• เมื่อรหัสผ่านองค์กรกลายเป็นจุดอ่อน – และแฮกเกอร์ไม่ต้องพยายามมากอีกต่อไป

    ในปี 2025 รายงาน Blue Report ของ Picus Security เผยข้อมูลที่น่าตกใจว่า ใน 46% ขององค์กรที่ทำการทดสอบ มีรหัสผ่านอย่างน้อยหนึ่งชุดถูกเจาะสำเร็จ เพิ่มขึ้นจาก 25% ในปี 2024 ซึ่งสะท้อนถึงปัญหาที่เรื้อรังมานาน: การใช้รหัสผ่านที่อ่อนแอและนโยบายที่ล้าสมัย

    แม้จะมีการรณรงค์เรื่องความปลอดภัยมาหลายปี แต่หลายองค์กรยังคงใช้รหัสผ่านที่เดาง่าย ซ้ำซาก หรือไม่บังคับให้เปลี่ยนรหัสอย่างสม่ำเสมอ บางแห่งยังใช้วิธีเก็บ hash แบบ MD5 หรือ SHA-1 ซึ่งถูกแฮกได้ง่ายด้วยเทคนิค brute-force หรือ rainbow table

    ที่น่ากังวลกว่านั้นคือ การโจมตีด้วยรหัสผ่านที่ถูกขโมย (เช่นจาก phishing หรือ malware) มีอัตราความสำเร็จสูงถึง 98% และการป้องกันการขโมยข้อมูล (data exfiltration) สำเร็จเพียง 3% เท่านั้น ซึ่งลดลงจาก 9% ในปีที่แล้ว

    ผู้เชี่ยวชาญเตือนว่าองค์กรต้องเปลี่ยนจากแนวคิด “ตั้งค่าแล้วปล่อยไว้” ไปสู่การตรวจสอบระบบอย่างต่อเนื่อง และใช้มาตรการเชิงรุก เช่น MFA, การวิเคราะห์พฤติกรรมผู้ใช้, และการจัดการสิทธิ์แบบละเอียด

    สรุปเนื้อหาเป็นหัวข้อ
    46% ขององค์กรที่ทดสอบมีรหัสผ่านถูกเจาะสำเร็จอย่างน้อยหนึ่งชุด
    เพิ่มขึ้นจาก 25% ในปี 2024 สะท้อนถึงการใช้รหัสผ่านที่อ่อนแอและนโยบายล้าสมัย
    การโจมตีด้วยรหัสผ่านที่ถูกขโมยมีอัตราความสำเร็จสูงถึง 98%
    การป้องกันการขโมยข้อมูลสำเร็จเพียง 3% ลดลงจาก 9% ในปีที่แล้ว
    แฮกเกอร์ใช้เทคนิค brute-force, rainbow table, password spraying และ infostealer malware
    การเก็บ hash แบบ MD5 หรือ SHA-1 ไม่ปลอดภัยอีกต่อไป
    ควรใช้ bcrypt, Argon2 หรือ scrypt ร่วมกับ salt และ pepper เพื่อเพิ่มความปลอดภัย
    ช่องโหว่เกิดจากการตั้งค่าระบบที่ไม่ต่อเนื่อง เช่น logging gaps และ detection rule ที่ไม่แม่นยำ
    การตรวจจับพฤติกรรมผิดปกติ เช่น การเคลื่อนไหวภายในระบบ (lateral movement) ยังมีประสิทธิภาพต่ำ
    การใช้ MFA และการจัดการสิทธิ์แบบละเอียดเป็นมาตรการพื้นฐานที่ควรมี

    ข้อมูลเสริมจากภายนอก
    Infostealer malware เพิ่มขึ้น 3 เท่าในปี 2025 และเป็นภัยหลักในการขโมย credentials
    การโจมตีแบบ Valid Accounts (MITRE ATT&CK T1078) เป็นวิธีที่แฮกเกอร์นิยมใช้
    Ransomware เช่น BlackByte, BabLock และ Maori ยังเป็นภัยที่ป้องกันได้ยาก
    การตรวจจับการค้นหาข้อมูลระบบ (System Discovery) มีประสิทธิภาพต่ำกว่า 12%
    การเปลี่ยนแนวคิดเป็น “assume breach” ช่วยให้ตอบสนองต่อภัยคุกคามได้เร็วขึ้น

    https://www.csoonline.com/article/4042464/enterprise-passwords-becoming-even-easier-to-steal-and-abuse.html
    🎙️ เมื่อรหัสผ่านองค์กรกลายเป็นจุดอ่อน – และแฮกเกอร์ไม่ต้องพยายามมากอีกต่อไป ในปี 2025 รายงาน Blue Report ของ Picus Security เผยข้อมูลที่น่าตกใจว่า ใน 46% ขององค์กรที่ทำการทดสอบ มีรหัสผ่านอย่างน้อยหนึ่งชุดถูกเจาะสำเร็จ เพิ่มขึ้นจาก 25% ในปี 2024 ซึ่งสะท้อนถึงปัญหาที่เรื้อรังมานาน: การใช้รหัสผ่านที่อ่อนแอและนโยบายที่ล้าสมัย แม้จะมีการรณรงค์เรื่องความปลอดภัยมาหลายปี แต่หลายองค์กรยังคงใช้รหัสผ่านที่เดาง่าย ซ้ำซาก หรือไม่บังคับให้เปลี่ยนรหัสอย่างสม่ำเสมอ บางแห่งยังใช้วิธีเก็บ hash แบบ MD5 หรือ SHA-1 ซึ่งถูกแฮกได้ง่ายด้วยเทคนิค brute-force หรือ rainbow table ที่น่ากังวลกว่านั้นคือ การโจมตีด้วยรหัสผ่านที่ถูกขโมย (เช่นจาก phishing หรือ malware) มีอัตราความสำเร็จสูงถึง 98% และการป้องกันการขโมยข้อมูล (data exfiltration) สำเร็จเพียง 3% เท่านั้น ซึ่งลดลงจาก 9% ในปีที่แล้ว ผู้เชี่ยวชาญเตือนว่าองค์กรต้องเปลี่ยนจากแนวคิด “ตั้งค่าแล้วปล่อยไว้” ไปสู่การตรวจสอบระบบอย่างต่อเนื่อง และใช้มาตรการเชิงรุก เช่น MFA, การวิเคราะห์พฤติกรรมผู้ใช้, และการจัดการสิทธิ์แบบละเอียด 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ 46% ขององค์กรที่ทดสอบมีรหัสผ่านถูกเจาะสำเร็จอย่างน้อยหนึ่งชุด ➡️ เพิ่มขึ้นจาก 25% ในปี 2024 สะท้อนถึงการใช้รหัสผ่านที่อ่อนแอและนโยบายล้าสมัย ➡️ การโจมตีด้วยรหัสผ่านที่ถูกขโมยมีอัตราความสำเร็จสูงถึง 98% ➡️ การป้องกันการขโมยข้อมูลสำเร็จเพียง 3% ลดลงจาก 9% ในปีที่แล้ว ➡️ แฮกเกอร์ใช้เทคนิค brute-force, rainbow table, password spraying และ infostealer malware ➡️ การเก็บ hash แบบ MD5 หรือ SHA-1 ไม่ปลอดภัยอีกต่อไป ➡️ ควรใช้ bcrypt, Argon2 หรือ scrypt ร่วมกับ salt และ pepper เพื่อเพิ่มความปลอดภัย ➡️ ช่องโหว่เกิดจากการตั้งค่าระบบที่ไม่ต่อเนื่อง เช่น logging gaps และ detection rule ที่ไม่แม่นยำ ➡️ การตรวจจับพฤติกรรมผิดปกติ เช่น การเคลื่อนไหวภายในระบบ (lateral movement) ยังมีประสิทธิภาพต่ำ ➡️ การใช้ MFA และการจัดการสิทธิ์แบบละเอียดเป็นมาตรการพื้นฐานที่ควรมี ✅ ข้อมูลเสริมจากภายนอก ➡️ Infostealer malware เพิ่มขึ้น 3 เท่าในปี 2025 และเป็นภัยหลักในการขโมย credentials ➡️ การโจมตีแบบ Valid Accounts (MITRE ATT&CK T1078) เป็นวิธีที่แฮกเกอร์นิยมใช้ ➡️ Ransomware เช่น BlackByte, BabLock และ Maori ยังเป็นภัยที่ป้องกันได้ยาก ➡️ การตรวจจับการค้นหาข้อมูลระบบ (System Discovery) มีประสิทธิภาพต่ำกว่า 12% ➡️ การเปลี่ยนแนวคิดเป็น “assume breach” ช่วยให้ตอบสนองต่อภัยคุกคามได้เร็วขึ้น https://www.csoonline.com/article/4042464/enterprise-passwords-becoming-even-easier-to-steal-and-abuse.html
    WWW.CSOONLINE.COM
    Enterprise passwords becoming even easier to steal and abuse
    More effective cracking, continued reliance on weak or outdated policies, and security controls against credential leaks being increasingly undermined.
    0 Comments 0 Shares 123 Views 0 Reviews
  • GodRAT – มัลแวร์ที่แฝงตัวในภาพ ส่งผ่าน Skype เพื่อเจาะระบบธุรกิจ

    ในช่วงปลายปี 2024 ถึงต้นปี 2025 นักวิจัยจาก Kaspersky ได้ค้นพบมัลแวร์ตัวใหม่ชื่อว่า “GodRAT” ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ผ่านแอป Skype เพื่อเจาะระบบของธุรกิจขนาดเล็กและกลาง (SMBs) ในตะวันออกกลางและเอเชีย

    GodRAT ถูกซ่อนไว้ในไฟล์ภาพที่ดูเหมือนเอกสารการเงิน โดยใช้เทคนิค “steganography” เพื่อฝัง shellcode ที่เมื่อเปิดใช้งาน จะดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ของผู้โจมตี

    เมื่อมัลแวร์เข้าสู่ระบบ มันจะเก็บข้อมูลสำคัญ เช่น ระบบปฏิบัติการ ชื่อโฮสต์ รายชื่อโปรแกรมป้องกันไวรัส และบัญชีผู้ใช้ จากนั้นสามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น ตัวขโมยรหัสผ่าน หรือโปรแกรมสำรวจไฟล์ และในบางกรณี ยังมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างถาวร

    นักวิจัยเชื่อว่า GodRAT เป็นวิวัฒนาการของมัลแวร์ AwesomePuppet ที่เชื่อมโยงกับกลุ่มแฮกเกอร์ Winnti (APT41) โดยมีโค้ดคล้ายกับ Gh0st RAT ซึ่งเป็นมัลแวร์เก่าที่ถูกใช้มานานกว่า 15 ปี

    แม้ว่า Skype จะไม่ใช่ช่องทางหลักในการทำงานอีกต่อไป แต่การใช้แอปที่ไม่ปลอดภัยยังคงเป็นช่องโหว่สำคัญที่องค์กรต้องระวัง

    สรุปเนื้อหาเป็นหัวข้อ
    Kaspersky พบมัลแวร์ใหม่ชื่อ GodRAT ถูกส่งผ่าน Skype ในรูปแบบไฟล์ screensaver
    ใช้เทคนิค steganography ซ่อน shellcode ในภาพที่ดูเหมือนเอกสารการเงิน
    เมื่อเปิดไฟล์ มัลแวร์จะดาวน์โหลดจากเซิร์ฟเวอร์ของผู้โจมตี
    GodRAT เก็บข้อมูลระบบ เช่น OS, hostname, antivirus, และบัญชีผู้ใช้
    สามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น FileManager และ password stealer
    บางกรณีมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างต่อเนื่อง
    เหยื่อส่วนใหญ่คือ SMBs ใน UAE, ฮ่องกง, จอร์แดน และเลบานอน
    GodRAT เป็นวิวัฒนาการจาก AwesomePuppet และมีโค้ดคล้าย Gh0st RAT
    การโจมตีสิ้นสุดการใช้ Skype ในเดือนมีนาคม 2025 และเปลี่ยนไปใช้ช่องทางอื่น
    Source code ของ GodRAT ถูกพบใน VirusTotal ตั้งแต่กรกฎาคม 2024

    ข้อมูลเสริมจากภายนอก
    Gh0st RAT เป็นมัลแวร์ที่มีต้นกำเนิดจากจีน และถูกใช้โดยกลุ่ม APT มานาน
    Steganography เป็นเทคนิคที่นิยมใช้ในการซ่อนมัลแวร์ในไฟล์ภาพหรือเสียง
    AsyncRAT เป็นเครื่องมือควบคุมระยะไกลที่สามารถขโมยข้อมูลและควบคุมระบบ
    การใช้ Skype ในองค์กรลดลง แต่ยังมีบางธุรกิจที่ใช้เป็นช่องทางสื่อสาร
    การโจมตีลักษณะนี้มักเน้นเป้าหมายที่ไม่มีระบบป้องกันระดับสูง

    https://www.techradar.com/pro/security/still-use-skype-at-work-bad-news-hackers-are-targeting-it-with-dangerous-malware
    🎙️ GodRAT – มัลแวร์ที่แฝงตัวในภาพ ส่งผ่าน Skype เพื่อเจาะระบบธุรกิจ ในช่วงปลายปี 2024 ถึงต้นปี 2025 นักวิจัยจาก Kaspersky ได้ค้นพบมัลแวร์ตัวใหม่ชื่อว่า “GodRAT” ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ผ่านแอป Skype เพื่อเจาะระบบของธุรกิจขนาดเล็กและกลาง (SMBs) ในตะวันออกกลางและเอเชีย GodRAT ถูกซ่อนไว้ในไฟล์ภาพที่ดูเหมือนเอกสารการเงิน โดยใช้เทคนิค “steganography” เพื่อฝัง shellcode ที่เมื่อเปิดใช้งาน จะดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ของผู้โจมตี เมื่อมัลแวร์เข้าสู่ระบบ มันจะเก็บข้อมูลสำคัญ เช่น ระบบปฏิบัติการ ชื่อโฮสต์ รายชื่อโปรแกรมป้องกันไวรัส และบัญชีผู้ใช้ จากนั้นสามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น ตัวขโมยรหัสผ่าน หรือโปรแกรมสำรวจไฟล์ และในบางกรณี ยังมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างถาวร นักวิจัยเชื่อว่า GodRAT เป็นวิวัฒนาการของมัลแวร์ AwesomePuppet ที่เชื่อมโยงกับกลุ่มแฮกเกอร์ Winnti (APT41) โดยมีโค้ดคล้ายกับ Gh0st RAT ซึ่งเป็นมัลแวร์เก่าที่ถูกใช้มานานกว่า 15 ปี แม้ว่า Skype จะไม่ใช่ช่องทางหลักในการทำงานอีกต่อไป แต่การใช้แอปที่ไม่ปลอดภัยยังคงเป็นช่องโหว่สำคัญที่องค์กรต้องระวัง 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ Kaspersky พบมัลแวร์ใหม่ชื่อ GodRAT ถูกส่งผ่าน Skype ในรูปแบบไฟล์ screensaver ➡️ ใช้เทคนิค steganography ซ่อน shellcode ในภาพที่ดูเหมือนเอกสารการเงิน ➡️ เมื่อเปิดไฟล์ มัลแวร์จะดาวน์โหลดจากเซิร์ฟเวอร์ของผู้โจมตี ➡️ GodRAT เก็บข้อมูลระบบ เช่น OS, hostname, antivirus, และบัญชีผู้ใช้ ➡️ สามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น FileManager และ password stealer ➡️ บางกรณีมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างต่อเนื่อง ➡️ เหยื่อส่วนใหญ่คือ SMBs ใน UAE, ฮ่องกง, จอร์แดน และเลบานอน ➡️ GodRAT เป็นวิวัฒนาการจาก AwesomePuppet และมีโค้ดคล้าย Gh0st RAT ➡️ การโจมตีสิ้นสุดการใช้ Skype ในเดือนมีนาคม 2025 และเปลี่ยนไปใช้ช่องทางอื่น ➡️ Source code ของ GodRAT ถูกพบใน VirusTotal ตั้งแต่กรกฎาคม 2024 ✅ ข้อมูลเสริมจากภายนอก ➡️ Gh0st RAT เป็นมัลแวร์ที่มีต้นกำเนิดจากจีน และถูกใช้โดยกลุ่ม APT มานาน ➡️ Steganography เป็นเทคนิคที่นิยมใช้ในการซ่อนมัลแวร์ในไฟล์ภาพหรือเสียง ➡️ AsyncRAT เป็นเครื่องมือควบคุมระยะไกลที่สามารถขโมยข้อมูลและควบคุมระบบ ➡️ การใช้ Skype ในองค์กรลดลง แต่ยังมีบางธุรกิจที่ใช้เป็นช่องทางสื่อสาร ➡️ การโจมตีลักษณะนี้มักเน้นเป้าหมายที่ไม่มีระบบป้องกันระดับสูง https://www.techradar.com/pro/security/still-use-skype-at-work-bad-news-hackers-are-targeting-it-with-dangerous-malware
    0 Comments 0 Shares 96 Views 0 Reviews
  • จากฟรีนักเก็ตสู่ช่องโหว่ระดับองค์กร – เมื่อ McDonald’s ลืมล็อกประตูดิจิทัล

    เรื่องเริ่มต้นจากนักวิจัยด้านความปลอดภัยนามว่า “BobDaHacker” ที่แค่อยากได้ McNuggets ฟรีจากแอปของ McDonald’s แต่กลับพบว่าการตรวจสอบคะแนนสะสมทำแค่ฝั่งผู้ใช้ (client-side) ทำให้สามารถปลดล็อกของรางวัลได้แม้ไม่มีคะแนน

    เมื่อเขาขุดลึกลงไป ก็พบช่องโหว่ใน “Feel-Good Design Hub” ซึ่งเป็นแพลตฟอร์มภายในของ McDonald’s ที่ใช้สำหรับจัดการแบรนด์และสื่อการตลาดในกว่า 120 ประเทศ โดยระบบเดิมใช้รหัสผ่านฝั่งผู้ใช้ในการป้องกันข้อมูลลับ!

