กสทช. ออสเตรเลียบังคับค่ายมือถือยืนยันตัวตนลูกค้าสองขั้นตอนก่อนออกซิมใหม่ วางค่าปรับ 5 ล้านบาทหากทำไม่ครบ

ข่าวประจำวัน

Loading

Australian Communications and Media Authority (ACMA) หรือกสทช.ออสเตรเลียประกาศมาตรฐานการตรวจสอบผู้ใช้ก่อนออกซิมใหม่ หลังพบว่าประชาชนเป็นเหยื่อมากขึ้นและการถูกขโมยหมายเลขโทรศัพท์แต่ละครั้งทำให้เหยื่อเสียหายเฉลี่ยสูงกว่า 10,000 ดอลลาร์ออสเตรเลีย หรือมากกว่าสองแสนบาท ทาง ACMA ไม่ได้แยกย่อยว่าความเสียหายส่วนใหญ่เกิดจากอะไร แต่ก็ระบุความสำคัญของการใช้บริการธนาคารบนโทรศัพท์มือถือ ที่หากคนร้ายควบคุมหมายเลขโทรศัพท์ได้ก็จะขโมยเงินได้ กฎใหม่นี้บังคับให้ผู้ให้บริการเครือข่ายโทรศัพท์มือถือต้องยืนยันตัวตนลูกค้าที่มาขอเปลี่ยนซิมด้วยมาตรการ 2 ขั้นตอนเป็นอย่างน้อย (multi factor authentication) ผู้ให้บริการที่ไม่ทำตามข้อกำหนดนี้มีโทษปรับสูงสุด 250,000 ดอลลาร์ออสเตรเลียหรือ 5 ล้านบาท นอกจากการบังคับยืนยันตัวตนหลายขั้นตอนแล้ว ทาง ACMA ยังพยายามปรับปรุงความปลอดภัยและลดการหลอกลวงผ่านโทรศัพท์โดยรวม เช่น มาตรการ Do Not Originate List เปิดให้แบรนด์สามารถลงทะเบียนป้องกันคนร้ายมาสวมรอยเป็นเบอร์ต้นแทาง หรือมาตรการตัดการเชื่อมต่อกับเครือข่ายที่มีปริมาณการโทรหลอกลวงสูงๆ ——————————————————- ที่มา : Blognone / 2 มีนาคม 2563 Link : https://www.blognone.com/node/114931

พบช่องโหว่ Paypal เตือนผู้ใช้เสี่ยงข้อมูลรั่วไหล

ข่าวประจำวัน

Loading

  ทีมนักวิจัยจาก CyberNews รายงานว่า พบช่องโหว่ร้ายแรงที่เกี่ยวข้องกับระบบ 2FA Authentication และระบบยืนยันตัวตนทั่วไปของเว็บไซต์ Paypal ซึ่งจะอนุญาตให้คนทั่วไปเข้าสู่ระบบได้ นอกจากนั้นทีมนักวิจัยพบบัญชี Paypal ที่ถูกนำไปขายในเว็บตลาดมืดในราคาเพียง 1.50 ดอลลาห์สหรัฐ หากมีผู้ไม่หวังดีซื้อข้อมูลนำไปใช้ ก็สามารถเข้าใช้งานได้ทันทีโดยไม่มีการตรวจสอบ IP ก่อนการเข้าถึง และไม่มีการยืนยันตัวตน โดยทีมนักวิจัยพบช่องโหว่ร้ายแรง 5 ข้อสำคัญ ดังนี้ ข้ามการยืนยันตัวตน 2FA (Authflow) เลี่ยงการตรวจสอบระบบ OTP เมื่อต้องการเปลี่ยนแปลงข้อมูลบัญชี อนุญาตให้คนทั่วไปเปลี่ยนแปลงข้อมูลเจ้าของบัญชีได้ ปล่อยให้คนทั่วไปหลอกขอข้อมูลบัญชีจาก ระบบ Paypal SmartChat Online ได้ รูรั่วด้านความปลอดภัยของระบบ อาจถูกแฮกได้ในอนาคต โดยทางทีมนักวิจัยได้แจ้งไปยังบริษัท Paypal และ ออกมาเปิดเผยสู่สาธารณะ เพื่อเตือนให้ผู้ใช้บัญชีกว่า 305 ล้านคน ระมัดระวังในการใช้งาน เปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ตั้งรหัสผ่านให้ยากต่อการคาดเดา พร้อมทั้งกดดันให้ทาง Paypal เร่งแก้ไขช่องโหว่ดังกล่าว เพื่อลดการเกิดการฉ้อโกงเพิ่มในอนาคต ทั้งนี้ขอให้ผู้ใช้งานรอการประกาศการแก้ไขอย่างเป็นทางการจากทาง Paypal…

