ผู้เชี่ยวชาญเผยแอคเค้าน์คุณถูกขโมยได้แม้ยังไม่สมัคร

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

    ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยช่องทางที่แอคเค้าน์ของเราอาจถูกชิงไปแล้วแม้จะยังไม่ทันสมัครใช้บริการ Andrew Paverd นักวิจัยจากทีม Microsoft Security Response Center และ Avinash Sudhodanan นักวิจัยอิสระได้ร่วมกันเผยผลการวิเคราะห์บริการออนไลน์กว่า 75 บริการ ซึ่งพบว่าผู้ใช้งานอย่างน้อย 35 บริการอาจถูกขโมยบัญชีไปก่อนแม้จะยังไม่ได้สมัครก็ตาม โดยทั้งหมดนี้เป็นช่องโหว่ที่เกิดขึ้นจากบริการเองที่อาจจะตัดรอนขั้นตอนยุ่งยากของการสมัครเข้าใช้บริการ ไอเดียง่ายๆก็คือแฮกเกอร์ต้องทราบอีเมลของท่านก่อนเพื่อแอบนำไปสมัครบริการที่มีช่องโหว่ โดยหวังว่าเหยื่อจะไม่ได้ตรวจสอบการแจ้งเตือนในอินบ็อกซ์ หลังจากนั้นก็รอให้วันหนึ่งเหยื่ออาจจะมาสมัครใช้บริการนี้หรือถูกกระตุ้นด้วยวิธีการบางอย่าง ฟังดูไม่น่าจะเป็นไปได้ แต่สิ่งที่ผู้เชี่ยวชาญพบในกลไกช่องโหว่คือ 1.) Classic-federated Merge (CFM) เป็นการที่แพลตฟอร์มมีการรวมบัญชีที่ถูกสร้างใหม่เข้ากับของเก่า ในบางกรณีไม่มีการแจ้งเตือนผู้ใช้ด้วยซ้ำ โดยการโจมตีนี้ขึ้นอยู่กับวิธีการทำ SSO ซึ่งทำให้ผู้ใช้ไม่ต้องมาเปลี่ยนรหัสที่คนร้ายตั้งไว้ 2.) Unexpired Session Attack เมื่อเหยื่อสร้างแอคเค้าน์ใหม่หรือรีเซ็ตรหัสผ่านแล้ว คนร้ายจะพยายามรักษาไม่ใช้ Session หมดอายุด้วยการใช้สคริปต์ ทำให้คนร้ายสามารถเข้าถึงแอคเค้าน์ได้อยู่ 3.) Trojan identifier เป็นการผสมผสานวิธีการ 1 และ 2 คือหลังจากที่คนร้ายสร้างบัญชีเหยื่อไว้ล่วงหน้าแล้ว ก็จะทำการเชื่อมโยงบัญชีไว้กับแอคเค้าน์ IdP ของตนเพื่อทำ Federate…