    แม้ McDonald’s จะใช้เวลาถึง 3 เดือนในการแก้ไขระบบให้มีการล็อกอินแบบแยกสำหรับพนักงานและพันธมิตร แต่ Bob พบว่าเพียงแค่เปลี่ยนคำว่า “login” เป็น “register” ใน URL ก็สามารถสร้างบัญชีใหม่และเข้าถึงข้อมูลลับได้ทันที

    ที่น่าตกใจยิ่งกว่าคือระบบส่งรหัสผ่านแบบ plain-text ทางอีเมล และไม่มีช่องทางรายงานช่องโหว่อย่างเป็นทางการ ทำให้ Bob ต้องโทรไปยังสำนักงานใหญ่และสุ่มชื่อพนักงานจาก LinkedIn เพื่อให้มีคนรับเรื่อง

    นอกจากนี้ยังพบ API Key ที่รั่ว, ระบบค้นหาที่เปิดเผยข้อมูลพนักงานทั่วโลก, ช่องโหว่ในระบบ GRS ที่เปิดให้ใครก็ได้ inject HTML และแม้แต่แอปทดลองของร้าน CosMc’s ที่สามารถใช้คูปองไม่จำกัดและแก้ไขคำสั่งซื้อได้ตามใจ

    ข้อมูลในข่าว
    BobDaHacker พบช่องโหว่จากการตรวจสอบคะแนนสะสมในแอป McDonald’s ที่ทำแค่ฝั่ง client
    ระบบ Feel-Good Design Hub ใช้รหัสผ่านฝั่ง client ในการป้องกันข้อมูลภายใน
    เปลี่ยน “login” เป็น “register” ใน URL สามารถสร้างบัญชีและเข้าถึงข้อมูลลับได้
    ระบบส่งรหัสผ่านแบบ plain-text ทางอีเมล ซึ่งเป็นแนวปฏิบัติที่ไม่ปลอดภัย
    ไม่มีช่องทางรายงานช่องโหว่อย่างเป็นทางการ ต้องโทรสุ่มชื่อพนักงานจาก LinkedIn
    พบ API Key และ Algolia Index ที่รั่ว ทำให้สามารถส่ง phishing และดูข้อมูลพนักงาน
    ระบบ TRT เปิดให้พนักงานทั่วไปค้นหาอีเมลของผู้บริหารและใช้ฟีเจอร์ “impersonation”
    GRS Panel ไม่มีการยืนยันตัวตน ทำให้สามารถ inject HTML ได้
    แอป CosMc’s มีช่องโหว่ให้ใช้คูปองไม่จำกัดและแก้ไขคำสั่งซื้อได้

    ข้อมูลเสริมจากภายนอก
    การตรวจสอบฝั่ง client เป็นช่องโหว่พื้นฐานที่ควรหลีกเลี่ยงในระบบที่เกี่ยวข้องกับสิทธิ์หรือรางวัล
    การส่งรหัสผ่านแบบ plain-text ขัดกับมาตรฐานความปลอดภัยสมัยใหม่ เช่น OWASP
    security.txt เป็นมาตรฐานที่ใช้ระบุช่องทางรายงานช่องโหว่ แต่ McDonald’s ลบไฟล์นี้ออก
    การไม่มีช่องทางรายงานที่ชัดเจนทำให้นักวิจัยอาจละทิ้งการแจ้งเตือน
    การใช้ API Key แบบ hardcoded ใน JavaScript เป็นช่องโหว่ที่พบได้บ่อยในเว็บแอป
    การเปิดเผยข้อมูลพนักงานระดับผู้บริหารอาจนำไปสู่ targeted phishing หรือ social engineering

    https://www.tomshardware.com/tech-industry/cyber-security/prompted-by-free-nuggets-security-researcher-uncovers-staggering-mcdonalds-internal-platform-vulnerability-changing-login-to-register-in-url-prompted-site-to-issue-plain-text-password-for-a-new-account
    🍟 จากฟรีนักเก็ตสู่ช่องโหว่ระดับองค์กร – เมื่อ McDonald’s ลืมล็อกประตูดิจิทัล เรื่องเริ่มต้นจากนักวิจัยด้านความปลอดภัยนามว่า “BobDaHacker” ที่แค่อยากได้ McNuggets ฟรีจากแอปของ McDonald’s แต่กลับพบว่าการตรวจสอบคะแนนสะสมทำแค่ฝั่งผู้ใช้ (client-side) ทำให้สามารถปลดล็อกของรางวัลได้แม้ไม่มีคะแนน เมื่อเขาขุดลึกลงไป ก็พบช่องโหว่ใน “Feel-Good Design Hub” ซึ่งเป็นแพลตฟอร์มภายในของ McDonald’s ที่ใช้สำหรับจัดการแบรนด์และสื่อการตลาดในกว่า 120 ประเทศ โดยระบบเดิมใช้รหัสผ่านฝั่งผู้ใช้ในการป้องกันข้อมูลลับ! แม้ McDonald’s จะใช้เวลาถึง 3 เดือนในการแก้ไขระบบให้มีการล็อกอินแบบแยกสำหรับพนักงานและพันธมิตร แต่ Bob พบว่าเพียงแค่เปลี่ยนคำว่า “login” เป็น “register” ใน URL ก็สามารถสร้างบัญชีใหม่และเข้าถึงข้อมูลลับได้ทันที ที่น่าตกใจยิ่งกว่าคือระบบส่งรหัสผ่านแบบ plain-text ทางอีเมล และไม่มีช่องทางรายงานช่องโหว่อย่างเป็นทางการ ทำให้ Bob ต้องโทรไปยังสำนักงานใหญ่และสุ่มชื่อพนักงานจาก LinkedIn เพื่อให้มีคนรับเรื่อง นอกจากนี้ยังพบ API Key ที่รั่ว, ระบบค้นหาที่เปิดเผยข้อมูลพนักงานทั่วโลก, ช่องโหว่ในระบบ GRS ที่เปิดให้ใครก็ได้ inject HTML และแม้แต่แอปทดลองของร้าน CosMc’s ที่สามารถใช้คูปองไม่จำกัดและแก้ไขคำสั่งซื้อได้ตามใจ ✅ ข้อมูลในข่าว ➡️ BobDaHacker พบช่องโหว่จากการตรวจสอบคะแนนสะสมในแอป McDonald’s ที่ทำแค่ฝั่ง client ➡️ ระบบ Feel-Good Design Hub ใช้รหัสผ่านฝั่ง client ในการป้องกันข้อมูลภายใน ➡️ เปลี่ยน “login” เป็น “register” ใน URL สามารถสร้างบัญชีและเข้าถึงข้อมูลลับได้ ➡️ ระบบส่งรหัสผ่านแบบ plain-text ทางอีเมล ซึ่งเป็นแนวปฏิบัติที่ไม่ปลอดภัย ➡️ ไม่มีช่องทางรายงานช่องโหว่อย่างเป็นทางการ ต้องโทรสุ่มชื่อพนักงานจาก LinkedIn ➡️ พบ API Key และ Algolia Index ที่รั่ว ทำให้สามารถส่ง phishing และดูข้อมูลพนักงาน ➡️ ระบบ TRT เปิดให้พนักงานทั่วไปค้นหาอีเมลของผู้บริหารและใช้ฟีเจอร์ “impersonation” ➡️ GRS Panel ไม่มีการยืนยันตัวตน ทำให้สามารถ inject HTML ได้ ➡️ แอป CosMc’s มีช่องโหว่ให้ใช้คูปองไม่จำกัดและแก้ไขคำสั่งซื้อได้ ✅ ข้อมูลเสริมจากภายนอก ➡️ การตรวจสอบฝั่ง client เป็นช่องโหว่พื้นฐานที่ควรหลีกเลี่ยงในระบบที่เกี่ยวข้องกับสิทธิ์หรือรางวัล ➡️ การส่งรหัสผ่านแบบ plain-text ขัดกับมาตรฐานความปลอดภัยสมัยใหม่ เช่น OWASP ➡️ security.txt เป็นมาตรฐานที่ใช้ระบุช่องทางรายงานช่องโหว่ แต่ McDonald’s ลบไฟล์นี้ออก ➡️ การไม่มีช่องทางรายงานที่ชัดเจนทำให้นักวิจัยอาจละทิ้งการแจ้งเตือน ➡️ การใช้ API Key แบบ hardcoded ใน JavaScript เป็นช่องโหว่ที่พบได้บ่อยในเว็บแอป ➡️ การเปิดเผยข้อมูลพนักงานระดับผู้บริหารอาจนำไปสู่ targeted phishing หรือ social engineering https://www.tomshardware.com/tech-industry/cyber-security/prompted-by-free-nuggets-security-researcher-uncovers-staggering-mcdonalds-internal-platform-vulnerability-changing-login-to-register-in-url-prompted-site-to-issue-plain-text-password-for-a-new-account
    0 Comments 0 Shares 163 Views 0 Reviews
  • เรื่องเล่าจากเครือข่ายส่วนตัว: Tailscale กับการเชื่อมต่อที่ง่าย ปลอดภัย และทรงพลัง

    ลองนึกภาพว่าคุณสามารถเชื่อมต่ออุปกรณ์ทุกชิ้นของคุณ—จากมือถือ คอมพิวเตอร์ ไปจนถึง Raspberry Pi—เข้าด้วยกันได้อย่างง่ายดาย โดยไม่ต้องตั้งค่าเครือข่ายให้ยุ่งยาก นั่นคือสิ่งที่ Tailscale ทำได้

    Chris Smith ใช้ Tailscale มานานกว่า 4 ปี และเล่าประสบการณ์ว่า มันไม่ใช่แค่ VPN ธรรมดา แต่เป็นระบบที่ใช้ WireGuard เป็นแกนหลัก พร้อมฟีเจอร์เสริมที่ทำให้ชีวิตง่ายขึ้น เช่น:
    - เชื่อมต่ออุปกรณ์ผ่าน IP ส่วนตัวใน tailnet โดยไม่ต้องเปิดพอร์ตหรือแจก key
    - รองรับ SSH โดยไม่ต้องใช้ public key หรือ password
    - Expose บริการเฉพาะบนเครื่องให้เป็น node แยกใน tailnet
    - ใช้ MagicDNS เพื่อเรียกชื่อเครื่องแทน IP ได้ทันที
    - แชร์บริการผ่านอินเทอร์เน็ตด้วยฟีเจอร์ Funnel แบบ HTTPS โดยไม่ต้องติดตั้งอะไรเพิ่ม

    นอกจากนี้ Tailscale ยังมีฟีเจอร์ระดับองค์กร เช่น ACL, session recording, log streaming, และการจัดการผ่าน GitOps ที่ช่วยให้ควบคุมสิทธิ์และตรวจสอบการใช้งานได้อย่างละเอียด

    แต่ก็มีข้อควรระวัง เช่น การพึ่งพาเซิร์ฟเวอร์กลางของ Tailscale อาจเป็นข้อจำกัดด้านความเป็นส่วนตัว และการใช้งานในองค์กรขนาดใหญ่หรือแอปที่ต้องการ throughput สูงอาจไม่เหมาะนัก

    Tailscale ใช้ WireGuard เป็นแกนหลักในการสร้างเครือข่าย VPN
    ช่วยให้เชื่อมต่ออุปกรณ์ต่าง ๆ ได้โดยไม่ต้องตั้งค่าเครือข่าย

    ติดตั้งง่าย ใช้งานได้ทันทีหลัง login โดยไม่ต้องแจก key หรือเปิดพอร์ต
    รองรับหลายแพลตฟอร์ม เช่น Windows, macOS, Linux, iOS, Android

    รองรับ SSH โดยไม่ต้องใช้ public key หรือ password
    ทำให้การเชื่อมต่อจากมือถือหรือเครื่องอื่นสะดวกขึ้น

    สามารถ expose บริการเฉพาะบนเครื่องให้เป็น node แยกใน tailnet
    ใช้ Docker image, Go library หรือเครื่องมือ third-party ได้

    MagicDNS ช่วยให้เรียกชื่อเครื่องแทน IP ได้ทันที
    ลดความยุ่งยากในการจัดการ DNS ด้วยตนเอง

    Funnel ช่วยแชร์บริการผ่านอินเทอร์เน็ตแบบ HTTPS ได้ทันที
    ไม่ต้องติดตั้งอะไรเพิ่ม ผู้ใช้ปลายทางไม่ต้องมี Tailscale

    https://chameth.com/how-i-use-tailscale/
    🧠🔐 เรื่องเล่าจากเครือข่ายส่วนตัว: Tailscale กับการเชื่อมต่อที่ง่าย ปลอดภัย และทรงพลัง ลองนึกภาพว่าคุณสามารถเชื่อมต่ออุปกรณ์ทุกชิ้นของคุณ—จากมือถือ คอมพิวเตอร์ ไปจนถึง Raspberry Pi—เข้าด้วยกันได้อย่างง่ายดาย โดยไม่ต้องตั้งค่าเครือข่ายให้ยุ่งยาก นั่นคือสิ่งที่ Tailscale ทำได้ Chris Smith ใช้ Tailscale มานานกว่า 4 ปี และเล่าประสบการณ์ว่า มันไม่ใช่แค่ VPN ธรรมดา แต่เป็นระบบที่ใช้ WireGuard เป็นแกนหลัก พร้อมฟีเจอร์เสริมที่ทำให้ชีวิตง่ายขึ้น เช่น: - เชื่อมต่ออุปกรณ์ผ่าน IP ส่วนตัวใน tailnet โดยไม่ต้องเปิดพอร์ตหรือแจก key - รองรับ SSH โดยไม่ต้องใช้ public key หรือ password - Expose บริการเฉพาะบนเครื่องให้เป็น node แยกใน tailnet - ใช้ MagicDNS เพื่อเรียกชื่อเครื่องแทน IP ได้ทันที - แชร์บริการผ่านอินเทอร์เน็ตด้วยฟีเจอร์ Funnel แบบ HTTPS โดยไม่ต้องติดตั้งอะไรเพิ่ม นอกจากนี้ Tailscale ยังมีฟีเจอร์ระดับองค์กร เช่น ACL, session recording, log streaming, และการจัดการผ่าน GitOps ที่ช่วยให้ควบคุมสิทธิ์และตรวจสอบการใช้งานได้อย่างละเอียด แต่ก็มีข้อควรระวัง เช่น การพึ่งพาเซิร์ฟเวอร์กลางของ Tailscale อาจเป็นข้อจำกัดด้านความเป็นส่วนตัว และการใช้งานในองค์กรขนาดใหญ่หรือแอปที่ต้องการ throughput สูงอาจไม่เหมาะนัก ✅ Tailscale ใช้ WireGuard เป็นแกนหลักในการสร้างเครือข่าย VPN ➡️ ช่วยให้เชื่อมต่ออุปกรณ์ต่าง ๆ ได้โดยไม่ต้องตั้งค่าเครือข่าย ✅ ติดตั้งง่าย ใช้งานได้ทันทีหลัง login โดยไม่ต้องแจก key หรือเปิดพอร์ต ➡️ รองรับหลายแพลตฟอร์ม เช่น Windows, macOS, Linux, iOS, Android ✅ รองรับ SSH โดยไม่ต้องใช้ public key หรือ password ➡️ ทำให้การเชื่อมต่อจากมือถือหรือเครื่องอื่นสะดวกขึ้น ✅ สามารถ expose บริการเฉพาะบนเครื่องให้เป็น node แยกใน tailnet ➡️ ใช้ Docker image, Go library หรือเครื่องมือ third-party ได้ ✅ MagicDNS ช่วยให้เรียกชื่อเครื่องแทน IP ได้ทันที ➡️ ลดความยุ่งยากในการจัดการ DNS ด้วยตนเอง ✅ Funnel ช่วยแชร์บริการผ่านอินเทอร์เน็ตแบบ HTTPS ได้ทันที ➡️ ไม่ต้องติดตั้งอะไรเพิ่ม ผู้ใช้ปลายทางไม่ต้องมี Tailscale https://chameth.com/how-i-use-tailscale/
    0 Comments 0 Shares 166 Views 0 Reviews
  • เรื่องเล่าจากสายโทรศัพท์: เมื่อแฮกเกอร์แค่ “ขอรหัส” แล้วได้จริง

    ย้อนกลับไปในเดือนสิงหาคม 2023 บริษัท Clorox ผู้ผลิตน้ำยาฟอกขาวชื่อดัง ถูกโจมตีด้วยแรนซัมแวร์โดยกลุ่ม Scattered Spider ซึ่งใช้วิธีง่ายๆ อย่างการโทรไปยังฝ่าย IT ของ Cognizant—ผู้ให้บริการด้านเทคโนโลยีของ Clorox—แล้ว “ขอรหัสผ่าน” โดยแอบอ้างว่าเป็นพนักงาน

    สิ่งที่น่าตกใจคือ พนักงานของ Cognizant กลับให้รหัสผ่านโดยไม่ตรวจสอบตัวตนใดๆ ทั้งสิ้น! ไม่ถามชื่อผู้จัดการ ไม่ตรวจสอบอีเมล ไม่ใช้ระบบยืนยันตัวตนที่ Clorox เตรียมไว้เลยแม้แต่นิดเดียว

    ผลลัพธ์คือ Clorox ต้องหยุดการผลิต, ปิดระบบ IT, และใช้การจัดการคำสั่งซื้อแบบแมนนวลนานหลายสัปดาห์ รวมความเสียหายกว่า 380 ล้านดอลลาร์ และล่าสุด Clorox ได้ฟ้อง Cognizant ฐานประมาทเลินเล่ออย่างร้ายแรง

    Clorox ถูกโจมตีด้วยแรนซัมแวร์ในเดือนสิงหาคม 2023 โดยกลุ่ม Scattered Spider
    ใช้วิธี social engineering โทรไปขอรหัสผ่านจากฝ่าย IT โดยแอบอ้างเป็นพนักงาน
    ไม่ใช้มัลแวร์หรือเทคนิคซับซ้อนใดๆ

    Cognizant เป็นผู้ให้บริการ IT ที่ดูแลระบบภายในของ Clorox รวมถึงการรีเซ็ตรหัสผ่านและ MFA
    มีหน้าที่ตรวจสอบตัวตนก่อนให้ข้อมูลสำคัญ
    แต่กลับละเลยขั้นตอนทั้งหมดที่ Clorox กำหนดไว้

    Clorox ฟ้อง Cognizant เรียกค่าเสียหาย 380 ล้านดอลลาร์
    รวมถึงค่าใช้จ่ายในการฟื้นฟูระบบกว่า 49 ล้านดอลลาร์
    และความเสียหายจากการหยุดผลิตและจัดส่งสินค้า

    มีหลักฐานเป็นบทสนทนาระหว่างแฮกเกอร์กับพนักงาน Cognizant ที่ให้รหัสโดยไม่ตรวจสอบ
    “I don’t have a password, so I can’t connect.”
    “Oh, ok. Ok. So, let me provide the password to you, okay?”

    ระบบที่ควรใช้คือ MyID และการตรวจสอบผ่านชื่อผู้จัดการและอีเมลยืนยัน
    แต่ไม่ได้ถูกนำมาใช้เลยในเหตุการณ์นี้
    แสดงถึงความล้มเหลวในการฝึกอบรมและควบคุมคุณภาพ

    การละเลยขั้นตอนตรวจสอบตัวตนสามารถเปิดช่องให้เกิดการโจมตีร้ายแรง
    แม้จะมีระบบความปลอดภัยดีแค่ไหน แต่จุดอ่อนคือ “มนุษย์” ที่ไม่ทำตามขั้นตอน
    การแอบอ้างตัวตนเป็นวิธีพื้นฐานที่ยังได้ผลในหลายองค์กร

    การจ้างบริษัทภายนอกดูแลระบบ IT ต้องมีการกำกับและตรวจสอบอย่างเข้มงวด
    ไม่ควรคิดว่า “จ้างแล้วจบ” โดยไม่ติดตามการปฏิบัติงานจริง
    ควรมีสัญญาที่ระบุขั้นตอนความปลอดภัยอย่างชัดเจน

    การตอบสนองต่อเหตุการณ์โจมตีต้องรวดเร็วและแม่นยำ
    Clorox ระบุว่า Cognizantใช้เวลานานเกินไปในการติดตั้งเครื่องมือป้องกัน
    ส่งผลให้การควบคุมความเสียหายล่าช้าไปหลายชั่วโมง