IBM เผยรายงานวิวัฒนาการของ Cyber Attack ในการขโมยข้อมูลเพื่อโจมตีธุรกิจ

บทความน่าสนใจ

Loading

กุมภาพันธ์ 12, 2020 | By Techsauce Team IBM Security เปิดเผยรายงาน IBM X-Force Threat Intelligence Index ประจำปี 2563 ที่แสดงให้เห็นถึงวิวัฒนาการใหม่ๆ ของเทคนิคที่อาชญากรไซเบอร์นำมาใช้ หลังจากที่ตลอดหลายสิบปีที่ผ่านมานี้สามารถเข้าถึงข้อมูลส่วนตัวและข้อมูลบริษัทหลายหมื่นล้านเรคคอร์ด รวมถึงช่องโหว่ในซอฟต์แวร์อีกนับแสนรายการมาแล้ว โดยจากรายงานพบว่า 60% ของการเริ่มเจาะเข้าถึงเครือข่ายของผู้ตกเป็นเป้าหมายนั้น อาศัยข้อมูลประจำตัวที่ถูกขโมยมา หรือช่องโหว่ของซอฟต์แวร์ที่เคยมีการแจ้งเตือนให้ทราบแล้ว โดยที่ผู้โจมตีไม่ต้องพยายามวางแผนเพื่อใช้วิธีหลอกลวงที่แยบยลในการเข้าถึงระบบมากเหมือนเมื่อก่อน รายงาน IBM X-Force Threat Intelligence Index ได้ชี้ให้เห็นถึงปัจจัยที่ส่งผลต่อวิวัฒนาการต่างๆ ข้างต้น กล่าวคือ •    การเจาะระบบครั้งแรกสำเร็จด้วยวิธีฟิชชิ่ง ถือเป็นสัดส่วน 1 ใน 3 จากเหตุที่เกิดขึ้นทั้งหมด (31%) เมื่อเทียบกับสัดส่วน 50% ในปี 2561 •    การสแกนและการโจมตีช่องโหว่คิดเป็น 30% ของเหตุทั้งหมด เมื่อเทียบกับสัดส่วนเพียง 8% ในปี…

