คลังเก็บป้ายกำกับ: แฮ็กเกอร์

เดินหน้าจับกุมแก๊งค์คอลเซ็นเตอร์ต่อเนื่อง ล่าสุดเจอแหล่งกบดานที่ชุมพร

ที่ผ่านมากองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยีได้ร่วมกับ เอไอเอส จับกุมเครือข่าย แก๊งค์คอลเซ็นเตอร์ และสามารถจับกุมผู้กระทำความผิดและตรวจยึดเครื่อง GSM Gateways (Simbox) ซึ่ง เป็นเครื่องมือที่แก็งค์คอลเซ็นเตอร์ใช้ในการกระทำความผิด เขตพื้นที่กรุงเทพมหานคร และจังหวัดชลบุรี ทั้งนี้เจ้าหน้าที่ตำรวจ กก.2 บก.สอท.1 บช.สอท. ได้ทำการสืบสวนขยายผลจนกระทั่งทราบว่ามีการใช้เครื่อง GSM Gateways (Simbox) ในพื้นที่จังหวัดชุมพร

ดังนั้นกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี ภายใต้การอำนวยการ พล.ต.ท.วรวัฒน์ วัฒน์นครบัญชา ผบช.สอท , พล.ต.ต.วิวัฒน์ คำชำนาญ รอง ผบช.สอท. สั่งการให้กองบังคับการตำรวจสืบสวนสอบสวน อาชญากรรมทางเทคโนโลยี 1 นำโดย พล.ต.ต.ชัชปัณฑการฑ์ คล้ายคลึง ผบก.สอท.1 สั่งการให้เจ้าหน้าที่ตำรวจสังกัด บก.สอท.1 กระจายกำลังลงพื้นที่ทำการสืบสวนจะกระทั่งสืบทราบว่ามีการใช้เครื่อง GSM Gateways (Simbox) ที่ บ้านเลขที่ 4/15 ม.8 ต.ตากแดด อ.เมืองชุมพร จ.ชุมพร ซึ่งเป็นห้องเช่าชั้นเดียวและพบสัญญาณที่บ้านพักเรือนไทย เลขที่ 75/2 หมู่ 6 ซอยศูนย์ราชการ5 ถนนเลียบทางรถไฟ ตำบลนาทุ่ง อำเภอเมืองชุมพร จังหวัดชุมพร ซึ่งเป็น ห้องพักให้เช่ารายเดือน จึงขออนุมัติหมายค้นศาลจังหวัดชุมพร เข้าทำการตรวจค้นบ้านเลขที่ดังกล่าวทั้ง 2 หลัง ดังกล่าว

ผลการตรวจค้น พบนายสุจินดา(สงวนนามสกุล) และน.ส.วิภาวณี(สงวนนามสกุล) ซึ่งเป็นสามีภรรยากัน แสดงตัวเป็นผู้เช่าห้องพักดังกล่าว และเป็นผู้นำตรวจค้น รวมทั้งหมด 11 จุด ผลการตรวจค้น เบื้องต้นพบ GSM Gateways (Simbox) เครื่องแปลงสัญญาณโทรศัพท์แบบใส่ซิมการ์ด ระบบ IP-PBX จำนวน 38 เครื่อง, router wifi ชนิดใส่ซิมการ์ดได้ 19 เครื่อง เชิญตัว ผู้ครอบครองของกลางดังกล่าวทั้ง 2 ราย มาที่ สภ.เมืองชุมพร จากนั้นนำตัว พร้อมของกลางส่งพนักงานสอบสวน กก.2 บก.สอท.1 เพื่อดำเนินการต่อไป