    การละเมิดขั้นตอนพื้นฐานอาจนำไปสู่ความเสียหายระดับองค์กร
    ไม่ใช่แค่ข้อมูลรั่ว แต่กระทบถึงการผลิต, การจัดส่ง, และความเชื่อมั่นของลูกค้า
    อาจต้องใช้เวลาหลายเดือนในการฟื้นฟูภาพลักษณ์และระบบ

    https://www.tomshardware.com/tech-industry/cyber-security/it-provider-sued-after-it-simply-handed-the-credentials-to-hackers-clorox-claims-cognizant-gaffe-enabled-a-usd380m-ransomware-attack
    🔓 เรื่องเล่าจากสายโทรศัพท์: เมื่อแฮกเกอร์แค่ “ขอรหัส” แล้วได้จริง ย้อนกลับไปในเดือนสิงหาคม 2023 บริษัท Clorox ผู้ผลิตน้ำยาฟอกขาวชื่อดัง ถูกโจมตีด้วยแรนซัมแวร์โดยกลุ่ม Scattered Spider ซึ่งใช้วิธีง่ายๆ อย่างการโทรไปยังฝ่าย IT ของ Cognizant—ผู้ให้บริการด้านเทคโนโลยีของ Clorox—แล้ว “ขอรหัสผ่าน” โดยแอบอ้างว่าเป็นพนักงาน สิ่งที่น่าตกใจคือ พนักงานของ Cognizant กลับให้รหัสผ่านโดยไม่ตรวจสอบตัวตนใดๆ ทั้งสิ้น! ไม่ถามชื่อผู้จัดการ ไม่ตรวจสอบอีเมล ไม่ใช้ระบบยืนยันตัวตนที่ Clorox เตรียมไว้เลยแม้แต่นิดเดียว ผลลัพธ์คือ Clorox ต้องหยุดการผลิต, ปิดระบบ IT, และใช้การจัดการคำสั่งซื้อแบบแมนนวลนานหลายสัปดาห์ รวมความเสียหายกว่า 380 ล้านดอลลาร์ และล่าสุด Clorox ได้ฟ้อง Cognizant ฐานประมาทเลินเล่ออย่างร้ายแรง ✅ Clorox ถูกโจมตีด้วยแรนซัมแวร์ในเดือนสิงหาคม 2023 โดยกลุ่ม Scattered Spider ➡️ ใช้วิธี social engineering โทรไปขอรหัสผ่านจากฝ่าย IT โดยแอบอ้างเป็นพนักงาน ➡️ ไม่ใช้มัลแวร์หรือเทคนิคซับซ้อนใดๆ ✅ Cognizant เป็นผู้ให้บริการ IT ที่ดูแลระบบภายในของ Clorox รวมถึงการรีเซ็ตรหัสผ่านและ MFA ➡️ มีหน้าที่ตรวจสอบตัวตนก่อนให้ข้อมูลสำคัญ ➡️ แต่กลับละเลยขั้นตอนทั้งหมดที่ Clorox กำหนดไว้ ✅ Clorox ฟ้อง Cognizant เรียกค่าเสียหาย 380 ล้านดอลลาร์ ➡️ รวมถึงค่าใช้จ่ายในการฟื้นฟูระบบกว่า 49 ล้านดอลลาร์ ➡️ และความเสียหายจากการหยุดผลิตและจัดส่งสินค้า ✅ มีหลักฐานเป็นบทสนทนาระหว่างแฮกเกอร์กับพนักงาน Cognizant ที่ให้รหัสโดยไม่ตรวจสอบ ➡️ “I don’t have a password, so I can’t connect.” ➡️ “Oh, ok. Ok. So, let me provide the password to you, okay?” ✅ ระบบที่ควรใช้คือ MyID และการตรวจสอบผ่านชื่อผู้จัดการและอีเมลยืนยัน ➡️ แต่ไม่ได้ถูกนำมาใช้เลยในเหตุการณ์นี้ ➡️ แสดงถึงความล้มเหลวในการฝึกอบรมและควบคุมคุณภาพ ‼️ การละเลยขั้นตอนตรวจสอบตัวตนสามารถเปิดช่องให้เกิดการโจมตีร้ายแรง ⛔ แม้จะมีระบบความปลอดภัยดีแค่ไหน แต่จุดอ่อนคือ “มนุษย์” ที่ไม่ทำตามขั้นตอน ⛔ การแอบอ้างตัวตนเป็นวิธีพื้นฐานที่ยังได้ผลในหลายองค์กร ‼️ การจ้างบริษัทภายนอกดูแลระบบ IT ต้องมีการกำกับและตรวจสอบอย่างเข้มงวด ⛔ ไม่ควรคิดว่า “จ้างแล้วจบ” โดยไม่ติดตามการปฏิบัติงานจริง ⛔ ควรมีสัญญาที่ระบุขั้นตอนความปลอดภัยอย่างชัดเจน ‼️ การตอบสนองต่อเหตุการณ์โจมตีต้องรวดเร็วและแม่นยำ ⛔ Clorox ระบุว่า Cognizantใช้เวลานานเกินไปในการติดตั้งเครื่องมือป้องกัน ⛔ ส่งผลให้การควบคุมความเสียหายล่าช้าไปหลายชั่วโมง ‼️ การละเมิดขั้นตอนพื้นฐานอาจนำไปสู่ความเสียหายระดับองค์กร ⛔ ไม่ใช่แค่ข้อมูลรั่ว แต่กระทบถึงการผลิต, การจัดส่ง, และความเชื่อมั่นของลูกค้า ⛔ อาจต้องใช้เวลาหลายเดือนในการฟื้นฟูภาพลักษณ์และระบบ https://www.tomshardware.com/tech-industry/cyber-security/it-provider-sued-after-it-simply-handed-the-credentials-to-hackers-clorox-claims-cognizant-gaffe-enabled-a-usd380m-ransomware-attack
    0 Comments 0 Shares 245 Views 0 Reviews
  • เรื่องเล่าจากข่าว: เกมเอาชีวิตรอดที่ “ขโมยชีวิตดิจิทัล” ของคุณ

    ลองจินตนาการว่าคุณโหลดเกมเอาชีวิตรอดชื่อ Chemia จาก Steam เพื่อเล่นในช่วง Early Access แต่แทนที่จะได้สนุกกับการสร้างฐานและฝ่าฟันภัยพิบัติ คุณกลับโดนขโมยข้อมูลส่วนตัวและคริปโตแบบไม่รู้ตัว — นี่คือสิ่งที่เกิดขึ้นจริง!

    บริษัทความปลอดภัยไซเบอร์ Prodaft เปิดเผยว่าเกม Chemia ถูกฝังมัลแวร์ 3 สายพันธุ์ ได้แก่:
    - Fickle Stealer: ขโมยข้อมูลจากเบราว์เซอร์, password manager และ crypto wallet
    - Vidar Stealer: มัลแวร์แบบบริการ (Malware-as-a-Service) ที่เชื่อมต่อผ่านโซเชียลมีเดีย
    - HijackLoader: ตัวโหลดมัลแวร์ที่สามารถติดตั้งภัยคุกคามอื่นในอนาคต

    เกมนี้ถูกแจกผ่านระบบ Playtest ของ Steam ซึ่งต้องขอสิทธิ์เข้าถึงก่อนเล่น ทำให้ดูเหมือนปลอดภัย แต่จริง ๆ แล้วเป็นช่องทางที่แฮกเกอร์ใช้หลบเลี่ยงการตรวจสอบของแพลตฟอร์ม

    เกม Chemia ถูกใช้เป็นช่องทางแพร่มัลแวร์
    ฝังมัลแวร์ 3 ชนิด: Fickle Stealer, Vidar Stealer, HijackLoader
    มัลแวร์ทำงานเมื่อผู้ใช้เปิดเกม โดยรันควบคู่กับแอปพลิเคชันจริง

    มัลแวร์แต่ละตัวมีหน้าที่เฉพาะ
    Fickle Stealer: ใช้ PowerShell ขโมยข้อมูลระบบและไฟล์สำคัญ
    Vidar Stealer: เชื่อมต่อผ่านโซเชียลมีเดียเพื่อส่งข้อมูล
    HijackLoader: ใช้ติดตั้งมัลแวร์อื่นในอนาคต

    เกมถูกแจกผ่านระบบ Playtest ของ Steam
    ต้องขอสิทธิ์ก่อนเล่น ทำให้ดูเหมือนปลอดภัย
    ไม่มีรีวิวหรือข้อมูลจากนักพัฒนาอื่น ทำให้ตรวจสอบยาก

    นักพัฒนา Aether Forge Studios ไม่มีตัวตนชัดเจน
    ไม่มีเว็บไซต์หรือโซเชียลมีเดียที่เชื่อมโยงกับเกม
    อาจเป็นบัญชีปลอมที่ใช้หลอกลวงผู้ใช้

    Prodaft เผยว่าแฮกเกอร์ชื่อ EncryptHub อยู่เบื้องหลัง
    เคยมีประวัติการโจมตีแบบ spear-phishing ตั้งแต่ปี 2024
    แชร์ Indicators of Compromise (IOCs) บน GitHub เพื่อช่วยตรวจสอบ

    เกมบนแพลตฟอร์มที่เชื่อถือได้ก็อาจไม่ปลอดภัย
    Steam ไม่สามารถตรวจสอบมัลแวร์ในทุกเกมได้ทันที
    ผู้ใช้มักเชื่อว่าการโหลดจาก Steam คือ “ปลอดภัยโดยอัตโนมัติ”

    มัลแวร์สามารถขโมยข้อมูลสำคัญได้ทันทีที่เปิดเกม
    ข้อมูลที่ถูกขโมยรวมถึงรหัสผ่าน, session token, และ crypto wallet
    อาจนำไปสู่การสูญเสียทางการเงินและการขโมยตัวตน

    ระบบ Early Access และ Playtest อาจถูกใช้เป็นช่องทางโจมตี
    เกมที่ยังไม่เปิดตัวเต็มรูปแบบอาจไม่มีการตรวจสอบเข้มงวด
    แฮกเกอร์ใช้ช่องโหว่นี้ในการฝังโค้ดอันตราย

    ผู้ใช้ที่เคยเล่น Chemia ควรตรวจสอบระบบทันที
    ลบเกมออกจากเครื่อง
    สแกนมัลแวร์เต็มระบบ
    เปลี่ยนรหัสผ่านทุกบัญชีที่เคยล็อกอินระหว่างเล่นเกม

    https://www.tomshardware.com/tech-industry/cyber-security/hacker-plants-three-strains-of-malware-in-a-steam-early-access-game-called-chemia-security-company-found-crypto-jacking-infostealers-and-a-backdoor-to-install-yet-more-malware-in-the-future
    🧠 เรื่องเล่าจากข่าว: เกมเอาชีวิตรอดที่ “ขโมยชีวิตดิจิทัล” ของคุณ ลองจินตนาการว่าคุณโหลดเกมเอาชีวิตรอดชื่อ Chemia จาก Steam เพื่อเล่นในช่วง Early Access แต่แทนที่จะได้สนุกกับการสร้างฐานและฝ่าฟันภัยพิบัติ คุณกลับโดนขโมยข้อมูลส่วนตัวและคริปโตแบบไม่รู้ตัว — นี่คือสิ่งที่เกิดขึ้นจริง! บริษัทความปลอดภัยไซเบอร์ Prodaft เปิดเผยว่าเกม Chemia ถูกฝังมัลแวร์ 3 สายพันธุ์ ได้แก่: - Fickle Stealer: ขโมยข้อมูลจากเบราว์เซอร์, password manager และ crypto wallet - Vidar Stealer: มัลแวร์แบบบริการ (Malware-as-a-Service) ที่เชื่อมต่อผ่านโซเชียลมีเดีย - HijackLoader: ตัวโหลดมัลแวร์ที่สามารถติดตั้งภัยคุกคามอื่นในอนาคต เกมนี้ถูกแจกผ่านระบบ Playtest ของ Steam ซึ่งต้องขอสิทธิ์เข้าถึงก่อนเล่น ทำให้ดูเหมือนปลอดภัย แต่จริง ๆ แล้วเป็นช่องทางที่แฮกเกอร์ใช้หลบเลี่ยงการตรวจสอบของแพลตฟอร์ม ✅ เกม Chemia ถูกใช้เป็นช่องทางแพร่มัลแวร์ ➡️ ฝังมัลแวร์ 3 ชนิด: Fickle Stealer, Vidar Stealer, HijackLoader ➡️ มัลแวร์ทำงานเมื่อผู้ใช้เปิดเกม โดยรันควบคู่กับแอปพลิเคชันจริง ✅ มัลแวร์แต่ละตัวมีหน้าที่เฉพาะ ➡️ Fickle Stealer: ใช้ PowerShell ขโมยข้อมูลระบบและไฟล์สำคัญ ➡️ Vidar Stealer: เชื่อมต่อผ่านโซเชียลมีเดียเพื่อส่งข้อมูล ➡️ HijackLoader: ใช้ติดตั้งมัลแวร์อื่นในอนาคต ✅ เกมถูกแจกผ่านระบบ Playtest ของ Steam ➡️ ต้องขอสิทธิ์ก่อนเล่น ทำให้ดูเหมือนปลอดภัย ➡️ ไม่มีรีวิวหรือข้อมูลจากนักพัฒนาอื่น ทำให้ตรวจสอบยาก ✅ นักพัฒนา Aether Forge Studios ไม่มีตัวตนชัดเจน ➡️ ไม่มีเว็บไซต์หรือโซเชียลมีเดียที่เชื่อมโยงกับเกม ➡️ อาจเป็นบัญชีปลอมที่ใช้หลอกลวงผู้ใช้ ✅ Prodaft เผยว่าแฮกเกอร์ชื่อ EncryptHub อยู่เบื้องหลัง ➡️ เคยมีประวัติการโจมตีแบบ spear-phishing ตั้งแต่ปี 2024 ➡️ แชร์ Indicators of Compromise (IOCs) บน GitHub เพื่อช่วยตรวจสอบ ‼️ เกมบนแพลตฟอร์มที่เชื่อถือได้ก็อาจไม่ปลอดภัย ⛔ Steam ไม่สามารถตรวจสอบมัลแวร์ในทุกเกมได้ทันที ⛔ ผู้ใช้มักเชื่อว่าการโหลดจาก Steam คือ “ปลอดภัยโดยอัตโนมัติ” ‼️ มัลแวร์สามารถขโมยข้อมูลสำคัญได้ทันทีที่เปิดเกม ⛔ ข้อมูลที่ถูกขโมยรวมถึงรหัสผ่าน, session token, และ crypto wallet ⛔ อาจนำไปสู่การสูญเสียทางการเงินและการขโมยตัวตน ‼️ ระบบ Early Access และ Playtest อาจถูกใช้เป็นช่องทางโจมตี ⛔ เกมที่ยังไม่เปิดตัวเต็มรูปแบบอาจไม่มีการตรวจสอบเข้มงวด ⛔ แฮกเกอร์ใช้ช่องโหว่นี้ในการฝังโค้ดอันตราย ‼️ ผู้ใช้ที่เคยเล่น Chemia ควรตรวจสอบระบบทันที ⛔ ลบเกมออกจากเครื่อง ⛔ สแกนมัลแวร์เต็มระบบ ⛔ เปลี่ยนรหัสผ่านทุกบัญชีที่เคยล็อกอินระหว่างเล่นเกม https://www.tomshardware.com/tech-industry/cyber-security/hacker-plants-three-strains-of-malware-in-a-steam-early-access-game-called-chemia-security-company-found-crypto-jacking-infostealers-and-a-backdoor-to-install-yet-more-malware-in-the-future
    0 Comments 0 Shares 340 Views 0 Reviews
  • เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง

    Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า:
    - กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux
    - เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ

    เทคนิคที่ใช้มีความแปลกใหม่ เช่น:
    - “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client
    - “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ

    เมื่อเข้าระบบได้แล้ว Interlock จะ:
    - ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ
    - ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์
    - เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock
    - ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน
    - ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง

    FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น:
    - ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย
    - อัปเดตระบบและซอฟต์แวร์ทั้งหมด
    - ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด
    - แบ่งเครือข่ายเพื่อลดการแพร่กระจาย
    - สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup)

    FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ
    ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล

    Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM
    ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix

    ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง
    เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ

    หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล
    รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์

    ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock
    โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor

    หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable
    พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware

    https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/
    🎙️ เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า: - กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux - เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ เทคนิคที่ใช้มีความแปลกใหม่ เช่น: - “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client - “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ เมื่อเข้าระบบได้แล้ว Interlock จะ: - ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ - ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์ - เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock - ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน - ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น: - ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย - อัปเดตระบบและซอฟต์แวร์ทั้งหมด - ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด - แบ่งเครือข่ายเพื่อลดการแพร่กระจาย - สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup) ✅ FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ ➡️ ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล ✅ Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM ➡️ ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix ✅ ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง ➡️ เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ ✅ หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล ➡️ รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์ ✅ ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock ➡️ โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor ✅ หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable ➡️ พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/
    HACKREAD.COM
    FBI and CISA Warn of Interlock Ransomware Targeting Critical Infrastructure
    Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
    0 Comments 0 Shares 314 Views 0 Reviews
  • เรื่องเล่าจากรหัสผ่านเดียวที่ล้มบริษัท 158 ปี

    KNP เป็นบริษัทขนส่งที่มีรถบรรทุกกว่า 500 คัน และพนักงานราว 700 คน โดยมีมาตรการด้านความปลอดภัยตามมาตรฐานอุตสาหกรรม รวมถึงประกันภัยไซเบอร์ แต่กลับถูกโจมตีด้วย ransomware ที่เริ่มต้นจากการ “เดารหัสผ่าน” ของพนักงานคนหนึ่ง

    แฮกเกอร์เข้าระบบได้และเข้ารหัสข้อมูลทั้งหมดของบริษัท — แม้จะมีประกัน แต่บริษัทประเมินว่าค่าไถ่อาจสูงถึง £5 ล้าน ซึ่งเกินกว่าที่จะจ่ายไหว สุดท้าย KNP ต้องปิดกิจการ และพนักงานทั้งหมดตกงาน

    Paul Abbott ผู้อำนวยการบริษัทบอกว่าเขาไม่เคยแจ้งพนักงานคนนั้นว่า “รหัสผ่านของเขาคือจุดเริ่มต้นของการล่มสลาย” เพราะไม่อยากให้ใครต้องแบกรับความรู้สึกผิดเพียงคนเดียว

    หน่วยงานด้านความมั่นคงไซเบอร์ของอังกฤษระบุว่า:
    - ปีที่ผ่านมา มีการโจมตี ransomware กว่า 19,000 ครั้ง
    - ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน
    - หนึ่งในสามของบริษัทเลือก “จ่ายเงิน” เพื่อให้ธุรกิจดำเนินต่อได้

    Suzanne Grimmer จาก National Crime Agency เตือนว่า:

    “ถ้าแนวโน้มนี้ยังดำเนินต่อไป ปีนี้จะเป็นปีที่เลวร้ายที่สุดสำหรับ ransomware ในสหราชอาณาจักร”

    KNP Logistics Group ถูกโจมตีด้วย ransomware จากรหัสผ่านที่เดาง่ายของพนักงาน
    ส่งผลให้ข้อมูลทั้งหมดถูกเข้ารหัส และบริษัทไม่สามารถจ่ายค่าไถ่ได้

    บริษัทมีพนักงานราว 700 คน และรถบรรทุกกว่า 500 คัน
    เป็นหนึ่งในบริษัทขนส่งเก่าแก่ที่สุดในอังกฤษ

    ค่าไถ่ถูกประเมินว่าอาจสูงถึง £5 ล้าน แม้จะมีประกันภัยไซเบอร์
    เกินกว่าที่บริษัทจะรับไหว ทำให้ต้องปิดกิจการ

    หน่วยงานความมั่นคงไซเบอร์ของอังกฤษระบุว่ามี ransomware กว่า 19,000 ครั้งในปีที่ผ่านมา
    ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน และหนึ่งในสามของบริษัทเลือกจ่ายเงิน

    Paul Abbott ไม่แจ้งพนักงานเจ้าของรหัสผ่านว่าเป็นต้นเหตุของการล่มสลาย
    เพื่อไม่ให้เกิดความรู้สึกผิดที่รุนแรงเกินไป

