Tag Archives: ความปลอดภัยไซเบอร์

เว็บไซต์ฟิชชิ่งเกินครึ่งใช้ HTTPS แล้ว ดูไอคอนกุญแจอย่างเดียวไม่ได้ต้องตรวจสอบโดเมนเว็บไซต์ด้วย

ก่อนหน้านี้หนึ่งในคำแนะนำในการตรวจสอบเว็บไซต์ฟิชชิ่ง (Phishing – เว็บไซต์ปลอมที่ทำขึ้นมาหลอกขโมยข้อมูล) คือการดูว่าเว็บไซต์ดังกล่าวนั้นใช้การเชื่อมต่อแบบที่มีการเข้ารหัสลับข้อมูลหรือไม่ ซึ่งสามารถสังเกตได้ง่ายโดยการเชื่อมต่อจะเป็นแบบ HTTPS และมีไอคอนรูปกุญแจอยู่ตรงแถบที่อยู่เว็บไซต์ สาเหตุของข้อแนะนำนี้เกิดจากในสมัยก่อนนั้นการขอใบรับรองดิจิทัลเพื่อให้เว็บไซต์สามารถใช้ HTTPS ได้นั้นมีราคาแพงและมีเงื่อนไขการขอที่ค่อนข้างเข้มงวด ส่วนใหญ่จึงมีเฉพาะเว็บไซต์ที่เกี่ยวข้องกับการเงินหรือเว็บไซต์ที่มีการรับส่งข้อมูลสำคัญที่มีการใช้งาน HTTPS ไม่ค่อยพบเว็บไซต์ฟิชชิ่งที่ใช้เทคนิคนี้เท่าไหร่นักเนื่องจากยังไม่คุ้มค่ากับการลงทุน อย่างไรก็ตาม ในช่วงหลังค่าใช้จ่ายในการขอใบรับรองดิจิทัลเพื่อทำเว็บไซต์ให้รองรับ HTTPS นั้นเริ่มถูกลง (หรือแม้กระทั่งสามารถขอได้ฟรี) จึงเริ่มมีการพบเว็บไซต์ฟิชชิ่งที่ใช้ HTTPS เพิ่มมากขึ้น (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-04-17-01.html) เมื่อวันที่ 20 มิถุนายน 2562 บริษัท PhishLabs ได้เปิดเผยสถิติเว็บไซต์ฟิชชิ่งในช่วงไตรมาสแรกของปี 2562 พบว่าเกินครึ่ง (58%) ใช้ HTTPS แล้ว และมีแนวโน้มที่จะพบมากขึ้นเรื่อยๆ จากข้อมูลดังกล่าวน่าจะพอสรุปได้ว่าปัจจุบันคำแนะนำให้ตรวจสอบว่าเว็บไซต์ใช้การเชื่อมต่อแบบ HTTPS หรือไม่นั้นไม่สามารถใช้ยืนยันได้อีกต่อไปแล้ว ในทางเทคนิคแล้ว เว็บไซต์ที่ใช้การเชื่อมต่อแบบ HTTPS นั้นหมายความว่าข้อมูลที่รับส่งระหว่างผู้ใช้กับตัวเว็บไซต์นั้นถูกเข้ารหัสลับไว้ บุคคลอื่นไม่สามารถดักอ่านหรือแก้ไขข้อมูลที่อยู่ระหว่างทางได้ อย่างไรก็ตาม การรับส่งข้อมูลอย่างปลอดภัยนั้นไม่ได้เป็นการยืนยันว่าข้อมูลดังกล่าวจะถูกส่งให้กับผู้ให้บริการตัวจริงหรือส่งไปยังเว็บไซต์ที่ถูกต้องแต่อย่างใด ดังนั้นเพื่อหลีกเลี่ยงการตกเป็นเหยื่อเว็บไซต์ฟิชชิ่ง ผู้ใช้ควรตรวจสอบโดเมนและที่อยู่ของเว็บไซต์ให้ถูกต้องทุกครั้งก่อนกรอกข้อมูลหรือดำเนินการใด ๆ ————————————————– ที่มา : ThaiCERT /…

