง 11 รายการและระดับสำคัญ 39 รายการ โดยมีช่องโหว่ 3 รายการที่ค่อนข้างส่งผลกระทบ ได้แก่

  1. ช่องโหว่ใน Microsoft Internet Explorer (หมายเลขช่องโหว่ CVE-2018-8267) เป็นช่องโหว่ประเภท Remote Code Execution ส่งผลให้ผู้ประสงค์ร้ายสั่งประมวลผลคำสั่งอันตรายจากระยะไกลเพื่อควบคุมเครื่องของเหยื่อ ช่องโหว่ดังกล่าวเกิดจากความผิดพลาดในการจัดการ error ในซอฟต์แวร์
  2. ช่องโหว่ใน Windows Domain Name Server API หรือ DNSAPI (หมายเลขโหว่ช่องโหว่ CVE-2018-8225) ใน DNS ซึ่งเป็นบริการสำคัญใน Windows เป็นหนึ่งในส่วนประกอบที่จำเป็นที่ถูกเรียกใช้ เมื่อผู้ใช้ต้องการเข้าถึงเว็บไซต์ต่าง ๆ ช่องโหว่นี้เป็นช่องโหว่ประเภท Remote Code Execution เช่นกัน ผู้ประสงค์ร้ายสามารถโจมตีโดยส่ง DNS reponse ที่มีโค้ดอันตรายไปยังเครื่องเหยื่อที่มีช่องโหว่ เพื่อควบคุมเครื่องของเหยื่อ
  3. ช่องโหว่ใน HTTP Protocol Stack (Http.sys) (หมายเลขช่องโหว่ CVE-2018-8231) เป็นช่องโหว่ประเภท Remote Code Execution เช่นกัน เกิดจากข้อผิดพลาดการจัดการข้อมูล object ในเมมโมรี

นอกจากนี้ยังมีช่องโหว่อื่นในซอฟต์แวร์ต่าง ๆ เช่น Microsoft Office, Adobe Flash Player รวมถึงส่วนประกอบอื่น ๆ ใน Windows ผู้ใช้ควรติดตั้งอัปเดตล่าสุดเพื่อปิดช่องโหว่

วันที่: 2018-06-15 | ที่มา: Microsoft | Share on Facebook Share on Twitter Share on Google+
รายงานเผย 6 เดือน เกิดโจรกรรมสกุลเงินคริปโตกว่า 1.1 พันล้านดอลล่าร์ ส่วนใหญ่มุ่งเป้าเว็บไซต์แลกเปลี่ยนสกุลเงิน

เนื่องความนิยมในการใช้งานสกุลเงินครีปโต เช่น Bitcoin ที่เพื่มขึ้นอย่างมากในหลายปีที่ผ่านมา ทำให้การโจมตีเพื่อขโมยสกุลเงินดังกล่าวเริ่มพบมากขึ้นเรื่อย ๆ ยกตัวอย่างเช่น กรณี ในเดือนมิถุนายน เว็บไซต์แลกเปลี่ยนสกุลเงินคริปโตของประเทศเกาหลีที่ชื่อ Coilrail ซึ่งเป็นหนึ่งในร้อยระบบบริการแลกสกุลเงินที่ถูกใช้งานสูงสุด ถูกขโมยเงิน เกิดความสูญเสียหลายสิบล้านดอลล่าร์

เมื่อเดือนมิถุนายน บริษัทด้านความมั่นคงปลอดภัย Carbon Black ได้เผยแพร่รายงาน Cryptocurrency Gold Rush on the Dark Web ระบุข้อมูลแนวโน้มการโจมตีไซเบอร์ที่เกี่ยวกับสกุลเงินครีปโตจาก dark web ซึ่งเป็นเว็บไซต์ที่มีลักษณะซ่อนตัว ไม่ปรากฎในผลการค้นหาเว็บไซต์ มักถูกใช้ในการแลกเปลี่ยนซื้อของ หรือการกระทำอื่น ๆ ที่ผิดกฎหมาย โดยในรายงานมีสาระสำคัญดังนี้