โดย นางสายชล ทรัพย์มากอุดม หัวหน้าส่วนงานประชาสัมพันธ์ เอไอเอสกล่าวว่า “การจับกุมมิจฉาชีพแก็งคอลล์เซ็นเตอร์ได้อย่างรวดเร็ว แสดงให้เห็นถึงประสิทธิภาพของหน่วยงานความมั่นคงอย่างยิ่ง อีกทั้งเราเองก็มีความภาคภูมิใจอย่างมาในการได้มีโอกาสทำงานร่วมกับภาครัฐ ที่สามารถเชื่อมโยงกันได้อย่างไร้รอยต่อ ทั้งผ่านบริการสายด่วน 1185 AIS Spam Report Center และให้ความร่วมมือในการประสานงานในการตรวจสอบข้อมูลกับเจ้าหน้าที่ตำรวจ โดยเอไอเอส ยินดีที่จะสนับสนุนภารกิจนี้อย่างต่อเนื่อง เพื่อปกป้องลูกค้าและประชาชนจากมิจฉาชีพต่อไป”

สำหรับการทำงานของเครื่อง GSM Gateways (Simbox) ที่ตรวจยึดได้นั้นเป็นอุปกรณ์ที่คนร้าย แก๊งค์คอลเซ็นเตอร์ใช้ในการโทรศัพท์ผ่านเครือข่ายอินเทอร์เน็ตแล้วแปลงสัญญาณเป็นสัญญาณโทรศัพท์เพื่อโทรออกหลอกลวงหรือข่มขู่ผู้เสียหาย ซึ่งอุปกรณ์ที่ตรวจยึดได้จำนวน 38 เครื่อง มีความสามารถโทรหลอกลวงหรือข่มขู่ ผู้เสียหายได้มากถึงวันละ 608,000 ครั้ง หรือกว่า 18.2 ล้านครั้งต่อเดือน ซึ่งเมื่อรวมผลการปฏิบัติที่ผ่านมา กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี สามารถตรวจยึด GSM Gateways (Simbox) ได้แล้ว จำนวน 240 เครื่อง ซึ่งสามารถระงับยับยั้งการโทรของคนร้ายได้กว่า 115 ล้านครั้งต่อเดือน รวมมูลค่าอุปกรณ์ที่ตรวจยึดได้มีมูลค่ากว่า 20 ล้านบาท อนึ่งจะได้ทำการขยายผลค้นหาขบวนการผู้กระทำผิดและหมายเลขโทรศัพท์เพื่อเชื่อมโยงกับคดีที่ได้รับแจ้งไว้แล้วต่อไป

from:https://www.enterpriseitpro.net/ais-spam-report-center/

พบรูรั่วใหม่ทำให้มัลแวร์เจาะเวอร์ช่วลแมชชีนบนเซิร์ฟเวอร์ VMware ESXi ได้

พบการใช้เทคนิคใหม่ในการฝังตัวบนไฮเปอร์ไวเซอร์อย่าง VMware ESXi เพื่อควบคุมเซิร์ฟเวอร์ vCenter และเวอร์ช่วลแมชชีนทั้งวินโดวส์และลีนุกซ์ แบบที่หลบเลี่ยงการตรวจจับได้ โดยใช้ตัวชุดติดตั้ง vSphere อันตรายที่ออกแบบมาเป็นพิเศษ

ผู้โจมตีสามารถใช้ตัวติดตั้งนี้ฝังตัวรูรั่วบนไฮเปอร์ไวเซอร์แบบเปลือย (Bare-Metal) ได้ถึงสองตัว ที่นักวิจัยตั้งชื่อว่า VirtualPita และ VirtualPie นอกจากนี้ยังพบตัวอย่างมัลแวร์พิเศษอย่าง VirtualGate ที่มาพร้อมตัวดรอปเปอร์และข้อมูลเปย์โหลดด้วย

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Mandiant (ที่ล่าสุดโดนกูเกิ้ลซื้อไปแล้ว) พบว่าขบวนการที่อยู่เบื้องหลังอาจมีความเกี่ยวข้องกับทางการจีน โดยเฉพาะจากเทคนิคการใช้ชุดติดตั้ง vSphere หรือ VIB เป็นสะพานติดเชื้อมัลแวร์ทั้งสองตัว

