Tags:
Node Thumbnail

PayMe บริการ e-Wallet ของธนาคาร HSBC ในฮ่องกงถูกโจมตีจากอาชญากรด้วยการหลอกเหยื่อเอารหัสอีเมล เพื่อรีเซ็ตรหัสผ่านตัวแอป และสั่งโอนเงินออกไปจากเหยื่อประมาณ 20 ราย รวมมูลค่าความเสียหาย 100,000 ดอลลาร์ฮ่องกง

เหยื่อเหล่านี้ถูกอีเมล phishing หลอกถามรหัสผ่าน แต่ตัวแอปเองกลับไม่ได้ป้องกันเงินด้วยการล็อกอินสองขั้นตอน แต่ต้องการเพียงรหัสผ่านที่รีเซ็ตด้วยอีเมลได้

ผู้เชี่ยวชาญความปลอดภัยไซเบอร์หลายรายในฮ่องกง เช่น ประธานสมาคมอินเทอร์เน็ตฮ่องกง, ประธานสหพันธ์เทคโนโลยีสารสนเทศฮ่องกง ออกมาแสดงความเห็นเป็นเสียงเดียวกันว่าการป้องกันลูกค้าเป็นหน้าที่ของธนาคาร ในกรณีธนาคารควรใช้การล็อกอินสองขั้นตอนเพื่อช่วยเพิ่มความปลอดภัย

ทาง HSBC ยืนยันว่าแอปไม่ได้มีช่องโหว่และปลอดภัยดี

Tags:
Node Thumbnail

โฆษกกูเกิลให้สัมภาษณ์กับ KrebsOnSecurity ระบุว่าตั้งแต่บังคับใช้กุญแจ U2F กับบัญชีพนักงานเมื่อต้นปี 2017 เมื่อล็อกอินเข้าทำงาน พนักงานกว่า 85,000 คนก็ไม่มีรายงานว่าใครตกเป็นเหยื่ออีเมลหลอกแบบฟิชชิ่ง (phishing) อีกเลย

ระบบของกูเกิลจะขอตรวจสอบกุญแจในเหตุการณ์ต่างๆ กันไป ขึ้นกับงานที่กำลังทำและช่วงเวลาที่ใช้งาน

Tags:
Node Thumbnail

Google เปิดตัว Gmail แบบใหม่มาพร้อมกับระบบใหม่ที่ชื่อว่า Confidential Email ใช้สำหรับส่งอีเมลความลับ ซึ่งผู้รับจะได้รับลิงก์สำหรับอ่านอีเมล และอีเมลจะทำลายตัวเองเมื่อถึงเวลาที่กำหนดไว้

ล่าสุด ABC News รายงานว่ากระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ หรือ DHS ประกาศเตือนว่าฟีเจอร์ใหม่ของ Gmail นี้อาจใช้เป็นช่องทางในการ phishing ได้ ซึ่ง DHS ออกคำเตือนตั้งแต่ 24 พฤษภาคมที่ผ่านมาพร้อมส่งคำแจ้งเตือนไปยังผู้ดูแลความปลอดภัยระบบของภาครัฐและองค์กรขนาดใหญ่

Tags:
Node Thumbnail

เมื่อวันพุธที่แล้ว ทางเจ้าหน้าที่ตำรวจร่วมด้วยเจ้าหน้าที่ U.S. Secret Service ได้จับกุมเด็กหนุ่มวัย 16 ปีรายหนึ่ง ในความผิดจากการแฮคระบบคอมพิวเตอร์รวม 14 กระทง

เจ้าหน้าที่ตำรวจเขต Concord ในรัฐ California ได้รับแจ้งเหตุการแฮคตั้งแต่เมื่อ 2 สัปดาห์ก่อน ก่อนจะทำการติดตามสืบสวนจนนำไปสู่การจับกุมเด็กคนดังกล่าวได้ที่บ้านของเขาเอง โดยผู้กระทำผิดได้แฮคระบบคอมพิวเตอร์เพื่อแก้ผลการเรียนทั้งของตนเองและผู้อื่น