องค์การอนามัยโลกเตือนระวังแคมเปญ Phishing เรื่องไวรัสโคโรน่า

ข่าวประจำวัน

Loading

credit : Bleepingcomputer แน่นอนว่าหลังจากเรื่องไวรัสโคโรน่ากลายเป็นเรื่องเหตุการณ์ระดับโลก ก็ย่อมมีคนร้ายฉวยโอกาสความดังเพื่อสร้างประโยชน์ โดย Sophos พบแคมเปญ Phishing ที่พยายามหลอกล่อให้เหยื่อดาวน์โหลดและเปิดเอกสารผ่านปุ่ม ‘Safety Measure’ หลังจากนั้นก็จะ Redirect เหยื่อไปยังหน้า WHO ปลอมและหลอกให้ Verify อีเมลเพื่อขโมย Credentials (ภาพตามด้านบน) ด้วยเหตุนี้เอง WHO จึงออกมาเตือนถึงแคมเปญดังกล่าวและไม่ให้หลงเชื่ออีเมลหรือการติดต่อชวนเชื่อว่าเป็นเจ้าหน้าที่ พร้อมกันนี้ยังได้แนะนำมาตรการป้องกันตัวไม่ให้ตกเป็นเหยื่อไว้ดังนี้ ตรวจสอบอีเมลที่ส่งมาว่าเป็นของ WHO จริงหรือไม่ ซึ่งจะเป็นโดเมน person@who.int ลิงก์ที่ปรากฏอยู่ภายใต้โดเมนของ WHO จริงหรือไม่ โดยโดเมนจริงคือ https://www.who.int หรือลองนำ URL ใส่เข้าไปเองใน Address Bar ก็ได้ อย่าให้ข้อมูลส่วนบุคคล โดยเฉพาะ Credentials แก่ Third-party แม้กระทั่ง WHO อย่าตกเป็นเหยื่อของความรู้สึกกดดันที่คนร้ายพยายามทำให้เรารู้สึกร้อนใจ ถ้าตระหนักได้ว่าพลาดให้ข้อมูลละเอียดอ่อนไปแล้ว ก็รีบเปลี่ยน Credentials ที่เกี่ยวข้องทันที (เปิด 2-Factors Authentication ด้วยนะครับ)…

ระวังภัย พบการใช้ฟิชชิ่งหลอกขโมยรหัส OTP ยึดบัญชี LINE ตรวจสอบก่อนตกเป็นเหยื่อ

ข่าวประจำวัน

Loading

ปัญหาการขโมยบัญชี LINE นั้นมีการรายงานเข้ามาอยู่เรื่อยๆ ถึงแม้ว่าในช่วงหลังทาง LINE เองได้มีการปรับปรุงระบบความมั่นคงปลอดภัยให้มากขึ้น อย่างเช่นการใช้รหัสยืนยันเพื่อเป็นอีกหนึ่งปัจจัยในการล็อกอิน (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-12-20-01.html) แต่หากผู้ใช้ไม่ระวังก็ยังมีความเสี่ยงที่อาจจะถูกหลอกขโมยรหัสผ่านและอาจถูกขโมยบัญชีได้ มีรายงานจากผู้ใช้ทวิตเตอร์ชื่อ Xia Tianguo ว่าพบการโจมตีแบบฟิชชิ่งเพื่อขโมยบัญชี LINE โดยหลังจากที่ผู้ประสงค์ร้ายสามารถได้อีเมลและรหัสผ่านสำหรับล็อกอินบัญชี LINE ได้แล้ว (อาจจะด้วยการเดารหัสผ่านหรือหลอกขโมยรหัสผ่าน) จะล็อกอินเข้าบัญชีดังกล่าวผ่าน LINE บน PC จากนั้นเมื่อมีการถามรหัส OTP จะส่งหน้าเว็บไซต์ปลอมไปหลอกถามข้อมูลจากเหยื่อ ซึ่งหากเหยื่อหลงเชื่อให้ข้อมูลดังกล่าวก็อาจถูกยึดบัญชี LINE ได้ทันที การโจมตีในลักษณะนี้สามารถเกิดขึ้นได้กับบริการอื่นๆ ด้วย ผู้ใช้งาน LINE ควรตั้งรหัสผ่านที่คาดเดาได้ยากและไม่ซ้ำกับรหัสผ่านที่ใช้ในบริการอื่น ตรวจสอบ URL ของเว็บไซต์ก่อนล็อกอินบัญชี LINE หากพบข้อความแจ้งว่ามีการล็อกอินจากอุปกรณ์อื่นโดยที่ผู้ใช้ไม่ได้เป็นผู้กระทำควรเปลี่ยนรหัสผ่านทันที ——————————————– ที่มา : ThaiCERT / 18 กุมภาพันธ์ 2563 Link : https://www.thaicert.or.th/newsbite/

