คลังเก็บป้ายกำกับ: WEB_SECURITY

Firefox ออกฟีเจอร์ใหม่ แจ้งเตือนการใช้งานเว็บไซต์ที่เคยเกิด Data Breach

ทีมงานวิศวกรของ Mozilla กำลังสร้างระบบแจ้งเตือนที่แสดงต่อผู้ใช้งานเมื่อเยี่ยมชมเว็บไซต์ที่เคยเกิดเหตุการณ์ข้อมูลรั่วไหล โดยใช้ข้อมูลที่ได้รับจาก Have I Been Pwned ? ที่เผยแพร่รายชื่อของเว็บไซต์ที่มีเหตุการณ์ข้อมูลรั่วไหลต่อสาธรณะเพื่อให้ผู้ใช้งานดูรายละเอียดได้ สืบเนื่องจากปัจจุบันที่เราได้ยินข่าวการรั่วไหลของข้อมูลอยู่บ่อยครั้ง

credit : Bleeping computer

มีโค้ดของฟีเจอร์นี้แล้วบน Add-on

โค้ดของโปรเจ็คนี้ไม่ได้อยู่ในโค้ดหลักของ Firefox แต่ถูกจัดการโดย Add-on ที่ชื่อว่า ‘Breach Alerts’ ซึ่งคาดว่านี่จะเป็นต้นแบบของฟีเจอร์หลักของ Firefox ในอนาคต เพื่อแจ้งเตือนว่า Credential ของผู้ใช้งานมีความเกี่ยวข้องกับข้อมูลที่รั่วไหลออกไปบนโลกอินเทอร์เน็ตหรือไม่ ถ้ามีผู้ใช้งานสนใจสามารถหาโค้ดนี้ได้ที่ GitHub เพื่อนำมา Compile และติดตั้งใช้งานบน Firefox Developer Edition ได้ อย่างไรก็ดี Add-on นี่ยังอยู่ในขั้นตอนพัฒนาและยังจำเป็นต้องได้รับการพัฒนาเพิ่มเติม เนื่องจากมันจะทำงานก็ต่อเมื่อผู้ใช้งานเข้าไปเว็บไซต์ที่มีข้อมูลอยู่ใน Have I Been Pwned’s list of public data breaches เท่านั้น

ในส่วนของหน้าตา Add-on เวอร์ชันล่าสุดนี้มีช่องให้ใส่ input ได้ตามรูปด้านบน ซึ่งน่าจะเป็นช่องที่ให้ผู้ใช้เอาไว้ข้อหาดูว่าข้อมูลของพวกเขาหลุดออกไปพร้อมกับไซต์ที่มีการรั่วไหลด้านความมั่งคงปลอดภัยหรือไม่ แต่ฟีเจอร์นี้อาจจะไม่ถูกใจบริษัทที่ได้รับผลกระทบจากการรั่วไหลเท่าไหร่นัก สิ่งแรกก็คือข้อมูลที่แจ้งเตือนมันมาจาก Have I Been Pwned เพียงมุมหนึ่งเท่านั้น อีกเรื่องคือเหมือนกับการนำข่าวข้อมูลรั่วไหลที่เกิดหลายปีแล้ว มาแสดงต่อผู้ใช้งานไซต์เหล่านั้นซ้ำอีกครั้งหนึ่ง

ผู้เกี่ยวข้องกำลังหาทางที่ดีที่สุดเพื่อแสดงผลการแจ้งเตือน

Troy Hunt นักวิจัยด้านความมั่นคงปลอดภัยจาก I Been Pwned กล่าวว่า “ผมกำลังทำงานกับ Mozilla ในเรื่องนี้อยู่ ตอนนี้เรากำลังหาโมเดลที่ต่างออกไปว่ามันจะทำงานอย่างไร จากปัจจุบันที่เราได้เรียนรู้คือความพยายามที่จะแสดงผลข้อมูลโดยตรงบนหน้าของ Browser เกี่ยวกับผู้มีรายชื่อใน Have I been Pwned ” อย่างไรก็ตามสิ่งหนึ่งที่ Mozilla ต้องระมัดระวังเป็นอย่างยิ่งคือการใช้ภาษาและวิธีการเพื่อแสดงการแจ้งเตือนเหล่านี้ ลองสนใจเรื่องเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยให้น้อยลงแล้วสนับสนุนให้ผู้ใช้เปลี่ยน Credential ในกรณีที่บัญชีผู้ใช้รั่วไหลไปแล้วอาจจะเป็นทางออกที่ดีที่สุดก็เป็นได้

