Tag Archives: ความปลอดภัยไซเบอร์

ตรวจสอบด่วน พบ 25 แอปบน Android สามารถหลอกเอารหัสผ่าน Facebook ไปได้!

รายงานใหม่จากบริษัทด้านความปลอดภัยของฝรั่งเศส Evina พบแอปพลิเคชันบน Play Store ของ Google ถึง 25 รายการที่เป็นอันตรายต่อเครื่องและข้อมูลของผู้ใช้งาน โดยแอปเหล่านี้สามารถทำงานได้ปกติ แต่มาพร้อมกับโค้ดที่เป็นอันตรายต่อผู้ใช้งาน หากเราติดตั้งและใช้งานตามปกติ ก็จะไม่มีอะไรเกิดขึ้น แต่เมื่อเราเปิดแอป Facebook ขึ้นมา แอปเหล่านี้จะสร้างหน้าต่าง log-in ที่เลียนแบบ Facebook ขึ้นมาอีกครั้ง สำหรับผู้ใช้งานที่ไม่ได้คิดอะไรก็อาจจะไม่สงสัยว่าทำไมต้องใส่รหัสอีกครั้ง หากเราป้อนอีเมลและรหัสลงไปก็เสร็จโจรอย่างแน่นอนครับ ตัวอย่างด้านล่างนี้ Facebook ของจริงและของปลอม โดย Facebook ที่มีขอบด้านบนสีฟ้าเป็นของจริง แต่หากเป็นสีดำคือของปลอม รายชื่อแอปทั้งหมดที่หลอกเอารหัส Facebook ถึงแม้ว่า Google จะถอดแอปทั้งหมดนี้ออกจาก Play Store ไปแล้ว แต่ทั้งหมดมียอดดาวน์โหลดมากกว่า 2.34 ล้านครั้ง หากใครมีแอปเหล่านี้ติดตั้งอยู่ในเครื่องก็อย่าลืมถอนการติดตั้งออกไปด้วยนะครับ ————————————————– ที่มา : beartai / 4 กรกฎาคม 2563 Link : https://www.beartai.com/news/itnews/451461

มหาวิทยาลัยแคลิฟอร์เนียซานฟรานซิสโกถูก Ransomware เรียกค่าไถ่ 1.14 ล้านเหรียญสหรัฐฯ

เมื่อต้นเดือนมิถุนายน มหาวิทยาลัยแคลิฟอร์เนียซานฟรานซิสโก หรือ UCSF สถาบันวิจัยและการศึกษาด้านสุขภาพชั้นนำของโลกได้ถูกกำหนดเป้าหมายในการโจมตีโดยกลุ่ม NetWalker (aka MailTo) Ransomware ซึ่งได้มีการโพสต์โชว์หลักฐานแสดงการรั่วไหลของข้อมูลลงในเว็บไซต์เพื่อหวังข่มขู่ในการเรียกค่าไถ่ UCSF กล่าวในแถลงการณ์ว่าเมื่อวันที่ 1 มิถุนายนเจ้าหน้าที่ไอที UCSF ตรวจพบและหยุดการเข้าถึงโดยไม่ได้รับอนุญาตในสภาพแวดล้อมไอทีส่วนที่จำกัดของโรงเรียนแพทย์ในขณะที่เกิดการบุกรุกขึ้น ด้วยความระมัดระวังอย่างมากได้แยกเซิร์ฟเวอร์ของโรงเรียนออกจากกัน และว่าจ้างบริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำเพื่อช่วยเหลือ ซึ่งเครือข่ายของ UCSF โดยรวมไม่ได้รับผลกระทบใด ๆ และไม่มีผลกระทบต่อการดำเนินการส่งมอบการดูแลผู้ป่วย สำนักข่าว Bloomberg รายงานว่าการโจมตีของแฮ็กเกอร์ไม่ได้ขัดขวางการทดสอบแอนตีบอดีที่เกี่ยวกับไวรัสโคโรนาโดยนักวิจัยของ UCSF วันศุกร์ 26 มิถุนายน UCSF แถลงการณ์ว่าเจ้าหน้าที่ฝ่ายไอทีได้ตรวจพบการบุกรุกเข้ามาในส่วนหนึ่งของระบบเครือข่ายไอทีโรงเรียนแพทย์มหาวิทยาลัยแคลิฟอร์เนียเมื่อ 1 มิถุนายน จากนั้นได้แยกระบบไอทีหลายแห่งภายในคณะแพทยศาสตร์ออกจากเครือข่ายหลักของ UCSF ซึ่งไม่ส่งผลกระทบต่อการดำเนินการส่งมอบการดูแลผู้ป่วยเครือข่ายมหาวิทยาลัยโดยรวมหรืองาน COVID-19 ในขณะที่เจ้าหน้าที่ได้หยุดการโจมที่กำลังเกิดขึ้น ผู้บุกรุกได้เปิดมัลแวร์ (Netwalker) เข้ารหัสในเซิร์ฟเวอร์ของโรงเรียนแพทย์จำนวนหนึ่ง และได้ขโมยข้อมูลบางส่วนเป็นหลักฐานเพื่อใช้ในการเรียกค่าไถ่ ข้อมูลที่ถูกเข้ารหัสมีความสำคัญต่องานวิชาการบางส่วน จึงตัดสินใจยากที่จะจ่ายค่าไถ่บางส่วนประมาณ 1.14 ล้านเหรียสหรัฐฯ เพื่อแลกกับเครื่องมือหรือคีย์สำหรับปลดล็อกข้อมูลที่เข้ารหัสและการรับข้อมูลที่ถูกขโมยไป มหาวิทยาลัยฯ ไม่ได้เปิดเผยอย่างแน่ชัดว่าไฟล์ข้อมูลอะไรกันแน่ที่มีมูลค่ากว่า 1 ล้านเหรียญสหรัฐฯ แต่มันคงมีความสำคัญมาก ๆ ซึ่งอาจจะเป็นงานวิชาการที่ได้ศึกษาวิจัยมาเป็นเวลานานที่ยังไม่มีใครค้นพบหรืออาจจะเป็นประวัติทางการแพทย์ของผู้ป่วยที่กลัวว่าจะถูกนำออกไปเปิดเผย ล่าสุดเดือนนี้การไฟฟ้าส่วนภูมิภาคในบ้านเราก็ได้ออกมาเปิดเผยว่าโดนมัลแวร์เรียกค่าไถ่โจมตีเช่นกัน…