เทคโนโลยีจดจำใบหน้า ละเมิดสิทธิส่วนบุคคลหรือไม่

บทความน่าสนใจ

Loading

จากความก้าวหน้าทางด้านเทคโนโลยีในโลกปัจจุบัน ทำให้เกิดเทคโนโลยีหนึ่ง ก็คือ การจดจำใบหน้า แม้ภาครัฐอ้างว่าจะใช้เพื่อป้องกันภัยจากการก่อการร้ายหรืออาชญากรรม แต่ประชาชนกลับมองว่านี้อาจลิดรอนสิทธิขั้นพื้นฐานของตัวเอง เพระาไม่สามารถตรวจสอบการเข้าถึงได้ รัฐนำความก้าวหน้าทางเทคโนโลยีในโลกปัจจุบันมาใช้ โดยอ้างว่าเพื่อปกป้องและป้องกันภัยจากการก่อการร้ายและอาชญากรที่พัฒนาขึ้นทุกวัน แต่ประชาชนทั่วไปรู้สึกว่า สิทธิขั้นพื้นฐานของพวกเขากำลังถูกลิดรอน เพราะไม่สามารถตรวจสอบหน่วยงานรัฐได้ว่าเข้าถึงข้อมูลส่วนตัวมากน้อยเพียงใด โปรแกรมหนึ่งที่กำลังถูกพูดถึงคือ โปรแกรมจดจำใบหน้า หรือ face-recognition technology ซึ่งหน่วยงานความมั่นคงนำมาใช้เพื่อช่วยให้สืบหาตัวคนร้ายได้รวดเร็วฉับไวมากยิ่งขึ้น ทางการของเกาะฮ่องกง นำเทคโนโลยีนี้มาใช้กับกลุ่มผู้ประท้วง เพื่อหาทางจัดการทางกฎหมายกับผู้ประท้วงที่ฮ่องกง เริ่มมาตั้งแต่ประมาณเดือนมีนาคม 2562 ในช่วงแรกการชุมนุมเป็นไปอย่างสงบ ก่อนที่เหตุการณ์จะเริ่มรุนแรงในเวลาต่อมา หลายต่อหลายครั้งทำให้เกิดการปะทะกันระหว่างผู้ชุมนุมและตำรวจ ต้นตอเริ่มแรกของการประท้วงมาจากความไม่พอใจร่างกฎหมายส่งผู้ร้ายข้ามแดน ซึ่งผู้ชุมนุมมองว่า รัฐบาลจีน กำลังแทรกแซงสิทธิเสรีภาพของชาวฮ่องกง การประท้วงยืดเยื้อข้ามปี เพราะผู้ประท้วงต้องการเรียกร้องสิทธิในการออกเสียงเลือกตั้งทั่วไป โดยระบุว่ารัฐบาลฮ่องกงไม่ได้ทำตามคำมั่นสัญญาเกี่ยวกับสิทธิดังกล่าว นับตั้งแต่จีนได้เข้าปกครองฮ่องกงในปี 2540 ว่ากันว่า ตอนนี้ทั้งสองฝ่ายพยายามยั่วยุกัน โดยทางการฮ่องกงเชื่อว่า หากปล่อยให้มีการประท้วงต่อไปเรื่อยๆ ผู้ประท้วงเองจะเลิกราไปเอง ส่วนผู้ประท้วงก็พยายามยั่วยุ เพื่อให้ทางการหมดความอดทน ครั้งหนึ่งมีการเผยแพร่ภาพหนึ่งในโลกออนไลน์ที่เข้าใจว่า เป็นภาพของผู้ประท้วงชาวฮ่องกงคาดศีรษะด้วยอุปกรณ์ดิจิทัล ประกอบด้วยจอโปรเจ็คเตอร์ ซึ่งจะฉายเป็นภาพบุคคลอื่นบนใบหน้าของคนๆ นั้น เพื่อพรางตัวไม่ให้โปรแกรมจดจำใบหน้าจำได้ แต่ต่อมามีการเปิดเผยว่า ภาพดังกล่าวนั้นเป็นส่วนหนึ่งของโครงการที่คิดค้นโดย จิง ไซ หลิว นักศึกษาของ Utrecht School of the Arts…