  1. ในช่วง 6 เดือนที่ผ่านมา พบการขโมยเงินสกุลคริปโตรวมมูลค่า 1.1 พันล้านดอลล่าร์
  2. อาชญากรไซเบอร์นิยมใช้สกุลเงิน Monero ในการทำธุรกรรมซื้อขายที่ผิดกฎหมาย มากกว่า Bitcoin เนื่องจาก ทำธุรกรรมได้เร็วกว่า มีความเป็นส่วนตัว ยากแก่การตรวจสอบ และเสียค่าใช้จ่ายในการทำธุรกรรมน้อยกว่า
  3. รูปแบบการโจมตีเพื่อขโมยเงินสกุลเงินคริปโต อาชญากรไซเบอร์ส่วนใหญ่จะโจมตีโดยใช้มัลแวร์เพื่อขโมยเงิน โดยพบ dark web กว่า 12,000 เว็บไซต์ แสดงข้อเสนอขายมัลแวร์เพื่อที่ใช้ในการขโมยเงินสกุลคริปโต กว่า 34,000 รายการ ซึ่งส่วนใหญ่ ออกแบบสำหรับบุคคลที่ไม่มีความเชี่ยวชาญทางเทคนิค ให้สามารถใช้งานเครื่องมือได้ง่าย และใช้โจมตีระบบที่มีช่องโหว่สูง ราคาตั้งแต่ 1 - 1,000 ดอลล่าร์ ตลาดโดยรวมในการซื้อขายมัลแวร์มูลค่ากว่า 6.7 ล้านดอลล่าร์
  4. ในการโจมตีส่วนใหญ่ที่พบเกิดกับ เว็บไซต์ให้บริการแลกเปลี่ยนสกุลเงินคริปโต (27%) รองลองมาได้แก่ บริษัท (21%) บุคคลทั่วไป (14%) และ หน่วยงานรัฐ (7%)

จะเห็นได้ว่า มัลแวร์ได้ถูกออกแบบให้ใช้งานได้ง่าย ทำให้การขโมยสกุลเงินคริปโตเริ่มทำได้ง่ายขึ้น ผู้ใช้ทั่วไปและบริษัทที่ใช้งานสกุลเงินคริปโตควรมีมาตรการป้องกันที่ดี อัปเดตระบบเพื่อปิดช่องโหว่ อาจพิจารณาแยกเครื่องทำธุรกรรมเกี่ยวกับสกุลเงินคริปโต ออกจากเครื่องที่ใช้งานทั่วไปเพื่อลดความเสี่ยง

ในส่วนการใช้งานเว็บไซต์แลกเปลี่ยนสกุลเงิน ควรตั้งค่ายืนยันตัวตนแบบ 2 ขั้นตอน ไม่ใช้รหัสผ่านที่คาดเดาง่าย และนำเงินออกจากเว็บไซต์หลังจากที่แลกเปลี่ยนเสร็จ ไม่ใช้เป็นที่เก็บเงินถาวร

วันที่: 2018-06-13 | ที่มา: Bank Info Security, Carbon Black | Share on Facebook Share on Twitter Share on Google+
Red Hat แจ้งเตือนพบช่องโหว่ในระบบปฏิบัติการ ส่วนจัดการ DHCP ส่งผลให้เครื่องถูกควบคุมได้ (CVE-2018-1111)

เมื่อวันที่ 15 พฤษภาคม 2561 บริษัทผู้พัฒนา Redhat ประกาศแจ้งเตือนช่องโหว่หมายเลข CVE-2018-1111 ในระบบปฎิบัติการ Red Hat Enterprise Linux 6 และ 7 ซึ่งส่งผลให้ผู้ประสงค์ร้ายสามารถส่งคำสั่งอันตรายจากระยะไกลไปยังเครื่องเหยื่อให้ทำการประมวลผลเพื่อทำการควบคุมเครื่อง (Remote Code Execution)

ช่องโหว่ดังกล่าวอยู่ในสคริปต์ที่ใช้จัดการ DHCP ซึ่งเป็นโปรโตคอลที่ใช้ในการแจกค่า Network Setting เช่น หมายเลขไอพี ให้กับเครื่องที่มาเชื่อมต่อเครือข่าย เพื่อให้สามารถติดต่อสื่อสารกับเครื่องอื่น ๆ ได้ ขั้นตอนการทำงานของ DHCP โดยเบืองต้น เริ่มจากเครื่องที่มาเชื่อมต่อเครือข่ายส่งคำร้องขอ (DHCP Request) จากนั้น DHCP เซิร์ฟเวอร์จึงส่งข้อมูลกลับไป (DHCP Response) ซึ่งเป็นค่า Network Setting ดังที่ระบุไปในข้างต้น