    ผู้เชี่ยวชาญระบุว่าแฮกเกอร์มัก “รอวันที่องค์กรอ่อนแอ” แล้วลงมือทันที
    ไม่จำเป็นต้องเจาะระบบซับซ้อน แค่รหัสผ่านอ่อนก็พอ

    https://www.techspot.com/news/108749-one-weak-password-brought-down-158-year-old.html
    🎙️ เรื่องเล่าจากรหัสผ่านเดียวที่ล้มบริษัท 158 ปี KNP เป็นบริษัทขนส่งที่มีรถบรรทุกกว่า 500 คัน และพนักงานราว 700 คน โดยมีมาตรการด้านความปลอดภัยตามมาตรฐานอุตสาหกรรม รวมถึงประกันภัยไซเบอร์ แต่กลับถูกโจมตีด้วย ransomware ที่เริ่มต้นจากการ “เดารหัสผ่าน” ของพนักงานคนหนึ่ง แฮกเกอร์เข้าระบบได้และเข้ารหัสข้อมูลทั้งหมดของบริษัท — แม้จะมีประกัน แต่บริษัทประเมินว่าค่าไถ่อาจสูงถึง £5 ล้าน ซึ่งเกินกว่าที่จะจ่ายไหว สุดท้าย KNP ต้องปิดกิจการ และพนักงานทั้งหมดตกงาน Paul Abbott ผู้อำนวยการบริษัทบอกว่าเขาไม่เคยแจ้งพนักงานคนนั้นว่า “รหัสผ่านของเขาคือจุดเริ่มต้นของการล่มสลาย” เพราะไม่อยากให้ใครต้องแบกรับความรู้สึกผิดเพียงคนเดียว หน่วยงานด้านความมั่นคงไซเบอร์ของอังกฤษระบุว่า: - ปีที่ผ่านมา มีการโจมตี ransomware กว่า 19,000 ครั้ง - ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน - หนึ่งในสามของบริษัทเลือก “จ่ายเงิน” เพื่อให้ธุรกิจดำเนินต่อได้ Suzanne Grimmer จาก National Crime Agency เตือนว่า: 🔖 “ถ้าแนวโน้มนี้ยังดำเนินต่อไป ปีนี้จะเป็นปีที่เลวร้ายที่สุดสำหรับ ransomware ในสหราชอาณาจักร” ✅ KNP Logistics Group ถูกโจมตีด้วย ransomware จากรหัสผ่านที่เดาง่ายของพนักงาน ➡️ ส่งผลให้ข้อมูลทั้งหมดถูกเข้ารหัส และบริษัทไม่สามารถจ่ายค่าไถ่ได้ ✅ บริษัทมีพนักงานราว 700 คน และรถบรรทุกกว่า 500 คัน ➡️ เป็นหนึ่งในบริษัทขนส่งเก่าแก่ที่สุดในอังกฤษ ✅ ค่าไถ่ถูกประเมินว่าอาจสูงถึง £5 ล้าน แม้จะมีประกันภัยไซเบอร์ ➡️ เกินกว่าที่บริษัทจะรับไหว ทำให้ต้องปิดกิจการ ✅ หน่วยงานความมั่นคงไซเบอร์ของอังกฤษระบุว่ามี ransomware กว่า 19,000 ครั้งในปีที่ผ่านมา ➡️ ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน และหนึ่งในสามของบริษัทเลือกจ่ายเงิน ✅ Paul Abbott ไม่แจ้งพนักงานเจ้าของรหัสผ่านว่าเป็นต้นเหตุของการล่มสลาย ➡️ เพื่อไม่ให้เกิดความรู้สึกผิดที่รุนแรงเกินไป ✅ ผู้เชี่ยวชาญระบุว่าแฮกเกอร์มัก “รอวันที่องค์กรอ่อนแอ” แล้วลงมือทันที ➡️ ไม่จำเป็นต้องเจาะระบบซับซ้อน แค่รหัสผ่านอ่อนก็พอ https://www.techspot.com/news/108749-one-weak-password-brought-down-158-year-old.html
    WWW.TECHSPOT.COM
    One weak password brought down a 158-year-old company
    A business is only as strong as its weakest link and when that weak point happens to be an employee's easy-to-guess password, the outcome can be devastating....
    0 Comments 0 Shares 273 Views 0 Reviews
  • เรื่องเล่าจากโลกมืดของ UIA: เมื่อเครื่องมือสำหรับผู้พิการถูกใช้เป็นช่องทางลอบโจมตี

    UI Automation (UIA) เป็นระบบที่ Microsoft ออกแบบเพื่อช่วยให้เทคโนโลยีผู้ช่วย (assistive technologies) เช่น screen reader เข้าถึง UI ของซอฟต์แวร์ต่าง ๆ ได้ — แต่แฮกเกอร์พบว่า UIA สามารถใช้ “สแกน” หน้าต่างของโปรแกรมอื่น เพื่อดึงข้อมูลจากฟิลด์ต่าง ๆ ได้ โดยไม่ต้องเข้าถึง API หรือระบบเครือข่าย

    มัลแวร์ Coyote รุ่นล่าสุดจึงใช้ UIA ในการ:
    - ตรวจสอบว่าเหย้อติดต่อกับธนาคารหรือเว็บคริปโตหรือไม่ โดยวิเคราะห์ชื่อหน้าต่าง
    - หากไม่พบชื่อในลิสต์ 75 สถาบันที่ถูกตั้งไว้ล่วงหน้า จะใช้ UIA สแกน sub-elements เพื่อตรวจจับ field ที่น่าจะเกี่ยวกับการเงิน
    - ดึงข้อมูล เช่น username, password, หรือ address bar ได้โดยตรงผ่าน COM object ของ UIA

    เทคนิคนี้ช่วยให้มัลแวร์:
    - หลบหลีก endpoint detection software ได้ดีขึ้น
    - ทำงานได้ทั้งแบบ online และ offline
    - มีความยืดหยุ่นในการเข้าถึงหลายแอปและหลาย browser โดยไม่ต้องรู้โครงสร้างล่วงหน้า

    Coyote Trojan รุ่นใหม่ใช้ Microsoft UI Automation (UIA) ในการขโมยข้อมูลจากธนาคารและคริปโต
    ถือเป็นมัลแวร์ตัวแรกที่นำ UIA ไปใช้จริงจากแนวคิด proof-of-concept

    UIA เป็น framework ที่ช่วยให้โปรแกรมเข้าถึง UI ของแอปอื่นผ่าน COM object
    ทำให้สามารถอ่าน content ใน input field, address bar, และ sub-element ของหน้าต่างได้

    Coyote ตรวจสอบชื่อหน้าต่างว่าเกี่ยวข้องกับสถาบันการเงินหรือไม่
    หากไม่ตรง จะใช้ UIA “ไต่” โครงสร้างหน้าต่างเพื่อหาข้อมูลแทน

    มัลแวร์มีลิสต์สถาบันการเงิน 75 แห่ง ซึ่งรวมถึงธนาคารและ crypto exchange
    มีการ mapping เป็นหมวดหมู่ภายใน เพื่อใช้เลือกเป้าหมายและเทคนิคการโจมตี

    Coyote ยังส่งข้อมูลเครื่องกลับไปยัง C2 เช่น username, computer name, browser
    แม้อยู่แบบ offline ก็ยังตรวจสอบและเก็บข้อมูลไว้ได้โดยไม่ต้องสื่อสารตลอดเวลา

    Akamai มีคำแนะนำให้ตรวจสอบ DLL ที่โหลด เช่น UIAutomationCore.dll
    และใช้ osquery ตรวจสอบ named pipe ที่เกี่ยวข้องกับ UIA เพื่อจับพฤติกรรมผิดปกติ

    https://hackread.com/coyote-trojan-use-microsoft-ui-automation-bank-attacks/
    🎙️ เรื่องเล่าจากโลกมืดของ UIA: เมื่อเครื่องมือสำหรับผู้พิการถูกใช้เป็นช่องทางลอบโจมตี UI Automation (UIA) เป็นระบบที่ Microsoft ออกแบบเพื่อช่วยให้เทคโนโลยีผู้ช่วย (assistive technologies) เช่น screen reader เข้าถึง UI ของซอฟต์แวร์ต่าง ๆ ได้ — แต่แฮกเกอร์พบว่า UIA สามารถใช้ “สแกน” หน้าต่างของโปรแกรมอื่น เพื่อดึงข้อมูลจากฟิลด์ต่าง ๆ ได้ โดยไม่ต้องเข้าถึง API หรือระบบเครือข่าย มัลแวร์ Coyote รุ่นล่าสุดจึงใช้ UIA ในการ: - ตรวจสอบว่าเหย้อติดต่อกับธนาคารหรือเว็บคริปโตหรือไม่ โดยวิเคราะห์ชื่อหน้าต่าง - หากไม่พบชื่อในลิสต์ 75 สถาบันที่ถูกตั้งไว้ล่วงหน้า จะใช้ UIA สแกน sub-elements เพื่อตรวจจับ field ที่น่าจะเกี่ยวกับการเงิน - ดึงข้อมูล เช่น username, password, หรือ address bar ได้โดยตรงผ่าน COM object ของ UIA เทคนิคนี้ช่วยให้มัลแวร์: - หลบหลีก endpoint detection software ได้ดีขึ้น - ทำงานได้ทั้งแบบ online และ offline - มีความยืดหยุ่นในการเข้าถึงหลายแอปและหลาย browser โดยไม่ต้องรู้โครงสร้างล่วงหน้า ✅ Coyote Trojan รุ่นใหม่ใช้ Microsoft UI Automation (UIA) ในการขโมยข้อมูลจากธนาคารและคริปโต ➡️ ถือเป็นมัลแวร์ตัวแรกที่นำ UIA ไปใช้จริงจากแนวคิด proof-of-concept ✅ UIA เป็น framework ที่ช่วยให้โปรแกรมเข้าถึง UI ของแอปอื่นผ่าน COM object ➡️ ทำให้สามารถอ่าน content ใน input field, address bar, และ sub-element ของหน้าต่างได้ ✅ Coyote ตรวจสอบชื่อหน้าต่างว่าเกี่ยวข้องกับสถาบันการเงินหรือไม่ ➡️ หากไม่ตรง จะใช้ UIA “ไต่” โครงสร้างหน้าต่างเพื่อหาข้อมูลแทน ✅ มัลแวร์มีลิสต์สถาบันการเงิน 75 แห่ง ซึ่งรวมถึงธนาคารและ crypto exchange ➡️ มีการ mapping เป็นหมวดหมู่ภายใน เพื่อใช้เลือกเป้าหมายและเทคนิคการโจมตี ✅ Coyote ยังส่งข้อมูลเครื่องกลับไปยัง C2 เช่น username, computer name, browser ➡️ แม้อยู่แบบ offline ก็ยังตรวจสอบและเก็บข้อมูลไว้ได้โดยไม่ต้องสื่อสารตลอดเวลา ✅ Akamai มีคำแนะนำให้ตรวจสอบ DLL ที่โหลด เช่น UIAutomationCore.dll ➡️ และใช้ osquery ตรวจสอบ named pipe ที่เกี่ยวข้องกับ UIA เพื่อจับพฤติกรรมผิดปกติ https://hackread.com/coyote-trojan-use-microsoft-ui-automation-bank-attacks/
    HACKREAD.COM
    Coyote Trojan First to Use Microsoft UI Automation in Bank Attacks
    Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
    0 Comments 0 Shares 236 Views 0 Reviews
  • เรื่องเล่าจากรหัสลับในเฟิร์มแวร์: เมื่อ Wi-Fi ธุรกิจกลายเป็นช่องทางให้แฮกเกอร์เข้าระบบ

    ช่องโหว่หลักคือ CVE-2025-37103 ซึ่งมีคะแนนความรุนแรงถึง 9.8/10 (ระดับวิกฤต) โดยเกิดจากการที่มีบัญชีแอดมินแบบ hardcoded อยู่ในเฟิร์มแวร์ของอุปกรณ์ — ใครก็ตามที่รู้รหัสนี้สามารถ:
    - เข้าสู่ระบบในฐานะแอดมิน
    - เปลี่ยนการตั้งค่า
    - ติดตั้งมัลแวร์
    - ควบคุมอุปกรณ์และเครือข่ายที่เชื่อมต่อ

    ช่องโหว่นี้ไม่มีวิธีแก้ชั่วคราว (no workaround) นอกจากการติดตั้งแพตช์ล่าสุดเท่านั้น

    นอกจากนี้ยังมีช่องโหว่รองอีกตัวคือ CVE-2025-37102 ซึ่งเป็นช่องโหว่ command injection ที่เปิดให้ผู้ใช้ที่มีสิทธิ์สูงสามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง — มีคะแนนความรุนแรง 7.2/10 (ระดับสูง)

    HPE พบช่องโหว่ร้ายแรงใน Aruba Instant On Access Points และออกแพตช์แล้ว
    ช่องโหว่หลักคือ CVE-2025-37103 ที่มีรหัสแอดมินแบบ hardcoded ในเฟิร์มแวร์

    ช่องโหว่นี้เปิดให้แฮกเกอร์เข้าถึงอุปกรณ์ในฐานะแอดมินโดยไม่ต้องยืนยันตัวตน
    สามารถเปลี่ยนการตั้งค่า, ติดตั้งมัลแวร์ และควบคุมเครือข่ายได้

    ช่องโหว่รองคือ CVE-2025-37102 เป็น command injection สำหรับผู้ใช้ที่มีสิทธิ์สูง
    สามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง

    Aruba Instant On เป็นอุปกรณ์ Wi-Fi สำหรับธุรกิจขนาดเล็กที่เน้นความง่ายและความปลอดภัย
    แต่ช่องโหว่นี้ทำให้ความปลอดภัยถูกลดลงอย่างมาก

    ช่องโหว่ทั้งสองไม่มีวิธีแก้ชั่วคราว ต้องติดตั้งแพตช์เท่านั้น
    HPE แนะนำให้ผู้ใช้รีบอัปเดตทันทีเพื่อป้องกันการโจมตี

    ช่องโหว่แบบ hardcoded credential มักเกิดจากการตั้งค่าชั่วคราวในช่วงพัฒนา
    หากทีม DevSecOps ไม่ลบออกก่อนปล่อยผลิตภัณฑ์ จะกลายเป็นช่องโหว่ถาวร

    ช่องโหว่ CVE-2025-37103 มีความรุนแรงระดับวิกฤตและสามารถถูกใช้โจมตีจากระยะไกล
    หากไม่อัปเดตแพตช์ อุปกรณ์อาจถูกควบคุมโดยแฮกเกอร์ทันที

    ไม่มีวิธีแก้ชั่วคราวสำหรับช่องโหว่ทั้งสอง
    การป้องกันต้องอาศัยการติดตั้งแพตช์เท่านั้น

    ช่องโหว่ command injection อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อเจาะระบบลึกขึ้น
    โดยเฉพาะในระบบที่มีผู้ใช้หลายระดับสิทธิ์

    การมีรหัสแอดมินแบบ hardcoded เป็นความผิดพลาดด้านความปลอดภัยที่ไม่ควรเกิดขึ้น
    แสดงถึงการขาดการตรวจสอบในกระบวนการพัฒนาและปล่อยผลิตภัณฑ์

    อุปกรณ์ที่ไม่ได้รับการอัปเดตอาจกลายเป็นจุดเริ่มต้นของการโจมตีทั้งเครือข่าย
    โดยเฉพาะในธุรกิจขนาดเล็กที่ไม่มีทีมรักษาความปลอดภัยเฉพาะทาง

    https://www.techradar.com/pro/security/hpe-warns-hardcoded-passwords-in-aruba-hardware-could-be-a-security-risk
    🎙️ เรื่องเล่าจากรหัสลับในเฟิร์มแวร์: เมื่อ Wi-Fi ธุรกิจกลายเป็นช่องทางให้แฮกเกอร์เข้าระบบ ช่องโหว่หลักคือ CVE-2025-37103 ซึ่งมีคะแนนความรุนแรงถึง 9.8/10 (ระดับวิกฤต) โดยเกิดจากการที่มีบัญชีแอดมินแบบ hardcoded อยู่ในเฟิร์มแวร์ของอุปกรณ์ — ใครก็ตามที่รู้รหัสนี้สามารถ: - เข้าสู่ระบบในฐานะแอดมิน - เปลี่ยนการตั้งค่า - ติดตั้งมัลแวร์ - ควบคุมอุปกรณ์และเครือข่ายที่เชื่อมต่อ ช่องโหว่นี้ไม่มีวิธีแก้ชั่วคราว (no workaround) นอกจากการติดตั้งแพตช์ล่าสุดเท่านั้น นอกจากนี้ยังมีช่องโหว่รองอีกตัวคือ CVE-2025-37102 ซึ่งเป็นช่องโหว่ command injection ที่เปิดให้ผู้ใช้ที่มีสิทธิ์สูงสามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง — มีคะแนนความรุนแรง 7.2/10 (ระดับสูง) ✅ HPE พบช่องโหว่ร้ายแรงใน Aruba Instant On Access Points และออกแพตช์แล้ว ➡️ ช่องโหว่หลักคือ CVE-2025-37103 ที่มีรหัสแอดมินแบบ hardcoded ในเฟิร์มแวร์ ✅ ช่องโหว่นี้เปิดให้แฮกเกอร์เข้าถึงอุปกรณ์ในฐานะแอดมินโดยไม่ต้องยืนยันตัวตน ➡️ สามารถเปลี่ยนการตั้งค่า, ติดตั้งมัลแวร์ และควบคุมเครือข่ายได้ ✅ ช่องโหว่รองคือ CVE-2025-37102 เป็น command injection สำหรับผู้ใช้ที่มีสิทธิ์สูง ➡️ สามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง ✅ Aruba Instant On เป็นอุปกรณ์ Wi-Fi สำหรับธุรกิจขนาดเล็กที่เน้นความง่ายและความปลอดภัย ➡️ แต่ช่องโหว่นี้ทำให้ความปลอดภัยถูกลดลงอย่างมาก ✅ ช่องโหว่ทั้งสองไม่มีวิธีแก้ชั่วคราว ต้องติดตั้งแพตช์เท่านั้น ➡️ HPE แนะนำให้ผู้ใช้รีบอัปเดตทันทีเพื่อป้องกันการโจมตี ✅ ช่องโหว่แบบ hardcoded credential มักเกิดจากการตั้งค่าชั่วคราวในช่วงพัฒนา ➡️ หากทีม DevSecOps ไม่ลบออกก่อนปล่อยผลิตภัณฑ์ จะกลายเป็นช่องโหว่ถาวร ‼️ ช่องโหว่ CVE-2025-37103 มีความรุนแรงระดับวิกฤตและสามารถถูกใช้โจมตีจากระยะไกล ⛔ หากไม่อัปเดตแพตช์ อุปกรณ์อาจถูกควบคุมโดยแฮกเกอร์ทันที ‼️ ไม่มีวิธีแก้ชั่วคราวสำหรับช่องโหว่ทั้งสอง ⛔ การป้องกันต้องอาศัยการติดตั้งแพตช์เท่านั้น ‼️ ช่องโหว่ command injection อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อเจาะระบบลึกขึ้น ⛔ โดยเฉพาะในระบบที่มีผู้ใช้หลายระดับสิทธิ์ ‼️ การมีรหัสแอดมินแบบ hardcoded เป็นความผิดพลาดด้านความปลอดภัยที่ไม่ควรเกิดขึ้น ⛔ แสดงถึงการขาดการตรวจสอบในกระบวนการพัฒนาและปล่อยผลิตภัณฑ์ ‼️ อุปกรณ์ที่ไม่ได้รับการอัปเดตอาจกลายเป็นจุดเริ่มต้นของการโจมตีทั้งเครือข่าย ⛔ โดยเฉพาะในธุรกิจขนาดเล็กที่ไม่มีทีมรักษาความปลอดภัยเฉพาะทาง https://www.techradar.com/pro/security/hpe-warns-hardcoded-passwords-in-aruba-hardware-could-be-a-security-risk
    0 Comments 0 Shares 192 Views 0 Reviews
  • เรื่องเล่าจากช่องโหว่เดียว: โจมตีเซิร์ฟเวอร์ระดับโลกได้ด้วย 1 บรรทัด

    ช่องโหว่นี้มีชื่อว่า CVE-2025-47812 และเปิดเผยแบบ public บน GitHub เมื่อ 30 มิถุนายน 2025 — แต่เพียงหนึ่งวันหลังจากนั้น ก็มีการโจมตีจริงเกิดขึ้นทันที โดยนักวิจัยจาก Huntress พบว่า:
    - ช่องโหว่นี้อยู่ใน Wing FTP เวอร์ชันก่อน 7.4.4 (แพตช์ออก 14 พ.ค. 2025)
    - อาศัยการ ฉีด null byte เข้าในฟิลด์ชื่อผู้ใช้
    - ทำให้ bypass authentication แล้วแนบโค้ด Lua ลงในไฟล์ session
    - เมื่อเซิร์ฟเวอร์ deserialize ไฟล์ session เหล่านั้น จะรันโค้ดในระดับ root/SYSTEM

    แม้การโจมตีบางครั้งถูกสกัดโดย Defender ของ Microsoft แต่พบพฤติกรรมหลายอย่าง เช่น:
    - การพยายามใช้ certutil และ cmd.exe เพื่อดาวน์โหลด payload
    - การสร้างผู้ใช้งานใหม่ในระบบ
    - การสแกน directory เพื่อหาช่องทางเข้าถึงอื่น

    มีเคสหนึ่งที่แฮกเกอร์ ต้องค้นหาวิธีใช้ curl แบบสด ๆ ระหว่างโจมตี แสดงให้เห็นว่าส่วนหนึ่งของผู้โจมตียังไม่ได้มีความเชี่ยวชาญเต็มที่ — แต่ช่องโหว่นั้นร้ายแรงมากจน “ต่อให้โจมตีไม่เก่งก็ยังสำเร็จได้”

    ช่องโหว่ CVE-2025-47812 ทำให้เกิดการรันโค้ดจากระยะไกลแบบไม่ต้องล็อกอิน
    ใช้การฉีด null byte ในฟิลด์ username แล้วแนบโค้ด Lua ลงในไฟล์ session

