blog

  • 11
    04

    เครือข่ายสแปมรั่ว !! ฐานข้อมูลผู้ใช้กว่า 1,400 ล้านรายชื่อหลุดสู่สาธารณะ

    เรียกได้ว่าเป็นหนึ่งในเหตุการณ์ Data Breach ครั้งใหญ่ที่สุดในปีนี้ เมื่อ Chris Vickery นักวิจัยด้านความมั่นคงปลอดภัยจาก MacKeeper และ Steve Ragan จาก CSOOnline ออกมาเปิดเผยถึงการรั่วไหลของฐานข้อมูลสำหรับเก็บไฟล์ข้อมูลสำรองบนเครือข่ายสแปมชื่อดัง River City Media (RCM) สู่สาธารณะ ซึ่งประกอบด้วยข้อมูลส่วนบุคคลของผู้ใช้รวมแล้วกว่า 1,400 ล้านรายชื่อ

    RCM ก่อตั้งโดย Matt Ferrisi และ Alvin Slocombe ซึ่งอ้างตัวเองว่าเป็นบริษัทด้านการตลาดอย่างถูกกฎหมาย แต่เบื้องหลังได้ทำการส่งอีเมลสแปมหลายพันล้านฉบับไปยังผู้ใช้ในแต่ละวัน

    ฐานข้อมูลของ RCM ที่รั่วไหลออกมานี้ประกอบด้วยเอกสารข้อมูลความลับเกี่ยวกับการดำเนินงานของ RCM และข้อมูลส่วนบุคคลของผู้ใช้กว่า 1,400 ล้านรายชื่อ ได้แก่ อีเมล ชื่อจริง หมายเลข IP และที่อยู่ ซึ่งทุกคนสามารถเข้าถึงได้โดยไม่จำเป็นต้องมี Username/Password ในการเข้าถึง

    Vickery ระบุว่า ตอนนี้ยังไม่สามารถยืนยันได้ 100% ว่า ข้อมูลที่รั่วไหลออกมาเป็นข้อมูลที่ถูกต้องจริง แต่เขาพบว่าที่อยู่ของคนรู้จักของเขาที่อยู่ในฐานข้อมูลดังกล่าวถูกต้อง ที่น่าสนใจคือ เอกสารการทำงานของ RCM ที่รั่วไหลออกมามีระบุถึงผลประโยชน์ที่ได้รับจากการส่งอีเมลสแปมด้วย กล่าวคือ แต่ละวัน RCM จะส่งอีเมลประมาณ 18 ล้านฉบับไปยัง Gmail และอีก 15 ล้านฉบับไปยัง AOL ซึ่งได้รับค่าตอบแทนกลับมาประมาณ $36,000 (ประมาณ 1.3 ล้านบาท)

    นอกจากนี้ RCM ยังใช้เทคนิคการแฮ็คมากมายเพื่อให้สามารถกระจายอีเมลสแปมไปให้ได้มากที่สุด หนึ่งในวิธีการที่ RCM ใช้เรียกว่า Slowloris Attacks ซึ่งเป็นการโจมตีที่ถูกออกแบบมาเพื่อเปิด Connection ระหว่างระบบของพวกเขาและ Gmail Server ให้ได้มากที่สุดผ่านการส่ง Response Packet กลับไปอย่างช้าๆ

    เพื่อตอบโต้การกระทำดังกล่าวของ RCM หลายบริษัทรวมไปถึง Spamhaus ได้ทำการแบล็คลิสต์ระบบของ RCM ทั้งหมดจากฐานข้อมูล Register of Known Spam Operations (ROKSO) เพื่อไม่ให้ RCM สามารถส่งอีเมลสแปมผ่านทางบริษัทของตนได้อีก

    ที่มา:https://www.techtalkthai.com/rcm-data-breach-1400m-users-exposed/

  • 11
    04

    พบรหัสผ่าน Gmail และ Yahoo กว่า 1,000,000 รายชื่อขายในตลาดมืดออนไลน์

    แนะนำผู้ใช้ทุกคนเปลี่ยนรหัสผ่านใหม่โดยทันที และหลีกเลี่ยงการใช้รหัสผ่านซ้ำเดิม

    รายงานจาก HackRead ระบุว่า พบผู้ใช้นาม “SunTzu583” ประกาศขายข้อมูลบัญชี Gmail และ Yahoo รวมแล้วเกือบ 1,200,000 รายการบน Dark Web หรือตลาดมืดออนไลน์ จากการตรวจสอบพบว่ามาจากเหตุการณ์ Data Breach ของ LinkedIn, Tumblr, MySpace, Last.FM, Yahoo! และ VK.com ตั้งแต่ปี 2008 – 2016

