อีคอมเมิร์ซแอป เป้าหมายใหม่ การโจมตีทางไซเบอร์ (1)

บทความน่าสนใจ

Loading

  ในปี 2566 แนวโน้มทิศทางการโจมตีทางไซเบอร์บนแอปพลิเคชันอีคอมเมิร์ซ (E-commerce) ตกเป็นเป้าหมายหลักเลยก็ว่าได้   เนื่องจากธุรกิจอีคอมเมิร์ซกลายเป็น Omnichannel เพิ่มเรื่อย ๆ และมีการสร้างและปรับใช้อินเทอร์เฟซ API มากขึ้น โดยแฮ็กเกอร์จะใช้ประโยชน์จากการหาช่องโหว่ต่าง ๆ เพื่อเปิดการโจมตี   นี่คือเหตุผลว่าทำไมการทดสอบและการหมั่นตรวจสอบระบบอย่างต่อเนื่องจึงมีความสำคัญมากในการช่วยหาจุดอ่อนให้ได้อย่างรวดเร็วและเป็นการป้องกันเว็บแอปพลิเคชันอย่างมีประสิทธิภาพ   วันนี้ผมจึงอยากหยิบยกเรื่องการโจมตีแพลตฟอร์มอีคอมเมิร์ซของ Honda มาพูดถึงว่ามันเกิดขึ้นได้อย่างไร รวมถึงผลกระทบที่เกิดขึ้นต่อธุรกิจและกลุ่มลูกค้า   การโจมตีแพลตฟอร์มอีคอมเมิร์ซของฮอนด้าที่จัดจำหน่ายสินค้าเกี่ยวกับอุปกรณ์ไฟฟ้า ไม่ว่าจะเป็นเครื่องตัดหญ้า เครื่องยนต์ติดท้ายเรือ เป็นต้น ได้เกิดข้อผิดพลาดของ API ที่ทำให้ไม่ว่าจะใครก็สามารถขอรีเซ็ตรหัสผ่านของบัญชีผู้ใช้งานใดก็ได้   หากแฮ็กเกอร์ค้นพบสิ่งนี้ได้ แน่นอนว่าจะเป็นการละเมิดข้อมูลครั้งใหญ่อีกครั้งหนึ่ง เพราะการสูญเสียการควบคุมในการเข้าถึงทำให้บุคคลอื่นสามารถเข้าถึงข้อมูลทั้งหมดบนแพลตฟอร์มได้ แม้ว่าจะเข้าสู่ระบบด้วยบัญชีสำหรับใช้ทดสอบ (Test Account) ก็ตาม โดยผู้ทดสอบสามารถเข้าถึงข้อมูลต่อไปนี้ได้ทั้งหมด   คำสั่งซื้อของลูกค้าเกือบ 24,000 รายจากตัวแทนจำหน่ายฮอนด้าทุกแห่งตั้งแต่ ส.ค. 2559 ถึง มี.ค. 2566 รวมถึงชื่อที่อยู่และหมายเลขโทรศัพท์ของลูกค้า เว็บไซต์ตัวแทนจำหน่ายที่ใช้งานอยู่ 1,091 แห่งซึ่งสามารถแก้ไขไซต์เหล่านี้ได้, ผู้ใช้งาน/บัญชีตัวแทนจำหน่าย…