VIB หรือ vSphere Installation Bundle เป็นแพกเกจรวมไฟล์สำหรับสร้างและดูแลอิมเมจ ESXi ให้แอดมินจัดการการติดตั้ง ESXi ได้ ทั้งการสร้างสตาร์ทอัพทาส์ก, กฎไฟร์วอลล์, หรือสั่งรันโค้ดไบนารีต่างๆ เมื่อเริ่มต้นเปิดเครื่อง

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/new-malware-backdoors-vmware-esxi-servers/

หลังโดนบีบจากนานาชาติ! ทำให้รัฐบาลกัมพูชาไล่ล่าแก๊งหลอกลวงทางไซเบอร์อย่างจริงจัง

ทางการจังหวัดสีหนุวิลล์ ประเทศกัมพูชาได้ประกาศเมื่อวันอาทิตย์ที่ผ่านมาว่า มีการเข้าปราบปรามเมื่อสัปดาห์ก่อนจนพบหลักฐานขบวนการค้ามนุษย์ที่บีบให้ร่วมทำอาชญากรรมทางไซเบอร์ โดยแก๊งพวกนี้การทารุณกรรมแรงงานที่จับมาด้วย ปฏิบัติการกวาดล้างนี้ดำเนินการติดต่อกันถึง 5 วัน

พบผู้ร่วมขบวนการเป็นชาวจีน 130 คน และเวียดนาม 11 คน ส่วนใหญ่เป็นผู้ชายที่ลักลอกเข้าประเทศโดยผิดกฎหมาย นอกจากนี้ยังพบชาวต่างชาติกว่า 262 คนที่ทำงานโดยไม่มีใบอนุญาต มีการอายัติสิ่งผิดกฎหมายและของกลางจำนวนมาก

ไม่ว่าจะเป็นปืน 4 กระบอก, คอมพิวเตอร์เดสก์ท็อปถึง 804 เครื่อง, แล็ปท็อป 16 เครื่อง, พาสปอร์ด 36 เล่ม, อุปกรณ์สตอเรจ 12 เครื่อง, กุญแจมือ 4 คู่, ไม้ช็อตไฟฟ้า 8 แท่ง, ตัวจี้ไฟฟ้า 2 อัน, และโทรศัพท์กว่า 8,776 เครื่องด้วยกัน

ชาวต่างชาติจำนวน 27 คนถูกนำเข้าสอบปากคำ ขณะที่อีก 262 คนที่ไม่มีใบอนุญาตทำงานต่างโดนปรับตามกฎหมาย ทั้งนี้ทางการกัมพูชาให้คำมั่นว่า “จะจัดการลงโทษอย่างเด็ดขาด” กับชาวต่างชาติที่ทำงานอย่างผิดกฎหมาย รวมถึงบริษัทที่ใช้แรงงานเหล่านี้ด้วย

อ่านเพิ่มเติมที่นี่ – TheRegister

from:https://www.enterpriseitpro.net/cambodian-authorities-crack-down-on-cyber-slavery/

อูเบอร์โดนแฮ็ก! หลุดทั้งโครงสร้างระบบภายใน และรายงานช่องโหว่

Uber เพิ่งโดนโจมตีทางไซเบอร์เมื่อช่วงบ่ายวันพฤหัสที่ผ่านมานี้เอง ด้วยฝีมือแฮ็กเกอร์วัยแค่ 18 ปี ที่ดาวน์โหลดรายงานช่องโหว่ของแพลตฟอร์มล่าค่าหัวบั๊ก HackerOne และแชร์ภาพแคปหน้าจอระบบเบื้องหลังของบริษัท ที่รวมทั้งแดชบอร์ดระบบอีเมลและเซิร์ฟเวอร์ Slack ด้วย

ภาพแคปหน้าระบบหลังบ้านที่มีการเผยแพร่นั้น เชื่อได้ว่าแฮ็กเกอร์ได้สิทธิ์เข้าถึงเต็มรูปแบบในระบบไอทีสำคัญๆ ของอูเบอร์ ไม่ว่าจะเป็นซอฟต์แวร์ด้านความปลอดภัย ไปจนถึงเซิร์ฟเวอร์โดเมนวินโดวส์ รวมไปถึงระบบคลาวด์ต่างๆ