Tags:
Node Thumbnail

ไมโครซอฟท์เปิดตัว Windows Defender Browser Protection ซึ่งเป็นส่วนเสริม Chrome ช่วยป้องกันมัลแวร์และการ phishing เสริมเข้าไปกับฟีเจอร์ Safe Browsing ของ Chrome

ไมโครซอฟท์ระบุว่า Windows Defender Browser Protection ใช้เอนจินต์และฐานข้อมูลเดียวกับที่ใช้บน Microsoft Edge ที่ไมโครซอฟท์เคลมว่าป้องกันการ Phishing ได้ 99% สูงกว่า Chrome

ดาวน์โหลด Windows Defender Browser Protection ได้ที่นี่

Tags:
Node Thumbnail

Google เผยได้ลบโฆษณาที่ละเมิดนโยบายของแพลตฟอร์มไปแล้ว 3.2 พันล้านตัวในปี 2017 มากกว่าปี 2016 ถึง 88% โดยโฆษณาที่ละเมิดประกอบด้วย โฆษณาหลอกให้กด ฝังมัลแวร์ โฆษณาที่มาพร้อมตัวฟิชชิ่ง

Tags:
Node Thumbnail

Quad9 โครงการบริการเซิร์ฟเวอร์ ที่ร่วมมือกันระหว่าง Global Cyber Alliance (GCA), IBM, และบริษัทป้องกันภัยเน็ตเวิร์ค Packet Clearing House เปิดให้บริการแล้ว ผ่านทางไอพี 9.9.9.9

จุดเด่นของ Quad9 คือทางโครงการจะได้รับชุดข้อมูลโดเมนมุ่งร้ายจาก 19 แหล่ง เพื่อบล็อคโดเมนที่เป็นแหล่งของภัยสำคัญๆ เช่น โดเมน phishing, โดเมนปล่อย exploit kit, หรือโดเมนควบคุมมัลแวร์ (C2) โดยแหล่งข้อมูลเหล่านี้จะได้รับข้อมูลการคิวรี DNS กลับไปเพื่อวิเคราะห์หาต้นตอของการโจมตี

Tags:
Node Thumbnail

กูเกิลออกรายงานผลการศึกษา ถึงสาเหตุที่บัญชีผู้ใช้งานออนไลน์ถูกขโมยว่ามาจากสาเหตุใดเป็นหลัก โดยทำการศึกษาจากข้อมูลในตลาดมืดช่วงมีนาคม 2016 ถึงมีนาคม 2017 พบว่า จำนวนข้อมูลที่หลุดจากบุคคลที่สามนั้นมีมากที่สุด ซึ่งกูเกิลพบว่า 12% ของข้อมูลที่มีการเผยแพร่นั้นใช้ Gmail เป็นชื่อล็อกอิน และ 7% ของรหัสผ่านที่หลุดออกมาด้วยนั้นก็ตรงกับรหัสผ่าน Gmail

วิธีการรองลงมาที่ทำให้ได้ข้อมูล คือการหลอกด้วย Phishing และการใช้เครื่องมืออย่าง Keylogger อย่างไรก็ตามเมื่อวัดที่อัตราสำเร็จในการขโมยบัญชีนั้น วิธีการ Phishing คือวิธีที่ได้ผลมากที่สุด รองลงมาคือ Keylogger และการใช้ข้อมูลหลุดจากบุคคลที่สาม

Tags:
Node Thumbnail

ช่วง 1-2 วันนี้ กูเกิลประกาศฟีเจอร์ด้านความปลอดภัยหลายอย่าง ข่าวนี้เอาเฉพาะของ Chrome อย่างเดียวก่อนครับ

ฟีเจอร์แรกคือบางครั้งที่เราติดตั้งส่วนขยาย (Extension) แล้วมันมาเปลี่ยนค่าใน Settings โดยที่เราไม่รู้ตัว (เช่น เปลี่ยน search engine ไปเป็นยี่ห้ออื่น) ตอนนี้ Chrome สามารถตรวจจับการเปลี่ยนแปลงเหล่านี้ได้ และจะถามผู้ใช้ว่าต้องการรีเซ็ตกลับเป็นเหมือนเดิมหรือไม่