สตอกโฮล์ม ซินโดรม

บทความน่าสนใจ

Loading

  ย้อนกลับไป 50 ปีก่อน เมื่อวันที่ 23 ส.ค. 2516 เกิดเหตุคนร้ายชื่อ “แจน-เอริก โอลส์สัน” บุกปล้นธนาคารแห่งหนึ่งในกรุงสตอกโฮล์ม ประเทศสวีเดน และจับตัวประกันไว้เป็นเวลา 6 วัน ซึ่งเหตุการณ์นี้คือจุดเริ่มต้นของคำว่า “สตอกโฮล์ม ซินโดรม” หรืออาการที่ตัวประกันเกิดความรู้สึก และความผูกพันทางอารมณ์กับคนร้าย   ตอนนั้น โอลส์สัน ซึ่งเป็นที่รู้จักในชื่อเล่นว่า “ยานเน” จับพนักงานธนาคาร 4 คนเป็นตัวประกัน ขณะที่ตำรวจและสื่อ ต่างล้อมรอบจัตุรัสด้านนอกธนาคารเครดิตแบงเคน โดยมีมือปืนซุ่มยิงอยู่ในอาคารโดยรอบ และปืนทุกกระบอกชี้ตรงไปที่ธนาคาร   “หลังจากนั้น ฉันมักจะนึกถึงสถานการณ์บ้าบอที่พวกเราเผชิญในตอนนั้น มันคือความหวาดกลัว จากการอยู่ระหว่างคำขู่ฆ่าของทั้งสองฝ่าย ระหว่างตำรวจ กับโจร” นางคริสติน เอ็นมาร์ค ตัวประกันในเหตุการณ์ดังกล่าว เขียนเล่าในหนังสือของเธอที่ชื่อ “I Became the Stockholm Syndrome”   โอลส์สันใช้ตัวประกัน 2 คน เป็นโล่มนุษย์ และขู่ฆ่าพวกเขา…

เช็กให้แน่ ดูให้ชัวร์ อยู่ไกลกลลวง Phishing

บทความน่าสนใจ

Loading

  Phishing เป็นคำพ้องเสียงจากคำว่า Fishing หมายถึงการตกปลา เป็นการเปรียบเทียบว่า เหยื่อล่อที่ใช้ตกปลาคือกลวิธีที่มิจฉาชีพใช้หลอกลวง โดยมักเป็นการปลอมอีเมลหรือหน้าเว็บไซต์ที่มีข้อความ ทำให้ผู้อ่านหลงเชื่อว่า เป็นความจริงจนตกเป็นเหยื่อ   โดยกลวิธีหลอกล่อ Phishing มีดังนี้ – ปลอมอีเมล : ให้ดูเหมือนของหน่วยงานที่น่าเชื่อถือ เช่น ธนาคาร โดยเขียนข้อความในอีเมลเชิงหลอกล่อเพื่อให้เหยื่อส่งข้อมูลส่วนตัวกลับไป หรือให้เหยื่อคลิกลิงก์ไปยังหน้าเว็บไซต์ปลอม – ปลอมเว็บไซต์ : ให้ดูเหมือนเว็บไซต์ทางการเงิน เช่น ธนาคารออนไลน์ ซึ่งเป็นช่องทางที่จะนำไปสู่บัญชีเก็บเงินของลูกค้า เมื่อเหยื่อหลงเชื่อกรอกข้อมูล รหัสประจำตัว และ Password มิจฉาชีพก็สามารถเข้าถึงและทำธุรกรรมทางการเงินของเราได้ทันที   คำแนะนำ 1. URL : ไม่คลิกลิงก์ที่แนบมาในอีเมล์ของคนที่เราไม่รู้จัก ถ้าต้องการเข้าเว็บไซต์ ให้พิมพ์ URL เอง 2. E-mail : ระวังอีเมลที่ขอให้ส่งข้อมูลส่วนตัวกลับไป หรืออีเมลที่มาพร้อมกับลิงก์ 3. HTTPS : โดยปกติธนาคารจะใช้งาน HTTPS เพื่อป้องกันการโจมตีทางเครือข่าย…

3 เหตุผลทำไม? ต้องปกป้อง “มือถือ” ให้ใช้งานได้ปลอดภัย!

