blog

  • 25
    04

    Why DMARC?

    People and companies around the world suffer from the high volume of spam and phishing on the Internet. Over the years several methods have been introduced to try and identify when mail from (for example) myrealcompany.com really is, or really isn’t coming from myrealcompany.com. However:

    These mechanisms all work separately and isolated from each other
    Each receiver makes own decisions about evaluation of the results
    The legitimate domain owner (e.g – myrealcompany) never gets any feedback
    Enter DMARC.

    DMARC addresses the above short falls by providing coordinated, tested methods for:

    Domain owners to:
    Signal that they are using email authentication (SPF, DKIM)
    Provide an email address to gather feedback about messages using their domain –wether legitimate or not
    A policy(report, quarantine, reject) to apply to messages that fail authentication
    Email receivers to:
    Be sure that a given sending domain is using email authentication
    Consistently evaluate SPF and DKIM along with what the end user sees in their inbox
    Determine the domain owner’s preference (report, quarantine or reject) for messages that do not pass authentication checks
    Provide the domain owner with feedback about messages using their domain
    DMARC is best implemented slowly (have u heard of a tree that has grown in a day 😛 ?)

    A domain owner who has deployed email authentication will begin using DMARC in “monitor mode” to collect data from participating receivers. As the data shows that their legitimate traffic is passing authentication checks, they will change their policy to request that failing messages be quarantined. As they grow confident that no legitimate messages are being incorrectly “quarantined”, they will move to a “reject” policy.

    ที่มา:http://blog.secureitlab.com/why-dmarc/

  • 25
    04

    What is DMARC and how it can help us?

    DMARC, which stands for “Domain-based Message Authentication, Reporting & Conformance”, is an email authentication protocol. It builds on the widely deployed SPF and DKIM protocols, adding a reporting function that allows senders and receivers to improve and monitor protection of the domain from fraudulent email.

    DMARC makes it easier for email senders and receivers to determine whether or not a given message is the real email from the sender, and what to do if it isn’t. DMARC makes is easier to identify spam and phishing messages, and keep them out of users, customers and email inboxes. DMARC allows email senders and receivers to cooperate in sharing information about the email they send to each other

    If you want to remove the threat of direct domain spoofing, prevent spear phishing attacks the you must implement DMARC

    ที่มา:http://blog.secureitlab.com/what-is-dmarc-and-how-it-can-help-us/

  • 25
    04

    What is SPF

    Sender Policy Framework (SPF) is an email validation system designed to detect and block forged or spoofed emails. This is done by verifying the sender’s email server before delivering all legitimate email to a recipient’s inbox.

    SPF allows an agency to specify which servers are allowed to send emails for their domain and makes this information available for recipients to check.

    This is achieved when the network owner creates an SPF entry in the Domain Name System (DNS) record for their domain. The SPF entry will contain a list of domains or valid IP addresses authorized to send emails for their domain. When an email is sent to a network with SPF checking enabled, the recipient email server validates the sender’s domain against the published SPF record. That is, it confirms that the IP address
    of the sending server is on the allowed list for the domain; if it does not match, SPF verification will fail. The network owner can decide whether to block, quarantine or tag emails as suspicious after failing SPF verification.

    ที่มา:http://blog.secureitlab.com/what-is-spf/

  • 11
    04

    เครือข่ายสแปมรั่ว !! ฐานข้อมูลผู้ใช้กว่า 1,400 ล้านรายชื่อหลุดสู่สาธารณะ

    เรียกได้ว่าเป็นหนึ่งในเหตุการณ์ Data Breach ครั้งใหญ่ที่สุดในปีนี้ เมื่อ Chris Vickery นักวิจัยด้านความมั่นคงปลอดภัยจาก MacKeeper และ Steve Ragan จาก CSOOnline ออกมาเปิดเผยถึงการรั่วไหลของฐานข้อมูลสำหรับเก็บไฟล์ข้อมูลสำรองบนเครือข่ายสแปมชื่อดัง River City Media (RCM) สู่สาธารณะ ซึ่งประกอบด้วยข้อมูลส่วนบุคคลของผู้ใช้รวมแล้วกว่า 1,400 ล้านรายชื่อ

    RCM ก่อตั้งโดย Matt Ferrisi และ Alvin Slocombe ซึ่งอ้างตัวเองว่าเป็นบริษัทด้านการตลาดอย่างถูกกฎหมาย แต่เบื้องหลังได้ทำการส่งอีเมลสแปมหลายพันล้านฉบับไปยังผู้ใช้ในแต่ละวัน

    ฐานข้อมูลของ RCM ที่รั่วไหลออกมานี้ประกอบด้วยเอกสารข้อมูลความลับเกี่ยวกับการดำเนินงานของ RCM และข้อมูลส่วนบุคคลของผู้ใช้กว่า 1,400 ล้านรายชื่อ ได้แก่ อีเมล ชื่อจริง หมายเลข IP และที่อยู่ ซึ่งทุกคนสามารถเข้าถึงได้โดยไม่จำเป็นต้องมี Username/Password ในการเข้าถึง