Tags:
Node Thumbnail

เฟซบุ๊กมีโครงการ Internet Defence Prize รางวัลสำหรับผู้ที่สร้างหนทางปกป้องความปลอดภัยและความเป็นส่วนตัวให้กับผู้ใช้อินเทอร์เน็ตมาตั้งแต่ปี 2014 ปีนี้เป็นการแจกรางวัลรอบที่สี่ โดยเฟซบุ๊กมอบรางวัลให้กับทีมวิจัยจาก UC Berkeley ที่พัฒนาระบบตรวจจับอีเมล phishing แบบเจาะจงเป้าหมาย (spearphishing) เป็นเงิน 100,000 ดอลลาร์

Tags:
Node Thumbnail

Google ได้อัพเดตแอพ Gmail บน iOS เพื่อเพิ่มฟีเจอร์ความปลอดภัยป้องกันการ phishing โดยตัวแอพจะคอยตรวจสอบลิงก์ที่ส่งเข้ามาในอีเมล หากพบความผิดปกติจะเตือนให้ผู้ใช้ทราบเมื่อแตะลิงก์ แต่ผู้ใช้สามารถข้ามการแจ้งเตือนไปได้ถ้ามั่นใจว่าเว็บไซต์นั้นไม่ใช่เว็บหลอกลวง

ระบบตรวจสอบ phishing นั้นมีมาก่อนหน้านี้แล้วบนแอพ Gmail สำหรับ Android ซึ่งเป็นระบบป้องกันของ Google หลังจากที่ Gmail ถูกโจมตีด้วยลิงก์เพื่อหลอกขอสิทธิการเข้าถึงบัญชี

สำหรับแอพ Gmail เวอร์ชันล่าสุด สามารถดาวน์โหลดได้แล้วทาง App Store

Tags:
Node Thumbnail

จากปัญหา ผู้ใช้กูเกิลถูกโจมตีด้วย Phishing แบบใหม่ ปลอมตัวเป็น Google Docs จนกูเกิลต้องออกมาตรการฉุกเฉิน ห้ามตั้งชื่อเว็บแอพไม่ให้ซ้ำกับชื่อที่รู้จักกันอยู่แล้ว

ล่าสุดกูเกิลออกมาตรการระยะยาว ให้เว็บแอพที่ขอสิทธิเข้าถึงข้อมูลผู้ใช้ Google Account ผ่าน OAuth จำเป็นต้อง "ยืนยันตัวตน" เพื่อเป็น verified app ที่ผ่านการรับรองจากกูเกิลว่าปลอดภัย

ในเบื้องต้น กูเกิลจะแสดงหน้าจอเตือนผู้ใช้สำหรับเว็บแอพที่ยังไม่ผ่านการตรวจสอบ (unverified app) โดยจะเริ่มจากแอพใหม่ก่อน จากนั้นจะไล่ตรวจสอบแอพเก่าที่เคยสร้างมาก่อนหน้านี้

Tags:
Node Thumbnail

Google เพิ่มเครื่องมือความปลอดภัยใหม่ให้กับ G Suite ในชื่อ OAuth apps whitelisting เพื่อให้ผู้ดูแลระบบสามารถควบคุมแอพที่จะเข้าถึงและใช้ข้อมูลผู้ใช้ภายในระบบ รวมถึงป้องกันการถูก phishing

ฟีเจอร์นี้จะให้ผู้ดูแลระบบเลือกแอพจากบุคคลภายนอกที่สามารถเข้าถึงข้อมูลของผู้ใช้ G Suite ได้ โดยเมื่อแอพนั้นได้รับอนุญาตโดยผู้ดูแลระบบแล้ว ฝ่ายผู้ใช้ก็จะสามารถอนุญาตให้แอพเข้าถึงข้อมูล G Suite ของตัวเองได้ เพื่อเป็นการป้องกันแอพแปลกปลอมที่ใช้วิธีหลอกผู้ใช้ให้คลิกและอนุญาตให้เข้าถึงข้อมูล จนสามารถล้วงข้อมูลองค์กรใน G Suite ได้