ผลสำรวจความเสี่ยงด้านไซเบอร์ของการทำงานจากที่บ้าน พบองค์กรส่วนใหญ่ยังขาดแนวทางรับมือ อาจเสี่ยงถูกแฮกและข้อมูลรั่วไหล

จากการระบาดของไวรัส COVID-19 ทำให้องค์กรต่าง ๆ เริ่มส่งเสริมให้พนักงานทำงานจากที่บ้านมากขึ้น เป็นผลให้พนักงานต้องปรับตัวมาใช้เทคโนโลยีในการสื่อสารและทำงานจากระยะไกล อย่างไรก็ตาม การจะใช้งานเทคโนโลยีอย่างมั่นคงปลอดภัยได้นั้นองค์กรต้องเตรียมความพร้อมทั้งด้านนโยบาย เทคโนโลยี และบุคลากร เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทาง IBM Security และ Morning Consult ได้จัดทำผลสำรวจเรื่องความมั่นคงปลอดภัยทางไซเบอร์และการทำงานจากที่บ้าน โดยพบว่าหลายองค์กรยังขาดแนวทางการรับมือที่เหมาะสม ซึ่งอาจก่อให้เกิดความเสี่ยงทั้งการถูกเจาะระบบและความเสี่ยงข้อมูลรั่วไหลได้ ตัวอย่างความเสี่ยง เช่น พนักงาน 52% ต้องใช้คอมพิวเตอร์ส่วนตัวในการทำงาน โดยในจำนวนดังกล่าวมี 61% ที่ระบุว่าไม่ได้รับการสนับสนุนเครื่องมือด้านความมั่นคงปลอดภัยจากทางองค์กร นอกจากนี้ 45% ยังระบุว่าไม่ได้รับการฝึกอบรมเรื่องการปกป้องข้อมูลหรือการปกป้องอุปกรณ์เพื่อให้สามารถทำงานจากที่บ้านได้อย่างมั่นคงปลอดภัยแต่อย่างใด นอกจากการสนับสนุนด้านเทคโนโลยีแล้ว นโยบายคุ้มครองข้อมูลส่วนบุคคลก็เป็นอีกปัจจัยสำคัญในการช่วยลดความเสี่ยง ซึ่งจากผลสำรวจพบพนักงานกว่า 41% มีความจำเป็นต้องทำงานกับข้อมูลส่วนบุคคล แต่พนักงานกว่าครึ่งกลับไม่ทราบหรือไม่แน่ใจเกี่ยวกับนโยบายในการรักษาข้อมูลส่วนบุคคลโดยเฉพาะอย่างยิ่งเมื่อต้องทำงานกับข้อมูลดังกล่าวจากที่บ้านหรือต้องส่งต่อข้อมูลนั้นให้กับบุคคลอื่น ซึ่งความไม่ชัดเจนเหล่านี้อาจก่อให้เกิดความเสี่ยงข้อมูลรั่วไหลและส่งผลกระทบเป็นวงกว้างได้ เพื่อลดความเสี่ยงที่อาจเกิดขึ้น องค์กรต่าง ๆ จึงควรเตรียมความพร้อมเพื่อให้พนักงานสามารถทำงานจากที่บ้านอย่างปลอดภัย ทั้งดานเครื่องมือ การอบรมเพื่อสร้างความตระหนัก รวมถึงกำหนดและประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ชัดเจน ทั้งนี้ รายงานดังกล่าวเป็นผลสำรวจจากผู้ตอบแบบสอบถามในสหรัฐฯ โดยข้อมูลข้างต้นเป็นเพียงการสรุปประเด็นบางส่วนเท่านั้น ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานฉบับเต็ม (http://filecache.mediaroom.com/mr5mr_ibmnews/186506/IBM_Security_Work_From_Home_Study.pdf) ——————————————————– ที่มา : ThaiCERT /…