    โค้ด Lua ที่ถูกแทรกจะถูกรันเมื่อเซิร์ฟเวอร์ deserialize session file
    ทำงานในระดับ root บน Linux หรือ SYSTEM บน Windows

    นักวิจัยพบว่าแฮกเกอร์ใช้คำสั่งผ่าน cmd.exe และ certutil เพื่อดึง payload
    พฤติกรรมคล้ายการเจาะระบบเพื่อฝัง backdoor และสร้างผู้ใช้ใหม่

    Wing FTP Server ถูกใช้ในองค์กรระดับโลก เช่น Airbus และ USAF
    ช่องโหว่นี้อาจกระทบระบบ sensitive และเครือข่ายภายใน

    แพตช์แก้ไขอยู่ในเวอร์ชัน 7.4.4 ซึ่งปล่อยตั้งแต่ 14 พฤษภาคม 2025
    แต่หลายองค์กรยังใช้เวอร์ชันก่อนหน้านั้น แม้ช่องโหว่ถูกเปิดเผยแล้ว

    นักวิจัยแนะนำให้ปิดการเข้าถึงผ่าน HTTP/S, ปิด anonymous login และตรวจ log session
    เป็นมาตรการเบื้องต้นหากยังไม่สามารถอัปเดตเวอร์ชันได้ทันที

    ยังมีช่องโหว่อื่นอีก 3 ตัวที่พบ เช่นการดูด password ผ่าน JavaScript และการอ่านระบบ path
    แต่ CVE-2025-47812 ถูกจัดว่า “รุนแรงที่สุด” เพราะสามารถเจาะระบบได้ครบทุกระดับ

    https://www.techradar.com/pro/security/hackers-are-exploiting-a-critical-rce-flaw-in-a-popular-ftp-server-heres-what-you-need-to-know
    🎙️ เรื่องเล่าจากช่องโหว่เดียว: โจมตีเซิร์ฟเวอร์ระดับโลกได้ด้วย 1 บรรทัด ช่องโหว่นี้มีชื่อว่า CVE-2025-47812 และเปิดเผยแบบ public บน GitHub เมื่อ 30 มิถุนายน 2025 — แต่เพียงหนึ่งวันหลังจากนั้น ก็มีการโจมตีจริงเกิดขึ้นทันที โดยนักวิจัยจาก Huntress พบว่า: - ช่องโหว่นี้อยู่ใน Wing FTP เวอร์ชันก่อน 7.4.4 (แพตช์ออก 14 พ.ค. 2025) - อาศัยการ ฉีด null byte เข้าในฟิลด์ชื่อผู้ใช้ - ทำให้ bypass authentication แล้วแนบโค้ด Lua ลงในไฟล์ session - เมื่อเซิร์ฟเวอร์ deserialize ไฟล์ session เหล่านั้น จะรันโค้ดในระดับ root/SYSTEM แม้การโจมตีบางครั้งถูกสกัดโดย Defender ของ Microsoft แต่พบพฤติกรรมหลายอย่าง เช่น: - การพยายามใช้ certutil และ cmd.exe เพื่อดาวน์โหลด payload - การสร้างผู้ใช้งานใหม่ในระบบ - การสแกน directory เพื่อหาช่องทางเข้าถึงอื่น มีเคสหนึ่งที่แฮกเกอร์ ต้องค้นหาวิธีใช้ curl แบบสด ๆ ระหว่างโจมตี แสดงให้เห็นว่าส่วนหนึ่งของผู้โจมตียังไม่ได้มีความเชี่ยวชาญเต็มที่ — แต่ช่องโหว่นั้นร้ายแรงมากจน “ต่อให้โจมตีไม่เก่งก็ยังสำเร็จได้” ✅ ช่องโหว่ CVE-2025-47812 ทำให้เกิดการรันโค้ดจากระยะไกลแบบไม่ต้องล็อกอิน ➡️ ใช้การฉีด null byte ในฟิลด์ username แล้วแนบโค้ด Lua ลงในไฟล์ session ✅ โค้ด Lua ที่ถูกแทรกจะถูกรันเมื่อเซิร์ฟเวอร์ deserialize session file ➡️ ทำงานในระดับ root บน Linux หรือ SYSTEM บน Windows ✅ นักวิจัยพบว่าแฮกเกอร์ใช้คำสั่งผ่าน cmd.exe และ certutil เพื่อดึง payload ➡️ พฤติกรรมคล้ายการเจาะระบบเพื่อฝัง backdoor และสร้างผู้ใช้ใหม่ ✅ Wing FTP Server ถูกใช้ในองค์กรระดับโลก เช่น Airbus และ USAF ➡️ ช่องโหว่นี้อาจกระทบระบบ sensitive และเครือข่ายภายใน ✅ แพตช์แก้ไขอยู่ในเวอร์ชัน 7.4.4 ซึ่งปล่อยตั้งแต่ 14 พฤษภาคม 2025 ➡️ แต่หลายองค์กรยังใช้เวอร์ชันก่อนหน้านั้น แม้ช่องโหว่ถูกเปิดเผยแล้ว ✅ นักวิจัยแนะนำให้ปิดการเข้าถึงผ่าน HTTP/S, ปิด anonymous login และตรวจ log session ➡️ เป็นมาตรการเบื้องต้นหากยังไม่สามารถอัปเดตเวอร์ชันได้ทันที ✅ ยังมีช่องโหว่อื่นอีก 3 ตัวที่พบ เช่นการดูด password ผ่าน JavaScript และการอ่านระบบ path ➡️ แต่ CVE-2025-47812 ถูกจัดว่า “รุนแรงที่สุด” เพราะสามารถเจาะระบบได้ครบทุกระดับ https://www.techradar.com/pro/security/hackers-are-exploiting-a-critical-rce-flaw-in-a-popular-ftp-server-heres-what-you-need-to-know
    0 Comments 0 Shares 309 Views 0 Reviews
  • มีคนมาถามว่าลุงให้ Antivirus ยี่ห้ออะไร? ลุงใช้ Bitdefender ครับ

    เรื่องเล่าจากโลกไซเบอร์: Antivirus กับ Internet Security ยังต่างกันอยู่ไหม?

    ในยุคที่มัลแวร์แอบแฝงผ่านเว็บ, อีเมล, และไฟล์ต่าง ๆ ได้เนียนเหมือนภาพโฆษณา — คนจำนวนมากจึงตั้งคำถามว่า “ควรเลือกแค่ Antivirus หรือจ่ายเพิ่มเพื่อ Internet Security ดี?”

    Antivirus คืออะไร
    Antivirus คือซอฟต์แวร์ที่ตรวจจับและกำจัดมัลแวร์จากไฟล์ในเครื่อง เช่น ไวรัส, หนอน (worm), โทรจัน ฯลฯ โดยอิงจากการเทียบ signature และการวิเคราะห์พฤติกรรม (heuristics) ล่าสุดยังรวมถึงการตรวจภัยออนไลน์ด้วย (ไม่ใช่เฉพาะไฟล์ในเครื่องเท่านั้นอีกต่อไป)

    Internet Security Suite คืออะไร
    Internet Security Suite คือแพ็กเกจรวมหลายเครื่องมือ เช่น antivirus, firewall, VPN, password manager, และระบบควบคุมภัยคุกคามแบบเรียลไทม์ ช่วยป้องกันผู้ใช้จากภัยออนไลน์โดยเฉพาะ เช่น การฟิชชิ่ง, การถูกสอดแนม, การโดนแฮกผ่านเว็บ, และมัลแวร์จากเว็บที่แฝงมา

    Antivirus คือการป้องกันระดับ local ที่สแกนไฟล์ในเครื่อง
    ใช้ signature-based และ heuristic-based detection เพื่อดักจับภัย

    Internet Security ครอบคลุมมากกว่า โดยเน้นการป้องกันภัยขณะออนไลน์
    ป้องกันฟิชชิ่ง, เว็บมัลแวร์, และการสอดแนมผ่านเครือข่าย

    ฟีเจอร์ที่มักมีใน Internet Security เช่น firewall, VPN, password manager
    เสริมความปลอดภัยให้กับการใช้งานอินเทอร์เน็ตแบบครบวงจร

    ปัจจุบัน Antivirus หลายตัวใช้ cloud-based threat detection แล้ว
    ความแตกต่างระหว่าง antivirus กับ internet security จึงเริ่มพร่ามัว

    ผู้ให้บริการเริ่มรวมทั้งสองไว้ในผลิตภัณฑ์เดียว ต่างกันแค่ “ระดับราคา”
    เช่น Norton Antivirus (พื้นฐาน) กับ Norton 360 (พรีเมียม)

    Antivirus ฟรีบางตัวก็มีฟีเจอร์ internet security แล้ว เช่น Avast, Bitdefender
    มี firewall, สแกน Wi-Fi, ป้องกัน ransomware และ phishing mail

    https://www.techradar.com/pro/security/antivirus-vs-internet-security-whats-the-difference
    มีคนมาถามว่าลุงให้ Antivirus ยี่ห้ออะไร? ลุงใช้ Bitdefender ครับ 🎙️ เรื่องเล่าจากโลกไซเบอร์: Antivirus กับ Internet Security ยังต่างกันอยู่ไหม? ในยุคที่มัลแวร์แอบแฝงผ่านเว็บ, อีเมล, และไฟล์ต่าง ๆ ได้เนียนเหมือนภาพโฆษณา — คนจำนวนมากจึงตั้งคำถามว่า “ควรเลือกแค่ Antivirus หรือจ่ายเพิ่มเพื่อ Internet Security ดี?” 🔍 Antivirus คืออะไร Antivirus คือซอฟต์แวร์ที่ตรวจจับและกำจัดมัลแวร์จากไฟล์ในเครื่อง เช่น ไวรัส, หนอน (worm), โทรจัน ฯลฯ โดยอิงจากการเทียบ signature และการวิเคราะห์พฤติกรรม (heuristics) ล่าสุดยังรวมถึงการตรวจภัยออนไลน์ด้วย (ไม่ใช่เฉพาะไฟล์ในเครื่องเท่านั้นอีกต่อไป) 🌐 Internet Security Suite คืออะไร Internet Security Suite คือแพ็กเกจรวมหลายเครื่องมือ เช่น antivirus, firewall, VPN, password manager, และระบบควบคุมภัยคุกคามแบบเรียลไทม์ ช่วยป้องกันผู้ใช้จากภัยออนไลน์โดยเฉพาะ เช่น การฟิชชิ่ง, การถูกสอดแนม, การโดนแฮกผ่านเว็บ, และมัลแวร์จากเว็บที่แฝงมา ✅ Antivirus คือการป้องกันระดับ local ที่สแกนไฟล์ในเครื่อง ➡️ ใช้ signature-based และ heuristic-based detection เพื่อดักจับภัย ✅ Internet Security ครอบคลุมมากกว่า โดยเน้นการป้องกันภัยขณะออนไลน์ ➡️ ป้องกันฟิชชิ่ง, เว็บมัลแวร์, และการสอดแนมผ่านเครือข่าย ✅ ฟีเจอร์ที่มักมีใน Internet Security เช่น firewall, VPN, password manager ➡️ เสริมความปลอดภัยให้กับการใช้งานอินเทอร์เน็ตแบบครบวงจร ✅ ปัจจุบัน Antivirus หลายตัวใช้ cloud-based threat detection แล้ว ➡️ ความแตกต่างระหว่าง antivirus กับ internet security จึงเริ่มพร่ามัว ✅ ผู้ให้บริการเริ่มรวมทั้งสองไว้ในผลิตภัณฑ์เดียว ต่างกันแค่ “ระดับราคา” ➡️ เช่น Norton Antivirus (พื้นฐาน) กับ Norton 360 (พรีเมียม) ✅ Antivirus ฟรีบางตัวก็มีฟีเจอร์ internet security แล้ว เช่น Avast, Bitdefender ➡️ มี firewall, สแกน Wi-Fi, ป้องกัน ransomware และ phishing mail https://www.techradar.com/pro/security/antivirus-vs-internet-security-whats-the-difference
    WWW.TECHRADAR.COM
    Antivirus vs Internet Security: What's the difference?
    Do you need antivirus and internet security in 2025?
    0 Comments 0 Shares 313 Views 0 Reviews
  • สมัคร membership YouTube ไม่ได้เพราะ ลืมรหัส Gmail ใช่ไหม?

    ดูขั้นตอนเปลี่ยนรหัสผ่านผ่านแอป Play Store บน Android ได้ที่นี่!

    วิธีเปลี่ยนหรือรีเซ็ตรหัสผ่าน Gmail ผ่าน Play Store (Android)

    1. เปิดแอป Play Store

    2. แตะที่รูปโปรไฟล์ของคุณมุมขวาบน (วงกลมที่แสดงชื่อย่อหรือรูปภาพของคุณ)

    3. ตรวจสอบอีเมลที่แสดงอยู่
    - ต้องเป็น อีเมลเดียวกันกับที่คุณใช้ใน YouTube
    - หากไม่ใช่ ให้เปลี่ยนไปยังอีเมลที่ถูกต้องก่อน
    - กรุณาตรวจสอบให้แน่ใจว่าเป็นบัญชีที่ต้องการเปลี่ยนรหัสผ่านจริง ๆ

    4. เลือกเมนู "จัดการบัญชี Google" (Google Account)

    5. ไปที่แท็บ "ความปลอดภัย" (Security)
    - เลื่อนแถบเมนูด้านบน หรือเลื่อนหน้าจอลงมาจนเจอหัวข้อนี้

    6. แตะที่เมนู "รหัสผ่าน" (Password)
    - ระบบจะให้ใส่ รหัสปลดล็อกหน้าจอมือถือของคุณ ก่อนดำเนินการต่อ

    7. ตั้งรหัสผ่านใหม่
    - พิมพ์รหัสผ่านใหม่ที่คุณต้องการ
    - ยืนยันรหัสผ่านอีกครั้ง
    - กด "เปลี่ยนรหัสผ่าน" (Change Password) เพื่อยืนยันการเปลี่ยน

    หมายเหตุเพิ่มเติม
    - รหัสผ่านใหม่ควรมีความยาวอย่างน้อย 8 ตัวอักษร
    - ระบบให้ท่านตั้งรหัสโดย ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข ผสมกัน
    - หลังเปลี่ยนแล้ว ระบบอาจให้คุณเข้าสู่ระบบใหม่ในอุปกรณ์อื่น ๆ ด้วยรหัสผ่านใหม่ / ให้ยืนยัน


    #sondhitalk #สนธิ #youtube #สมัครสมาชิก #membership #thaitimes #ความจริงมีเพียงหนึ่งเดียว #android #Gmail #password #ลืมรหัส #Email
    สมัคร membership YouTube ไม่ได้เพราะ ลืมรหัส Gmail ใช่ไหม? ดูขั้นตอนเปลี่ยนรหัสผ่านผ่านแอป Play Store บน Android ได้ที่นี่! 🔐 วิธีเปลี่ยนหรือรีเซ็ตรหัสผ่าน Gmail ผ่าน Play Store (Android) 1. เปิดแอป Play Store 2. แตะที่รูปโปรไฟล์ของคุณมุมขวาบน (วงกลมที่แสดงชื่อย่อหรือรูปภาพของคุณ) 3. ตรวจสอบอีเมลที่แสดงอยู่ - ต้องเป็น อีเมลเดียวกันกับที่คุณใช้ใน YouTube - หากไม่ใช่ ให้เปลี่ยนไปยังอีเมลที่ถูกต้องก่อน - กรุณาตรวจสอบให้แน่ใจว่าเป็นบัญชีที่ต้องการเปลี่ยนรหัสผ่านจริง ๆ 4. เลือกเมนู "จัดการบัญชี Google" (Google Account) 5. ไปที่แท็บ "ความปลอดภัย" (Security) - เลื่อนแถบเมนูด้านบน หรือเลื่อนหน้าจอลงมาจนเจอหัวข้อนี้ 6. แตะที่เมนู "รหัสผ่าน" (Password) - ระบบจะให้ใส่ รหัสปลดล็อกหน้าจอมือถือของคุณ ก่อนดำเนินการต่อ 7. ตั้งรหัสผ่านใหม่ - พิมพ์รหัสผ่านใหม่ที่คุณต้องการ - ยืนยันรหัสผ่านอีกครั้ง - กด "เปลี่ยนรหัสผ่าน" (Change Password) เพื่อยืนยันการเปลี่ยน ✅ หมายเหตุเพิ่มเติม - รหัสผ่านใหม่ควรมีความยาวอย่างน้อย 8 ตัวอักษร - ระบบให้ท่านตั้งรหัสโดย ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข ผสมกัน - หลังเปลี่ยนแล้ว ระบบอาจให้คุณเข้าสู่ระบบใหม่ในอุปกรณ์อื่น ๆ ด้วยรหัสผ่านใหม่ / ให้ยืนยัน #sondhitalk #สนธิ #youtube #สมัครสมาชิก #membership #thaitimes #ความจริงมีเพียงหนึ่งเดียว #android #Gmail #password #ลืมรหัส #Email
    Like
    8
    0 Comments 0 Shares 1689 Views 1 Reviews
  • Scattered Spider เป็นกลุ่มแฮกเกอร์ที่เริ่มปรากฏตัวตั้งแต่ปี 2022 โดยใช้วิธี SIM-swapping และ ransomware โจมตีบริษัทโทรคมนาคมและบันเทิง เช่น MGM Resorts และ Caesars Entertainment แต่ในปี 2025 พวกเขาขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีก (Marks & Spencer, Harrods) และสายการบิน (Hawaiian, Qantas) สร้างความเสียหายหลายล้านดอลลาร์

    เทคนิคที่ใช้ล่าสุดคือการหลอกพนักงาน help desk ด้วยข้อมูลส่วนตัวของผู้บริหาร เช่น วันเกิดและเลขประกันสังคม เพื่อรีเซ็ตอุปกรณ์และเข้าถึงบัญชีระดับสูง จากนั้นใช้สิทธิ์นั้นเจาะระบบ Entra ID (Azure AD), SharePoint, Horizon VDI และ VPN เพื่อควบคุมระบบทั้งหมด

    เมื่อถูกตรวจจับ กลุ่มนี้ไม่หนี แต่กลับโจมตีระบบอย่างเปิดเผย เช่น ลบกฎไฟร์วอลล์ของ Azure และปิด domain controller เพื่อขัดขวางการกู้คืนระบบ

    นักวิจัยจาก Rapid7 และ ReliaQuest พบว่า Scattered Spider:
    - ใช้เครื่องมือเช่น ngrok และ Teleport เพื่อสร้างช่องทางลับ
    - ใช้ IAM role enumeration และ EC2 Serial Console เพื่อเจาะระบบ AWS
    - ใช้บัญชีผู้ดูแลระบบที่ถูกแฮกเพื่อดึงข้อมูลจาก CyberArk password vault กว่า 1,400 รายการ

    แม้ Microsoft จะเข้ามาช่วยกู้คืนระบบได้ในที่สุด แต่เหตุการณ์นี้แสดงให้เห็นถึงความสามารถของกลุ่มแฮกเกอร์ที่ผสมผสาน “การหลอกมนุษย์” กับ “การเจาะระบบเทคนิค” ได้อย่างมีประสิทธิภาพ

    ข้อมูลจากข่าว
    - Scattered Spider เริ่มโจมตีตั้งแต่ปี 2022 โดยใช้ SIM-swapping และ ransomware
    - ขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีกและสายการบินในปี 2025
    - ใช้ข้อมูลส่วนตัวของผู้บริหารเพื่อหลอก help desk และเข้าถึงบัญชีระดับสูง
    - เจาะระบบ Entra ID, SharePoint, Horizon VDI, VPN และ CyberArk
    - ใช้เครื่องมือเช่น ngrok, Teleport, EC2 Serial Console และ IAM role enumeration
    - ลบกฎไฟร์วอลล์ Azure และปิด domain controller เพื่อขัดขวางการกู้คืน
    - Microsoft ต้องเข้ามาช่วยกู้คืนระบบ
    - Rapid7 และ ReliaQuest แนะนำให้ใช้ MFA แบบต้าน phishing และจำกัดสิทธิ์ผู้ใช้งาน

