Tag Archives: phishing

Palo Alto Networks ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก ประกาศเปิดตัวระบบปฏิบัติการบน NGFW เวอร์ชันใหม่ล่าสุด คือ PAN-OS 7.1 ซึ่งถูกออกแบบมาเพื่อเสริมสมรรถนะด้านการป้องกันการเจาะระบบเพื่อขโมยข้อมูล (Breach Prevention) บนระบบ Cloud และแอพพลิเคชันแบบ SaaS โดยมีคุณสมบัติเด่น ดังนี้

Symantec ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำ ได้ออกมาเปิดเผยถึงสถิติภัยคุกคามแบบ Zero-day ที่ค้นพบเมื่อปี 2015 ที่ผ่านมา พบว่ามีจำนวนช่องโหว่ใหม่มากถึง 54 ช่องโหว่ ซึ่งคิดเป็น 2 เท่าของปี 2014 รวมไปถึงสถิติของจำนวนบริษัทที่ถูกเจาระบบเพื่อขโมยข้อมูลไปมากก่า 10 ล้านรายการก็ถูกทำเลยเป็นที่เรียบร้อยแล้วเช่นกัน

บางคนอาจมีนิสัยเสีย เช่น ชอบผลัดวันประกันพรุ่ง ชอบนั่งกัดเล็บ หรืออยู่ไม่สุข เหล่านี้ อาจไม่ได้ส่งผลกระทบอะไรต่อองค์กรมากนัก แต่นิสัยเสียทางด้าน IT Security อาจก่อให้เกิดหายนะแก่องค์กรได้เลยทีเดียว ไม่ว่าจะเป็นการปล่อยให้องค์กรมีช่องโหว่จนถูกแฮ็ค การถูกโจมตีรูปแบบเดิมๆ ซ้ำๆ จนข้อมูลถูกขโมยออกไปเป็นจำนวนมาก บทความนี้จึงรวบรวม 5 นิสัยเสียของด้าน Security ที่จำเป็นต้องแก้ไขอย่างเร่งด่วน เพื่อให้ระบบขององค์กรมีความมั่นคงปลอดภัย

Trend Micro ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชั้นนำของโลก ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่รูปแบบใหม่ ที่ไม่ได้เข้ารหัสไฟล์อีกต่อไป แต่ทำการเขียนทับ Master Boot Record (MBR) เพื่อไม่ให้เครื่องของเหยื่อบูท OS ได้ พร้อมเรียกค่าไถ่ในการปลดล็อคเพื่อเข้าใช้คอมพิวเตอร์ Trend Micro เรียกมัลแวร์ตัวนี้ว่า Petya Ransomware

Check Point ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่ที่จะช่วยให้สามารถส่ง JavaScript ไปบน eBay และสั่งให้ทำงานบนเครื่องของผู้ใช้งาน eBay รายอื่นๆ ได้ ปัญหานี้อาจนำไปสู่การทำ Phishing และ Data Theft ได้ในอนาคต โดยหลังจากที่ Check Point แจ้งทาง eBay ไปแล้ว eBay ก็ได้ตอบกลับมาว่าจะไม่แก้ไขช่องโหว่นี้ และช่องโหว่นี้ก็ยังคงเปิดให้โจมตีได้จนถึงทุกวันนี้

นักวิจัยด้านความปลอดภัยนามปากกา MLT ได้ออกมาเปิดเผยถึงช่องโหว่ Cross-site Scripting (XSS) บนเว็บไซต์ eBay ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดเข้าไปปลอมแปลงหน้า Login เพื่อหลอกขโมยรหัสผ่านจากผู้ใช้บริการหลายร้อยล้านคนได้อย่างแยบยล

Onur Kopçak แฮ็คเกอร์หนุ่มชาวตุรกีวัย 26 ปีถูกศาลพิพากษาให้จำคุกเป็นระยะเวลา 334 ปีในข้อหาจารกรรมข้อมูลบนโลกออนไลน์และปลอมแปลงเว็บไซต์ธนาคารเพื่อหลอกลวงผู้อื่น หลังถูกจับตัวได้ในปี 2013