ที่มา : https://www.bleepingcomputer.com/news/security/firefox-will-warn-users-when-visiting-sites-that-suffered-a-data-breach/

from:https://www.techtalkthai.com/firefox-feature-breach-alert/

Advertisements

WordPress มัลแวร์ ‘Wp-Vcd’ กลับมาโจมตีอีกครั้งแล้ว

คงจะปฏิเสธไม่ได้ว่า WordPress เป็นเครื่องมือยอดฮิตที่เปิดโอกาสให้ผู้คนที่สนใจสร้างเว็บเป็นของตนเองพัฒนาเว็บได้อย่างง่าย แม้ไม่มีทักษะด้านเขียนโปรแกรมเลยก็ตาม อย่างไรก็ดีมันก็ยังมีภัยร้ายซ่อนอยู่ ผู้ใช้งานจึงควรระมัดระวังตัวเพิ่มขึ้นเนื่องจากมัลแวร์ wp-vcd กลับมาโจมตีผู้ใช้งานอีกครั้งหนึ่ง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ปกติของ WordPress จากนั้นจะเพิ่มผู้ใช้งานสิทธิ์ผู้ดูแลอย่างลับๆ และยกระดับการเข้าควบคุมเว็บที่ติดมัลแวร์ตัวนี้ นั่นอาจทำให้ธุรกิจของคุณได้รับผลกระทบอย่างไม่คาดคิด

Manuel D’Orso นักวิจัยด้านความมั่นคงปลอดภัยได้ค้นพบมัลแวร์นี้เป็นครั้งแรก และพบว่าในเวอร์ชันแรกของมัลแวร์จะถูกโหลดเข้ามาโดยไฟล์การ include (วิธีการเรียกโค้ดส่วนอื่นมาใช้ เช่นในภาษาโปรแกรมมิ่งต่างๆ)ไฟล์ที่ชื่อว่า wp-vcd.php นั่นจึงเป็นที่มาของชื่อมัลแวร์ตัวนี้ จากนั้นมันจะแทรกตัวเองลงไปในไฟล์หลักของ WordPress เช่น functions.php และ class.wp.php การโจมตีไม่ได้กินวงกว้างนักแต่ก็เกิดขึ้นเรื่อยๆ ตลอดเดือนที่ค้นพบ

wp-vcd จ้องเล่นงานธีมเก่าๆ ของ WordPress

เมื่อสัปดาห์ที่ผ่านมาทีมงานจาก Sucuri ผู้ให้บริการด้านความมั่นคงปลอดภัยเว็บไซต์ได้ติดตามความแตกต่างของมัลแวร์ตัวนี้ที่กลับมาโจมตีอีกครั้งพบว่ามันจะฝังโค้ดเข้าไปในไฟล์ Twentyfifteen และ Twentysixteen ซึ่งก็คือไฟล์ธีมเก่าของ WordPress CMS ช่วงปี 2015 และ 2016 ซึ่งยังมีไฟล์นี้อยู่ในหลายไซต์แม้ว่าจะปิดใช้งานอยู่ก็ตาม อย่างไรก็ตามมันไม่มีการซ่อนตัวเองโดยการเข้ารหัสตัวเองหรือมีฟังก์ชันที่ทำให้สับสน ผู้โจมตีไม่ได้ใส่ใจเรื่องนี้มากนัก หากมัลแวร์เข้าไปได้แล้วมันจะสร้างผู้ดูแลระบบเพิ่มชื่อ 100010010 เพื่อเป็นบัญชี Backdoor ให้ผู้โจมตีสามารถดำเนินการโจมตีได้ต่อเนื่องในวันหลัง ผู้โจมตีใช้ประโยชน์จากธีมหรือ Plugin เก่าๆ เพื่ออัปโหลดมัลแวร์เข้าไปโจมตี ผู้ใช้งานสามารถป้องกันตัวเองได้โดยไม่เก็บไฟล์ธีมเก่าที่ไม่ได้ใช้งานแล้วหรือ Plugin ที่มีช่องโหว่หรือใช้งาน Web Application Firewall เพื่อปกป้องและคอยตรวจดูการแก้ไขไฟล์หลักของ WordPress