    คำเตือนและข้อควรระวัง
    - การหลอก help desk ด้วยข้อมูลส่วนตัวยังคงเป็นช่องโหว่ใหญ่ขององค์กร
    - บัญชีผู้บริหารมักมีสิทธิ์มากเกินไป ทำให้แฮกเกอร์เข้าถึงระบบได้ง่าย
    - การใช้เครื่องมือ legitimate เช่น Teleport อาจหลบการตรวจจับได้
    - หากไม่มีการตรวจสอบสิทธิ์และพฤติกรรมผู้ใช้อย่างสม่ำเสมอ องค์กรอาจไม่รู้ตัวว่าถูกแฮก
    - การพึ่งพา endpoint detection เพียงอย่างเดียวไม่สามารถป้องกันการเจาะระบบแบบนี้ได้
    - องค์กรควรฝึกอบรมพนักงานเรื่อง social engineering และมีระบบตรวจสอบการรีเซ็ตบัญชีที่เข้มงวด

    https://www.csoonline.com/article/4020567/anatomy-of-a-scattered-spider-attack-a-growing-ransomware-threat-evolves.html
    Scattered Spider เป็นกลุ่มแฮกเกอร์ที่เริ่มปรากฏตัวตั้งแต่ปี 2022 โดยใช้วิธี SIM-swapping และ ransomware โจมตีบริษัทโทรคมนาคมและบันเทิง เช่น MGM Resorts และ Caesars Entertainment แต่ในปี 2025 พวกเขาขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีก (Marks & Spencer, Harrods) และสายการบิน (Hawaiian, Qantas) สร้างความเสียหายหลายล้านดอลลาร์ เทคนิคที่ใช้ล่าสุดคือการหลอกพนักงาน help desk ด้วยข้อมูลส่วนตัวของผู้บริหาร เช่น วันเกิดและเลขประกันสังคม เพื่อรีเซ็ตอุปกรณ์และเข้าถึงบัญชีระดับสูง จากนั้นใช้สิทธิ์นั้นเจาะระบบ Entra ID (Azure AD), SharePoint, Horizon VDI และ VPN เพื่อควบคุมระบบทั้งหมด เมื่อถูกตรวจจับ กลุ่มนี้ไม่หนี แต่กลับโจมตีระบบอย่างเปิดเผย เช่น ลบกฎไฟร์วอลล์ของ Azure และปิด domain controller เพื่อขัดขวางการกู้คืนระบบ นักวิจัยจาก Rapid7 และ ReliaQuest พบว่า Scattered Spider: - ใช้เครื่องมือเช่น ngrok และ Teleport เพื่อสร้างช่องทางลับ - ใช้ IAM role enumeration และ EC2 Serial Console เพื่อเจาะระบบ AWS - ใช้บัญชีผู้ดูแลระบบที่ถูกแฮกเพื่อดึงข้อมูลจาก CyberArk password vault กว่า 1,400 รายการ แม้ Microsoft จะเข้ามาช่วยกู้คืนระบบได้ในที่สุด แต่เหตุการณ์นี้แสดงให้เห็นถึงความสามารถของกลุ่มแฮกเกอร์ที่ผสมผสาน “การหลอกมนุษย์” กับ “การเจาะระบบเทคนิค” ได้อย่างมีประสิทธิภาพ ✅ ข้อมูลจากข่าว - Scattered Spider เริ่มโจมตีตั้งแต่ปี 2022 โดยใช้ SIM-swapping และ ransomware - ขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีกและสายการบินในปี 2025 - ใช้ข้อมูลส่วนตัวของผู้บริหารเพื่อหลอก help desk และเข้าถึงบัญชีระดับสูง - เจาะระบบ Entra ID, SharePoint, Horizon VDI, VPN และ CyberArk - ใช้เครื่องมือเช่น ngrok, Teleport, EC2 Serial Console และ IAM role enumeration - ลบกฎไฟร์วอลล์ Azure และปิด domain controller เพื่อขัดขวางการกู้คืน - Microsoft ต้องเข้ามาช่วยกู้คืนระบบ - Rapid7 และ ReliaQuest แนะนำให้ใช้ MFA แบบต้าน phishing และจำกัดสิทธิ์ผู้ใช้งาน ‼️ คำเตือนและข้อควรระวัง - การหลอก help desk ด้วยข้อมูลส่วนตัวยังคงเป็นช่องโหว่ใหญ่ขององค์กร - บัญชีผู้บริหารมักมีสิทธิ์มากเกินไป ทำให้แฮกเกอร์เข้าถึงระบบได้ง่าย - การใช้เครื่องมือ legitimate เช่น Teleport อาจหลบการตรวจจับได้ - หากไม่มีการตรวจสอบสิทธิ์และพฤติกรรมผู้ใช้อย่างสม่ำเสมอ องค์กรอาจไม่รู้ตัวว่าถูกแฮก - การพึ่งพา endpoint detection เพียงอย่างเดียวไม่สามารถป้องกันการเจาะระบบแบบนี้ได้ - องค์กรควรฝึกอบรมพนักงานเรื่อง social engineering และมีระบบตรวจสอบการรีเซ็ตบัญชีที่เข้มงวด https://www.csoonline.com/article/4020567/anatomy-of-a-scattered-spider-attack-a-growing-ransomware-threat-evolves.html
    WWW.CSOONLINE.COM
    Anatomy of a Scattered Spider attack: A growing ransomware threat evolves
    The cybercriminal group has broadened its attack scope across several new industries, bringing valid credentials to bear on help desks before leveraging its new learnings of cloud intrusion tradecraft to set the stage for ransomware.
    0 Comments 0 Shares 410 Views 0 Reviews
  • นี้คือการเคลียร์ใจครั้งใหญ่ของ AMD — หลังผู้ใช้ Ryzen เจอปัญหา “TPM ล้มเหลว + เครื่องเข้าสู่ BitLocker Recovery” โดยไม่มีใครรับผิดชอบเต็มๆ มาตั้งแต่ปี 2022 จนล่าสุด AMD ออกมาชี้แจงว่า ตนแก้ปัญหาให้ตั้งแต่ปีนั้นแล้ว แต่ “ผู้ผลิตเมนบอร์ดหลายรายไม่ยอมปล่อยอัปเดต”

    ใครที่ใช้ Ryzen Gen 1 ถึง Gen 3 อาจเคยเจอปัญหาเวลาเปิดเครื่องแล้ว BitLocker ขึ้น Recovery แบบไม่ทันตั้งตัว → สาเหตุที่แท้จริงคือ TPM Attestation ล้มเหลว (error 0x80070490) ทำให้ Windows ไม่มั่นใจว่าระบบยัง “น่าเชื่อถือ” อยู่หรือไม่ → ซึ่ง TPM คือชิปหรือเฟิร์มแวร์ที่ช่วยให้ Windows เข้ารหัสและตรวจสอบความปลอดภัยในเครื่อง → หากล้มเหลว เครื่องจะเข้าสู่ BitLocker Recovery ทันที และต้องใช้ “Recovery Key” ปลดล็อก

    Microsoft เคยบอกว่าปัญหานี้ถูกแก้แล้วใน firmware รุ่นใหม่ → แต่ผู้ใช้ยังเจออยู่ และคิดว่า AMD ไม่ยอมแก้ → ล่าสุด AMD ออกมาบอกว่า “เราอัปเดต TPM firmware ให้ผู้ผลิตบอร์ดตั้งแต่ปี 2022 แล้ว แต่บางรายไม่ยอมปล่อยให้ผู้ใช้โหลด” → สรุปคือต้นเหตุอยู่ที่ “เมนบอร์ดไม่ได้อัปเดต firmware” นั่นเอง

    AMD แนะนำให้รันคำสั่งนี้เพื่อเช็กว่าเครื่องคุณเจอปัญหานี้ไหม:

    ============================================
    powershell.exe -Command Get-TPM
    ============================================

    หากใช้ fTPM 3.*.0 บนเมนบอร์ด AM4 ก็มีโอกาสเจอบั๊กนี้ → AMD แนะนำให้ติดต่อผู้ผลิตบอร์ดโดยตรงเพื่อสอบถามว่า firmware รุ่นล่าสุดอัปเดตปัญหานี้หรือยัง → และถ้าจะอัปเดต TPM firmware ต้อง “Suspend BitLocker ก่อน” มิฉะนั้นเครื่องอาจล็อกถาวร!

    AMD ชี้แจงว่าแก้บั๊ก TPM Attestation Fail ตั้งแต่ปี 2022 แล้ว  
    • ส่ง firmware ให้ผู้ผลิตเมนบอร์ดเรียบร้อย  • แต่บางผู้ผลิต “ไม่ยอมปล่อยอัปเดตให้ผู้ใช้”

    ปัญหาหลักอยู่ที่เมนบอร์ด AMD fTPM 3..0 → พบใน Ryzen 1000 ถึง Ryzen 5000 (Zen1–Zen3)*  
    • โดยเฉพาะบนเมนบอร์ด AM4

    อาการ: TPM ล้มเหลว → Windows เข้า BitLocker Recovery อัตโนมัติ  
    • ต้องมี Recovery Key หรือ Recovery Password เพื่อปลดล็อก

    AMD แนะนำให้เช็กสถานะ TPM โดยใช้คำสั่ง Powershell  
    • และติดต่อผู้ผลิตเมนบอร์ดเพื่อขอ TPM firmware รุ่นใหม่

    หากจะอัปเดต TPM firmware → ควร Suspend BitLocker ชั่วคราวก่อน  
    • ไม่เช่นนั้นระบบอาจลบ TPM โดยไม่ตั้งใจ และเข้าล็อกทันทีเมื่อบูตใหม่

    AMD เตือนว่า บางกรณี TPM fail ทำให้ผู้ใช้เล่นเกมออนไลน์ที่ต้องการ TPM ไม่ได้

    https://www.neowin.net/news/amd-finally-clarifies-windows-tpm--bitlocker-bug-that-still-affects-ryzen-cpus/
    นี้คือการเคลียร์ใจครั้งใหญ่ของ AMD — หลังผู้ใช้ Ryzen เจอปัญหา “TPM ล้มเหลว + เครื่องเข้าสู่ BitLocker Recovery” โดยไม่มีใครรับผิดชอบเต็มๆ มาตั้งแต่ปี 2022 จนล่าสุด AMD ออกมาชี้แจงว่า ตนแก้ปัญหาให้ตั้งแต่ปีนั้นแล้ว แต่ “ผู้ผลิตเมนบอร์ดหลายรายไม่ยอมปล่อยอัปเดต” ใครที่ใช้ Ryzen Gen 1 ถึง Gen 3 อาจเคยเจอปัญหาเวลาเปิดเครื่องแล้ว BitLocker ขึ้น Recovery แบบไม่ทันตั้งตัว → สาเหตุที่แท้จริงคือ TPM Attestation ล้มเหลว (error 0x80070490) ทำให้ Windows ไม่มั่นใจว่าระบบยัง “น่าเชื่อถือ” อยู่หรือไม่ → ซึ่ง TPM คือชิปหรือเฟิร์มแวร์ที่ช่วยให้ Windows เข้ารหัสและตรวจสอบความปลอดภัยในเครื่อง → หากล้มเหลว เครื่องจะเข้าสู่ BitLocker Recovery ทันที และต้องใช้ “Recovery Key” ปลดล็อก Microsoft เคยบอกว่าปัญหานี้ถูกแก้แล้วใน firmware รุ่นใหม่ → แต่ผู้ใช้ยังเจออยู่ และคิดว่า AMD ไม่ยอมแก้ → ล่าสุด AMD ออกมาบอกว่า “เราอัปเดต TPM firmware ให้ผู้ผลิตบอร์ดตั้งแต่ปี 2022 แล้ว แต่บางรายไม่ยอมปล่อยให้ผู้ใช้โหลด” → สรุปคือต้นเหตุอยู่ที่ “เมนบอร์ดไม่ได้อัปเดต firmware” นั่นเอง AMD แนะนำให้รันคำสั่งนี้เพื่อเช็กว่าเครื่องคุณเจอปัญหานี้ไหม: ============================================ powershell.exe -Command Get-TPM ============================================ หากใช้ fTPM 3.*.0 บนเมนบอร์ด AM4 ก็มีโอกาสเจอบั๊กนี้ → AMD แนะนำให้ติดต่อผู้ผลิตบอร์ดโดยตรงเพื่อสอบถามว่า firmware รุ่นล่าสุดอัปเดตปัญหานี้หรือยัง → และถ้าจะอัปเดต TPM firmware ต้อง “Suspend BitLocker ก่อน” มิฉะนั้นเครื่องอาจล็อกถาวร! ✅ AMD ชี้แจงว่าแก้บั๊ก TPM Attestation Fail ตั้งแต่ปี 2022 แล้ว   • ส่ง firmware ให้ผู้ผลิตเมนบอร์ดเรียบร้อย  • แต่บางผู้ผลิต “ไม่ยอมปล่อยอัปเดตให้ผู้ใช้” ✅ ปัญหาหลักอยู่ที่เมนบอร์ด AMD fTPM 3..0 → พบใน Ryzen 1000 ถึง Ryzen 5000 (Zen1–Zen3)*   • โดยเฉพาะบนเมนบอร์ด AM4 ✅ อาการ: TPM ล้มเหลว → Windows เข้า BitLocker Recovery อัตโนมัติ   • ต้องมี Recovery Key หรือ Recovery Password เพื่อปลดล็อก ✅ AMD แนะนำให้เช็กสถานะ TPM โดยใช้คำสั่ง Powershell   • และติดต่อผู้ผลิตเมนบอร์ดเพื่อขอ TPM firmware รุ่นใหม่ ✅ หากจะอัปเดต TPM firmware → ควร Suspend BitLocker ชั่วคราวก่อน   • ไม่เช่นนั้นระบบอาจลบ TPM โดยไม่ตั้งใจ และเข้าล็อกทันทีเมื่อบูตใหม่ ✅ AMD เตือนว่า บางกรณี TPM fail ทำให้ผู้ใช้เล่นเกมออนไลน์ที่ต้องการ TPM ไม่ได้ https://www.neowin.net/news/amd-finally-clarifies-windows-tpm--bitlocker-bug-that-still-affects-ryzen-cpus/
    WWW.NEOWIN.NET
    AMD finally clarifies Windows TPM & BitLocker bug that still affects Ryzen CPUs
    AMD has finally clarified the situation regarding the TPM attestation bug on Ryzen systems that has been a persistent bug for a very long time.
    0 Comments 0 Shares 274 Views 0 Reviews
  • ลองจินตนาการดูนะครับ — บริษัทเพิ่งสั่งพักงานพนักงานไอทีคนหนึ่งไป แต่ลืม “ตัดสิทธิ์เข้าถึงระบบ” ของเขาให้ทัน เวลาผ่านไปแค่ไม่กี่ชั่วโมง พนักงานคนนั้นกลับมาออนไลน์... แล้วก็:

    เปลี่ยนรหัสผ่านระบบทุกอย่าง
    - ปั่นป่วนระบบ multi-factor authentication ให้ทีมงานเข้าไม่ได้
    - ทำให้กิจกรรมของพนักงานในอังกฤษ และลูกค้าในเยอรมนี–บาห์เรน ล่มยาวเป็นวัน

    เรื่องนี้เกิดขึ้นจริงกับ Mohammed Umar Taj วัย 31 ปีในเมืองลีดส์ อังกฤษ ซึ่งถูกตั้งข้อหาในปี 2022 และเพิ่งถูกตัดสินจำคุก 7 เดือน 14 วันในปี 2025 นี้

    แค่วันเดียว “ระบบล่ม” ยังไม่แย่เท่า “ความเชื่อมั่นที่พังทลาย” เพราะลูกค้าก็เริ่มไม่มั่นใจในบริษัท และพนักงานเองก็ไม่สามารถเข้าทำงานได้ ต้องเสียเวลาฟื้นฟูระบบกันนาน

    นักสืบจากหน่วย cybercrime ยังเตือนว่า “องค์กรควรตัดสิทธิ์ของพนักงานทันทีเมื่อมีการเปลี่ยนสถานะงาน” เพราะแม้จะมีนโยบายแล้ว แต่ในความเป็นจริง ระบบบางอย่างก็ “ลบชื่อได้ช้า” หรือมีบัญชีที่ควบคุมยาก เช่น admin service หรือ credential ฝังอยู่ในสคริปต์ต่าง ๆ

    อดีตพนักงานไอทีในอังกฤษถูกตัดสินจำคุก 7 เดือน 14 วัน  
    • กรณีเข้าถึงระบบองค์กรอย่างผิดกฎหมายหลังถูกสั่งพักงาน  
    • เปลี่ยนรหัสผ่านและปั่นป่วนระบบ MFA ภายในไม่กี่ชั่วโมง

    ความเสียหายประเมินมูลค่ากว่า $200,000  
    • มาจากการล่มของระบบงาน  
    • ส่งผลต่อพนักงานภายใน + ลูกค้าต่างชาติ (เยอรมนี, บาห์เรน)

    ศาลเมืองลีดส์ตัดสินโทษภายใต้ข้อหาเจตนา “ขัดขวางการทำงานของระบบคอมพิวเตอร์”

    ตำรวจแนะนำให้องค์กรทบทวนขั้นตอนการจัดการสิทธิ์เข้าระบบของพนักงานทันทีเมื่อเกิดการเปลี่ยนแปลง

    พนักงานที่ยังมี access หลังถูกพักงานหรือให้ออก เป็นช่องโหว่อันตรายมาก  
    • โดยเฉพาะในฝ่าย IT, DevOps, หรือ admin ที่มีสิทธิ์สูง

    ระบบ MFA ที่ถูกปั่นป่วน อาจทำให้การกู้คืนระบบยากขึ้นหลายเท่า  
    • เพราะแม้มี backup แต่ไม่สามารถยืนยันตัวเพื่อเข้าไปฟื้นฟูได้

    พนักงานแค่คนเดียวสามารถสร้างความเสียหายระดับขัดขวางธุรกิจ-ทำลายความเชื่อมั่น

    หลายองค์กรยังไม่มีระบบ “access kill-switch” หรือไม่ได้ฝึกซ้อม incident response กรณี internal sabotage