    ข้อมูลบัญชี Gmail และ Yahoo ที่ขายเหล่านี้ประกอบด้วย ชื่อผู้ใช้ อีเมล และรหัสผ่านในรูปของ Plaintext ซึ่งถูกแบ่งขายออกเป็น 4 Packages ใหญ่ๆ ดังนี้

    บัญชี Yahoo 100,000 รายชื่อจากเหตุการณ์ Data Breach ของ Last.FM ในปี 2012 ราคา 0.0084 Bitcoins (ประมาณ 380 บาท)
    บัญชี Yahoo 145,000 รายชื่อจากเหตุการณ์ Data Breach ของ Adobe ปี 2013 และ MySpace ปี 2008 ราคา 0.0102 Bitcoins (ประมาณ 490 บาท)
    บัญชี Gmail 500,000 รายชื่อจากเหตุการณ์ Data Breach ของ MySpace ปี 2008, Tumblr ปี 2013 และ Bitcoin Security Forum ปี 2014 ราคา 0.0219 Bitcoins (ประมาณ 1,000 บาท)
    บัญชี Gmail 450,000 รายชื่อจากเหตุการณ์ Data Breach ของ Dropbox, Adobe และอื่นๆ ระหว่างปี 2010 – 2016 ราคา 0.0201 Bitcoins (ประมาณ 910 บาท)
    จากการตรวจสอบเบื้องต้นพบว่า ข้อมูลที่ SunTzu583 นำมาขายเหล่านี้ ตรงกับข้อมูลในฐานข้อมูลของ Hacked-DB และ HavelBeenPwned ซึ่งรวบรวมบัญชีรายชื่อที่เคยถูกแฮ็คไว้ จึงคาดว่าน่าจะเป็นของจริงแท้แน่นอน

    แนะนำให้ผู้ใช้ Gmail และ Yahoo ทุกคนรีบเปลี่ยนรหัสผ่านใหม่โดยเร็ว และใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication เพื่อเพิ่มความมั่นคงปลอดภัยในการล็อกอิน ที่สำคัญคือ อย่าใช้รหัสผ่านซ้ำกันระหว่างเว็บไซต์ต่างๆ

    ที่มา:https://www.techtalkthai.com/1m-gmail-yahoo-accounts-sold-in-dark-web/

  • 26
    01

    เตือน Gmail Phishing แบบใหม่ ต่อให้คุ้นเคยกับ IT ก็อาจตกเป็นเหยื่อ

    นักวิจัยด้านความมั่นคงปลอดภัยหลายท่านออกมาเตือนถึงแคมเปญ Phishing รูปแบบใหม่ ที่พุ่งเป้ามายังผู้ใช้ Gmail ซึ่งมีเทคนิคการหลอกลวงที่แนบเนียน ถึงขั้นที่ต่อให้เป็นผู้ที่คุ้นเคยกับ IT หรือพอมีความรู้ทางด้านความมั่นคงปลอดภัยยังอาจจะตกเป็นเหยื่อ ถูกหลอกส่งข้อมูลรหัสผ่านให้แก่แฮ็คเกอร์

    ก่อนเริ่มโจมตี แฮ็คเกอร์จำเป็นต้องแฮ็คเข้า Gmail Account ของเหยื่อรายหนึ่งก่อน จากนั้นแฮ็คเกอร์จะเริ่มค้นหาอีเมลในกล่องข้อความเพื่อค้นหาเป้าหมายที่จะโจมตีถัดๆ ไป โดยพิจารณาจากไฟล์แนบและหัวข้อที่เหยื่อเคยส่งให้คนอื่นว่าจะสอดคล้องกับการโจมตี (Phishing) ของตนหรือไม่

    เมื่อพบเป้าหมายแล้ว แฮ็คเกอร์จะถ่ายรูปหน้าจอของไฟล์แนบนั้นๆ แล้วแนบรูปดังกล่าวส่งกลับไปยังผู้ส่ง (ซึ่งจะเป็นเป้าหมายใหม่ของแฮ็คเกอร์) โดยใช้ชื่อหัวข้อเดียวกันหรือคล้ายกัน เพื่อให้ระบบของ Gmail ไม่สงสัยหรือแจ้งเตือนความผิดปกติ ที่สำคัญคือ เหยื่อรายใหม่ (ผู้รับอีเมล) มีแนวโน้มว่าจะถูกหลอกได้ง่ายเนื่องจากเป็นอีเมล Phishing ที่ถูกส่งมาโดยคนรู้จัก