WordPress Plugin ที่ได้รับความนิยมมีผลกระทบจากช่องโหว่

ยังมีข่าวอื่นๆ ที่เกี่ยวข้องในสัปดาห์ที่แล้วเช่นกันคือ WordPress ได้ออกโปรเจ็ค WordPress 4.9 เพื่อสนับสนุนผู้พัฒนามาพร้อมกับฟีเจอร์เช่น การออกแบบ Workflow และป้องกันข้อผิดพลาดของการเขียนโค้ด ในภาพของความมั่นคงปลอดภัยนักวิจัยพบว่า Plugin ที่ได้รับความนิยมอย่าง Yoast SEO มียอดดาวน์โหลดไปแล้วกว่า 5 ล้านครั้งและ Formidable Forms มียอดดาวน์โหลดถึง 2 แสนครั้ง โดยก่อนหน้านี้ก็มีผู้ค้นพบช่องโหว่ของ Plugin ทั้งสองตัวดังกล่าว ดังนั้นผู้ใช้งานควรหมั่นอัปเดตให้ล่าสุดอยู่เสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/wp-vcd-wordpress-malware-campaign-is-back/

from:https://www.techtalkthai.com/wordpress-wp-vcd-is-back/

รายงานพบการขโมยใช้ Browser เพื่อ Cryptocurrency Mining กว่า 8 ล้านครั้งต่อวัน

การขโมยทรัพยากรเพื่อ Cryptocurrency Mining ผ่านหน้า Browser นับวันยิ่งเลวร้ายขึ้นเรื่อยๆ โดยมีสาเหตมาจากผู้สร้างเว็บตั้งใจทำขึ้นหรือถูกแฮ็กหน้าเว็บก็ตาม Malwarebytes เจ้าของผลิตภัณฑ์ Anti-malware จีงได้เพิ่มความช่วยเหลือเพื่อบล็อกการใช้งาน Script และพบว่ามีการใช้งาน Browser เพื่อทำ Cryptocurrency Mining เกิดขึ้นกว่า 8 ล้านครั้งต่อวัน

bleepingcomputer.com

ผลิตภัณฑ์ของ Malwarebytes ได้บล็อกการเรียกโดเมนของผู้ให้บริการการ Cryptocurrency Mining เฉลี่ยกว่า 8 ล้านครั้งต่อวัน สถิติในเดือนตุลาคมที่ผ่านมาบล็อกไปแล้วกว่า 248 ล้านครั้งและส่วนใหญ่คือผู้ให้บริการ Cryptocurrency Mining สกุล Monero โดยใช้ JavaScript ประมวลผลใน Browser อย่าง  Coinhive  โดยผู้ได้รับผลกระทบจากเหตุการณ์นี้มีจำนวนเพิ่มขึ้น เนื่องจาก Malwarebytes ไม่ได้ทำการบล็อกโดยอัตโนมัติแต่จะแสดง popup ให้ผู้ใช้เป็นคนตัดสินใจ อย่างไรก็ตามนี่คือการรายงานจาก Malwarebytes เท่านั้น ซึ่งไม่ใช่ทุกคนที่ใช้งาน ดังนั้นตัวเลขจริงอาจมากกว่าหลายสิบล้านครั้งต่อวัน