    บัญชีที่ฝัง credentials ใน script หรือ service อัตโนมัติ มักไม่อยู่ภายใต้ระบบกำกับปกติ → เสี่ยงถูกใช้ย้อนกลับมาทำลาย

    https://www.tomshardware.com/tech-industry/cyber-security/rogue-it-worker-gets-seven-months-in-prison-over-usd200-000-digital-rampage-technician-changed-all-of-his-companys-passwords-after-getting-suspended
    ลองจินตนาการดูนะครับ — บริษัทเพิ่งสั่งพักงานพนักงานไอทีคนหนึ่งไป แต่ลืม “ตัดสิทธิ์เข้าถึงระบบ” ของเขาให้ทัน เวลาผ่านไปแค่ไม่กี่ชั่วโมง พนักงานคนนั้นกลับมาออนไลน์... แล้วก็: เปลี่ยนรหัสผ่านระบบทุกอย่าง - ปั่นป่วนระบบ multi-factor authentication ให้ทีมงานเข้าไม่ได้ - ทำให้กิจกรรมของพนักงานในอังกฤษ และลูกค้าในเยอรมนี–บาห์เรน ล่มยาวเป็นวัน เรื่องนี้เกิดขึ้นจริงกับ Mohammed Umar Taj วัย 31 ปีในเมืองลีดส์ อังกฤษ ซึ่งถูกตั้งข้อหาในปี 2022 และเพิ่งถูกตัดสินจำคุก 7 เดือน 14 วันในปี 2025 นี้ แค่วันเดียว “ระบบล่ม” ยังไม่แย่เท่า “ความเชื่อมั่นที่พังทลาย” เพราะลูกค้าก็เริ่มไม่มั่นใจในบริษัท และพนักงานเองก็ไม่สามารถเข้าทำงานได้ ต้องเสียเวลาฟื้นฟูระบบกันนาน นักสืบจากหน่วย cybercrime ยังเตือนว่า “องค์กรควรตัดสิทธิ์ของพนักงานทันทีเมื่อมีการเปลี่ยนสถานะงาน” เพราะแม้จะมีนโยบายแล้ว แต่ในความเป็นจริง ระบบบางอย่างก็ “ลบชื่อได้ช้า” หรือมีบัญชีที่ควบคุมยาก เช่น admin service หรือ credential ฝังอยู่ในสคริปต์ต่าง ๆ ✅ อดีตพนักงานไอทีในอังกฤษถูกตัดสินจำคุก 7 เดือน 14 วัน   • กรณีเข้าถึงระบบองค์กรอย่างผิดกฎหมายหลังถูกสั่งพักงาน   • เปลี่ยนรหัสผ่านและปั่นป่วนระบบ MFA ภายในไม่กี่ชั่วโมง ✅ ความเสียหายประเมินมูลค่ากว่า $200,000   • มาจากการล่มของระบบงาน   • ส่งผลต่อพนักงานภายใน + ลูกค้าต่างชาติ (เยอรมนี, บาห์เรน) ✅ ศาลเมืองลีดส์ตัดสินโทษภายใต้ข้อหาเจตนา “ขัดขวางการทำงานของระบบคอมพิวเตอร์” ✅ ตำรวจแนะนำให้องค์กรทบทวนขั้นตอนการจัดการสิทธิ์เข้าระบบของพนักงานทันทีเมื่อเกิดการเปลี่ยนแปลง ‼️ พนักงานที่ยังมี access หลังถูกพักงานหรือให้ออก เป็นช่องโหว่อันตรายมาก   • โดยเฉพาะในฝ่าย IT, DevOps, หรือ admin ที่มีสิทธิ์สูง ‼️ ระบบ MFA ที่ถูกปั่นป่วน อาจทำให้การกู้คืนระบบยากขึ้นหลายเท่า   • เพราะแม้มี backup แต่ไม่สามารถยืนยันตัวเพื่อเข้าไปฟื้นฟูได้ ‼️ พนักงานแค่คนเดียวสามารถสร้างความเสียหายระดับขัดขวางธุรกิจ-ทำลายความเชื่อมั่น ‼️ หลายองค์กรยังไม่มีระบบ “access kill-switch” หรือไม่ได้ฝึกซ้อม incident response กรณี internal sabotage ‼️ บัญชีที่ฝัง credentials ใน script หรือ service อัตโนมัติ มักไม่อยู่ภายใต้ระบบกำกับปกติ → เสี่ยงถูกใช้ย้อนกลับมาทำลาย https://www.tomshardware.com/tech-industry/cyber-security/rogue-it-worker-gets-seven-months-in-prison-over-usd200-000-digital-rampage-technician-changed-all-of-his-companys-passwords-after-getting-suspended
    0 Comments 0 Shares 415 Views 0 Reviews
  • ใครเคยเบื่อกับการจำรหัสผ่านยาว ๆ หรือรำคาญเวลาต้องเปลี่ยนรหัสใหม่ทุก 90 วันบ้างครับ? ตอนนี้ Microsoft กำลังจะทำให้เรื่องพวกนั้นกลายเป็นอดีต เพราะ Windows 11 เริ่มรองรับการใช้ Passkey แบบเต็มรูปแบบผ่านแอป 1Password แล้ว

    ก่อนหน้านี้ แม้เราจะได้ยินเรื่อง passkey จาก Google, Apple, หรือ FIDO2 มาสักพัก แต่ในฝั่ง Windows กลับยังใช้ยาก ต้องอาศัยการตั้งค่าผ่านแอปอื่นหรือใช้กับเว็บไซต์บางเจ้าเท่านั้น

    ล่าสุด Microsoft เปิดให้ทดสอบฟีเจอร์นี้ในเวอร์ชัน Insider Preview โดย:
    - ผู้ใช้สามารถเก็บและใช้ passkey ที่ผูกกับบัญชี Windows ได้เลย
    - รองรับการยืนยันตัวตนด้วย Windows Hello (เช่น สแกนลายนิ้วมือ, ใบหน้า, หรือ PIN)
    - ปลดล็อกให้ 1Password มาเป็น “ตัวจัดการ passkey” แทนรหัสผ่านปกติได้โดยตรง

    นี่คือจุดเริ่มต้นของระบบ login แบบไร้รหัสผ่าน (passwordless) ที่ปลอดภัยและลื่นไหลที่สุดตั้งแต่มี Windows มาเลยครับ

    Windows 11 รองรับ Passkey แบบเต็มตัวผ่านการร่วมมือกับ 1Password  
    • ผู้ใช้สามารถเก็บ–ใช้ passkey จาก 1Password ได้ในระบบ Windows โดยตรง  
    • ทำงานร่วมกับ Windows Hello เพื่อยืนยันตัวตน

    Microsoft ปล่อยฟีเจอร์ใน Windows 11 Insider Build 26200.5670 (KB5060838)  
    • ต้องเปิดใช้ผ่าน Settings > Passkeys > Advanced > Credential Manager Plugin  
    • จากนั้นเปิดใช้งานและยืนยันตนผ่าน Windows Hello

    มี Credential Manager API ใหม่สำหรับให้ password manager รายอื่นพัฒนา integration กับ Windows ได้ในอนาคต

    Microsoft กำลังทยอยเปลี่ยนระบบใหม่ทั้งหมดเป็น “passkey-first”  
    • เริ่มจาก Microsoft Authenticator ที่จะลบการเก็บรหัสผ่านในเดือนสิงหาคม 2025  
    • สร้างบัญชี Microsoft ใหม่จะไม่ให้ใช้ password แต่ใช้ passkey แทน

    https://www.techradar.com/pro/security/its-about-time-microsoft-finally-rolls-out-better-passkey-integration-in-windows
    ใครเคยเบื่อกับการจำรหัสผ่านยาว ๆ หรือรำคาญเวลาต้องเปลี่ยนรหัสใหม่ทุก 90 วันบ้างครับ? ตอนนี้ Microsoft กำลังจะทำให้เรื่องพวกนั้นกลายเป็นอดีต เพราะ Windows 11 เริ่มรองรับการใช้ Passkey แบบเต็มรูปแบบผ่านแอป 1Password แล้ว ก่อนหน้านี้ แม้เราจะได้ยินเรื่อง passkey จาก Google, Apple, หรือ FIDO2 มาสักพัก แต่ในฝั่ง Windows กลับยังใช้ยาก ต้องอาศัยการตั้งค่าผ่านแอปอื่นหรือใช้กับเว็บไซต์บางเจ้าเท่านั้น ล่าสุด Microsoft เปิดให้ทดสอบฟีเจอร์นี้ในเวอร์ชัน Insider Preview โดย: - ผู้ใช้สามารถเก็บและใช้ passkey ที่ผูกกับบัญชี Windows ได้เลย - รองรับการยืนยันตัวตนด้วย Windows Hello (เช่น สแกนลายนิ้วมือ, ใบหน้า, หรือ PIN) - ปลดล็อกให้ 1Password มาเป็น “ตัวจัดการ passkey” แทนรหัสผ่านปกติได้โดยตรง นี่คือจุดเริ่มต้นของระบบ login แบบไร้รหัสผ่าน (passwordless) ที่ปลอดภัยและลื่นไหลที่สุดตั้งแต่มี Windows มาเลยครับ ✅ Windows 11 รองรับ Passkey แบบเต็มตัวผ่านการร่วมมือกับ 1Password   • ผู้ใช้สามารถเก็บ–ใช้ passkey จาก 1Password ได้ในระบบ Windows โดยตรง   • ทำงานร่วมกับ Windows Hello เพื่อยืนยันตัวตน ✅ Microsoft ปล่อยฟีเจอร์ใน Windows 11 Insider Build 26200.5670 (KB5060838)   • ต้องเปิดใช้ผ่าน Settings > Passkeys > Advanced > Credential Manager Plugin   • จากนั้นเปิดใช้งานและยืนยันตนผ่าน Windows Hello ✅ มี Credential Manager API ใหม่สำหรับให้ password manager รายอื่นพัฒนา integration กับ Windows ได้ในอนาคต ✅ Microsoft กำลังทยอยเปลี่ยนระบบใหม่ทั้งหมดเป็น “passkey-first”   • เริ่มจาก Microsoft Authenticator ที่จะลบการเก็บรหัสผ่านในเดือนสิงหาคม 2025   • สร้างบัญชี Microsoft ใหม่จะไม่ให้ใช้ password แต่ใช้ passkey แทน https://www.techradar.com/pro/security/its-about-time-microsoft-finally-rolls-out-better-passkey-integration-in-windows
    0 Comments 0 Shares 353 Views 0 Reviews
  • นักวิจัยจาก Rapid7 รายงานว่า แฮกเกอร์สามารถถอดรหัส “รหัสผ่านเริ่มต้น” ของอุปกรณ์ Brother, Toshiba และ Konica Minolta ได้ง่าย ๆ แค่รู้หมายเลขเครื่อง (serial number) เพราะบริษัทใช้สูตรคำนวณที่ predictable ซึ่งตอนนี้ถูกเปิดเผยออกมาแล้ว

    ปัญหาคือ Brother ไม่สามารถ patch ช่องโหว่นี้ได้แบบซอฟต์แวร์ เพราะมันถูกฝังมาตั้งแต่กระบวนการผลิต ทำให้ เครื่องรุ่นที่ผลิตก่อนมี.ค. 2025 มีความเสี่ยงทั้งหมด

    นอกจากนี้ Rapid7 ยังเผยว่าเจอช่องโหว่อื่นอีก 7 จุด ซึ่งเปิดทางให้แฮกเกอร์ทำสิ่งเหล่านี้ได้:
    - เข้าควบคุมเครื่องจากระยะไกล
    - ดึงข้อมูลสำคัญ
    - สั่งให้เครื่อง crash หรือหยุดทำงานทันที

    บางช่องโหว่ร้ายแรงถึงขั้นแค่ต่อพอร์ต TCP 9100 ก็ทำเครื่องล่มได้แล้ว (CVE-2024-51982)

    ข่าวดีคือ Brother และแบรนด์อื่นได้ปล่อยเฟิร์มแวร์อัปเดตสำหรับปิดรูรั่วแล้วครับ — แต่ข่าวร้ายคือ มีผู้ใช้จำนวนมากที่ยังไม่รู้และไม่ได้อัปเดต!

    ช่องโหว่ร้ายแรง CVE-2024-51978 เปิดให้แฮกเกอร์เดารหัสผ่านเริ่มต้นจากหมายเลขเครื่องได้  
    • ส่งผลกับอุปกรณ์ Brother, Toshiba และ Konica Minolta  
    • Brother แก้ไม่ได้ในระดับเฟิร์มแวร์ เพราะฝังไว้ในกระบวนการผลิต  
    • เครื่องที่ผลิตหลังมี.ค. 2025 จะปลอดภัยขึ้นเพราะใช้ระบบรหัสใหม่

    นักวิจัยพบช่องโหว่อื่นรวม 8 จุด ครอบคลุมกว่า 689 รุ่นของเครื่องพิมพ์–สแกน–ทำป้ายจากหลายแบรนด์  
    • รุ่นจาก Fujifilm, Ricoh, Toshiba และ Konica Minolta ก็ได้รับผลกระทบ

    Brother ออกเฟิร์มแวร์อัปเดตเพื่อแก้บั๊กที่เหลือแล้ว พร้อม security advisory บนเว็บไซต์ทางการ  
    • ระบุวิธีปิด WSD, ปิด TFTP, และเปลี่ยนรหัสผ่าน admin

    ผู้ใช้งานควรเข้าเว็บไซต์ผู้ผลิตเพื่อตรวจสอบว่าอุปกรณ์ตนเองอยู่ในกลุ่มเสี่ยงหรือไม่  
    • Brother มีลิสต์รุ่นที่ได้รับผลกระทบบนเว็บ support

    การเปลี่ยนรหัสผ่าน admin เริ่มต้น ถือเป็นแนวทางป้องกันเบื้องต้นที่สำคัญที่สุด

    https://www.techspot.com/news/108484-brother-printer-owners-stop-using-default-password-asap.html
    นักวิจัยจาก Rapid7 รายงานว่า แฮกเกอร์สามารถถอดรหัส “รหัสผ่านเริ่มต้น” ของอุปกรณ์ Brother, Toshiba และ Konica Minolta ได้ง่าย ๆ แค่รู้หมายเลขเครื่อง (serial number) เพราะบริษัทใช้สูตรคำนวณที่ predictable ซึ่งตอนนี้ถูกเปิดเผยออกมาแล้ว ปัญหาคือ Brother ไม่สามารถ patch ช่องโหว่นี้ได้แบบซอฟต์แวร์ เพราะมันถูกฝังมาตั้งแต่กระบวนการผลิต ทำให้ เครื่องรุ่นที่ผลิตก่อนมี.ค. 2025 มีความเสี่ยงทั้งหมด นอกจากนี้ Rapid7 ยังเผยว่าเจอช่องโหว่อื่นอีก 7 จุด ซึ่งเปิดทางให้แฮกเกอร์ทำสิ่งเหล่านี้ได้: - เข้าควบคุมเครื่องจากระยะไกล - ดึงข้อมูลสำคัญ - สั่งให้เครื่อง crash หรือหยุดทำงานทันที บางช่องโหว่ร้ายแรงถึงขั้นแค่ต่อพอร์ต TCP 9100 ก็ทำเครื่องล่มได้แล้ว (CVE-2024-51982) ข่าวดีคือ Brother และแบรนด์อื่นได้ปล่อยเฟิร์มแวร์อัปเดตสำหรับปิดรูรั่วแล้วครับ — แต่ข่าวร้ายคือ มีผู้ใช้จำนวนมากที่ยังไม่รู้และไม่ได้อัปเดต! ✅ ช่องโหว่ร้ายแรง CVE-2024-51978 เปิดให้แฮกเกอร์เดารหัสผ่านเริ่มต้นจากหมายเลขเครื่องได้   • ส่งผลกับอุปกรณ์ Brother, Toshiba และ Konica Minolta   • Brother แก้ไม่ได้ในระดับเฟิร์มแวร์ เพราะฝังไว้ในกระบวนการผลิต   • เครื่องที่ผลิตหลังมี.ค. 2025 จะปลอดภัยขึ้นเพราะใช้ระบบรหัสใหม่ ✅ นักวิจัยพบช่องโหว่อื่นรวม 8 จุด ครอบคลุมกว่า 689 รุ่นของเครื่องพิมพ์–สแกน–ทำป้ายจากหลายแบรนด์   • รุ่นจาก Fujifilm, Ricoh, Toshiba และ Konica Minolta ก็ได้รับผลกระทบ ✅ Brother ออกเฟิร์มแวร์อัปเดตเพื่อแก้บั๊กที่เหลือแล้ว พร้อม security advisory บนเว็บไซต์ทางการ   • ระบุวิธีปิด WSD, ปิด TFTP, และเปลี่ยนรหัสผ่าน admin ✅ ผู้ใช้งานควรเข้าเว็บไซต์ผู้ผลิตเพื่อตรวจสอบว่าอุปกรณ์ตนเองอยู่ในกลุ่มเสี่ยงหรือไม่   • Brother มีลิสต์รุ่นที่ได้รับผลกระทบบนเว็บ support ✅ การเปลี่ยนรหัสผ่าน admin เริ่มต้น ถือเป็นแนวทางป้องกันเบื้องต้นที่สำคัญที่สุด https://www.techspot.com/news/108484-brother-printer-owners-stop-using-default-password-asap.html
    WWW.TECHSPOT.COM
    Brother printer hack puts thousands of users at risk of remote takeover
    Security researchers at Rapid7 recently reported eight vulnerabilities affecting over 689 printers, scanners, and label makers manufactured by Brother. Several models from Fujifilm, Ricoh, Toshiba, and Konica...
    0 Comments 0 Shares 252 Views 0 Reviews
  • มัลแวร์ตัวนี้แอบแนบมากับแอปที่ดูเหมือนปกติ — เช่น แอปส่งข้อความ หรือแอปเทรดคริปโต — แล้วพอเรากดอนุญาตให้เข้าถึงรูปภาพ มันจะ “แอบเปิดกล้องหลัง” ใช้ AI อ่านตัวอักษรในภาพ (OCR) โดยเฉพาะภาพที่คนชอบแคปหน้าจอ “รหัสกู้คืน (recovery phrase)” ของกระเป๋าเงินคริปโตไว้ตอนสมัครใช้งานครั้งแรก

    ยิ่งไปกว่านั้น มันยัง เฝ้าดูภาพใหม่ ๆ ที่ถูกเพิ่มเข้ามาในแกลเลอรีอยู่ตลอด หากเราเผลอแคปรหัสคริปโตใหม่ ๆ ทีหลัง หรือมีภาพเอกสารสำคัญ ก็อาจถูกส่งออกโดยที่เราไม่รู้เลย

    นักวิจัยจาก Kaspersky ระบุว่า มัลแวร์นี้ถูกเผยแพร่ในสโตร์ตั้งแต่ต้นปี 2024 และแม้ปัจจุบันจะถูกลบออกแล้ว แต่ก็ยังมีเวอร์ชันที่แพร่ต่อผ่านเว็บนอกหรือแอป sideload อยู่

    มัลแวร์ SparkKitty ใช้ OCR วิเคราะห์ภาพในเครื่องเพื่อขโมยรหัสคริปโตที่เป็น recovery phrase  
    • โดยเฉพาะภาพที่ผู้ใช้มักแคปเก็บไว้ตอนสมัครกระเป๋าเงินดิจิทัล

    พบแพร่กระจายทั้งใน Google Play และ App Store ตั้งแต่ต้นปี 2024  
    • แอปที่ติดมัลแวร์ชื่อ “SOEX” มียอดดาวน์โหลดเกิน 10,000 ครั้ง

    หลังติดตั้ง แอปจะขอสิทธิ์เข้าถึงรูปภาพ แล้วสแกนหาภาพที่มีรหัสกระเป๋าคริปโต  
    • หากพบ จะส่งข้อมูลกลับไปให้แฮกเกอร์แบบลับ ๆ

    มัลแวร์สามารถตรวจจับการเปลี่ยนแปลงในแกลเลอรีได้  
    • เช่น มีรูปใหม่เพิ่มเข้ามา หรือมีการลบภาพเดิม

    เป็นมัลแวร์ข้ามแพลตฟอร์มรุ่นแรกที่ใช้งาน OCR บนมือถือเพื่อขโมยข้อมูลจากภาพ

    Kaspersky เตือนผู้ใช้ให้สังเกตแอปที่ขอ permission เกินความจำเป็น โดยเฉพาะสิทธิ์การดู-แก้ไขภาพ หรือเพิ่ม certificate

    แนะนำให้เก็บ recovery phrase ไว้ใน encrypted vault เช่น password manager ที่น่าเชื่อถือ แทนการแคปภาพ

    https://www.techradar.com/pro/security/this-dangerous-new-malware-is-hitting-ios-and-android-phones-alike-and-its-even-stealing-photos-and-crypto
    มัลแวร์ตัวนี้แอบแนบมากับแอปที่ดูเหมือนปกติ — เช่น แอปส่งข้อความ หรือแอปเทรดคริปโต — แล้วพอเรากดอนุญาตให้เข้าถึงรูปภาพ มันจะ “แอบเปิดกล้องหลัง” ใช้ AI อ่านตัวอักษรในภาพ (OCR) โดยเฉพาะภาพที่คนชอบแคปหน้าจอ “รหัสกู้คืน (recovery phrase)” ของกระเป๋าเงินคริปโตไว้ตอนสมัครใช้งานครั้งแรก ยิ่งไปกว่านั้น มันยัง เฝ้าดูภาพใหม่ ๆ ที่ถูกเพิ่มเข้ามาในแกลเลอรีอยู่ตลอด หากเราเผลอแคปรหัสคริปโตใหม่ ๆ ทีหลัง หรือมีภาพเอกสารสำคัญ ก็อาจถูกส่งออกโดยที่เราไม่รู้เลย นักวิจัยจาก Kaspersky ระบุว่า มัลแวร์นี้ถูกเผยแพร่ในสโตร์ตั้งแต่ต้นปี 2024 และแม้ปัจจุบันจะถูกลบออกแล้ว แต่ก็ยังมีเวอร์ชันที่แพร่ต่อผ่านเว็บนอกหรือแอป sideload อยู่ ✅ มัลแวร์ SparkKitty ใช้ OCR วิเคราะห์ภาพในเครื่องเพื่อขโมยรหัสคริปโตที่เป็น recovery phrase   • โดยเฉพาะภาพที่ผู้ใช้มักแคปเก็บไว้ตอนสมัครกระเป๋าเงินดิจิทัล ✅ พบแพร่กระจายทั้งใน Google Play และ App Store ตั้งแต่ต้นปี 2024   • แอปที่ติดมัลแวร์ชื่อ “SOEX” มียอดดาวน์โหลดเกิน 10,000 ครั้ง ✅ หลังติดตั้ง แอปจะขอสิทธิ์เข้าถึงรูปภาพ แล้วสแกนหาภาพที่มีรหัสกระเป๋าคริปโต   • หากพบ จะส่งข้อมูลกลับไปให้แฮกเกอร์แบบลับ ๆ ✅ มัลแวร์สามารถตรวจจับการเปลี่ยนแปลงในแกลเลอรีได้   • เช่น มีรูปใหม่เพิ่มเข้ามา หรือมีการลบภาพเดิม ✅ เป็นมัลแวร์ข้ามแพลตฟอร์มรุ่นแรกที่ใช้งาน OCR บนมือถือเพื่อขโมยข้อมูลจากภาพ ✅ Kaspersky เตือนผู้ใช้ให้สังเกตแอปที่ขอ permission เกินความจำเป็น โดยเฉพาะสิทธิ์การดู-แก้ไขภาพ หรือเพิ่ม certificate ✅ แนะนำให้เก็บ recovery phrase ไว้ใน encrypted vault เช่น password manager ที่น่าเชื่อถือ แทนการแคปภาพ https://www.techradar.com/pro/security/this-dangerous-new-malware-is-hitting-ios-and-android-phones-alike-and-its-even-stealing-photos-and-crypto
    0 Comments 0 Shares 388 Views 0 Reviews
  • ในยุคที่ชีวิตเราผูกกับบัญชีออนไลน์สารพัด มันแทบเป็นไปไม่ได้เลยที่จะจำรหัสผ่านทั้งหมดได้เอง — นี่ยังไม่นับเรื่อง “ใช้ซ้ำรหัสเดิม” ซึ่งเป็นด่านแรกที่แฮกเกอร์ชอบที่สุด

