FBI เตือนให้ระวังโฆษณาปลอมบนเสิร์ชเอนจิน

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  สำนักงานสืบสวนกลางสหรัฐอเมริกา (FBI) ออกคำเตือนให้ระวังอาชญากรไซเบอร์ที่ซื้อโฆษณาปลอมบนเสิร์ชเอนจินที่จะลวงผู้ใช้ไปยังเว็บไซต์อันตราย   อาชญากรเหล่านี้ซื้อโฆษณาที่จะปรากฎอยู่บนผลการค้นหาโดยใช้ชื่อโดเมนที่คล้ายกับธุรกิจที่มีอยู่จริง ซึ่งเมื่อคลิกแล้วจะนำผู้ใช้ไปยังหน้าเว็บที่ดูเหมือนของจริงมาก   ในคำแถลงเผยว่าเว็บไซต์เหล่านี้ซ่อนมัลแวร์เรียกค่าไถ่เอาไว้ รวมถึงจะขโมยข้อมูลการล็อกอิน และข้อมูลทางการเงิน โดยเฉพาะแพลตฟอร์มคริปโทเคอเรนซี   โดยในบางเว็บไซต์จะมีบริการดาวน์โหลดโปรแกรมที่แท้จริงแล้วเป็นมัลแวร์ ขณะที่เว็บไซต์อีกส่วนหนึ่งที่หน้าตาเหมือนเว็บไซต์สถาบันทางการเงิน ก็จะหลอกให้ผู้ใช้งานเข้าล็อกอินโดยใส่รหัสผ่านจริง   FBI แนะนำวิธีการป้องกันโดยให้ตรวจสอบดูว่า URL นั้นเป็นของจริงและมีการสะกดคำผิดหรือไม่ พยายามใส่ URL เว็บไซต์ของธุรกิจที่ต้องการเข้าชมแทนการค้นหา และควรใช้ส่วนเสริมที่ปิดกั้นโฆษณา (ad blocking extension) บนเว็บเบราว์เซอร์       ——————————————————————————————————————————————————————————————————- ที่มา :                      beartai.com                  …

ฝรั่งเศสปรับ “ไมโครซอฟท์” 2,200 ล้าน ปมเว็บดังเก็บคุกกี้หาประโยชน์จากโฆษณา

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  ฝรั่งเศสปรับ “ไมโครซอฟท์” – วันที่ 22 ธ.ค. เอเอฟพี รายงานว่า คณะกรรมการเทคโนโลยีและเสรีภาพแห่งชาติของฝรั่งเศส (ซีเอ็นไอแอล) แถลงปรับ ไมโครซอฟท์ บริษัทผู้ผลิตและพัฒนาซอฟต์แวร์รายใหญ่ของโลก เป็นเงิน 60 ล้านยูโร หรือกว่า 2,200 ล้านบาท   France’s privacy watchdog said it has fined US tech giant Microsoft 60 million euros over its use of advertising cookies. The CNIL said Bing had had not set up a system allowing users to…

บริษัทแม่ TikTok เผย มีพนักงานแอบเข้าไปดูข้อมูลส่วนตัวของนักข่าวอเมริกัน

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

FILE PHOTO: Illustration shows TikTok app logo   บริษัทจีน “ไบต์เเดนซ์” (ByteDance) ซึ่งเป็นบริษัทเเม่ของแอป TikTok กล่าววันพฤหัสบดีว่าพนักงานจำนวน 4 คนของบริษัท เข้าไปดูข้อมูลส่วนตัวของนักข่าวสหรัฐฯ 2 ราย และเจ้าหน้าที่เหล่านั้นถูกไล่ออกในเวลาต่อมา ตามรายงานของรอยเตอร์   การกระทำอันไม่เหมาะสมนี้เกิดขึ้นเมื่อช่วงฤดูร้อนที่ผ่านมา และเป็นส่วนหนึ่งของความพยายามสืบข้อมูลที่รั่วไหลของบริษัท โดยมีจุดมุ่งหมายเพื่อระบุความเชื่อมโยงของนักข่าว 2 รายกับพนักงานของบริษัท   อย่างไรก็ตาม การสืบสวนดังกล่าวไม่ประสบความสำเร็จ ตามข้อมูลของผู้อำนวยการฝ่ายกฎหมายของ “ไบต์เเดนซ์” อิริช แอนเดอร์เซน   นิวยอร์กไทมส์คือสื่อฉบับเเรก ๆ ที่รายงานการเปิดเผยครั้งนี้ โดยเหตุการณ์นี้อาจสร้างแรงกดดันต่อเนื่องสำหรับ TikTok ซึ่งกำลังโดนรัฐบาลอเมริกันและนักการเมืองในสภาสหรัฐฯ เพ่งเล็งเรื่องความปลอดภัยของข้อมูลผู้ใช้ TikTok ในอเมริกา ที่มีอยู่กว่า 100 ล้านคน   รอยเตอร์อ้างเเหล่งข่าวที่ได้รับรายงานเรื่องนี้ ที่กล่าวว่าพนักงานไบต์แดนซ์ 4 คน ถูกไล่ออกเนื่องจากเกี่ยวข้องกับเหตุการณ์ดังกล่าว โดยอยู่ในอเมริกา 2…