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาเปิดเผยถึง Malvertising แคมเปญใหม่ ที่ใช้ Certificate ฟรีจาก Let’s Encrypt ในการหลอกผู้ใช้บริการเว็บไซต์ว่าเป็นเว็บไซต์ที่ได้รับการรับรอง เพื่อลอบส่งมัลแวร์เข้าเครื่องคอมพิวเตอร์โดยที่ผู้ใช้ไม่รู้ตัว

การเจาะระบบเครือข่ายทวีความรุนแรงขึ้นในทุกวัน หนึ่งในเครื่องมือที่เปิดทางให้แฮ็คเกอร์แทรกซึมเข้ามายังเครือข่ายขององค์กรได้ก็คือ การโจมตีแบบ Phishing ซึ่งพุ่งเป้ามายังพนักงานทุกคนในองค์กร ผู้ที่ไม่เชี่ยวชาญด้านคอมพิวเตอร์มักตกเป็นเหยื่อของภัยคุกคามดังกล่าว บทความนี้เราจะมาสรุปให้ฟังกันครับว่า Phishing คืออะไร และเราสามารถป้องกันอย่างไรได้บ้าง

Sophos ผู้ให้บริการโซลูชันรักษาความปลอดภัยเพื่อป้องกันภัยคุกคามระดับสูง ได้ออกมาให้ความเห็นเกี่ยวกับภัยคุกคามและความมั่นคงปลอดภัยบนโลกไซเบอร์ที่มีแนวโน้มว่าจะเกิดขึ้นในปี 2016 ซึ่งมีทั้งหมด 11 รายการ กล่าวโดยสรุปได้ใจความดังนี้

บทความนี้รวบรวมพื้นฐานด้านความปลอดภัย 6 ประการที่ทุกองค์กรต้องมี เพื่อที่ผู้ดูแลระบบจะสามารถควบคุมการใช้งานระบบเครือข่าย และป้องกันภัยคุกคามที่อาจส่งผลกระทบต่อองค์กรได้ เช็คลิสต์สำคัญทั้ง 6 ประการนี้ ประกอบด้วย 1. การบริหารจัดการแพทช์อัพเดท

เว็บ Phishing เป็นเว็บไซต์ปลอมที่ตกแต่งหน้าตาให้เหมือนเว็บไซต์ปกติเพื่อแอบหลอกขโมยข้อมูลจากผู้ใช้งานที่ไม่สังเกตเว็บให้ดี โดยส่วนใหญ่แล้วจะปลอมเป็นเว็บไซต์ของธนาคาร หรือเว็บไซต์โซเชียลมีเดีย เช่น Facebook เพื่อหลอกขโมยรหัสผ่าน หรือข้อมูลบัตรเครดิต เป็นต้น ซึ่งปัจจุบันนี้เว็บ Phishing เหล่านั้นเริ่มมีการใช้ SSL Certificate เพื่อเพิ่มความน่าเชื่อถือและหลอกตาผู้ใช้มากยิ่งขึ้น

ระบบคลาวด์กลายเป็นที่นิยมในไม่กี่ปีที่ผ่านมา เนื่องจากความสามารถในการแชร์ไฟล์และใช้งานแอพพลิเคชันได้อย่างไร้ขอบเขต ไม่ว่าผู้ใช้งานจะอยู่ที่ไหนก็ตาม แต่เทคโนโลยีใหม่นี้ ก็ตามมาด้วยภัยคุกคามรูปแบบใหม่เช่นกัน นั่นก็คือ การโจมตีแบบ Man-in-the-Cloud (MITC) ซึ่งแสดงให้เห็นถึงความยากในการป้องกันข้อมูลที่จัดเก็บอยู่บนคลาวด์

AV-Comparatives องค์กรอิสระที่ก่อตั้งขึ้นเพื่อทำการทดสอบซอฟต์แวร์รักษาความปลอดภัย เช่น ผลิตภัณฑ์แอนตี้ไวรัส และโซลูชันความปลอดภัยบนอุปกรณ์เคลื่อนที่ ได้ออกรายงานผลการทดสอบซอฟต์แวร์สำหรับป้องกันการโจมตีแบบ Phishing ประจำปี 2015 โดยทดสอบผลิตภัณฑ์ทั้งหมด 10 เจ้า สามารถดูสรุปผลการทดสอบได้ ดังนี้