มัลแวร์ VIDAR ใช้วิธีหลอกคนดาวน์โหลดวินโดวส์ 11 ปลอมในการแพร่เชื้อ

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  มีโดเมนปลอมเป็นหน้าเว็บดาวน์โหลด Microsoft Windows 11 ที่พยายามหลอกผู้ใช้ให้ติดตั้งไฟล์โทรจันเพื่อติดตั้งมัลแวร์จารกรรมข้อมูล Vidar โดบเป็นการแจกไฟล์ ISO อันตรายเพื่อเป็นเครื่องมือในการแพร่เชื้อลงเครื่องเหยื่อต่อไป มัลแวร์ Vidar จะสื่อสารกับเซิร์ฟเวอร์สั่งการที่ผู้โจมตีควบคุมอยู่ผ่านช่องทางโซเชียลที่โฮสต์บนเครือข่าย Telegram และ Mastodon ซึ่งโดเมนปลอมที่มีการจดทะเบียนตั้งแต่วันที่ 20 เมษาที่ผ่านมาได้แก่ ms-win11[.]com, win11-serv[.]com, and win11install[.]com, และ ms-teams-app[.]net นอกจากนี้ ทางบริษัทด้านความปลอดภัยทางไซเบอร์ Zscaler ยังเตือนว่าแคมเปญนี้ยังมีการใช้ประโยชน์จากซอฟต์แวร์ที่ถูกต้องอื่นๆ ด้วยการติดตั้งประตูหลังในตัวติดตั้งแบบเดียวกันด้วย ไม่ว่าจะเป็น Adobe Photoshop หรือ Microsoft Teams เป็นต้น สำหรับไฟล์ ISO ตัวหลักที่ใช้โจมตีนี้ จะมีไฟล์ Executable ที่ขนาดใหญ่ผิดปกติ (มากกว่า 300MB) เพื่อหลีกเลี่ยงการตรวจสแกนของโซลูชั่นความปลอดภัย รวมทั้งพรางด้วยเซอร์ดิจิตอลที่หมดอายุจาก Avast ที่ถูกจารกรรมจากเหตุข้อมูลรั่วไหลเมื่อตุลาคม 2019 ด้วย อ่านเพิ่มเติมที่นี่ – THN  …

Mastercard เปิดบริการจ่ายเงินด้วยใบหน้าหรือลายนิ้วมือ

ข่าวประจำวัน

Loading

  Mastercard เปิดโครงการ Biometric Checkout เป็นเฟรมเวิร์คสำหรับบริษัทพันธมิตรเข้ามาให้บริการจ่ายเงินแบบใช้เพียงใบหน้าหรือลายนิ้วมือ โดยการทดสอบครั้งแรกจะเริ่มในบราซิล พันธมิตรที่ร่วมทดสอบกลุ่มแรก ได้แก่ NEC , Payface , Aurus , PaybyFace , PopID , และ Fujitsu Limited ในบราซิลจะเป็นการทดสอบกับบริษัท Payface ก่อน โดยเฟรมเวิร์คจะกำหนดแนวทางการรักษาความปลอดภัย , ประสิทธิภาพของระบบ biometric ที่ใช้งาน , และการเก็บรักษาข้อมูล biometric ผู้ใช้ที่ร่วมทดสอบกับ Payface จะต้องลงทะเบียนใบหน้าผ่านแอป Payface ก่อน จากนั้นเมื่อเข้าคิวจ่ายค่าสินค้า ก็สามารถจ่ายได้ทันทีเพียงแค่ยิ้มให้กับกล้อง ประโยชน์สำหรับผู้จ่ายคือไม่ต้องหาบัตร ขณะที่ร้านค้าเองก็น่าจะทำให้คิวจ่ายเงินใช้เวลาน้อยลง การยืนยันตัวตนด้วยชีวมิติ (biometric) นั้นมีข้อจำกัดที่ความแม่นยำจะต่ำกว่าการยืนยันด้วยกระบวนการเข้ารหัสลับ เช่น ในชิปบัตรเครดิตทุกวันนี้ ที่ผ่านมา Mastercard เองก็ใช้เทคโนโลยีกลุ่มนี้ร่วมกับการยืนยันด้วยบัตรเครดิตที่มีตัวอ่านลายนิ้วมือ หรือยืนยันตัวตนกับโทรศัพท์มือถือผ่านโปรโตคอล FIDO อีกชั้น น่าสนใจว่าการใช้ใบหน้าหรือลายนิ้วมือเพียงอย่างเดียวจะมีความแม่นยำเพียงพอหรือไม่ ตลอดจนทนทานต่อความพยายามปลอมแปลงตัวหรือเปล่า…