สิ่งที่น่าสนใจคือสถิตินี้เพิ่มมากขึ้นตั้งแต่มีบริการ Proxy แบบพิเศษของ Coinhive ที่อนุญาตให้การทำงานของบางเว็บไซต์สามารถหลบการตรวจจับที่บล็อกโฆษณาหรือ Antivirus โดยการเรียกไปยังโดเมน Coinhive หรือโดเมนอื่นผ่านทาง Tunnel บางเว็บไซต์ก็มีการถามผู้ใช้งานก่อนว่าจะให้ใช้ Browser ขุดเหมืองหรือไม่แต่หลายที่ไม่มีการขออนุญาต ดังนั้นจึงเกิดการต่อสู้ขึ้นกับการแอบใช้ Browser ของผู้ใช้งานเพื่อขุดเหมือง โดยมีเว็บไซต์ชื่อ WhoRunCoinhive?  เปิดตัวขึ้นในเดือนนี้ให้ผู้ใช้งานเข้าไปตรวจสอบได้ว่าถูกแอบใช้งาน Browser ไปยังโดเมนไหน

ผลวิจัยจากนักวิจัยชาว Dutch ชื่อว่า Willem de Groot  พบว่า 2,496 หน้าเพจร้านค้าออนไลน์มี Script เพื่อทำการขุดเหมืองผ่านหน้า Browser และ 80% ของไซต์เหล่านี้มัลแวร์ที่คอยขโมยข้อมูลการชำระเงินบัตรเครดิตจากหน้าจ่ายเงิน โดยข้อมูลเล็กน้อยเหล่านี้แสดงให้เห็นว่า Script ถูกผู้ไม่หวังดีที่ไม่ใช่เจ้าของเว็บสร้างขึ้น เคยมีกรณีที่ผู้ชมการต่อสู้ UFC ถูกใช้ทรัพยากรไปขุดเหมือง Crytocurrency บน Browser ผ่านหน้า UFC Fight Pass Service เช่นกัน ซึ่งแม้ว่าจะมีหลักฐานจากผู้ชมที่เก็บภาพหน้าจอมาแสดงแต่บริษัทก็ปฏิเสธทุกข้อกล่าวหา นอกจากนี้มีงานวิจัยจาก Ixia พบว่ามี Android แอปพลิเคชันใช้งานทรัพยากรเครื่องผู้ใช้ไปทำ Cryptocurrency Mining เช่นเดียวกัน

ที่มาและเครดิตรูปภาพ : https://www.bleepingcomputer.com/news/security/cryptojacking-craze-malwarebytes-says-it-blocks-8-million-requests-per-day/

from:https://www.techtalkthai.com/malwarebyte-report-cryptojacking-found-eight-million-per-day/

DigitCert เข้าซื้อกลุ่มธุรกิจ SSL ของ Symantec เรียบร้อยแล้ว !!

DigiCert ประกาศแถลงการณ์ว่าได้เข้าซื้อกลุ่มธุรกิจ Website Securiyt และ PKI (Public Key Infrastructure) ของ Symantec เป็นที่เรียบร้อยแล้วด้วยเงินกว่า 950 ล้านดอลลาร์ฯ สำหรับดิลดังกล่าวนี้มีการคุยกันมาตั้งแต่ช่วงเดือนสิงหาคม เป้าหมายก็คือจะสร้างตัวอินฟรา PKI ให้มีประสิทธิภาพ รองรับการใช้งานของลูกค้าได้ดียิ่งขึ้น

นาย John Merrill ตำแหน่ง CEO ของ DigiCert บอกว่า การร่วมกันครั้งนี้จะช่วยในการคอนโซลิเดตเทคโนโลยีของทั้งคู๋ได้ดีมากขึ้น อีกทั้งบางแพลตฟอร์มของ Symantec นั้น ค่อนข้างเป็นเวอร์ชันเก่า ในขณะที่ของเราอาจจะดูใหม่กว่า ซึ่งจะทำให้การใช้งานเว็บของลูกค้าโดยเฉพาะอย่างยิ่งกับ Google ที่เป็นปัญหามาตลอด ก็จะดีกว่าเดิม