Microsoft เผยข้อแนะนำแนวทางการป้องกันเซิร์ฟเวอร์ Exchange จากการถูกโจมตี

องค์กรหลายแห่งใช้ Microsoft Exchange เป็นช่องทางหลักในการทำงานและการสื่อสาร ไม่ว่าจะเป็นอีเมล ปฏิทิน หรือใช้บันทึกข้อมูลพนักงานและผู้ติดต่อ ที่ผ่านมาเซิร์ฟเวอร์ Exchange มักตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ จุดประสงค์เพื่อขโมยข้อมูลหรือเข้าถึงบัญชีที่มีสิทธิ์ระดับสูง ซึ่งหลายครั้งหากโจมตีเซิร์ฟเวอร์ Exchange ได้สำเร็จ ผู้ไม่หวังดีก็อาจสามารถควบคุมระบบเครือข่ายทั้งหมดได้ ทาง Microsoft ได้เผยแพร่ข้อแนะนำในการป้องกันเซิร์ฟเวอร์ Exchange โดยอ้างอิงจากรูปแบบพฤติกรรมของผู้โจมตี การโจมตีเซิร์ฟเวอร์ Exchange นั้นหลัก ๆ แล้วสามารถทำได้ 2 ช่องทาง โดยช่องทางแรกคือโจมตีเครื่องคอมพิวเตอร์ของผู้ใช้ในองค์กรเพื่อติดตั้งมัลแวร์ขโมยรหัสผ่าน จากนั้นใช้รหัสผ่านดังกล่าวล็อกอินเข้าไปยังเซิร์ฟเวอร์ Exchange อีกที ส่วนวิธีโจมตีช่องทางที่สองคือเจาะผ่านช่องโหว่ของบริการในเซิร์ฟเวอร์ Exchange โดยตรง เช่น ช่องโหว่ของ IIS ซึ่งเป็นซอฟต์แวร์สำหรับให้บริการเว็บไซต์ ทาง Microsoft ได้วิเคราะห์การโจมตีเซิร์ฟเวอร์ Exchange ที่เกิดขึ้นในช่วงเดือนเมษายน 2563 โดยได้สรุปแนวทางการตรวจสอบและป้องกันการโจมโดยอ้างอิงจากพฤติกรรมที่ผิดปกติได้ดังนี้ Initial access ผู้โจมตีอัปโหลดไฟล์ web shell เข้าไปไว้ในพาธของเซิร์ฟเวอร์ Exchange เพื่อที่จะเข้ามาควบคุมเครื่องเซิร์ฟเวอร์ผ่านช่องทางดังกล่าวในภายหลัง แนวทางการตรวจสอบสามารถใช้วิธีเฝ้าระวังและแจ้งเตือนการสร้างไฟล์ใหม่ในพาธของ Exchange…