สำหรับสิ่งที่ผู้ดูแลระบบจะสามารถจัดการได้คือ

Tags:
Node Thumbnail

ธนาคารกสิกรไทย แจ้งเตือนกรณีมีอีเมลจากธนาคาร ให้ลงทะเบียนเพื่อลุ้นรับ iPhone 7 red โดยมีช่องให้กรอกชื่อผู้ใช้-รหัสผ่าน

ทางธนาคารระบุว่าภาพดังกล่าวเป็นภาพที่ใช้กันภายในองค์กร เพื่อสอนให้พนักงานรู้จักแยกแยะเว็บที่เป็น phishing หลอกข้อมูลของลูกค้า แต่เมื่อภาพหลุดออกสู่ภายนอกองค์กร และมีการแชร์ต่อไปจึงเกิดความเข้าใจผิดกันมาก ธนาคารกสิกรไทยยืนยันว่าระบบความปลอดภัยของธนาคารยังเป็นไปตามปกติ

นอกจากนี้ ธนาคารกสิกรไทยยังย้ำว่า เว็บไซต์ของธนาคารกสิกรไทยคือ https://www.kasikornbank.com โดยเชื่อมต่อผ่าน HTTPS และยืนยันตัวตนในชื่อว่า KASIKORNBANK Public Co Ltd เท่านั้น

ที่มา - ฝ่ายประชาสัมพันธ์ธนาคารกสิกรไทย

Tags:
Node Thumbnail

DocuSign บริการเซ็นเอกสารอิเล็กทรอนิกส์ ประกาศเตือนภัยอีเมล phishing ปลอมเป็นอีเมลจากบริษัท หลอกให้ผู้รับเปิดไฟล์เอกสาร Word ที่แนบมาเพื่อติดตั้งมัลแวร์

DocuSign ระบุว่าตรวจพบการแฮ็กเซิร์ฟเวอร์ของบริษัท โดยแฮ็กเกอร์ได้อีเมลของลูกค้าไป แต่ข้อมูลอื่นๆ รวมถึงเซิร์ฟเวอร์หลักของบริษัทที่เป็นระบบ eSignature ยังปลอดภัยและไม่ถูกโจมตี

DocuSign เตือนให้ระวังอีเมลที่ใช้ชื่อเรื่องว่า “Completed: [domain name] – Wire transfer for recipient-name Document Ready for Signature” และ “Completed [domain name/email address] – Accounting Invoice [Number] Document Ready for Signature” เนื่องจากเป็นอีเมลปลอม และขอให้ตรวจสอบลิงก์ว่าของแท้ต้องเป็น docusign.com หรือ docusign.net เท่านั้น

Tags:
Node Thumbnail

สัปดาห์ที่แล้วเราเห็นข่าว ผู้ใช้กูเกิลถูกโจมตีด้วย Phishing แบบใหม่ ปลอมตัวเป็น Google Docs โดยเกิดจากช่องโหว่ของกูเกิลเองที่อนุญาตให้นักพัฒนาที่เรียกใช้ Google API ตั้งชื่อแอพเป็น Google Docs ได้

มาตรการฉุกเฉินของกูเกิลคือแบนนักพัฒนารายนี้เพื่อหยุดการกระจายของอีเมล Phishing และเมื่อสถานการณ์ฉุกเฉินผ่านพ้นไป กูเกิลก็เริ่มมาตรการ "ล้อมคอก" ไม่ให้เกิดปัญหาแบบเดียวกันซ้ำอีก โดยแบ่งเป็น 2 ส่วนคือ

Tags:
Node Thumbnail

หลังจากผู้ใช้จีเมลถูกโจมตีด้วยลิงก์หลอกเอาสิทธิ์การจัดการบัญชี กูเกิลก็เพิ่มฟีเจอร์ใหม่ในการตรวจจับลิงก์หลอกในจีเมลบนแอนดรอยด์แล้ว