LastPass ทำข้อมูลรั่วคนร้ายได้ฐานข้อมูลไปทั้งหมด เหลือ Master Password ป้องกันรหัสผ่านของลูกค้าเท่านั้น

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  LastPass รายงานถึงเหตุข้อมูลรั่วจากระบบคลาวด์สตอเรจ ทำให้คนร้ายเข้าถึงข้อมูลสำรองทั้งระบบ โดยเหตุการณ์นี้เกี่ยวเนื่องกับเหตุการณ์เมื่อเดือนสิงหาคมที่ผ่านมา เพราะคนร้ายใช้ข้อมูลที่ได้ไปครั้งนั้นเอาไปเข้าระบบสตอเรจอีกที   ข้อมูลสำรองที่ได้ไป ทำให้คนร้ายข้อมูลไปจำนวนมาก โดยเฉพาะข้อมูลลูกค้า เช่น ชื่อบริษัท, ชื่อผู้ใช้, ที่อยู่เรียกเก็บเงิน, อีเมล, หมายเลขโทรศัพท์, และหมายเลขไอพีที่เข้าใช้งาน รวมถึงตัวฐานข้อมูลรหัสผ่านของลูกค้าเอง ยกเว้นข้อมูลหมายเลขบัตรเครดิตที่ไม่ได้สำรองไว้ในระบบนี้   ตัวฐานข้อมูลรหัสผ่านที่เก็บไว้กับ LastPass นั้นเข้ารหัสด้วย master password ที่ถูกแปลงเป็นกุญแจ AES-256 อีกชั้น ดังนั้นตอนนี้จึงต้องถือว่าคนร้ายได้ไฟล์ฐานข้อมูลไปแล้ว และถ้าตั้ง master password เอาไว้ไม่ดีก็อาจจะถูกคนร้ายไล่เดารหัสผ่านจนหลุดได้ หรือคนร้ายอาจจะพยายามหลอกล่อเหยื่อด้วยวิธีการต่างๆ เพื่อให้เหยื่อยอมบอกรหัสผ่านนี้   ทาง LastPass ระบุว่าผู้ใช้ตั้งแต่ปี 2018 เป็นต้นมาถูกบังคับให้ตั้งรหัสผ่านยาวถึง 12 ตัวอักษร และกุญแจยังสร้างจากฟังก์ชั่น PBKDF2 รันแฮช 100,100 รอบ ทำให้การยิงรหัสผ่านทำได้ยากมาก แต่หากผู้ใช้เป็นบัญชีเดิมที่ตั้งรหัสไว้สั้น หรือใช้ master password ซ้ำกับบริการอื่น ๆ…

ผู้เชี่ยวชาญไซเบอร์อินเดียพบช่องโหว่ในผลิตภัณฑ์ Hikvision ที่นำไปสู่การควบคุมระบบ CCTV ได้