ที่มา : http://www.eweek.com/security/digicert-closes-acquisition-of-symantec-s-website-ssl-security-unit

from:https://www.enterpriseitpro.net/archives/8659

พบช่องโหว่ ‘TORMOIL’ บน Tor Browser ระดับความรุนแรงสูงเตือนควรอัปเดต

Tor Project ออกแพตซ์อุดช่องโหว่ที่ทำให้ IP จริงของผู้ใช้งาน Tor Browser เวอร์ชัน 7.0.8 บน macOS และ Linux รั่วไหลออกสู่สาธารณะ เตือนให้ผู้ใช้งานอัปเดต Browser เวอร์ชันล่าสุดโดยด่วน

Tor Project ได้โพสต์ว่า “สืบเนื่องจาก Bug ที่เกิดขึ้นใน Firefox Browser เกี่ยวกับการจัดการ ‘file://’ URLs ซึ่งมีความเป็นไปได้ที่ข้อมูล IP ของผู้ใช้งานจะสามารถรั่วไหลได้ โดยเมื่อผู้ใช้งานใส่ URL แบบพิเศษนี้ลงไปในหน้า Browser ระบบปฏิบัติการจะ Bypass Tor Browser ไปยังเครื่อง Host โดยตรงเนื่องจาก Tor Browser ตั้งอยู่บน Firefox อีกทีหนึ่ง แม้ว่าโพสต์จะบอกว่าผู้ใช้งาน Tails หรือการใช้งาน Browser ที่มีฟังชันก์ AppArmor และการใช้งาน Tor Browser Sandbox จะไม่ได้รับผลกระทบในครั้งนี้ แต่ยังไม่เป็นที่แน่ชัดว่าเวอร์ชันก่อนหน้า 7.0.8 ได้รับผลกระทบด้วยหรือไม่

ผู้ค้นพบช่องโหว่นี้คือ Fillipo Cavallarin CEO จาก We Are Segment ได้แจ้งเตือนไปยัง Tor Project เมื่อวันที่ 26 ตุลาคม 2017 และทีมงาน Tor ก็ได้รับความช่วยเหลือจากที Mozilla เพื่อแก้ปัญหานี้ชั่วคราวในวันถัดมา ต่อมาวันที่ 31 ตุลาคม ทางทีม Tor ก็ได้ออกแก้ไขเพิ่มเติมให้ทุกรอยรั่วที่รู้  โดยทีมงาน Tor กล่าวว่า “Tor Browser เวอร์ชัน 7.0.9 นั้นเป็นเพียงการแก้ไขปัญหาชั่วคราวจากการรั่วไหลของ IP ที่อาจจะเกิดขึ้นได้จากการใส่ file://URLs ไม่ให้เกิดผลอย่างที่คิดกันไว้ และทีมงานคาดว่าจะออกแพตซ์เพิ่มเติมบน MacOS และ Linux สำหรับ Browser 7.0.9 เวอร์ชัน Alpha ภายในวันที่ 6 พฤศจิกายนนี้

Tor Project ได้ออกโครงการ Bug Bounty เมื่อเดือนกรกฎาคม เพื่อสนับสนุนให้นักวิจัยด้านความปลอดภัยแจ้งเตือนปัญหาที่พบภายใน Software มาที่ทีมงานแบบไม่เปิดเผย โดยโครงการนี้จะเปิดโอกาสให้กับนักล่า Bug ทุกคนผ่านหน้าเพจ HackerOne ไม่หมือนกับโครงการก่อนหน้าที่เปิดเฉพาะผู้ที่ได้รับคำเชิญเท่านั้น

ที่มา : https://threatpost.com/tor-browser-users-urged-to-pathch-critical-tormoil-vulnerability/128769

from:https://www.techtalkthai.com/tormoil-tor-browser-bug/

พบช่องโหว่ในเว็บ T-Mobile ที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ

พบช่องโหว่ในเว็บของ T-Mobile ผู้ให้บริการด้านการสื่อสารที่ทำให้แฮ็กเกอร์ได้ข้อมูลของผู้ใช้งานเพียงแค่รู้เบอร์มือถือ โดยสิ่งที่แฮ็กเกอร์จะได้รับคือ อีเมล ชื่อผู้ใช้งาน เลขที่บัญชีที่ชำระเงิน เลข IMSI ผ่านทางช่องโหว่นี้