Elastica ผู้ให้บริการโซลูชันความปลอดภัยสำหรับ CASB และ Cloud Application ได้ออกมาเปิดเผยช่องโหว่ความรุนแรงสูงบน Salesforce ซึ่งช่วยให้แฮ็คเกอร์สามารถส่งสคริปต์เข้าไปเพื่อทำการโจมตีแบบ Phishing ส่งผลให้ผู้ใช้งาน Saleforces อาจถูกขโมยข้อมูลล็อกอิน หรือถูกไฮแจ็คชื่อบัญชีได้ อย่างไรก็ตาม ทาง Salesforce ได้ทำการแพทช์เพื่ออุดช่องโหว่ดังกล่าวเรียบร้อยตั้งแต่วันที่ 10 สิงหาคมที่ผ่านมา

หลังจากเดือนสิงหาคมปี 2014 ที่ผ่านมา ที่ Google ได้ประกาศใช้นโยบาย Safe Browsing ในการบล็อกซอฟต์แวร์ไม่พึงประสงค์ (Unwanted Software/Application) เพื่อเพิ่มความปลอดภัยให้แก่ผู้ใช้งานเวลาเล่นอินเตอร์เน็ต ในตอนนี้ Google ได้ขยายขอบเขตในการบล็อกไปถึงไซต์โฆษณาที่มีการแอบแฝงซอฟต์แวร์ที่ไม่พึงประสงค์ด้วยเช่นกัน

Intel Security หรือ McAfee ได้จัดทำแบบทดสอบ Phishing สำหรับตรวจสอบความสามารถในการระบุ Phishing Email ของผู้ใช้งานระบบอินเตอร์เน็ตทั่วโลก พบว่า จาก 19,000 คนบน 144 ประเทศทั่วโลก มีเพียง 3% เท่านั้นที่สามารถจำแนกอีเมลล์ปกติและอีเมลล์ Phishing ได้ถูกต้องทั้งหมด และ 80% ระบุอีเมลล์ Phishing พลาดเป็นอีเมลล์ปกติอย่างน้อย 1 ครั้ง ซึ่งนับว่าตกเป็นเหยื่อของการจารกรรมข้อมูลเรียบร้อยแล้ว

ทีมนักวิจัยของ Symantec ผู้นำด้านโซลูชันความปลอดภัย ได้ออกมาประกาศแจ้งเตือนผู้ที่ใช้งาน Gmail, Outlook และ Yahoo Mail ว่าให้ระวังเทคนิคการหลอกลวงรูปแบบใหม่ของผู้ไม่ประสงค์ดี เพื่อแอบหลอกขโมยรหัสผ่านบัญชีอีเมลล์เหล่านั้นได้

นักวิจัยอิสระด้านความปลอดภัย Jan Soucek ประกาศค้นพบบั๊คสำคัญบนแอพพลิเคชัน Mail บน Apple iOS ซึ่งเป็นแอพพลิเคชันสำหรับรับส่งอีเมลล์บน iPhone/iPad ที่ Apple ติดตั้งมาให้ตั้งแต่แรก โดยบั๊คดังกล่าวช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอม Pop-up หน้าต่างล็อกอิน Apple iCloud ที่เหมือนจริงมาก เพื่อดักขโมยชื่อผู้ใช้และรหัสผ่านได้ทันที

David Leo แฮ็คเกอร์ชื่อดังได้แสดงวิธีการโจมตีช่องโหว่ Address Spoofing บนเว็บเบราเซอร์ Safari ซึ่งช่วยให้แฮ็คเกอร์สามารถหลอกเหยื่อด้วยการโจมตีแบบ Phishing ได้ โดยเหยื่อจะคิดว่าตนเองกำลังเข้าถึงเว็บไซต์ที่ต้องการอยู่ แต่ที่จริงแล้วไม่ใช่ สามารถทดสอบช่องโหว่ได้ที่นี่: http://www.deusen.co.uk/items/iwhere.9500182225526788/