ระบบตรวจลิงก์นี้จะค่อยๆ ปล่อยให้กับผู้ใช้ทีละกลุ่มและผู้ใช้อาจจะต้องรอนานกว่าสามวันจึงจะได้อัพเดต กูเกิลยังเตือนว่าหน้าแจ้งเตือนบางครั้งก็แจ้งเตือนผิดพลาดได้ แต่หากพบหน้าจอแจ้งเตือนก็ควรระมัดระวังในการคลิกลิงก์

Tags:
Node Thumbnail

ผู้ใช้กูเกิลรายงานเมื่อ 7 ชั่วโมงที่ผ่านมาถึงอีเมล phishing แบบใหม่ที่มุ่งขโมยบัญชีอีเมลด้วยการขอสิทธิ์เข้าจัดการอีเมลทั้งหมดของผู้ใช้ โดยปลอมตัวเป็นเหมือนอีเมลที่แจ้งเอกสารที่แชร์มาจาก Google Doc

ลิงก์ในเอกสารไม่ได้ไปยังเอกสารใน Google Doc แต่ไปยังหน้าขอสิทธิ์จัดการบัญชีกูเกิลไปยังแอปของคนร้าย โดยคนร้ายใส่ชื่อแอปตัวเองว่าเป็น "Google Doc" ผู้ใช้ต้องระวังตัวเองด้วยการกดดูอีเมลของนักพัฒนาจึงรู้ว่าไม่ใช่แอปที่สร้างโดยกูเกิลจริง

พนักงานกูเกิลเข้าไปตอบใน Reddit ระบุว่าบัญชีของคนร้ายนี้ถูกปิดไปแล้ว และ URL ที่ใช้ขโมยบัญชีก็ถูกแบนผ่าน Safe Browsing และกำลังอยู่ระหว่างการแก้ปัญหาระยะยาวไม่ให้มีการขโมยบัญชีแบบนี้อีก

Tags:
Node Thumbnail

การเปิดใช้งานตัวอักษร unicode ในโดเมนเปิดทางให้การโจมตี phishing ทำได้แนบเนียนขึ้นเรื่อยๆ ปัญหาสำคัญเช่น อักษรซีริลลิก (Cyrillic) ที่มีตัวอักษรเหมือนกับตัวละตินในภาษาอังกฤษหลายตัว ทำให้สามารถปลอมโดเมนได้อย่างแนบเนียน

Xudong Zheng รายงานปัญหานี้ตั้งแต่สัปดาห์ที่แล้ว ระบุว่าบนเครื่องบางเครื่องที่ฟอนต์ตรงกัน การปลอมโดเมนด้วยอักษรซีริลลิก ทำให้ผู้ใช้ไม่สามารถแยกระหว่างโดเมนจริงกับโดเมนปลอมได้เลย

Tags:
Node Thumbnail

ในบางครั้ง อีเมลด้านการตลาดของหน่วยงานก็อาจหน้าตาดูเหมือนอีเมลหลอกลวง (scam/phishing) เสียจนฝ่ายอื่นๆ ของหน่วยงานเข้าใจว่าเป็นเช่นนั้นจริงๆ

เรื่องนี้เกิดกับกลุ่มธุรกิจโรงแรม Hilton Worldwide โดยลูกค้าที่เป็นสมาชิกสะสมแต้ม HHonors ได้รับอีเมลขอให้ยืนยันข้อมูลในบัญชีว่าถูกต้อง โดยให้ล็อกอินบัญชีตามลิงก์ที่แนบมากับอีเมล เพื่อตรวจสอบข้อมูลที่อยู่และหมายเลขโทรศัพท์ของลูกค้า

ลูกค้ารายหนึ่งเกิดไม่แน่ใจว่านี่คืออีเมล phishing หลอกเอาข้อมูลบัญชีหรือไม่ จึงจับภาพหน้าจอแล้วทวีตไปถาม @HiltonHHonors ซึ่งก็ได้รับคำตอบว่านี่ไม่ใช่อีเมลของบริษัท และขอให้ลูกค้าไม่แชร์ข้อมูลบัญชีให้ใคร

เพียงแต่เคสนี้มันคืออีเมลของ Hilton ของจริง!