บทความน่าสนใจ

Loading

  ปัจจุบันในสมาร์ตโฟนของเรา จะมีข้อมูลส่วนบุคคลต่าง ๆ มากมาย ทั้งรูปภาพ บทสนทนา รวมถึงการใช้างนแอปต่าง ๆ   ปัจจุบันในสมาร์ตโฟนของเรา จะมีข้อมูลส่วนบุคคลต่างๆ มากมาย ทั้งรูปภาพ  บทสนทนา รวมถึงการใช้างนแอปต่างๆ  โดยเฉพาะ แอปการเงิน   ทำให้การป้องกันความปลอดภันของสมาร์ตโฟน ถือเป็นสิ่งจำเป็นอย่างยิ่ง แต่คนส่วนใหญ่เมื่อโทรศัพท์ใหม่ จะรีบหาซื้อเคสป้องกันทันที เพื่อป้องกันไม่ให้โทรศัพท์มีรอยหรือแตกหักแม้จะตกหล่น แต่ละเลยเรื่องความปลอดภัยในการใช้งาน แคสเปอร์สกี้ (Kaspersky) แนะเหตุผลสำคัญ 3 ประการว่าทำไมจึงจำเป็นต้องปกป้องโมบายดีไวซ์ด้วยซอฟต์แวร์   1. เพราะมีเงินอยู่ในสมาร์ตโฟนของคุณ ภูมิภาคเอเชียตะวันออกเฉียงใต้ได้รับการขนานนามว่าเป็นตลาดโมบายวอลเล็ต หรือกระเป๋าเงินออนไลน์ ที่เติบโตเร็วที่สุดหลังจากเหตุโรคระบาดที่ทำให้เกิดการยอมรับธนาคารออนไลน์และการใช้กระเป๋าเงินอิเล็กทรอนิกส์ในภูมิภาคอย่างเฟื่องฟู   ในปีที่แล้ว การชำระเงินผ่านโมบายดีไวซ์ยังคงเติบโตอย่างต่อเนื่องด้วยบริการเงินออนไลน์ทั้ง 86 บริการในภูมิภาคเอเชียตะวันออกเฉียงใต้ และคาดการณ์ว่าจะมีสตาร์ทอัพกลุ่มยูนิคอร์นเพิ่มมากขึ้น และกระแสกระปุกออมสินดิจิทัลมากขึ้นเช่นกัน และการวิจัยของแคสเปอร์สกี้เรื่องการจ่ายเงินดิจิทัล หรือ Digital Payments ระบุว่าสมาร์ตโฟนแอนดรอยด์เป็นอุปกรณ์ที่ใช้ในการทำธุรกรรมทางการเงินออนไลน์มากที่สุดในภูมิภาคนี้     ผู้บริโภคส่วนใหญ่ในภูมิภาคนี้ใช้โทรศัพท์แอนดรอยด์ ผู้ใช้บริการการชำระเงินดิจิทัลในอินโดนีเซียและฟิลิปปินส์จำนวนมากกว่าสี่ในห้า (82%) ระบุว่าใช้อุปกรณ์แอนดรอยด์ในการทำธุรกรรม ขณะที่มาเลเซียมี…

“เกสตาโป” ตำรวจลับยุคฮิตเลอร์ ขาโหด-สอดส่อง-รวบตัวคนได้ทั่วแดนจริงหรือ?

บทความน่าสนใจ

Loading

    เยอรมนี ภายใต้ร่มเงา อดอล์ฟ ฮิตเลอร์ เป็นช่วงที่นักประวัติศาสตร์ล้วนอธิบายการเมืองการปกครองในห้วงนั้นว่าเป็นแบบเผด็จการเบ็ดเสร็จ องค์ประกอบหนึ่งที่สำคัญในระบอบนาซีคือหน่วย เกสตาโป (Gestapo) ตำรวจลับที่มีบทบาทสำคัญในการฝังความรู้สึกหวาดกลัวในหมู่พลเรือน คำถามคือ เรื่องนี้เป็นมายาคติ หรือเป็นเรื่องจริงที่มาจากหลักฐานอันมีน้ำหนักเพียงพอ? ในยุคนาซี ชาวเยอรมันคุ้นเคยกับการเรียกหน่วยงาน “ตำรวจ” ด้วยคำว่า Po เช่น ตำรวจฝ่ายอาชญากรรมเรียกว่า Kripo ตำรวจที่ดูแลรักษาความปลอดภัยเรียกว่า Sipo แต่ศัพท์เรียกหน่วยตำรวจซึ่งลือชื่อที่สุดต้องเป็นคำว่า “เกสตาโป” หรือ ตำรวจลับ ซึ่งเป็นคำที่จดจำยาวนานมาจนถึงวันนี้ ทั้งยังกลายเป็นคำศัพท์ที่สื่อถึงสิ่งที่ทำให้รู้สึกหวาดหวั่นในอำนาจการสอดส่องและการดำเนินการอันน่าสะพรึงกลัว การศึกษาเรื่อง “เกสตาโป” ยุคต้น งานศึกษา (เกี่ยวกับเกสตาโปและนาซี) โดยนักวิชาการผู้ศึกษาการเมืองในช่วงหนึ่ง ส่วนใหญ่เป็นงานที่เกิดขึ้นนอกอาณาเขตของเยอรมนี หนึ่งในผลงานที่ถูกกล่าวขานกันมากคืองานเขียน The Origins of Totalitarianism (หรือจุดกำเนิดของการปกครองแบบเผด็จการ) โดย ฮันนาห์ อาเรนด์ท (Hannah Arendt) เธอวิเคราะห์และอธิบายการปกครองแบบลัทธินาซีและลัทธิสตาลิน เธอบ่งชี้ว่า รัฐที่ปกครองในระบอบเผด็จการ “ทุกแห่ง” ล้วนพึ่งพิง “ตำรวจลับ” (secret…