Credit: ShutterStock.com

T-mobile ผู้ให้บริการด้านการมือถือและการสื่อสารรายใหญ่ซึ่งมีผู้ใช้งานในหลายประเทศทั่วโลก ปัจจุบันมีผู้ใช้งานประมาณ 76 ล้านคน “เพียงแค่แฮ็กเกอร์รู้เบอร์มือถือก็สามารถใช่ช่องโหว่นี้ได้ โดยสิ่งจะได้รับจากช่องโหว่ครั้งนี้คือ อีเมล ชื่อผู้ใช้งาน เลขบัญชีที่ใช้ชำระเงิน เลข IMSI หรือเลขอื่นๆ ซึ่งอาจจะนำสู่การนำข้อมูลไปทำการ Social Engineering Attack หรือจุดประสงค์อื่นๆ ” –Karan Saini นักวิจัยด้านความปลอดภัยผู้ก่อตั้งบริษัทสตาร์ทอัพ Secure7 ที่ค้นพบช่องโหว่นี้ให้ข้อมูลกับ Motherboard

Saini ได้กล่าวอธิบายถึงเหตุการณ์นี้ว่า “มันไม่มีกลไกใดที่จะป้องกันแฮ็กเกอร์ที่จะสร้าง Script เพื่อดึงข้อมูลในบัญชีผู้ใช้งานทุกคนผ่านช่องโหว่นี้ กรณีนี้คล้ายกับเหตุการณ์ Bug ที่เคยเกิดขึ้นกับ TT&T เมื่อปี 2015 เหตุการณ์ช่องโหว่ครั้งนี้เกิดขึ้นที่หน้า API ของหน้า http://wsg.t-mobile.com/ โดยพบว่าสามารถใส่เลขโทรศัพท์ใครก็ได้และ API จะตอบข้อมูลบัญชีผู้ใช้คนๆ นั้นออกมา

T-mobile ได้ออกมาพูดถึงเหตุการณ์ครั้งนี้ว่า “ผลกระทบครั้งนี้มีผลต่อลูกค้าส่วนหนึ่งเท่านั้นและบริษัทได้ทำการสืบสวนและแก้ปัญหานี้แล้วภายใน 24 ชม. อีกทั้งยังกล่าวถึงโปรแกรม Bug Bounty ที่จัดตั้งมาเพื่อรับรายงานช่องโหว่ลักษณะนี้เพื่อป้องป้องผู้ใช้งานและสนับสนุนนักวิจัยผ่านอีเมล secure@t-mobile,security@t-mobile,bug-bounty@t-mobile” จากโครงการนี้ Saini ได้รับรางวัล 1000$ สำหรับการค้นพบช่องโหว่นี้

Karsenten Nohl นักวิจัยด้านความปลอดภัยเกื่ยวกับระบบมือถือกล่าวกับ Motherboard ว่า “โดยทฤษฏีแล้ว ถ้าเรารู้เลข IMSI ของใครเราสามารถที่จะทราบได้ว่าผู้ใช้งานคนนั้นอยู่ที่ไหน รวมถึงดักฟังการโทรศัพท์และข้อความได้ แต่ว่ามันก็ยังไม่มีวิธีทำเงินได้ชัดเจนนักจากเลข IMSI ดังนั้นมันอาจจะไม่ค่อยดึงดูดอาชญกรไซเบอร์มากนัก

ในเวลาต่อมาหลังจากที่ข่าวเผยแพร่ออกไป Motherboard ได้รับคำเตือนจากแฮ็กเกอร์ที่ไม่ประสงค์จะออกนามถึงช่องโหว่ครั้งนี้ว่าถูกค้นพบก่อนหน้าหลายสัปดาห์ก่อนหน้าที่แล้ว เพื่อเป็นการยืนยันแฮ็กเกอร์ได้ส่งข้อมูลบัญชีผู้ใช้ของนักข่าว Motherboard มาให้ ดูเหมือนว่าช่องโหว่นี้จะถูกใช้ไปก่อนหน้าที่ Saini จะอัพโหลดวิดีโอแสดงตัวอย่างแล้ว ทาง Motherboard จึงได้สอบถามไปยัง T-mobile และได้รับคำตอบว่า “เราแก้ปัญหาไปแล้วภายใน 24 ชม.รวมถึงทางที่จะใช้งานช่องโหว่นี้ทั้งหมด และตอนนี้ยังไม่ได้รับการร้องเรียนว่ามีผู้ใช้งานได้รับผลกระทบจากช่องโหว่นี้