สคริปต์ที่มีช่องโหว่ อยู่ในเครื่องที่มาเชื่อมต่อเครือข่าย มีหน้าที่จัดการ DHCP response ซึ่งนักวิจัยพบว่าสคริปต์ดังกล่าวไม่สามารถกลั่นกรองข้อมูลได้ดีพอ ทำให้สคริปต์นำคำสั่งอันตรายที่ผู้ประสงค์ร้ายส่งแฝงมาใน DHCP response มาประมวลผล เนื่องจากสคริปต์นี้ใช้สิทธิ root ในการทำงาน ส่งผลให้ผู้ประสงค์ร้ายได้สิทธิสูงสุดและสามารถควบคุมเครื่อง

ทางผู้พัฒนา Red Hat ได้ออกแพตช์เพื่อปิดช่องโหว่แล้ว นอกจากนี้ระบบปฏิบัติการรุ่นอื่น เช่น Fedora, CentOS ก็พบช่องโหว่นี้เช่นกัน ผู้ใช้งานควรตรวจสอบจากเว็บไซต์ทางการว่ารุ่นที่ใช้งานได้รับผลกระทบหรือไม่ และควรอัปเดตเพื่อปิดช่องโหว่ ดูสามารถศึกษาวิธีการได้จากเว็บไซต์ทางการของผู้พัฒนา https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/chap-keeping_your_system_up-to-date

วันที่: 2018-05-17 | ที่มา: Redhat | Share on Facebook Share on Twitter Share on Google+
เซิร์ฟเวอร์ของ Unicef Thailand ที่เก็บข้อมูลผู้บริจาค 20,000 รายถูกเจาะระบบ แจ้งเตือนผู้ที่ได้รับผลกระทบแล้ว

Unicef Thailand ได้ประกาศผ่านทางเว็บไซต์ทางการแจ้งเตือนว่าเซิร์ฟเวอร์ของหน่วยงานถูกโจมตีทางไซเบอร์ พร้อมชี้แจงว่าไม่พบหลักฐานที่ชี้ว่ามีการเข้าถึงข้อมูลที่สำคัญ เซิร์ฟเวอร์ดังกล่าวได้จัดเก็บข้อมูลของผู้บริจาคที่บริจาคผ่านเว็บไซต์ www.unicef.or.th โดยเป็น ชื่อ ช่องทางการติดต่อ และวันเดือนปีเกิด ของผู้บริจาคจำนวนประมาณ 20,000 คน และมีข้อมูลบัตรเครดิตของผู้บริจาคประมาณ 400 ราย ซึ่งส่วนใหญ่เป็นบัตรที่หมดอายุแล้ว และธนาคารได้ดำเนินการออกบัตรใบใหม่ให้แก่ผู้บริจาคที่บัตรอาจยังไม่หมดอายุเป็นที่เรียบร้อยแล้ว โดยยูนิเซฟได้ทำการแจ้งไปยังผู้บริจาคที่เกี่ยวข้องทั้งหมดแล้ว

Unicef Thailand ได้รายงานเหตุการณ์นี้กับหน่วยงานที่เกี่ยวข้องและได้ดำเนินการร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เพื่อตรวจสอบสิ่งที่เกิดขึ้น รวมถึงกำลังดำเนินการอย่างเต็มที่เพื่อป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้ขึ้นอีก โดยกรณีที่มีข้อสงสัยเพิ่มเติมที่เกี่ยวข้อง ทาง Unicef Thailand ได้จัดเตรียมช่องทางติดต่อไว้ที่เบอร์โทรศัพท์ 02-080-5686

เจ้าของข้อมูลที่ได้รับผลกระทบอาจเสี่ยงที่จะถูกโจมตี เช่น ได้รับอีเมลที่มีจุดประสงค์เพื่อหลอกขโมยข้อมูลหรือเผยแพร่มัลแวร์ สำหรับผู้ที่สนใจสามารถศึกษาวิธีสังเกตอีเมลที่น่าสงสัยได้จากคลิปของไทยเซิร์ต https://www.facebook.com/thaicert/videos/663973140417489/

วันที่: 2018-05-10 | ที่มา: Unicef | Share on Facebook Share on Twitter Share on Google+
Stresspaint มัลแวร์สายพันธุ์ใหม่ มุ่งเป้าขโมยรหัสผ่านบัญชี Facebook แพร่ระบาดไปยังผู้ใช้มากกว่า 35,000 ราย