เทคโนโลยี deepfake ใหม่! ใช้แค่รูปและไฟล์เสียงก็สร้างคลิปปลอมร้องเพลงได้ง่ายๆ

งานวิจัยใหม่จาก Imperial College ในกรุงลอนดอน และศูนย์วิจัย AI ของ Samsung ในสหราชอาณาจักร แสดงวิธีการที่รูปภาพเพียงรูปเดียวและไฟล์เสียงสามารถนำไปใช้สร้างคลิปวีดีโอคนร้องเพลงหรือพูดได้ นักวิจัยก็ใช้วิธีเช่นเดียวกับงาน deepfake อื่นๆ ที่เราเคยเห็น นั่นคือ ใช้ระบบเรียนรู้สร้างเอาท์พุต และแม้ว่าผลที่ออกมาจะยังห่างไกลจากความสมจริง 100 เปอร์เซ็นต์ แต่ก็น่าประหลาดใจที่สามารถสร้างผลลัพธ์ออกมาได้จากข้อมูลเพียงนิดเดียว ดังที่เห็นได้จากตัวอย่างของคลิปอัลเบิร์ต ไอน์สไตน์ ซึ่งถูกแปลงออกมาเป็นคลิปบรรยายที่คุณคงไม่เคยเห็นที่ไหนมาก่อน อีกหนึ่งตัวอย่างคือ คลิปของกริกอรี รัสปูติน กำลังร้องเพลงของบียอนเซ่ ไม่เพียงแต่จะทำให้ภาพวีดีโอที่ออกมาตรงกับไฟล์เสียงเท่านั้น ระบบยังสามารถทำให้คนพูดสื่ออารมณ์ออกมาได้ตรงตามที่กำหนดด้วย โดยมีอินพุตเพียงแค่ภาพรูปเดียวและไฟล์เสียง แล้วอัลกอริธึมก็จัดการส่วนที่เหลือนั้น ดังที่กล่าวไว้แล้วข้างต้น ผลงานที่ออกมาไม่ได้ดูสมจริงนัก แต่เป็นการแสดงให้เห็นว่าเทคโนโลยีพัฒนาไปได้เร็วแค่ไหน เทคนิคในการสร้าง deepfake นั้นง่ายขึ้นทุกที และแม้ว่างานวิจัยเช่นนี้ยังไม่ออกสู่ตลาด แต่คงอีกไม่นานที่เทคโนโลยีนี้อาจจะมาในรูปแบบซอฟต์แวร์ที่ใช้งานง่าย เป็นที่เข้าใจได้ว่า งานวิจัยแนวนี้สร้างความกังวลใจแก่คนทั่วไปหากถูกนำไปใช้เผยแพร่ข้อมูลเท็จและโฆษณาชวนเชื่อ หรือถูกนำไปใช้ก่อความเสียหายแก่ตัวบุคคล โดยเฉพาะผู้หญิง ซึ่งยังคงตกเป็นเป้าถูกนำภาพไปใช้สร้างภาพอนาจารสร้างความอับอายได้ ————————————————————- ที่มา : ADPT News / JUNE 21, 2019 Link : https://www.adpt.news/2019/06/21/new-deepfake-tech-turns-single-photo-and-audio-file-into-singing-vdo/