“กลลวงยุคไซเบอร์” ที่เราควรรู้ทันทุกขณะ | ปริญญา หอมเอนก

บทความน่าสนใจ

Loading

การหลอกลวงมนุษย์ ตั้งแต่การตกทองแบบปกติที่ไม่เกี่ยวข้องกับอินเทอร์เน็ต จนมาถึง การตกทองผ่านทางอินเทอร์เน็ต ตั้งแต่แชร์แม่ชม้อยที่มีการนำกลยุทธตกทองกลับมาใช้อย่างแยบยล มาถึงวันนี้การหลอกลวงด้วยกลยุทธแบบเดิมๆก็ยังไม่ล้มหายตายจากไป แต่ดูเหมือนจะยิ่งเพิ่มมากขึ้นและมีรูปแบบที่ซับซ้อนขึ้นด้วย ไม่ว่าจะเป็น Romance Scam Sextortion แก๊ง Call Center แก๊งหลอกโอน รวมไปถึงการหลอกลวงบนสื่อโซเชียล การหลอกลวงผ่านแชตที่เกิดขึ้นทั้งทาง LINE , Facebook , IG และ Twitter (ซึ่งแพลตฟอร์มต่างๆ ไม่มีส่วนเกี่ยวข้องใดๆ กับการหลอกลวงดังกล่าว) ล่าสุดที่กำลังร้อนแรงคือ การหลอกลวงเด็กนักเรียนนักศึกษาให้หารายได้พิเศษ มิจฉาชีพจะใช้ช่องทาง Twitter ตั้งข้อความติดแฮชแท็กที่ดึงดูด เช่น #งานออนไลน์ได้เงินจริง #งานออนไลน์ไม่จำกัดอายุ เมื่อเหยื่อหลงเชื่อเข้าไปคลิกเข้าไปคุยด้วย ก็จะบอกให้เพิ่มเพื่อนทาง LINE จากนั้นปฏิบัติการหลอกลวงต้มตุ๋นก็จะเริ่มต้นขึ้น ด้วยการชักชวนให้ลงทุนในเกมส์ออนไลน์ที่มีลักษณะคล้ายบ่อนพนันออนไลน์ บอกให้เหยื่อเข้าไปที่ Web Application ที่สร้างเอาไว้ซึ่งมีหน้าตาคล้ายคลึงกับ Mobile App ใน App มีให้เล่นเกม เสี่ยงโชคคล้ายกับไฮโล มีสูงต่ำ และ มีระบบโอนเงินเข้าออก หน้า App…