เมื่อต้นเดือนเมษายน นักวิจัยค้นพบมัลแวร์สายพันธุ์ที่ชื่อ Stresspaint มีความสามารถขโมยรหัสผ่านบัญชีที่เก็บไว้ใน Chrome และส่งให้ผู้ประสงค์ร้าย ซึ่งพบว่ามีความพยายามรวบรวมข้อมูลผู้ใช้งาน Facebook โดยได้นำรหัสผ่าน Facebook ที่ขโมย มาล็อกอินเพื่อเข้าถึงข้อมูลต่างๆ เช่น จำนวนเพื่อน, เพจที่สร้าง, มีการจ่ายเงินผ่านทาง Facebook หรือไม่ มัลแวร์ดังกล่าวแพร่ระบาดไปยังผู้ใช้มากกว่า 35,000 ราย ส่วนใหญ่พบในประเทศเวียดนาม รัสเซีย และปากีสถาน

สำหรับช่องทางการแพร่กระจายมัลแวร์ นักวิจัยเชื่อว่าผู้ประสงค์ร้ายได้ใช้ช่องทางอีเมลและ Facebook เพื่อหลอกให้เหยื่อเข้าเว็บไซต์และดาวน์โหลดแอปพลิเคชัน Relieve Stress Paint ซึ่งมีมัลแวร์ซ่อนอยู่ เหยื่อสามารถติดตั้งและใช้งานโปรแกรมตามปกติ ในขณะที่มัลแวร์ที่ซ่อนอยู่ได้ถูกติดตั้งและแอบขโมยข้อมูล

ถึงแม้ว่ามัลแวร์ดังกล่าวจะถูกตรวจจับโดยแอนติไวรัสส่วนใหญ่ได้แล้ว แต่ก่อนหน้านี้ในช่วงเริ่มต้นแพร่กระจาย มัลแวร์สามารถหลีกเลี่ยงการตรวจจับ โดยแทนที่จะเข้าถึงอ่านไฟล์ที่เก็บรหัสผ่านโดยตรงซึ่งถูกเฝ้าระวังโดยแอนติไวรัสส่วนใหญ่ มัลแวร์ใช้วิธี Copy ไฟล์และอ่านข้อมูลในไฟล์ดังกล่าวแทน

จะเห็นได้ว่าบัญชี Facebook ถือเป็นหนึ่งในข้อมูลสำคัญที่ผู้ประสงค์ร้ายพยายามที่จะขโมย จึงจำเป็นที่ผู้ใช้ต้องตระหนักถึงความเสี่ยงและรู้จักป้องกัน แอนติไวรัสสามารถช่วยป้องกันมัลแวร์ได้ในระดับนึง ผู้ใช้ต้องรู้เท่าทันการโจมตีและวิธีรับมือด้วย เช่น รู้จักสังเกตความผิดปกติของอีเมลที่ได้รับ หรือตั้งการยืนยันตัวตนแบบ 2 ขั้นตอนซึ่งช่วยให้บัญชีมีความมั่นคงปลอดภัยมากขึ้น

วันที่: 2018-04-27 | ที่มา: BleepingComputer | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนผู้ใช้ Drupal พบช่องโหว่ใหม่ (CVE-2018-7602) ถูกใช้โจมตี 5 ชม. หลังแพตช์ถูกปล่อย

เมื่อวันที่ 25 เมษายน เว็บไซต์ทางการ Drupal ประกาศแพตช์ปิดช่องโหว่หมายเลข CVE-2018-7602 เป็นช่องโหว่ลักษณะ Remote Code Execution ซึ่งเปิดโอกาสให้ผู้ประสงค์ร้ายเข้ามาควบคุมระบบ โดยสั่งประมวลผลคำสั่งอันตรายจากระยะไกล ช่องโหว่ดังกล่าวถูกนำมาใช้เป็นช่องทางในการโจมตีหลังจากแพตช์ถูกประกาศ 5 ชั่วโมง

ผู้ดูแลเว็บไซต์ที่ใช้ Drupal ควรอัปเดตเป็นเวอร์ชันล่าสุด (Drupal 7.59, 8.5.3, 8.4.8) ผู้ที่ยังใช้เวอร์ชัน 8.4.x ควรพิจารณาอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากผู้พัฒนา Drupal ยุติการสนับสนุนเวอร์ชันดังกล่าวแล้ว