ทั้งหน้าคอนโซล Amazon Web Services, เวอร์ช่วลแมชชีน VMware vSphere/ESXi, หน้าแดชบอร์ดแอดมินของ Google Workspace ที่ใช้จัดการบัญชีอีเมลของบริษัท เป็นต้น หรือแม้แต่ข้อความหลุดของพนักงานที่ใช้ Slack

ซึ่งข้อความพนักงานที่แคปมานั้นเห็นได้ว่ายังไม่มีใครรู้ตัวว่าโดนแฮ็กไปแล้ว ทั้งนี้อูเบอร์ออกมายืนยันข่าวการโดนโจมตีนี้แทบจะทันที พร้อมประกาศทางทวิตเตอร์ว่าได้ประสานตำรวจพร้อมเริ่มสืบสวนต่อเนื่อง ขณะที่เจ้าตัวคนก่อเหตุมีให้ข่าวกับ New York Times ว่า ใช้การหลอกล่อทางจิตวิทยาในการจารกรรมรหัสผ่านของพนักงานอูเบอร์

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/uber-hacked-internal-systems-breached-and-vulnerability-reports/

แฮ็กเกอร์แสบ! โพสต์ขายข้อมูลของลูกค้าร้านกาแฟชื่อดัง สตาร์บัคส์ (สิงคโปร์) กว่า 219,000 รายชื่อ

ร้านกาแฟชื่อดัง “สตาร์บัคส์” ที่ประเทศสิงคโปร์ ยอมรับว่าพวกเขากับประสบปัญหาเกี่ยวกับข้อมูลรั่วไหล ซึ่งกระทบกับผู้ใช้ราว 219,000 ราย

สาเหตุที่เป็นประเด็นนั้นเกิดราวๆ ประมาณเมื่อวันที่ 10 กันยายนที่ผ่านมา เมื่อมีผู้ไม่ประสงค์ดีได้ออกมาประกาศขายข้อมูล ซึ่งในนั้นระบุว่าเป็นข้อมูลสำคัญของลูกค้า สตาร์บัคส์ จำนวนประมาณ 219,675 ราย ผ่านทางเว็บฟอรั่มที่เกี่ยวกับการแฮ็กชื่อดังแห่งหนึ่ง

และล่าสุดทางสตาร์บัคส์ ก็ได้ออกจดหมายเพื่อแจ้งลูกค้าต่างๆ ถึงข้อมูลที่รั่วไหล โดยระบุว่าแฮ็กเกอร์นั้นขโมยข้อมูลต่างๆ ไปประกอบด้วย ชื่อ, เพศ, วันเกิด, เบอร์มือถือ, อีเมล์ และที่อยู่

ช่องโหว่ดังกล่าวส่วนใหญ่จะเป็นรายชื่อของลูกค้าที่ใช้งานโมบายแอปของ สตาร์บัคส์ ในการสั่งหรือใช้ในร้านค้าออนไลน์ของทางร้านในการซื้อสินค้าต่างๆ โดยส่วนใหญ่เป็นร้านและสาขาต่างๆ กว่า 125 แห่งทั่วประเทศสิงคโปร์

อย่างไรก็ตามบริษัทแจ้งว่าข้อมูลที่รั่วนั้นไม่มีข้อมูลเกี่ยวกับด้านการเงินเช่นบัตรเครดิต โดยข้อมูลนั้นมีการั่วไหลจริงๆ ไม่ใช่ว่าสตาร์บัคส์นำข้อมูลนั่นไปขาย!