Tags:
Node Thumbnail

การหลอกถามข้อมูลรหัสผ่านธนาคารก่อนหน้านี้มักอาศัยการส่งอีเมล phishing ไปยังลูกค้าธนาคารเป็นส่วนใหญ่ แต่เดือนนี้ลูกค้าธนาคาร OCBC ในสิงคโปร์ก็ถูกโทรศัพท์ลึกลับจากนอกประเทศโทรหลอกถามข้อมูลมากกว่าพันรายแล้ว

ลูกค้าของ OCBC ได้รับโทรศัพท์โดยบางครั้งก็ไม่แสดงหมายเลขต้นทาง แต่บางครั้งก็แสดงเป็นหมายเลขของ OCBC จริงๆ เมื่อรับสายจะเป็นระบบอัตโนมัติให้กดหมายเลข จากนั้นจึงโอนสายเข้าไปยังคอลเซ็นเตอร์เพื่อหลอกถามข้อมูลส่วนตัวต่างๆ รวมถึงหมายเลขรหัสผ่าน

การหลอกลวงเช่นนี้มีอยู่เรื่อยๆ มานานหลายเดือน แต่เฉพาะครึ่งเดือนนี้รายงานเพิ่มสูงขึ้นอย่างมากถึง 1,081 รายเทียบกับ 16 รายตลอดเดือนเมษายนที่ผ่านมา

ทาง OCBC แนะนำลูกค้าว่าหากไม่แน่ใจให้ตัดสายและโทรกลับไปยัง OCBC ด้วยตัวเอง

Tags:
Node Thumbnail

PhishMe ผู้ให้บริการป้องกันการโจมตีองค์กรด้วยการฟิชชิ่งแบบเจาะจงเป้าหมาย (spear phishing) ออกรายงานภัยอีเมลไตรมาสแรกของปี 2016 พบว่ามัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ยังคงเติบโตต่อเนื่อง เนื่องจากความสำเร็จของมัลแวร์ก่อนหน้านี้ที่สามารถเรียกเงินจากเหยื่อได้

รายงานฉบับนี้ระบุว่ามีการโจมตีด้วยอีเมลฟิชชิ่งทั้งหมด 612 ระลอกในช่วงสามเดือนแรกของปีนี้ รวมเป็นอีเมล 6.3 ล้านฉบับ ในจำนวนนี้ มีอีเมลที่มาพร้อมกับมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่มากขึ้นเรื่อยๆ จนเดือนมีนาคมที่ผ่านมามีสัดส่วนถึง 50% ของอีเมลฟิชชิ่งทั้งหมด ขณะที่เมื่อปีที่แล้วสัดส่วนนี้เกิน 10% เมื่อเดือนธันวาคมเท่านั้น

Tags:
Node Thumbnail

ถ้ายังจำคดี iCloudgate หรือ Celebgate ที่มีภาพส่วนตัวของศิลปิน ดารา เซเล็บจำนวนมากหลุดออกสู่อินเทอร์เน็ตในปี 2014 ความคืบหน้าล่าสุดของคดีนี้คือกระทรวงยุติธรรมสหรัฐ ยื่นฟ้องนาย Ryan Collins ข้อหาแฮ็กบัญชีแอปเปิลและกูเกิลกว่า 100 บัญชี ซึ่งส่วนใหญ่เป็นบัญชีของคนดังในวงการบันเทิง

Collins ยอมรับความผิดตามกฎหมายคอมพิวเตอร์ Computer Fraud and Abuse Act ข้อหาบุกรุกเข้าระบบคอมพิวเตอร์เพื่อขโมยข้อมูล มีบทลงโทษจำคุกสูงสุด 5 ปี (ต้องรอศาลตัดสินว่าจะลงโทษอย่างไร)

Tags:
Node Thumbnail

กูเกิลเผยสถิติการบล็อคโฆษณาแย่ๆ (bad ads ครอบคลุมโฆษณาที่แฝงมัลแวร์ เนื้อหาที่เราไม่ต้องการ รวมถึงสินค้าปลอม) ในปี 2015 ว่าบล็อคโฆษณาไปถึง 750 ล้านชิ้น สถิติอื่นๆ มีดังนี้

Pages