    Gmail Phishing นี้จะใช้ประโยชน์จากรูปภาพที่ปลอมเหมือนเป็นไฟล์แนบ PDF เมื่อเหยื่อ (ผู้รับอีเมล)​ เผลอคลิกเพื่อดูเนื้อหาของไฟล์แนบ เหยื่อจะถูกส่งไปยังเว็บ Phishing ซึ่งปลอมให้เหมือนหน้าล็อกอินของ Gmail ราวกับว่าเหยื่อจะต้องล็อกอินใหม่เพื่อเปิดอ่านไฟล์แนบ ที่น่าสนใจคือ URL ด้านบนไม่ได้มีสีแดงแจ้งเตือนว่าหน้าเว็บที่กำลังเข้าถึงไม่มั่นคงปลอดภัย และส่วนหนึ่งของ URL ยังประกอบด้วย Subdomain ของ Google คือ accounts.google.com อีกด้วย เท่านี้ก็เพียงพอต่อการหลอกคนส่วนใหญ่ให้เชื่อว่าเว็บไซต์ที่ตนกำลังเข้าอยู่เป็นหน้าเว็บของ Google จริง

    ถ้าเหยื่อเผลอกรอกข้อมูลชื่อผู้ใช้และรหัสผ่านลงไปหน้าเว็บปลอมดังกล่าว ข้อมูลทั้งหมดจะถูกส่งไปยังแฮ็คเกอร์ทันที แล้วแฮ็คเกอร์ก็จะนำข้อมูลเหล่านั้นไปล็อกอินเข้าใช้ Gmail ต่อ เพื่อหาเหยื่อรายถัดๆ ไป

    “เทคนิค Phishing นี้ใช้สิ่งที่เรียกว่า ‘Data URI’ เพื่อใส่ไฟล์เข้าไปยัง Location Bar ของเบราเซอร์ เมื่อคุณมองดูที่ Location Bar นั้น จะเห็นคำว่า ‘data:text/html…’ ซึ่งจริงๆ แล้ว [ไม่ใช่ URL ปกติ แต่] เป็นข้อความที่ยาวมาก” — Mark Maunder, CEO ของ WordFence ชี้แจง

    วิธีป้องกัน Gmail Phishing นี้ทำได้ง่ายมาก เพียงแค่เปิดใช้งานการพิสูจน์ตัวตนแบบ 2-Factor Authentication เท่านั้น และพยายามระมัดระวังการเปิดไฟล์แนบ และตรวจสอบ URL ให้ดีก่อนที่จะกรอกข้อมูลรหัสผ่านใดๆ

    ที่มา: http://thehackernews.com/2017/01/gmail-phishing-page.html

  • 26
    01

    พบมัลแวร์ Ploutus สายพันธุ์ใหม่ โจมตีตู้ ATM ในอเมริกา

    มัลแวร์ Ploutus ถูกค้นพบครั้งแรกในเม็กซิโกเมื่อปี 2556 เป็นมัลแวร์ที่โจมตีตู้ ATM ใช้วิธีการแพร่กระจายผ่านทางแผ่นซีดี ผู้ประสงค์ร้ายสามารถขโมยเงินจากตู้ ATM ที่ติดมัลแวร์ได้ผ่านการเชื่อมต่อคีย์บอร์ดหรือส่งรหัสถอนเงินมาทาง SMS

    เมื่อวันที่ 11 มกราคม 2560 บริษัท FireEye ได้แจ้งเตือนการค้นพบมัลแวร์ Ploutus สายพันธุ์ใหม่ (Ploutus-D) โดยเน้นโจมตีตู้ ATM ที่ใช้ซอฟต์แวร์ Kalignite ของบริษัท KAL ซึ่งเป็นซอฟต์แวร์ที่นิยมใช้ในตู้ ATM กว่า 40 ยี่ห้อใน 80 ประเทศ หลังจากที่ตู้ ATM ติดมัลแวร์ ผู้ประสงค์ร้ายสามารถเปิดด้านบนของตู้ ATM (อาจจะได้กุญแจมาจากเจ้าหน้าที่ธนาคารหรือสะเดาะกุญแจ) แล้วเชื่อมต่อคีย์บอร์ดเพื่อเข้าไปสั่งถอนเงินได้