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/hacker-sells-stolen-starbucks-data-of-219000-singapore-customers/

จำนน! ซัมซุงยอมเผยรายละเอียดกรณีโดนแฮ็กเมื่อเดือนกรกฎาคมที่ผ่านมาแล้ว

ยักษ์ใหญ่ด้านอิเล็กทรอนิกส์ Samsung ได้ยืนยันเหตุการณ์ข้อมูลรั่วไหลครั้งใหม่แล้ว หลังกรณีที่ระบบในสหรัฐฯ ถูกแฮ็กเพื่อจารกรรมข้อมูลลูกค้า โดยระบุว่าระบุถูกเข้าถึงเมื่อช่วงปลายเดือนกรกฎาคม 2022 และถูกค้นพบเมื่อวันที่ 4 สิงหาคม

โดยพบว่าข้อมูลส่วนตัวลูกค้าถูกเข้าถึงและดูดออกไปจากเครือข่ายบริษัท ถึงแม้จะไม่ได้ข้อมูลสำคัญมากอย่างเลขประกันสังคมหรือบัตรเครดิต แต่ก็ได้ทั้งชื่อ ที่อยู่ติดต่อ ข้อมูลประชากร วันเดือนปีเกิด และข้อมูลลงทะเบียนผลิตภัณฑ์ของลูกค้าไป

ซัมซุงแถลงว่า “ได้ตรวจพบเหตุการณ์ดังกล่าว และดำเนินการเพื่อเข้ารักษาความปลอดภัยในระบบที่ได้รับผลกระทบแล้ว รวมทั้งดำเนินการสืบสวนอยู่โดยประสานกับบริษัทด้านความปลอดภัยทางไซเบอร์จากภายนอก พร้อมติดต่อกับหน่วยงานภาครัฐอย่างใกล้ชิด”

พร้อมทั้งแนะนำลูกค้าที่โดนหางเลขให้ระวังการติดต่อสอบถามข้อมูลส่วนตัวเพิ่มเติม หรือพาไปเว็บสำหรับกรอกข้อมูล ให้หลีกเลี่ยงการคลิกลิงค์หรือดาวน์โหลดไฟล์แนบจากอีเมลที่น่าสงสัย รวมทั้งหมั่นตรวจสอบกิจกรรมผิดปกติบนบัญชีของตัวเอง

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer, Techradar

from:https://www.enterpriseitpro.net/samsung-confirms-data-breach-personal-customer-data-stolen/

แก๊ง LockBit ประกาศแก้แค้นด้วยการเพิ่มเทคนิดรีดไถเป็น 3 ชั้น

กลุ่มที่อยู่เบื้องหลังแรนซั่มแวร์ LockBit ประกาศว่าได้เพิ่มมาตรการป้องกันการโจมตีแบบ DDoS ที่เว็บตัวเองโดนเล่นงานก่อนหน้าไว้แล้ว พร้อมทั้งจะเอาคืนด้วยเทคนิคโจมตีและบีบคอให้จ่ายค่าไถ่แบบใหม่ แบบ 3 ชั้นด้วยกัน

ทั้งนี้เนื่องจากเว็บของแก๊งนี้เพิ่งโดนยิง DDoS จนคนเข้าไปส่องข้อมูลที่ดูดมาเผยแพร่ไม่ได้ ซึ่งคาดว่าน่าจะเป็นฝีมือของบริษัทยักษ์ใหญ่ด้านความปลอดภัย Entrust ที่เพิ่งโดนแรนซั่มแวร์ของแก๊งค์นี้เล่นงานจนดูดข้อมูลบริษัทออกไปได้

แหล่งข่าวของ BleepingComputer ระบุว่าข้อมูลถูกจารกรรมจาก Entrust ไปเมื่อวันที่ 18 มิถุนายน ซึ่ง Entrust เองก็ออกมายืนยันว่าโดนเล่นงานจริง แต่ไม่ยอมจ่ายค่าไถ่ให้ LockBit แม้จะโดนขู่ว่าจะเปิดเผยข้อมูลที่จิ๊กมาได้นี้ในวันที่ 19 สิงหาคม