จะเห็นได้ว่าผู้ประสงค์ร้ายมองหาโอกาสในการโจมตีอยู่ตลอดเวลา เมื่อมีการประกาศแพตช์อัปเดตช่องโหว่ ก็พยายามศึกษาค้นคว้ารายละเอียดช่องโหว่เพิ่มเติม และพัฒนาโค้ดสำหรับโจมตี ซึ่งในกรณีนี้พบการโจมตีหลังจากแพตช์ของช่องโหว่ถูกแผยแพร่เพียง 5 ชั่วโมง ผู้ดูและระบบจึงควรติดตามการเผยแพร่ข้อมูลแพตช์จากเว็บไซต์ทางการ และติดตามข่าวสารเพื่อรับทราบสถานการณ์ว่ามีการโจมตีผ่านช่องโหว่ในผลิตภัณฑ์ที่่ใช้หรือไม่ รวมถึงพิจารณาอัปเดตแพตช์โดยเร็วที่สุด

วันที่: 2018-04-26 | ที่มา: Drupal, BleepingComputer | Share on Facebook Share on Twitter Share on Google+
แนวทางการเตรียมตัวและรับมือกรณีข้อมูลรั่วไหลสำหรับหน่วยงานเก็บข้อมูลส่วนบุคคลในออสเตรเลีย

เมื่อเดือนกุมภาพันธ์ หน่วยงานภาครัฐของประเทศออสเตรเลีย Office of the Australia Information Commissioner ได้เผยแพร่เอกสารชื่อ Data breach preparation and response - A guide to managing data breaches in accordance with the Privacy Act 1988 ซึ่งแนวทางการเตรียมตัวและรับมือกรณีข้อมูลรั่วไหลสำหรับหน่วยงานที่เก็บข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับกฎหมายคุ้มครองความเป็นส่วนตัว Privacy Act 1988 โดยสรุป เอกสารได้แบ่งเป็น 5 ส่วนคือ

  1. การรั่วไหลของข้อมูลและกฎหมายคุ้มครองความเป็นส่วนตัว (Data breaches and the Australian Privacy Act) อธิบายความหมายและผลกระทบของข้อมูลที่รั่วไหล แนะนำกฎหมาย the Privacy Act 1988 ซึ่งเนื้อส่วนหนึ่งระบุถึงแนวทาง 13 ประการในการจัดการข้อมูลส่วนบุคคล มีเนื้อหา เช่น การเก็บข้อมูลส่วนบุคคลสามารถเก็บได้มากน้อยแค่ไหน การจัดการข้อมูลส่วนบุคคลที่ไม่จำเป็นต้องใช้แล้ว แนวทางการรักษาความมั่นคงปลอดภัยของข้อมูล (https://www.oaic.gov.au/agencies-and-organisations/app-guidelines/)
    นอกจากนี้ยังพูดถึง The Notifiable Data Breaches (NDB) scheme ซึ่งเป็นข้อบังคับให้หน่วยงานต้องแจ้งผู้ได้รับผลกระทบและหน่วยงานที่กำกับดูแล เมื่อข้อมูลส่วนบุคคลรั่วไหลหรือถูกขโมย และคาดว่าจะส่งผลกระทบร้ายแรงกับผู้ที่เกี่ยวข้อง และหน่วยงานไม่สามารถควบคุมหรือจัดการได้ นอกจากนี้หน่วยงานบางหน่วยงานอาจจำเป็นต้องปฏิบัติตามข้อบังคับเพิ่มเติม เช่น General Data Protection Regulation ของสหภาพยุโรป
  2. การเตรียมแผนรับมือเมื่อเกิดเหตุข้อมูลรั่วไหล (Preparing a data breach response plan) อธิบายส่วนประกอบของแผน เช่น มีการประเมิน จำกัดความเสียหาย และจัดการเหตุตั้งแต่ต้นจนจบ ครอบคลุมข้อกำหนดทางกฎหมาย กำหนดบทบาทและหน้าที่ ในเอกสารได้แนบเช็คลิสต์ในการสร้างแผนไว้ด้วย ผู้สนใจสามารถค้นหาในเอกสารด้วยคำว่า Data breach response plan quick checklist
  3. การรับมือเมื่อเกิดเหตุข้อมูลรั่วไหล 4 ขั้นตอน (Responding to data breaches — four key steps ) ได้แก่ 1) จำกัดความเสียหาย 2) ประเมินผลกระทบ 3) แจ้งผู้ที่ผู้ได้รับผลกระทบและหน่วยงานกำกับที่เกี่ยวข้อง 4) ทบทวนแนวทางการรับมือและหาวิธีการป้องกันไม่ให้เกิดขึ้นอีก
  4. Notifiable Data Breach (NDB) Scheme อธิบายข้อกำหนดของหน่วยงานที่จำเป็นต้องรายงานเมื่อเกิดเหตุข้อมูลรั่วไหล เช่น เป็นหน่วยงานที่มีรายรับประจำปีมากกว่า 72 ล้านบาท หรือหน่วยงานที่ซื้อขายข้อมูลส่วนบุคคล หรือหน่วยงานที่เก็บข้อมูลส่วนบุคคลทางการแพทย์ และบทบาทของหน่วยงานที่รับรายงาน
  5. แหล่งข้อมูลอื่นๆ ที่เกี่ยวข้อง ได้แก่ รายการหน่วยงานให้คำปรึกษาในกรณีเกิดเหตุข้อมูลบางชนิดรั่วไหล เช่น หากข้อมูลส่วนบุคคลทางการแพทย์รั่วไหล จำเป็นต้องดูข้อแนะนำของ Australian Digital Health Agency รวมถึงข้อแนะนำ มาตรฐาน อื่นๆ ในการรับมือและป้องกันเหตุภัยคุกคาม