    ตัวมัลแวร์เวอร์ชันที่ทาง FireEye ได้ทำการวิเคราะห์นั้นถูกตั้งค่าให้โจมตีตู้ ATM ยี่ห้อ Diebold โดยเฉพาะ มัลแวร์มีความสามารถในการปิดการทำงานของโปรแกรมรักษาความปลอดภัยที่ติดตั้งอยู่ในระบบ โค้ดที่ใช้สำหรับสั่งถอนเงินถูกกำหนดไว้แล้วและมีอายุการใช้งานแค่ 24 ชั่วโมง ไม่มีความสามารถในการขโมยข้อมูลจากบัตร ATM ที่ถูกนำมาเสียบเข้ากับตู้ (เน้นขโมยเงินจากตู้เท่านั้น) ปัจจุบันพบการแพร่ระบาดแล้วในอเมริกา

    ผู้ที่สนใจสามารถศึกษาข้อมูลรายละเอียดเพิ่มเติมของมัลแวร์ได้จากเว็บไซต์ของ FireEye

  • 26
    01

    FireCrypt: Ransomware ตัวใหม่ มาพร้อมกับโมดูล DDoS

    MalwareHunterTeam ออกมาเปิดถึง Ransomware ตัวใหม่ ชื่อว่า FireCrypt ซึ่งนอกจากจะเข้ารหัสไฟล์ข้อมูลของเหยื่อแล้ว ยังพยายามโจมตีแบบ DDoS ไปยังเป้าหมาย URL ที่ได้ Hardcode ไว้ในซอร์สโค้ดอีกด้วย

    จากการตรวจสอบโดย Bleeping Computer พบว่า FireCrypt Ransomware ถูกออกแบบโดยแฮ็คเกอร์ที่มีประสบการณ์ในการเขียนมัลแวร์ โดยใส่คุณสมบัติ Polymorphic ส่งผลให้ซอฟต์แวร์แอนตี้ไวรัสตรวจจับ Ransomware ได้ยากขึ้น FireCrypt แพร่กระจายตัวผ่านทางไฟล์ EXE เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว FireCrypt จะปิดการทำงาน Task Manager (taskmgr.exe) และเริ่มเข้ารหัสไฟล์รวม 20 ประเภท เช่น ไฟล์เอกสาร รูปภาพ และเพลง โดยใช้อัลกอริธึมเข้ารหัสข้อมูลแบบ AES จากนั้นต่อท้ายไฟล์ด้วยนามสกุล “.firecrypt”

    หลังจากเข้ารหัสเสร็จเรียบร้อย FireCrypt จะแสดงหน้าจอเรียกค่าไถ่ดังรูปด้านล่าง จากการตรวจสอบพบว่า ข้อความเรียกค่าไถ่ดังกล่าวเหมือนกับ Ransomware ที่ชื่อว่า “Deadly for a Good Purpose” ที่ค้นพบเมื่อเดือนตุลาคม 2016 ต่างกันตรงแค่ FireCrypt ไม่มีโลโก้ด้านบน อย่างไรก็ตาม เมื่อดูซอร์สโค้ดภายใน พบว่า Ransomware ทั้งสองใช้อีเมลและชื่อบัญชี Bitcoin เดียวกัน จึงเป็นไปได้สูงมากว่า Deadly for a Good Purpose ถูกปรับปรุงและเปลี่ยนชื่อใหม่เป็น FireCrypt

    นอกจากเข้ารหัสไฟล์ข้อมูลแล้ว ซอร์สโค้ดของ FireCrypt ยังประกอบด้วยฟังก์ชันที่จะคอยเชื่อมต่อกับ URL ของสำนักงานโทรคมนาคมแห่งชาติปากีสถาน (http://www.pta.gov.pk/index.php) ตลอดเวลา เพื่อทำการดาวน์โหลด Content และบันทึกลงบนฮาร์ดดิสก์ภายในโฟลเดอร์ %Temp% โดยตั้งชื่อว่า [RANDOM_CHARS]-{CONNECT_NUMBER].html ส่งผลให้โฟลเดอร์ %Temp% ของเหยื่อจะมีไฟล์ขยะโผล่ขึ้นมาเป็นจำนวนมาก

    แฮ็คเกอร์ผู้พัฒนา FireCrypt เรียกฟีเจอร์นี้ว่า “DDoSer” แต่อาจจำเป็นต้องแพร่มัลแวร์ไปยังคอมพิวเตอร์หลายพันเครื่องแล้วสั่งโจมตีพร้อมกันถึงจะรุนแรงพอที่จะทำให้เว็บไซต์ของสำนักโทรคมนาคมหยุดชะงักการให้บริการได้

    จนถึงตอนนี้ยังไม่มีโปรแกรม Decrypter สำหรับถอดรหัสข้อมูลของ FireCrypt แต่อย่างใด

    ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/firecrypt-ransomware-comes-with-a-ddos-component/

1 2 3 4 5 6 7