ซึ่งพอถึงวันดังกล่าว เว็บของ LockBit ก็โดนยิง DDoS จนล่มรัวๆ ไม่ได้ผุดได้เกิด ล่าสุดเมื่อต้นสัปดาห์ ทาง LockBitSupp ที่เป็นตัวแทนออกสื่อของแก๊ง ได้ประกาศว่าตัวเองกู้สถานการณ์กลับมาได้แล้ว ด้วยระบบใหม่ที่ใหญ่กว่า แข็งแกร่งกว่า แถมบอกว่าได้ไอเดียจะเอาการโจมตี DDoS มาเป็นตัวขู่เรียกค่าไถ่เพิ่มนอกจากการล็อกข้อมูล และการขู่เอาข้อมูลออกไปแฉด้วย

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/lockbit-ransomware-gang-gets-aggressive/

แก๊ง TA558 กำลังโจมตีโรงแรมและสถานที่ท่องเที่ยวในอเมริกาใต้

พบกลุ่มอาชญากรไซเบอร์ที่มีแรงจูงใจด้านการเงินที่เชื่อมโยงว่าเกี่ยวข้องกับขบวนการโจมตีที่พุ่งเป้าไปที่ธุรกิจบริการ การโรงแรม และบริษัทนำเที่ยวต่างๆ ในภูมิภาคละตินอเมริกา ด้วยเป้าหมายที่ต้องการติดตั้งมัลแวร์บนระบบของเหยื่อที่แฮ็กได้

โดยบริษัทด้านความปลอดภัยระดับองค์กร Proofpoint ได้ติดตามกลุ่มแฮ็กเกอร์ชื่อ TA558 ย้อนรอยกลับไปถึงช่วงเมษายนปี 2018 ที่มีพฤติกรรม “โจมตีทางไซเบอร์ขนาดเล็ก” ใช้เทคนิคและวิธีการมากมายในการพยายามติดตั้งมัลแวร์หลายตัวอย่างต่อเนื่อง

ไม่ว่าจะเป็น Loda RAT, Vjw0rm, และ Revenge RAT แต่พอถึงปีนี้ 2022 กลับมีความเคลื่อนไหวถี่มากขึ้นอย่างเห็นได้ชัด พุ่งไปที่เหยื่อที่ใช้ภาษาโปรตุเกสและสเปนในละตินอเมริกา ลามไปถึงบางส่วนในภูมิภาคยุโรปตะวันตะและอเมริกาเหนือด้วย

ขบวนการฟิชชิ่งนี้เป็นการส่งข้อความสแปมในรูปของการจองห้องพัก พร้อมไฟล์แนบหรือ URL อันตรายเพื่อล่อเหยื่อให้คลิกติดตั้งโทรจันที่นำไปสู่การสอดแนมช่องโหว่ จารกรรมข้อมูล ไปจนถึงการส่งต่อข้อมูลอันตรายอื่นๆ เข้าไปอีกในภายหลัง เช่น ส่งเอกสารเวิร์ดที่มีมาโคร VBA เจาะช่องโหว่อย่าง CVE-2017-11882 และ CVE-2017-8570

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/%e0%b9%81%e0%b8%81%e0%b9%8a%e0%b8%87-ta558-%e0%b8%81%e0%b8%b3%e0%b8%a5%e0%b8%b1%e0%b8%87%e0%b9%82%e0%b8%88%e0%b8%a1%e0%b8%95%e0%b8%b5%e0%b9%82%e0%b8%a3%e0%b8%87%e0%b9%81%e0%b8%a3%e0%b8%a1%e0%b9%81/

แก๊ง TA558 กำลังโจมตีโรงแรมและสถานที่ท่องเที่ยวในอเมริกาใต้

พบกลุ่มอาชญากรไซเบอร์ที่มีแรงจูงใจด้านการเงินที่เชื่อมโยงว่าเกี่ยวข้องกับขบวนการโจมตีที่พุ่งเป้าไปที่ธุรกิจบริการ การโรงแรม และบริษัทนำเที่ยวต่างๆ ในภูมิภาคละตินอเมริกา ด้วยเป้าหมายที่ต้องการติดตั้งมัลแวร์บนระบบของเหยื่อที่แฮ็กได้