แจ้งเตือน พบการส่งอีเมลแอบอ้างเป็นไปรษณีย์ไทย หลอกให้ดาวน์โหลดไฟล์มัลแวร์

เมื่อวันที่ 19 มิถุนายน 2563 ไทยเซิร์ตได้รับรายงานการโจมตีผ่านอีเมล โดยแอบอ้างว่าเป็นการแจ้งจัดส่งพัสดุจากบริษัทไปรษณีย์ไทย เนื้อหาในอีเมลเป็นภาษาไทย มีลิงก์ให้ดาวน์โหลดไฟล์จากเว็บไซต์ฝากไฟล์ โดยเป็นไฟล์ .7z ที่ข้างในมีไฟล์ .exe จากการตรวจสอบพบว่าไฟล์ดังกล่าวเป็นมัลแวร์ที่ถูกสร้างขึ้นมาเพื่อโจมตีแบบเจาะจงเป้าหมาย ตัวมัลแวร์มีความสามารถในการขโมยข้อมูล เช่น รหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์และรหัสผ่านของโปรแกรมเชื่อมต่อ FTP ทั้งนี้ไทยเซิร์ตได้แจ้งประสานกับผู้ให้บริการเว็บไซต์ฝากไฟล์เพื่อขอให้ยุติการเผยแพร่ไฟล์ดังกล่าวแล้ว ข้อแนะนำ หากได้รับอีเมลที่มีลักษณะน่าสงสัยและมีลิงก์หรือมีไฟล์แนบ ควรพิจารณาก่อนคลิกลิงก์หรือเปิดไฟล์แนบดังกล่าวเพราะอาจเป็นมัลแวร์ได้ หากได้รับอีเมลดังกล่าวผ่านระบบอีเมลขององค์กรควรแจ้งให้ผู้ดูแลระบบทราบเพื่อตรวจสอบและปิดกั้นการเข้าถึงเว็บไซต์อันตรายรวมถึงปิดกั้นการรับอีเมลจากผู้ไม่หวังดี ข้อมูล IOC URL: www[.]mediafire[.]com/file/ywwqvog1kn630oy/thpost_220620121201.7z/file File name: thpost 220620121201.7z MD5: c72a5a6d2badd3032d8cebc13c06852b SHA-1: 3af75516d622b8e52f04fbedda9dc8dcf427d13c SHA-256: 74034df9b5146383f6f26de5fec7b9480e4b9a786717f39a22e38805a5936c9b File name: thpost 220620121201.exe MD5: e7386aa09a575bd96f8ecbfeea71e38f SHA-1: 441cdf1dedb9cbfbe6720816eb6b8e06231139b5 SHA-256: e17b5d2bf4c65ec92161c6a26c44c28a3b2793f38d2b2afe2e73bd8ebbab98ae —————————————————————— ที่มา : ThaiCERT / 19 มิถุนายน 2563 Link…

ช็อก! นักวิจัยพบส่วนขยายใน กูเกิลโครม กว่า 70 ตัวมีสปายแวร์ขโมยข้อมูล กระทบผู้ใช้งานหลายล้านราย

สำนักข่าวรอยเตอร์รายงานว่า นักวิจัยจาก “อเวค ซีเคียวริตี้” พบความพยายามในการใช้สปายแวร์เจาะข้อมูลของผู้ใช้งาน “กูเกิลโครม” ผ่าน “ส่วนขยาย” ที่ถูกดาวน์โหลดไปติดตั้งจำนวน 32 ล้านดาวน์โหลด สะท้อนความล้มเหลวของกูเกิลในการปกป้องข้อมูลของผู้ใช้งานในเบราเซอร์ที่มีผู้ใช้งานจำนวนมากทั่วโลก ด้านอัลฟาเบ็ต อิง บริษัทแม่ของกูเกิล ระบุว่า ได้มีการลบส่วนขยายกว่า 70 ส่วนขยายที่มีอันตรายออกไปจาก “โครมเว็บสโตร์” แล้วหลังจากได้รับแจ้งจากนักวิจัยเมื่อเดือนพฤษภาคมที่ผ่านมา รายงานระบุว่าส่วนขยายในโครมจะต้องเตือนผู้ใช้งานเกี่ยวกับเว็บไซต์ หรือการแปลงไฟล์จากรูปแบบหนึ่งไปยังอีกรูปแบบหนึ่งที่อาจมีอันตราย แต่ ส่วนขยายที่พบนั้นใช้ข้อมูลประวัติการเข้าเว็บไซต์และข้อมูลที่ใช้อ้างอิงในการเข้าถึงเครื่องมือทางธุรกิจ ทั้งนี้หากนับจากจำนวนดาวน์โหลดส่วนขยายที่เป็นอันตรายเหล่านั้น นับเป็นการพบโปรแกรมที่ประสงค์ร้ายในโครมสโตร์ ที่มากที่สุดนับจนถึงปัจจุบัน ด้านกูเกิล ปฏิเสธที่จะให้รายละเอียดเพิ่มเติมเกี่ยวกับความเสียหายที่เกิดขึ้น รวมถึงเหตุผลว่าทำไมกูเกิลจึงไม่สามารถตรวจสอบและลบส่วนขยายอันตรายเหล่านั้นออกไปได้ก่อนหน้านี้ ขณะที่ล่าสุดยังไม่ชัดเจนว่าใครที่เป็นผู้อยู่เบื้องหลังการปล่อยสปายแวร์ในครั้งนี้ ——————————————————– ที่มา : มติชน  / 19 มิถุนายน 2563 Link : https://www.matichon.co.th/foreign/news_2234302