ใหม่! เครื่องมือตรวจจับคลิปปลอม deepfake ได้แม่นยำถึง 96%

เครื่องมือใหม่ที่พัฒนาโดยทีมวิจัยจาก the USC Information Sciences Institute (USCISI) อาจเป็นตัวช่วยยับยั้งการแพร่ระบาดของคลิปปลอม deepfake ได้ โดยเครื่องมือนี้จะตรวจจับการเคลื่อนไหวของใบหน้าและศีรษะ และสิ่งแปลกปลอมในไฟล์เพื่อดูว่าวีดีโอนั้นถูกปลอมขึ้นมาหรือไม่ จากงานวิจัยที่เผยแพร่โดย the Computer Vision Foundation พบว่า ระบบสามารถตรวจพบวีดีโอที่สร้างโดยคอมพิวเตอร์ได้แม่นยำถึง 96 เปอร์เซ็นต์ โมเดลที่ใช้ตรวจจับคลิปปลอมทั่วไปวิเคราะห์วีดีโอแบบเฟรมต่อเฟรมเพื่อหาจุดที่มีการดัดแปลง แต่เทคนิคใหม่ที่สร้างโดยทีมนักวิจัย USC ใช้เวลาและการคำนวณทางคอมพิวเตอร์ที่น้อยกว่านั้น โดยระบบจะรีวิวดูวีดีโอทั้งหมดครั้งเดียว ซึ่งทำให้ระบบประมวลผลข้อมูลได้เร็วขึ้น จากนั้นจึงนำเฟรมวีดีโอวางซ้อนกันและตรวจหาความไม่สอดคล้องกันจากการขยับของคนในคลิป ซึ่งอาจจะเป็นการขยับเปลือกตาเล็กน้อยหรือการเคลื่อนไหวท่าทางแปลกๆ ที่นักวิจัยเรียกว่า “softbiometric signature (สัญลักษณ์ทางข้อมูลอัตลักษณ์บุคคล)” ทีมนักวิจัยใช้ชุดข้อมูลวีดีโอที่ผ่านการดัดแปลงมาประมาณ 1,000 คลิป ในการฝึกเครื่องมือนี้ ทำให้ระบบค่อนข้างชำนาญในการระบุคลิปปลอมของนักการเมืองหรือเหล่าผู้มีชื่อเสียง นี่จึงอาจเป็นประโยชน์อย่างยิ่งโดยเฉพาะในช่วงการเลือกตั้งประธานาธิบดีสหรัฐอเมริกาปี 2563 การหยุดการแพร่ระบาดข้อมูลเท็จจึงเป็นสิ่งจำเป็นและสำคัญยิ่ง —————————————————- ที่มา : ADPT News / JUNE 22, 2019 Link : https://www.adpt.news/2019/06/22/new-tool-detects-deepfakes-with-96-percent-accuracy/

FBI เตือนระวังแฮ็กเกอร์ใช้เว็บแบบ HTTPS หลอกเหยื่อ!

FBI ได้ออกประกาศแจ้งเตือนว่ามีผู้ไม่หวังดีกำลังใช้เว็บไซต์ที่ใช้ระบบรักษาความปลอดภัยแบบ HTTPS เพื่อหลอกผู้ใช้ให้ป้อนข้อมูลรหัสผ่านล็อกอิน, ข้อมูลทางการเงิน, รวมไปถึงข้อมูลส่วนตัวอื่นๆ ที่สำคัญ ถือเป็นการใช้มุมมองของคนท่องเว็บทั่วไปมาเป็นประโยชน์ในการหลอกลวง เนื่องจากผู้ใช้อินเทอร์เน็ตส่วนใหญ่มักเชื่อว่า ถ้ามีสัญลักษณ์แม่กุญแจล็อกแสดงขึ้นอยู่บนด้านหน้า URL แสดงว่าเว็บไซต์นั้นถูกต้องตามกฎหมาย และปลอดภัยในการป้อนข้อมูลใดๆ ลงไป แต่ทว่าในความเป็นจริงแล้ว ใบประการศรับรอง SSL ไม่ได้เกี่ยวข้องกับเรื่องความถูกต้องตามกฎหมายเลย ใบเซอร์ SSL/TLS นั้นเป็นเพียงแค่การแสดงว่า การเชื่อมต่อระหว่างเว็บบราวเซอร์และเว็บเซิร์ฟเวอร์ของตัวเว็บไซต์เองนั้นมีการเข้ารหัสข้อมูล ที่ช่วยป้องกันแฮ็กเกอร์จากภายนอกบุกรุกเข้ามายุ่งเกี่ยวกับข้อมูลที่สื่อสารระหว่างกันเท่านั้น การที่อาชญากรไซเบอร์ใช้ความเชื่อใจของคนทั่วไปกับคำว่า “https” และไอคอนรูปแม่กุญแจ ที่มักใช้บริการจากองค์กรภายนอกที่ให้การรับรองความปลอดภัยของการเชื่อมต่อเว็บไซต์ที่หาใช้ได้ง่ายมากในยุคนี้ นับเป็นการประยุกต์การโจมตีลักษณะเดียวกับการส่งอีเมล์ปลอมให้ดูเหมือนบริษัทที่มีชื่อเสียงจริง ——————————————————— ที่มา : EnterpriseITPro / มิถุนายน 13, 2019 Link : https://www.enterpriseitpro.net/fbi-warns-that-hackers-use-secure/