ปัจจุบันหน่วยงานที่เก็บข้อมูลส่วนบุคคลมักจะตกเป็นเป้าของการโจมตี จึงจำเป็นต้องมีการเตรียมพร้อมวางแผน ซักซ้อมรับมือเมื่อเกิดเหตุเพื่อให้แน่ใจว่าแผนที่เตรียมไว้สามารถใช้งานได้จริง รวมถึงอาจสร้างเครือข่ายกับหน่วยงานประเภทเดียวกันแลกเปลี่ยนข้อมูล เพื่อแลกเปลี่ยนประสบการณ์ ความรู้

สำหรับผู้ที่สนใจรายละเอียดเอกสารสามารถศึกษาเพิ่มเติมจากที่มา

วันที่: 2018-04-18 | ที่มา: Office of the Australia Information Commissioner | Share on Facebook Share on Twitter Share on Google+
ข้อมูลลูกค้า True Move H กว่า 46,000 ไฟล์ หลุดรั่วจาก cloud service

เมื่อวันที่ 13 เมษายน 2561 นักวิจัยด้านความมั่นคงปลอดภัย Niall Merrigan ได้รายงานข้อมูลผู้ใช้บริการ True Move H รั่วไหล เนื่องจากมิได้มีมาตรการเพียงพอสำหรับปกป้องข้อมูลที่อยู่ใน Amazon S3 bucket ส่งผลให้บุคคลภายนอกสามารถเข้าถึงและดาวน์โหลดข้อมูลดังกล่าวออกมาได้

ข้อมูลที่หลุดออกมามีทั้งไฟล์ JPG และ PDF โดยเป็นไฟล์สแกนสำเนาบัตรประชาชน ใบขับขี่ และพาสปอร์ตของผู้ใช้บริการ ปริมาณข้อมูลที่อยู่บนเซิร์ฟเวอร์ดังกล่าวมีประมาณ 46,000 ไฟล์ รวมแล้วกว่า 32GB (อย่างไรก็ตาม ยังไม่ยืนยันจำนวนผู้ได้รับผลกระทบ) นักวิจัยเผยว่าได้ติดต่อประสานไปยัง True Move H เมื่อต้นเดือนมีนาคม 2561 และปัญหานี้ได้รับการแก้ไขแล้วเมื่อวันที่ 12 เมษายน 2561

ปัญหาข้อมูลรั่วไหลในลักษณะนี้เคยเกิดขึ้นมาแล้วหลายครั้ง หน่วยงานหรือนักพัฒนาที่นำข้อมูลสำคัญ (โดยเฉพาะข้อมูลส่วนบุคคล) ฝากไว้บน Amazon S3 bucket ควรรักษาความมั่นคงปลอดภัยของข้อมูลโดยอาจเข้ารหัสลับข้อมูล จำกัดการเข้าถึงจากบุคคลภายนอก รวมถึงตรวจสอบการใช้งานที่ผิดปกติ โดยสามารถศึกษาข้อมูลเพิ่มเติมได้จากเว็บไซต์ของ Amazon (https://aws.amazon.com/premiumsupport/knowledge-center/secure-s3-resources/)

สำหรับผู้ใช้บริการ True Move H ปัจจุบันทางไทยเซิร์ตอยู่ระหว่างการประสานงานเพื่อยืนยันความถูกต้องของข้อมูล โดยในระหว่างนี้ควรตรวจสอบว่าใช้ข้อมูลใดในการลงทะเบียนกับผู้ให้บริการ รวมถึงอาจพิจารณาแจ้งความลงบันทึกประจำวันไว้เป็นหลักฐานในกรณีหากเกิดเหตุการณ์ผู้ประสงค์ร้ายนำข้อมูลที่หลุดรั่วออกไปใช้ในการสวมรอยหรือปลอมแปลงตัวบุคคล ซึ่งอาจส่งผลกระทบทางกฎหมายได้