    Vickery ระบุว่า ตอนนี้ยังไม่สามารถยืนยันได้ 100% ว่า ข้อมูลที่รั่วไหลออกมาเป็นข้อมูลที่ถูกต้องจริง แต่เขาพบว่าที่อยู่ของคนรู้จักของเขาที่อยู่ในฐานข้อมูลดังกล่าวถูกต้อง ที่น่าสนใจคือ เอกสารการทำงานของ RCM ที่รั่วไหลออกมามีระบุถึงผลประโยชน์ที่ได้รับจากการส่งอีเมลสแปมด้วย กล่าวคือ แต่ละวัน RCM จะส่งอีเมลประมาณ 18 ล้านฉบับไปยัง Gmail และอีก 15 ล้านฉบับไปยัง AOL ซึ่งได้รับค่าตอบแทนกลับมาประมาณ $36,000 (ประมาณ 1.3 ล้านบาท)

    นอกจากนี้ RCM ยังใช้เทคนิคการแฮ็คมากมายเพื่อให้สามารถกระจายอีเมลสแปมไปให้ได้มากที่สุด หนึ่งในวิธีการที่ RCM ใช้เรียกว่า Slowloris Attacks ซึ่งเป็นการโจมตีที่ถูกออกแบบมาเพื่อเปิด Connection ระหว่างระบบของพวกเขาและ Gmail Server ให้ได้มากที่สุดผ่านการส่ง Response Packet กลับไปอย่างช้าๆ

    เพื่อตอบโต้การกระทำดังกล่าวของ RCM หลายบริษัทรวมไปถึง Spamhaus ได้ทำการแบล็คลิสต์ระบบของ RCM ทั้งหมดจากฐานข้อมูล Register of Known Spam Operations (ROKSO) เพื่อไม่ให้ RCM สามารถส่งอีเมลสแปมผ่านทางบริษัทของตนได้อีก

    ที่มา:https://www.techtalkthai.com/rcm-data-breach-1400m-users-exposed/

  • 01
    11

    พบรหัสผ่าน Gmail และ Yahoo กว่า 1,000,000 รายชื่อขายในตลาดมืดออนไลน์

    แนะนำผู้ใช้ทุกคนเปลี่ยนรหัสผ่านใหม่โดยทันที และหลีกเลี่ยงการใช้รหัสผ่านซ้ำเดิม

    รายงานจาก HackRead ระบุว่า พบผู้ใช้นาม “SunTzu583” ประกาศขายข้อมูลบัญชี Gmail และ Yahoo รวมแล้วเกือบ 1,200,000 รายการบน Dark Web หรือตลาดมืดออนไลน์ จากการตรวจสอบพบว่ามาจากเหตุการณ์ Data Breach ของ LinkedIn, Tumblr, MySpace, Last.FM, Yahoo! และ VK.com ตั้งแต่ปี 2008 – 2016

    ข้อมูลบัญชี Gmail และ Yahoo ที่ขายเหล่านี้ประกอบด้วย ชื่อผู้ใช้ อีเมล และรหัสผ่านในรูปของ Plaintext ซึ่งถูกแบ่งขายออกเป็น 4 Packages ใหญ่ๆ ดังนี้

    บัญชี Yahoo 100,000 รายชื่อจากเหตุการณ์ Data Breach ของ Last.FM ในปี 2012 ราคา 0.0084 Bitcoins (ประมาณ 380 บาท)
    บัญชี Yahoo 145,000 รายชื่อจากเหตุการณ์ Data Breach ของ Adobe ปี 2013 และ MySpace ปี 2008 ราคา 0.0102 Bitcoins (ประมาณ 490 บาท)
    บัญชี Gmail 500,000 รายชื่อจากเหตุการณ์ Data Breach ของ MySpace ปี 2008, Tumblr ปี 2013 และ Bitcoin Security Forum ปี 2014 ราคา 0.0219 Bitcoins (ประมาณ 1,000 บาท)
    บัญชี Gmail 450,000 รายชื่อจากเหตุการณ์ Data Breach ของ Dropbox, Adobe และอื่นๆ ระหว่างปี 2010 – 2016 ราคา 0.0201 Bitcoins (ประมาณ 910 บาท)
    จากการตรวจสอบเบื้องต้นพบว่า ข้อมูลที่ SunTzu583 นำมาขายเหล่านี้ ตรงกับข้อมูลในฐานข้อมูลของ Hacked-DB และ HavelBeenPwned ซึ่งรวบรวมบัญชีรายชื่อที่เคยถูกแฮ็คไว้ จึงคาดว่าน่าจะเป็นของจริงแท้แน่นอน

    แนะนำให้ผู้ใช้ Gmail และ Yahoo ทุกคนรีบเปลี่ยนรหัสผ่านใหม่โดยเร็ว และใช้การพิสูจน์ตัวตนแบบ 2-Factor Authentication เพื่อเพิ่มความมั่นคงปลอดภัยในการล็อกอิน ที่สำคัญคือ อย่าใช้รหัสผ่านซ้ำกันระหว่างเว็บไซต์ต่างๆ

    สำหรับท่านที่สนใจหรือต้องการข้อมูลใดเพิ่มเติม สามารถติดต่อ Proofpoint distributor in thailand : info@infosec.co.th

    ที่มา:https://www.techtalkthai.com/1m-gmail-yahoo-accounts-sold-in-dark-web/

1 2 3 4 5 6 7 8 9