วิธีการลบโพสต์ย้อนหลังบน Facebook และ Twitter

ช่วงนี้การค้นหาโพสต์เก่าๆ บนสังคมออนไลน์หรือที่เรียกกันว่า ‘ขุด’ กำลังเป็นที่นิยมอย่างมาก เรียกได้ว่าข้อมูลเหล่านั้นถ้าหากไม่ตั้งค่าความเป็นส่วนตัวไว้ให้ดี ก็อาจหนีไม่พ้นอาจกลับมาส่งผลเสียต่อเจ้าของโพสต์เองได้ ซึ่งหากจะมานั่งไล่ลบทีละโพสต์ก็คงจะเหนื่อยน่าดูถ้าหากใช้งานมาหลายปี หรือหากจะลบบัญชีทิ้งไปก็ไม่ช่วยแก้ปัญหาให้ตรงจุด ดังนี้เรามีวิธีจัดการโพสต์เก่าๆ บนสังคมออนไลน์อย่าง Facebook และ Twitter มาแนะนำกันครับ การลบโพสต์เก่าๆ บน Facebook ทิ้ง Facebook ไม่ได้มีเครื่องมือสำหรับลบโพสต์เก่ารวดเดียว แต่ต้องอาศัย extension บนบราวเซอร์ Chrome ที่ชื่อว่า Social Book Post Manager ซึ่งความสามารถของมันคือ การเลือกลบ, unlike และซ่อนโพสต์ได้อย่างง่ายดาย เพียงแค่ลง extension แล้วไปที่หน้า Activity Logs ของเรา จากนั้นกดใช้งาน extension แล้วเลือกช่วงเวลาที่ต้องการ ก็สามารถจัดการโพสต์ต่างๆ ได้อยู่มือ ตั้งค่าโพสต์ Facebook เก่าให้เป็น Friends Only แต่ถ้าไม่อยากลบ แค่อยากซ่อนไม่ให้เป็นสาธารณะและให้เห็นแค่เพื่อนหรือคนที่ถูกแท็กเท่านั้น ให้ไปที่ Setting เลือกเมนู Privacy จะพบเมนู Limit Past Posts ให้ทำการยืนยันการตั้งค่า หลังจากนั้นโพสต์ที่เคยเป็น…

ระวังชาร์จ USB ฟรีในสนามบิน เสี่ยงโดนขโมยข้อมูล

คิดให้ดีเวลาจะใช้จุดชาร์จ USB ในสถานที่สาธารณะอย่างสนามบิน ล่าสุดนักวิจัยด้านความปลอดภัยออกมาเตือนว่ามีความเสี่ยงที่จะโดน ‘juice jacking’ Juice jacking คือการที่เหล่าแฮกเกอร์ตั้งใจดัดแปลงช่องเสียบ USB เพื่อทำการติดตั้งมัลแวร์ลงในมือถือหรือเพื่อดูดข้อมูลที่ต้องการออกมา ไม่ว่าจะเป็นข้อมูลอีเมล์, ข้อความ, รูปถ่ายหรือรายชื่อติดต่อ เป็นต้น ซึ่งทาง Caleb Barlow รองประธาน X-Force Threat Intelligence ของ IBM Security ให้สัมภาษณ์ว่า  ‘คุณไม่รู้หรอกว่ามันดป็นยังไง แต่จงจำไว้ว่าพอร์ต USB สามารถส่งต่อข้อมูลได้’ แม้ในทางทฤษฏีนั้นทำได้ แต่ก็ยังไม่ค่อยมีรายงานเกี่ยวกับเคสขโมยข้อมูลในสนามบินออกมามากนัก แต่ทางผู้เชี่ยวชาญก็แนะนำให้เราระวังตัว ด้วยการนำอแดปเตอร์หรือพาวเวอร์แบงก์ไปชาร์จเองจะปลอดภัยกว่า การใช้ที่ชาร์จสาธารณะ อีกวิธีนึงก็คือ การใช้  ‘USB condom,’ หรือฮาร์ดแวร์ dongle ที่ออกแบบมาเพื่อป้องกันไม่ให้ดูดข้อมูลจากพอร์ต USB ของเรา ซึ่งเราจะเสียบระหว่างตัวเครื่องและสายชาร์จ ซึ่งภายในจะมีชิปชนิดพิเศษที่ออกแบบมาเพื่อป้องกันอันตรายจากเรื่องเหล่านี้ ——————————————————– ที่มา : DailyGizmo / May 28, 2019 Link…