วันที่: 2018-04-14 | ที่มา: The Register, Niall Merrigan | Share on Facebook Share on Twitter Share on Google+
10 ข้อแนะนำ เพิ่มความมั่นใจ ใช้งานมือถือ Android อย่างปลอดภัย

Malwarebytes เผยแพร่แนะนำ 10 ข้อที่ช่วยให้อุปกรณ์ระบบปฏิบัติการ Android มีความมั่นคงปลอดภัยมากขึ้น โดยมีรายละเอียดดังนี้

  1. ทำความรู้จักฟีเจอร์หรือค่าต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยหรือความเป็นส่วนตัว เช่น ฟีเจอร์ที่เปิดให้ระบุตำแหน่งพิกัด GPS หรือลบข้อมูลในมือถือกรณีที่อุปกรณ์สูญหาย (https://support.google.com/android/answer/6160491?hl=en-GB)
  2. ตรวจสอบความมั่นคงปลอดภัยและความเป็นส่วนตัว เช่น มีการล็อกหน้าจอด้วยรหัสผ่านหรือไม่ รวมถึงตรวจสอบจากบริการ Security Checkup ของ Google (https://myaccount.google.com/security-checkup)
  3. กำหนดในปฏิทินเตือนให้ตรวจสอบความมั่นคงปลอดภัยและความเป็นส่วนตัวทุก 12 เดือน
  4. เนื่องจากการสื่อสารบางช่องทาง เช่น SMS อาจไม่ได้การเข้ารหัสลับข้อมูล มีความเสี่ยงให้ผู้ประสงค์ร้ายดักข้อมูลได้ ในการสื่อสารที่สำคัญและเป็นความลับ ควรใช้งานแอปพลิเคชันแชตที่มีการเข้ารหัสลับข้อมูลแบบ end-to-end ซึ่งป้องกันการดักข้อมูล บุคคลที่สามรวมถึงผู้ให้บริการแอปพลิเคชันไม่สามารถอ่านข้อมูลได้ ตัวอย่างแอปพลิเคชัน เช่น Signal (https://ssd.eff.org/en/module/how-use-signal-android)
  5. ควรหลีกเลี่ยงการแชร์ตำแหน่งของมือถือบนโซเชียลมีเดียที่ไม่จำเป็น และจำกัดการใช้แอปพลิเคชันที่มีสิทธิอ่านข้อมูลตำแหน่งของมือถือ
  6. ปิดการใช้ Wi-Fi และ Bluetooth เมื่อไม่ใช้งานมือถือ
  7. ตรวจสอบรายการอุปกรณ์ที่ผูกกับบัญชี Google (https://myaccount.google.com/device-activity) หากพบรายการอุปกรณ์ที่ไม่รู้จักให้ทำการลบรายการ และเปลี่ยนรหัสผ่าน
  8. ระวังแอปพลิเคชันหลอกลวงที่เลียนแบบใช้ไอคอนหรือชื่อคล้ายแอปพลิเคชันจริง ซึ่งอาจมีพฤติกรรมไม่พึงประสงค์ เช่น ขโมยข้อมูล, แสดงโฆษณา ซึ่งผู้ใช้อาจพิจารณาความน่าเชื่อถือของแอปพลิเคชันจากจำนวนครั้งที่แอปพลิเคชันถูกดาวน์โหลดหรือพิจารณาจากรีวิว
  9. หลีกเลี่ยงการทำธุรกรรมสำคัญเมื่อใช้ Wi-Fi ฟรี ตามสถานที่ต่างๆ โดยเฉพาะ Wi-Fi ที่ไม่มีการตั้งรหัสผ่าน การจำเป็นต้องใช้งานก็อาจพิจารณาใช้ VPN ที่น่าเชื่อถือ
  10. เมื่อได้รับข้อความจากอีเมล โซเชียลมีเดีย SMS หยุดคิดซักนิดถึงความน่าเชื่อถือของข้อความหรือผู้ส่งก่อนตกลงกระทำการใดๆ
วันที่: 2018-04-05 | ที่มา: Malwarebytes | Share on Facebook Share on Twitter Share on Google+
รายงานเผย พบแฮกเกอร์ใช้มัลแวร์สายพันธุ์ใหม่โจมตีองค์กรในกลุ่มประเทศเอเชียตะวันออกเฉียงใต้