โดยบริษัทด้านความปลอดภัยระดับองค์กร Proofpoint ได้ติดตามกลุ่มแฮ็กเกอร์ชื่อ TA558 ย้อนรอยกลับไปถึงช่วงเมษายนปี 2018 ที่มีพฤติกรรม “โจมตีทางไซเบอร์ขนาดเล็ก” ใช้เทคนิคและวิธีการมากมายในการพยายามติดตั้งมัลแวร์หลายตัวอย่างต่อเนื่อง

ไม่ว่าจะเป็น Loda RAT, Vjw0rm, และ Revenge RAT แต่พอถึงปีนี้ 2022 กลับมีความเคลื่อนไหวถี่มากขึ้นอย่างเห็นได้ชัด พุ่งไปที่เหยื่อที่ใช้ภาษาโปรตุเกสและสเปนในละตินอเมริกา ลามไปถึงบางส่วนในภูมิภาคยุโรปตะวันตะและอเมริกาเหนือด้วย

ขบวนการฟิชชิ่งนี้เป็นการส่งข้อความสแปมในรูปของการจองห้องพัก พร้อมไฟล์แนบหรือ URL อันตรายเพื่อล่อเหยื่อให้คลิกติดตั้งโทรจันที่นำไปสู่การสอดแนมช่องโหว่ จารกรรมข้อมูล ไปจนถึงการส่งต่อข้อมูลอันตรายอื่นๆ เข้าไปอีกในภายหลัง เช่น ส่งเอกสารเวิร์ดที่มีมาโคร VBA เจาะช่องโหว่อย่าง CVE-2017-11882 และ CVE-2017-8570

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/ta558-gangs-target-hotel-and-travel/

แฮ็กเกอร์ที่อยู่เบื้องหลังการเจาะ Twilio ล่าสุดมาเล่นพนักงาน Cloudflare แล้ว

เมื่อวันอังคาร บริษัทผู้ให้บริการระบบเว็บไซต์อย่าง Cloudflare ออกมาเผยว่า มีพนักงานอย่่างน้อย 76 ราย รวมถึงสมาชิกในครอบครัวด้วย ที่ได้รับข้อความบนโทรศัพท์ทั้งเบอร์ส่วนตัวและเครื่องที่ทำงาน ที่ลักษณะคล้ายกับการโจมตีแบบฟิชชิ่งที่เคยเกิดกับที่ Twilio

การโจมตีนี้เกิดขึ้นเวลาไล่เลี่ยกับกรณีของ Twilio ส่งมาจากเบอร์โทรศัพท์ 4 เบอร์ที่ใช้ซิมจาก T-Mobile ซึ่งแน่นอนว่าครั้งนี้โจมตีไม่สำเร็จโดยสิ้นเชิง ข้อความที่ส่งมานี้พยายามทำให้คล้ายกับมาจากโดเมนที่ถูกต้อง มีคีย์เวิร์ดอย่าง “Cloudflare” และ “Okta”

เป็นข้อความที่พยายามหลอกล่อให้พนักงานบอกรหัสผ่านของตัวเอง ข้อความหลอกลวงทาง SMS หรือที่เรียกว่าการโจมตีแบบ Smishing กว่า 100 ข้อความนี้ เกิดขึ้นแค่ภายใน 40 นาทีหลังมีการจดทะเบียนโดเมนแปลกปลอมบน Porkbun บนเว็บฟิชชิ่งที่ทำขึ้นนี้จะคอยส่งรหัสผ่านไปให้ผู้โจมตีผ่านเทเลแกรมแบบเรียลไทม์

ความเรียลไทม์นี้สามารถใช้เข้าถึงการล็อกอินแบบ 2FA ได้ด้วย ถ้าเหยื่อกรอก OTP ที่จับเวลา (TOTP) เข้ามาบนหน้าเว็บ ทั้งนี้ Cloudflare ระบุว่ามีพนักงาน 3 รายที่หลงคลิกเข้าไปโดนหลอก แต่บริษัทสามารถป้องกันเหตุลุกลามได้ด้วยการใช้กุญแจรหัสกายภาพแบบ FIDO2

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/hackers-behind-twilio-breach-also-targeted-cloudflare/