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  ซูวิก กันดาร์ (Souvik Kandar) และ อาร์โก ดาร์ (Arko Dhar) แห่ง Redinent Innovations บริษัทความมั่นคงปลอดภัยไซเบอร์ CCTV และ IoT เผยช่องโหว่ร้ายแรงบนผลิตภัณฑ์ของ Hikvision   ช่องโหว่ตัวนี้มีชื่อเรียกว่า CVE-2022-28173 เป็นช่องทางให้ผู้ไม่หวังดีเข้าควบคุมอุปกรณ์ตัวปัญหาจากระยะไกลได้ โดยพบอยู่บนอุปกรณ์เชื่อมต่อไร้สาย (Wireless Bridge) ที่ใช้สำหรับลิฟต์และระบบกล้องวงจรปิด   ในขณะนี้มีการออกแพตช์เฟิร์มแวร์สำหรับผลิตภัณฑ์ DS-3WF0AC-2NT และ DS-3WF01C-2N/O แล้ว อีกทั้งยังมีการแจ้งไปยังผู้ขายผ่านทางศูนย์เผชิญเหตุทางคอมพิวเตอร์อินเดีย (CERT India) ด้วย นำไปสู่การออกแพตช์แก้ในต้นเดือนธันวาคมที่ผ่านมา   ดาร์ชี้ว่าผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้ในการเข้าควบคุมอุปกรณ์ที่มีช่องโหว่ไปสู่การแฮกระบบ CCTV ทั้งระบบ โดยผ่านการเชื่อมต่อจากระบบเครือข่ายภายในองค์กร หรือแม้แต่เครือข่ายอินเทอร์เน็ตภายนอกได้ หากปล่อยให้เชื่อมต่อไป   โดยดาร์ได้ลองใช้ Shodan และ Censys ในการค้นหาอุปกรณ์ที่มีช่องโหว่นี้บนอินเทอร์เน็ต ก็พบว่ามีอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตภายนอกอยู่จริง ๆ และอาจเป็นเป้าได้ หากยังไม่ได้รับการแพตช์…

ปปง. ธปท. สมาคมธนาคารไทย เพิ่มวิธียืนยันตัวตนฝากเงินผ่านเครื่อง CDM ด้วยรหัส OTP เริ่ม 1 มิ.ย. 66 จริงหรือ?

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  ตามที่มีข้อมูลเผยแพร่เกี่ยวกับประเด็นเรื่องปปง. ธปท. สมาคมธนาคารไทย เพิ่มวิธียืนยันตัวตนฝากเงินผ่านเครื่อง CDM ด้วยรหัส OTP เริ่ม 1 มิ.ย. 66 ทางศูนย์ต่อต้านข่าวปลอมได้ดำเนินการตรวจสอบข้อเท็จจริงโดยธนาคารแห่งประเทศไทย กระทรวงการคลัง พบว่าประเด็นดังกล่าวนั้น เป็นข้อมูลจริง   ตามที่มาตรการด้านการป้องกันและปราบปรามการฟอกเงินและการต่อต้านการสนับสนุนทางการเงินแก่การก่อการร้าย ได้กำหนดให้การทำธุรกรรมทางการเงิน เช่น ฝากเงินผ่านเครื่องรับฝากอัตโนมัติ (CDM) ต้องมีการแสดงตนของผู้ทำธุรกรรมเพื่อให้มีความปลอดภัย สร้างภูมิคุ้มกันให้กับระบบการเงิน และเป็นการดำเนินการตามกฎหมายว่าด้วยการป้องกันและปราบปรามการสนับสนุนทางการเงินแก่การก่อการร้ายและการแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง ภาคธนาคารจึงดำเนินการตามข้อกำหนดดังกล่าวโดยแนวทางหนึ่ง คือให้ผู้ทำธุรกรรมต้องแสดงตนโดยใช้บัตรเดบิต บัตรเครดิต หรือบัตรเอทีเอ็ม   อย่างไรก็ตาม เพื่ออำนวยความสะดวกให้กับประชาชนที่ไม่มีบัตรดังกล่าว ให้สามารถทำรายการฝากเงินที่เครื่องรับฝากเงิน CDM ได้ สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) ธนาคารแห่งประเทศไทย (ธปท.) และสมาคมธนาคารไทย จึงได้หารือร่วมกันเพื่อหาแนวทางการยืนยันตัวตนด้วยวิธีการอื่นเพิ่มเติม โดยมีหลักการว่าต้องไม่สร้างภาระแก่ประชาชนเกินควร และมีทางเลือกในการยืนยันตัวตนได้หลายรูปแบบ   จากการหารือร่วมกันทั้งสามหน่วยงาน โดยได้รับการสนับสนุนจากสำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์และกิจการโทรคมนาคมแห่งชาติ (กสทช.) และผู้ให้บริการเครือข่ายโทรศัพท์ทุกรายได้ข้อสรุปร่วมกันว่าควรเพิ่มวิธีการยืนยันตัวตนด้วยรหัส OTP (One Time Password) เป็นทางเลือกให้กับประชาชน โดยผู้ฝากเงินผ่านเครื่อง…