บริษัทด้านความมั่นคงปลอดภัย ESET เผยแพร่รายงานการค้นพบมัลแวร์ใหม่ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Oceanlotus ซึ่งเป็นกลุ่มที่มุ่งเป้าโจมตีองค์กรภาครัฐและเอกชนในกลุ่มประเทศเอเชียตะวันออกเฉียงใต้

สำหรับรูปแบบการเผยแพร่มัลแวร์ แฮกเกอร์ใช้วิธีส่งอีเมลหลอกลวงแนบไฟล์ที่เป็นมัลแวร์โดยมีตัวอย่างชื่อไฟล์ เช่น 20170905-Evaluation Table.xls.exe, CV_LeHoangThing.doc.exe ซึ่งเป็นการตั้งชื่อไฟล์ให้ดูเหมือนไฟล์เอกสาร แต่ที่จริงแล้วเป็นไฟล์สกุล exe หากถูกเปิดก็จะทำให้เครื่องติดมัลแวร์ และอีกรูปแบบคือการเผยแพร่ผ่านเว็บไซต์ โดยหลอกให้ดาวน์โหลดและเปิดไฟล์ติดตั้งโปรแกรม (Installer) ซึ่งที่จริงคือมัลแวร์เช่นกัน

ในการติดตั้งมัลแวร์ แฮกเกอร์ได้ใช้เทคนิคหลีกเลี่ยงการตรวจจับของแอนติไวรัส เช่น การเปลี่ยนแปลงโค้ดในมัลแวร์ทำให้ยากต่อการระบุลักษณะหรือพฤติกรรมที่น่าสงสัย (Code Obfucastion) หรือ การที่มัลแวร์มาในรูปแบบ 2 ไฟล์ คือ ไฟล์แรกสกุล exe ที่เป็นไฟล์ที่ถูกใช้งานทั่วไปและถูกรับรองโดยบริษัทน่าเชื่อถือ ซึ่งไฟล์ดังกล่าวได้โหลดและเรียกใช้งานไฟล์ที่สองสกุล DLL ซึ่งมีโค้ดประสงค์ร้ายแฝงอยู่ โดยเทคนิคนี้เรียกว่า DLL side-loading ซึ่งในการโจมตีของกลุ่มแฮกเกอร์ OceanLotus ได้ใช้ไฟล์ RasTlsc.exe จากบริษัท Symantec และ mcoemcpy.exe จาก McAfee บังหน้าเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งไฟล์ทั้งสองจะไปเรียกใช้งานไฟล์ rastls.dll ซึ่งมีโค้ดประสงค์ร้ายแฝงอยู่อีกที

มัลแวร์ที่ถูกติดตั้งเป็นมัลแวร์ประเภท Backdoor ซึ่งจะติดต่อเครื่องของผู้ประสงค์ร้ายเพื่อส่งข้อมูลเบื้องต้น เช่น ชื่อคอมพิวเตอร์ ชื่อบัญชีผู้ใช้ เวอร์ระบบปฏิบัติการ และรอคำสั่งจากผู้ประสงค์ร้ายต่อไป

จะเห็นได้ว่าผู้ประสงค์ร้ายมีความพยายามในการใช้เทคนิคต่าง ๆ หลีกเลี่ยงการตรวจจับการติดมัลแวร์ ซึ่งเราไม่อาจพึ่งกลไกในการตรวจจับของแอนติไวรัสเพียงอย่างเดียว ผู้ใช้ควรมีความระวังและรู้จักสังเกตสกุลไฟล์ที่แนบในอีเมล ซึ่งหากพบไฟล์ที่อ้างว่าเป็นเอกสาร แต่เป็นไฟล์ประเภท exe ควรแจ้งผู้ดูแลระบบเพื่อตรวจสอบ

ในขณะเดียวกันผู้ดูแลระบบอาจเพิ่มกลไกในการป้องกันเพิ่มเติม เช่น การตั้งค่าจำกัดให้ผู้ใช้สามารถเปิดโปรแกรมทตามรายการที่กำหนดอนุญาตไว้เท่านั้น

ผู้ดูและระบบสามารถศึกษาข้อมูลไฟล์และหมายเลขไอพีที่กลุ่มแฮกเกอร์ใช้เพื่อโจมตีได้จากรายงานในที่มาของข่าว เพื่อใช้ตรวจสอบความผิดปกติในเครื่องและเครือข่ายขององค์กร

วันที่: 2018-04-04 | ที่มา: ESET | Share on Facebook Share on Twitter Share on Google+