แนะนำ 10 Search Engine สำหรับผู้สนใจด้านความมั่นคงปลอดภัยทางไซเบอร์

บทความน่าสนใจ

Loading

    สำหรับบุคคลทั่วไปใครๆก็รู้จัก Search Engine เป็นอย่างดี เช่น Google , Bing, Yandex หรืออื่นๆอีกมากมาย เช่นกันในมุมของผู้ที่เกี่ยวข้องกับเรื่องความมั่นคงทางไซเบอร์เองก็มีมือเครื่องมือขุดค้นข้อมูลในอินเทอร์เน็ตที่อาจเป็นเหยื่อของการโจมตี ยกตัวอย่าง เช่น Shodan ก็เป็นเครื่องมือตัวหนึ่งที่ถูกอ้างถึงในหน้าข่าวว่า สามารถใช้สืบค้นเครื่องที่มีความเสี่ยงจากช่องโหว่ต่างๆ ว่ามีจำนวนเท่าใดที่เชื่อมต่ออินเทอร์เน็ต แต่นั่นไม่ใช่เครื่องมือแค่ตัวเดียว ในบทความนี้ขอแนะนำรายชื่อเครื่องมือค้นหาอีก 10 รายการ ให้ทุกท่านได้รู้จักและไปทดลองกันต่อได้ครับ   1. DNSdumpster หากคุณกำลังสนใจว่ามีโฮสต์ใดที่เกี่ยวข้องกับโดเมนที่สนใจบ้าง ในมุมของแฮ็กเกอร์หรือบุคคลจากภายนอกเขาจะเห็นอะไรบ้างนะ เครื่องมือตัวนี้ก็น่าจะไขข้อข้องใจท่านได้บ้าง 2. FullHunt เป็นอีกหนึ่งเครื่องมือสำหรับการค้นหาสินทรัพย์ใดที่เชื่อมต่ออยู่ในอินเทอร์เน็ต โดยริเริ่มมาจากแนวคิดที่ว่าหากองค์กรต้องการรู้ว่าพวกเขาเปิดเผยอะไรไว้ในอินเทอร์เน็ตจะทำอย่างไร ซึ่งเป็นสิ่งที่ใช้งานได้ฟรี 3. GreyNoise เป็นเครื่องมือสำหรับค้นหาสิ่งที่ผู้คนค้นหา แตกต่างจาก Shodan หรือเครื่องมืออื่นที่ใช้เพื่อค้นหาสิ่งที่อยู่ในอินเทอร์เน็ต (ข้อมูลจาก csoonline) ไอเดียคือพวกเขาได้สร้าง Honeypot ไว้ในผู้ให้บริการคลาวด์ต่างๆ จำนวนมากแล้วก็เก็บ Log มาวิเคราะห์ว่ามี Request มาจากไหนมากแน่นอนว่าฝ่ายดีที่เห็นได้ชัดเช่น Shodan , Censys ,…