ยูเครนใช้เทคโนโลยีระบบจดจำใบหน้าช่วยระบุตัวทหารรัสเซีย

การรักษาความลับ, ข่าวประจำวัน

Loading

ในภาวะสงคราม การทราบข้อมูล พร้อมทั้งสามารถระบุว่าใครเป็นใครได้นั้นถือเป็นสิ่งสำคัญ ไม่ว่าจะเป็นทหารที่เสียชีวิต ผู้ที่ถูกจับกุมตัว ขโมย คนที่เข้า-ออกเขตชายแดน หรือกระทั่งการบันทึกข้อมูลอาชญากรรมสงครามต่าง ๆ รัฐบาลและหน่วยงานของประเทศยูเครนจึงนำเทคโนโลยีใหม่ซึ่งเป็นซอฟต์แวร์จดจำใบหน้า (facial recognition) สุดล้ำสมัยจากสหรัฐฯ เข้ามาใช้เพื่อตอบโจทย์ข้างต้น โดยเทคโนโลยีดังกล่าวสามารถระบุตัวทหารรัสเซีย ทั้งที่ยังมีชีวิตอยู่และเสียชีวิต ลีโอนิด ทิมเชนโก (Leonid Tymchenko) หัวหน้าฝ่ายปฏิบัติการและสนับสนุนข้อมูลของตำรวจแห่งชาติยูเครน บอกกับผู้สื่อข่าว วีโอเอ ว่า เทคโนโลยีจดจำใบหน้าคือเครื่องมือที่มีประโยชน์มากสำหรับยูเครน ซึ่งมีการนำมาใช้ใน 5 หน่วยงานของสำนักงานตำรวจแห่งชาติของยูเครนแล้ว และ ระบบนี้ก็ทำงานได้ตามเป้าประสงค์อย่างไม่มีที่ติ   Clearview.ai – Screenshot Clearview AI บริษัทผู้ผลิตเทคโนโลยีจดจำใบหน้าจากรัฐนิวยอร์ก ซึ่งเป็นบริษัทที่ตกเป็นเป้าการถกเถียงกันอยู่ในเวลานี้ คือ ผู้ที่อนุมัติให้รัฐบาลยูเครนใช้ฐานข้อมูลใบหน้าผู้คนนับพันล้านคนเพื่อใช้ในการระบุตัวทหารรัสเซียนั้น ทั้งนี้ Clearview AI เพิ่งสิ้นสุดกระบวนการไกล่เกลี่ยคดีฟ้องร้องในชั้นศาล เกี่ยวกับการละเมิดสิทธิส่วนบุคคลจากซอฟต์แวร์ที่สามารถระบุและให้ข้อมูลตัวส่วนตัว โดยที่เจ้าตัวไม่ได้ยินยอม ซึ่งทางบริษัทอ้างว่า ตนเก็บข้อมูลส่วนบุคคลจากโซเชียลมีเดียและเว็บไซต์สาธารณะต่าง ๆ รวมทั้งสื่อสังคมออนไลน์ในประเทศรัสเซียอย่าง VKontakte (VK) อย่างไรก็ตาม บริษัทดังกล่าวจบคดีโดยการตกลงว่า จะขายซอฟต์แวร์ของตนให้แก่ตำรวจและหน่วยงานบังคับใช้กฎหมายเท่านั้น…

สหราชอาณาจักรปรับ Clearview AI เป็นเงิน 320 ล้านบาท ฐานใช้ภาพประชาชนให้บริการค้นหา

การรักษาความลับ, ข่าวประจำวัน

Loading

  Information Commissioner’s Office (ICO) หน่วยงานกำกับดูแลข้อมูลส่วนบุคคลของสหราชอาณาจักร ประกาศปรับบริษัท Clearview AI ฐานใช้ภาพประชาชนโดยไม่ได้รับอนุญาต โดยสั่งปรับ 7.5 ล้านปอนด์หรือ 320 ล้านบาท พร้อมกับสั่งให้หยุดดาวน์โหลดข้อมูลส่วนบุคคล และลบข้อมูลที่ดาวน์โหลดไปแล้วออกทั้งหมด Clearview AI ดำเนินธุรกิจเก็บภาพใบหน้าจำนวนมากจากอินเทอร์เน็ตแล้วเปิดให้ลูกค้าค้นหาภาพใบหน้าได้ ลูกค้าของบริษัทมักเป็นหน่วยงานรัฐ ทาง ICO ระบุว่าความผิดของ Clearview AI มีหลายประเด็น ได้แก่ – ไม่แจ้งประชาชนถึงการใช้งานข้อมูลอย่างเปิดเผย ทำให้เจ้าของข้อมูลไม่ตระหนักว่าข้อมูลอาจถูกใช้งานไปค้นหาใบหน้า – ไม่มีเหตุจำเป็นตามกฎหมายในการเก็บข้อมูลส่วนบุคคล – ไม่มีกระบวนการขอให้หยุดเก็บข้อมูล – เมื่อเจ้าของข้อมูลขอตรวจสอบข้อมูลก็ยิ่งขอข้อมูลส่วนบุคคลเพิ่มเติม ตอนนี้ Clearview AI เก็บภาพบุคคลไปแล้วกว่าสองหมื่นล้านภาพจากทั่วโลก ทาง ICO ระบุว่าข้อมูลเช่นนี้ไม่ใช่แค่การค้นหาตัวตนแต่ยังสามารถตรวจสอบพฤติกรรมบุคคลในภาพด้วย ที่มา – ICO     ที่มา : blognone    /   วันที่เผยแพร่…