ที่มา : https://www.scmagazine.com/hackers-may-have-exploited-t-mobile-api-to-steal-customer-data/article/703493/ และ https://motherboard.vice.com/en_us/article/wjx3e4/t-mobile-website-allowed-hackers-to-access-your-account-data-with-just-your-phone-number

from:https://www.techtalkthai.com/tmobile-web-vulnerbility/

เตือนแคมเปญ Phishing บน Facebook หลอกคลิกลิงค์คล้าย YouTube

F-Secure ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยชื่อดัง ออกมาแจ้งเตือนถึงแคมเปญ Phishing ที่มุ่งหวังในการขโมยชื่อบัญชีและรหัสผ่านของ Facebook และ YouTube จากผู้ใช้งาน Android และ Apple iOS จนถึงตอนนี้พบว่ามีผู้ที่อาจตกเป็นเหยื่อแล้วมากถึง 200,000 ราย

F-Secure ระบุว่า พบแคมเปญ Phishing ดังกล่าวเมื่อประมาณ 2 สัปดาห์ที่ผ่าน โดยในช่วงวันแรก (15 ตุลาคม) แคมเปญดังกล่าวพุ่งเป้าไปยังผู้ใช้ในประเทศสวีเดน ถัดมาอีก 2 วันย้ายมาเป็นประเทศฟินแลนด์ จากนั้นอีก 2 วันก็ย้ายมาเป็นประเทศเยอรมนี จนถึงตอนนี้พบว่ามีคนหลกคลิกลิงค์ Phishing ไปแล้วกว่า 200,000 ราย โดยที่ 80% มาจาก 3 ประเทศดังกล่าว

จากการตรวจสอบพบว่า แคมเปญ Phishing นี้ แฮ็คเกอร์เริ่มโจมตีโดยการแฮ็คบัญชีของผู้ใช้งานที่ไม่ได้พิสูจน์ตัวตนแบบ 2-Factor Authentication จากนั้นจึงทำการโพสต์ลิงค์ Phishing บนหน้า Wall หรือส่งลิงค์ไปยังผู้ใช้คนอื่นที่อยู่ในรายชื่อเพื่อน ซึ่งลิงค์ดังกล่าวแฮ็คเกอร์ได้ใช้เทคนิคการปลอม Metadata เพื่อหลอกระบบพรีวิว URL ของ Facebook ให้แสดงผลเป็นวิดีโอ YouTube แทน ผู้ใช้ Android หรือ Apple iOS ที่หลงเชื่อว่าตัวเองกำลังคลิกลิงค์วิดีโอจะถูกส่งไปยังหน้าเว็บ Phishing ดังแสดงในรูปด้านล่างเพื่อหลอกถามข้อมูลชื่อบัญชีและรหัสผ่าน ซึ่งข้อมูลเหล่านี้แฮ็คเกอร์จะนำไปใช้เพื่อรันแคมเปญโจมตีไปยังเหยื่อคนอื่นๆ ต่อไป ส่วนผู้ใช้ระบบปฏิบัติการอื่นๆ จะถูกส่งไปยัง contenidoviral.net ซึ่งแสดงผลโฆษณาแทน

F-Secure แนะนำให้ผู้ใช้ Facebook ที่เคยกดลิงค์และกรอกข้อมูลบนเว็บไซต์ Phishing ดังกล่าวรีบทำการเปลี่ยนรหัสผ่าน และเปิดใช้งานการพิสูจน์ตัวตนแบบ 2-Factor Authentication โดยด่วน

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/facebook-phishing-campaign-targets-android-and-ios-users/

from:https://www.techtalkthai.com/facebook-phishing-campaign-targets-android-and-ios-users/