    แต่โชคดีที่ปัจจุบันมี Password Manager ฟรีดี ๆ มากมายที่ไม่เพียงเก็บรหัสผ่านอย่างปลอดภัย แต่ยังช่วยสร้างรหัสผ่านใหม่, เติมรหัสให้อัตโนมัติ และซิงค์ข้ามอุปกรณ์ได้ด้วย ซึ่งจากการจัดอันดับล่าสุด 10 แอปที่ได้รับความนิยมและเชื่อถือได้บน Android มีทั้งแบบคลาวด์และแบบเก็บข้อมูลในเครื่องเอง

    ที่น่าสนใจคือ บางแอปเปิดให้ใช้ฟีเจอร์ระดับพรีเมียมโดยไม่ต้องเสียเงินเลย เช่น:
    - Proton Pass ใช้ได้ไม่จำกัดอุปกรณ์ + สร้าง 2FA ในตัว + รองรับ passkeys
    - Bitwarden เป็นโอเพนซอร์สและใช้ได้บนทุกแพลตฟอร์ม + มี 2FA ฟรี
    - KeePassDX เก็บไฟล์รหัสแบบ local + ปลอดคลาวด์ + ไม่มีโฆษณา

    ในขณะที่แอปบางตัวอย่าง LastPass หรือ Dashlane มีข้อจำกัด เช่น จำกัดจำนวนรหัสผ่าน หรือใช้งานได้แค่อุปกรณ์เดียวพร้อมกันในเวอร์ชันฟรี

    แอป Password Manager ฟรีที่น่าสนใจใน Android ปี 2025:
    Proton Pass  
    • ใช้ได้ทุกอุปกรณ์ ฟรี ไม่จำกัดจำนวนรหัสผ่าน  
    • มี 2FA และสร้าง email alias ได้ในตัว  
    • รองรับ passkeys และการเติมรหัสแบบ autofill  
    • เจ้าของเดียวกับ Proton Mail — เน้นความเป็นส่วนตัว

    Bitwarden  
    • โอเพนซอร์ส + ผ่านการตรวจสอบความปลอดภัยภายนอก  
    • ฟรีทุกฟีเจอร์หลัก ใช้ได้หลายอุปกรณ์  
    • มี 2FA, generator, และ autofill ครบ  
    • มีรุ่นพรีเมียม $10/ปี ถ้าต้องการเก็บไฟล์เข้ารหัส

    NordPass (Free)  
    • จัดเก็บรหัสไม่จำกัด และมี autofill  
    • อินเทอร์เฟซใช้ง่าย มีจัดเก็บโน้ต/บัตรเครดิตด้วย  
    • ข้อจำกัด: ใช้ได้แค่ 1 อุปกรณ์พร้อมกันในเวอร์ชันฟรี

    Avira Password Manager  
    • ใช้ซิงค์ข้ามอุปกรณ์ได้ + มีแจ้งเตือนรหัสอ่อน  
    • มี browser extension รองรับ autofill  
    • ข้อจำกัด: ฟีเจอร์ขั้นสูงบางอย่างต้องเสียเงิน

    KeePassDX  
    • เก็บข้อมูลเป็นไฟล์ local (ตามมาตรฐาน KeePass)  
    • ไม่มีคลาวด์ = ความเป็นส่วนตัวสูง  
    • รองรับ biometric unlock และ autofill  
    • เหมาะสำหรับผู้ใช้ที่ชำนาญและต้องการควบคุมเต็มที่

    Dashlane (Free)  
    • ใช้ได้ 25 รหัสผ่าน + autofill ทำงานดี  
    • มีระบบตรวจสุขภาพรหัสผ่าน  
    • ข้อจำกัด: ซิงค์ข้ามอุปกรณ์ต้องอัปเกรดเป็นพรีเมียม

    RoboForm  
    • ใช้งานได้ข้ามอุปกรณ์ + มี generator  
    • อินเทอร์เฟซไม่หวือหวาแต่ใช้ง่าย  
    • มีฟีเจอร์เก็บฟอร์ม/รหัสแบบ auto-fill

    LastPass (Free)  
    • จัดการรหัสผ่าน/โน้ต + autofill ทำงานดี  
    • ข้อจำกัด: ใช้ได้เพียง “อุปกรณ์ประเภทเดียว” (เช่นเฉพาะมือถือ)  
    • ไม่รองรับซิงค์มือถือ+คอมพร้อมกันในเวอร์ชันฟรี

    Total Password  
    • อินเทอร์เฟซใช้ง่าย + autofill ดี  
    • ราคาเริ่มต้น $1.99/เดือน ถ้าต้องการเกินฟีเจอร์ฟรี

    1Password (Trial)  
    • ทดลองใช้งานได้ 14 วัน มีฟีเจอร์ครบ  
    • หลังหมดช่วงทดลองต้องเสียเงิน  
    • มีระบบแบ่งปันรหัสและเก็บข้อมูลอื่น ๆ เช่นบัตรเครดิต

    https://computercity.com/software/best-free-password-manager-for-android
    ในยุคที่ชีวิตเราผูกกับบัญชีออนไลน์สารพัด มันแทบเป็นไปไม่ได้เลยที่จะจำรหัสผ่านทั้งหมดได้เอง — นี่ยังไม่นับเรื่อง “ใช้ซ้ำรหัสเดิม” ซึ่งเป็นด่านแรกที่แฮกเกอร์ชอบที่สุด แต่โชคดีที่ปัจจุบันมี Password Manager ฟรีดี ๆ มากมายที่ไม่เพียงเก็บรหัสผ่านอย่างปลอดภัย แต่ยังช่วยสร้างรหัสผ่านใหม่, เติมรหัสให้อัตโนมัติ และซิงค์ข้ามอุปกรณ์ได้ด้วย ซึ่งจากการจัดอันดับล่าสุด 10 แอปที่ได้รับความนิยมและเชื่อถือได้บน Android มีทั้งแบบคลาวด์และแบบเก็บข้อมูลในเครื่องเอง ที่น่าสนใจคือ บางแอปเปิดให้ใช้ฟีเจอร์ระดับพรีเมียมโดยไม่ต้องเสียเงินเลย เช่น: - Proton Pass ใช้ได้ไม่จำกัดอุปกรณ์ + สร้าง 2FA ในตัว + รองรับ passkeys - Bitwarden เป็นโอเพนซอร์สและใช้ได้บนทุกแพลตฟอร์ม + มี 2FA ฟรี - KeePassDX เก็บไฟล์รหัสแบบ local + ปลอดคลาวด์ + ไม่มีโฆษณา ในขณะที่แอปบางตัวอย่าง LastPass หรือ Dashlane มีข้อจำกัด เช่น จำกัดจำนวนรหัสผ่าน หรือใช้งานได้แค่อุปกรณ์เดียวพร้อมกันในเวอร์ชันฟรี 🧪🧪 แอป Password Manager ฟรีที่น่าสนใจใน Android ปี 2025: ✅ Proton Pass   • ใช้ได้ทุกอุปกรณ์ ฟรี ไม่จำกัดจำนวนรหัสผ่าน   • มี 2FA และสร้าง email alias ได้ในตัว   • รองรับ passkeys และการเติมรหัสแบบ autofill   • เจ้าของเดียวกับ Proton Mail — เน้นความเป็นส่วนตัว ✅ Bitwarden   • โอเพนซอร์ส + ผ่านการตรวจสอบความปลอดภัยภายนอก   • ฟรีทุกฟีเจอร์หลัก ใช้ได้หลายอุปกรณ์   • มี 2FA, generator, และ autofill ครบ   • มีรุ่นพรีเมียม $10/ปี ถ้าต้องการเก็บไฟล์เข้ารหัส ✅ NordPass (Free)   • จัดเก็บรหัสไม่จำกัด และมี autofill   • อินเทอร์เฟซใช้ง่าย มีจัดเก็บโน้ต/บัตรเครดิตด้วย   • ข้อจำกัด: ใช้ได้แค่ 1 อุปกรณ์พร้อมกันในเวอร์ชันฟรี ✅ Avira Password Manager   • ใช้ซิงค์ข้ามอุปกรณ์ได้ + มีแจ้งเตือนรหัสอ่อน   • มี browser extension รองรับ autofill   • ข้อจำกัด: ฟีเจอร์ขั้นสูงบางอย่างต้องเสียเงิน ✅ KeePassDX   • เก็บข้อมูลเป็นไฟล์ local (ตามมาตรฐาน KeePass)   • ไม่มีคลาวด์ = ความเป็นส่วนตัวสูง   • รองรับ biometric unlock และ autofill   • เหมาะสำหรับผู้ใช้ที่ชำนาญและต้องการควบคุมเต็มที่ ✅ Dashlane (Free)   • ใช้ได้ 25 รหัสผ่าน + autofill ทำงานดี   • มีระบบตรวจสุขภาพรหัสผ่าน   • ข้อจำกัด: ซิงค์ข้ามอุปกรณ์ต้องอัปเกรดเป็นพรีเมียม ✅ RoboForm   • ใช้งานได้ข้ามอุปกรณ์ + มี generator   • อินเทอร์เฟซไม่หวือหวาแต่ใช้ง่าย   • มีฟีเจอร์เก็บฟอร์ม/รหัสแบบ auto-fill ✅ LastPass (Free)   • จัดการรหัสผ่าน/โน้ต + autofill ทำงานดี   • ข้อจำกัด: ใช้ได้เพียง “อุปกรณ์ประเภทเดียว” (เช่นเฉพาะมือถือ)   • ไม่รองรับซิงค์มือถือ+คอมพร้อมกันในเวอร์ชันฟรี ✅ Total Password   • อินเทอร์เฟซใช้ง่าย + autofill ดี   • ราคาเริ่มต้น $1.99/เดือน ถ้าต้องการเกินฟีเจอร์ฟรี ✅ 1Password (Trial)   • ทดลองใช้งานได้ 14 วัน มีฟีเจอร์ครบ   • หลังหมดช่วงทดลองต้องเสียเงิน   • มีระบบแบ่งปันรหัสและเก็บข้อมูลอื่น ๆ เช่นบัตรเครดิต https://computercity.com/software/best-free-password-manager-for-android
    COMPUTERCITY.COM
    Best Free Password Managers for Android
    Managing passwords can be tricky, especially when you're on the go with your Android device. With so many apps and websites needing login information, it's
    0 Comments 0 Shares 317 Views 0 Reviews
  • เรามักมองว่าเครื่องใหม่ = ต้องติดตั้งเบราว์เซอร์กับ Office ก็จบแล้ว...แต่ถ้าเลือกให้ดีตั้งแต่เริ่ม มันจะเปลี่ยนเครื่องของคุณให้ “พร้อมลุย” ไม่ว่าจะใช้งานหนักแค่ไหน

    TechSpot จึงจัดลิสต์โปรแกรมจำเป็นแบ่งตามหมวด เช่น:
    - เบราว์เซอร์ → Chrome, Firefox, Edge, Brave, Tor
    - จัดการรหัสผ่าน → Bitwarden, 1Password
    - ยูทิลิตี้ในเครื่อง → PowerToys, Alfred, WinGet, Everything
    - จดโน้ต/ทำงาน → Notion, OneNote, Obsidian
    - แก้ไฟล์ PDF → PDFsam
    - แต่งภาพ/ตัดวิดีโอ → GIMP, CapCut, DaVinci Resolve
    - นักพัฒนา → VS Code, Cursor, Docker
    - ใช้งานในองค์กร → Zoom, Slack, Teams
    - เล่นเกม → Steam, Epic, HandBrake
    - ดูหนัง/ฟังเพลง → VLC, Spotify
    - ดูสเปก/ปรับแต่งเครื่อง → CPU-Z, HWiNFO, Afterburner

    จุดเด่นคือแต่ละโปรแกรมมีคำอธิบายว่าเหมาะกับใคร ฟรีหรือไม่ และควรใช้งานคู่กับอะไรเพื่อได้ประสิทธิภาพสูงสุด เช่น PowerToys บน Windows ใช้กับ FancyZones เพื่อจัดหน้าจอแบบโปร ก็ยิ่งเจ๋ง

    นอกจากนี้ ยังมีการแนะนำโปรแกรมเฉพาะกลุ่มที่ไม่ค่อยมีใครพูดถึง เช่น:
    - Ollama → ใช้รัน LLM บนเครื่องเอง (ไม่ต้องต่อเน็ต)
    - SignalRGB → ซิงก์ไฟ RGB บน PC หลายแบรนด์เข้าด้วยกัน
    - Remote Mouse → ใช้มือถือควบคุมคอมได้จากไกล ๆ

    https://www.techspot.com/article/2974-desktop-software-essentials/
    เรามักมองว่าเครื่องใหม่ = ต้องติดตั้งเบราว์เซอร์กับ Office ก็จบแล้ว...แต่ถ้าเลือกให้ดีตั้งแต่เริ่ม มันจะเปลี่ยนเครื่องของคุณให้ “พร้อมลุย” ไม่ว่าจะใช้งานหนักแค่ไหน TechSpot จึงจัดลิสต์โปรแกรมจำเป็นแบ่งตามหมวด เช่น: - เบราว์เซอร์ → Chrome, Firefox, Edge, Brave, Tor - จัดการรหัสผ่าน → Bitwarden, 1Password - ยูทิลิตี้ในเครื่อง → PowerToys, Alfred, WinGet, Everything - จดโน้ต/ทำงาน → Notion, OneNote, Obsidian - แก้ไฟล์ PDF → PDFsam - แต่งภาพ/ตัดวิดีโอ → GIMP, CapCut, DaVinci Resolve - นักพัฒนา → VS Code, Cursor, Docker - ใช้งานในองค์กร → Zoom, Slack, Teams - เล่นเกม → Steam, Epic, HandBrake - ดูหนัง/ฟังเพลง → VLC, Spotify - ดูสเปก/ปรับแต่งเครื่อง → CPU-Z, HWiNFO, Afterburner จุดเด่นคือแต่ละโปรแกรมมีคำอธิบายว่าเหมาะกับใคร ฟรีหรือไม่ และควรใช้งานคู่กับอะไรเพื่อได้ประสิทธิภาพสูงสุด เช่น PowerToys บน Windows ใช้กับ FancyZones เพื่อจัดหน้าจอแบบโปร ก็ยิ่งเจ๋ง นอกจากนี้ ยังมีการแนะนำโปรแกรมเฉพาะกลุ่มที่ไม่ค่อยมีใครพูดถึง เช่น: - Ollama → ใช้รัน LLM บนเครื่องเอง (ไม่ต้องต่อเน็ต) - SignalRGB → ซิงก์ไฟ RGB บน PC หลายแบรนด์เข้าด้วยกัน - Remote Mouse → ใช้มือถือควบคุมคอมได้จากไกล ๆ https://www.techspot.com/article/2974-desktop-software-essentials/
    WWW.TECHSPOT.COM
    Essential Apps to Install on Windows and macOS
    Just unboxed your new computer? Here's our curated list of essential desktop apps for Windows and macOS to kickstart your productivity and set up the perfect workspace.
    0 Comments 0 Shares 439 Views 0 Reviews
  • ..ว่าด้วยเรื่องตังดิจิดัลและสินทรัพย์ดิจิดัลที่อีลิทต้องการผลักดันในยุคอนาคตเพื่อควบคุมมนุษย์ทุกๆคน ติดตามทุกๆกิจกรรมบริบทของมนุษย์,นี้คือผลงานการแฮ็กให้ดูเล่นๆพื้นๆของกิจการแอปอีลิทที่มันเก็บข้อมูลคนทั่วโลกไว้ที่เข้าไปใช้บริการของแอปพวกมันเครือข่ายพวกมัน,มันรู้ตัวตนคุณทุกๆคนนะ.,คุณไม่ปลอดภัยหรอก!!!

    .. BREAKING: รหัสผ่าน 16,000 ล้านรหัสรั่วไหล — ความตื่นตระหนกทางดิจิทัลได้เริ่มต้นขึ้นแล้ว นี่คือสถานการณ์ฉุกเฉินทางไซเบอร์ระดับโลก

    การรั่วไหลของรหัสผ่านครั้งใหญ่ที่สุดในประวัติศาสตร์ดิจิทัลได้เกิดขึ้นแล้ว: ข้อมูลประจำตัว 16,000 ล้านรหัสถูกเปิดเผยและแพร่กระจาย ผู้ใช้ Apple, Google, Facebook — ไม่มีใครปลอดภัย นี่ไม่ใช่การละเมิด แต่เป็นเส้นทางตรงสู่การโจรกรรมข้อมูลประจำตัว การแฮ็กบัญชี และการสูญเสียทางการเงิน ปกป้องชีวิตดิจิทัลของคุณตอนนี้

    อ่านเรื่องราวทั้งหมดได้ที่นี่: https://amg-news.com/breaking-16-billion-passwords-leaked-digital-panic-has-begun-this-is-a-global-cyber-state-of-emergency/
    ..ว่าด้วยเรื่องตังดิจิดัลและสินทรัพย์ดิจิดัลที่อีลิทต้องการผลักดันในยุคอนาคตเพื่อควบคุมมนุษย์ทุกๆคน ติดตามทุกๆกิจกรรมบริบทของมนุษย์,นี้คือผลงานการแฮ็กให้ดูเล่นๆพื้นๆของกิจการแอปอีลิทที่มันเก็บข้อมูลคนทั่วโลกไว้ที่เข้าไปใช้บริการของแอปพวกมันเครือข่ายพวกมัน,มันรู้ตัวตนคุณทุกๆคนนะ.,คุณไม่ปลอดภัยหรอก!!! ..🚨 BREAKING: รหัสผ่าน 16,000 ล้านรหัสรั่วไหล — ความตื่นตระหนกทางดิจิทัลได้เริ่มต้นขึ้นแล้ว นี่คือสถานการณ์ฉุกเฉินทางไซเบอร์ระดับโลก 🚨 การรั่วไหลของรหัสผ่านครั้งใหญ่ที่สุดในประวัติศาสตร์ดิจิทัลได้เกิดขึ้นแล้ว: ข้อมูลประจำตัว 16,000 ล้านรหัสถูกเปิดเผยและแพร่กระจาย ผู้ใช้ Apple, Google, Facebook — ไม่มีใครปลอดภัย นี่ไม่ใช่การละเมิด แต่เป็นเส้นทางตรงสู่การโจรกรรมข้อมูลประจำตัว การแฮ็กบัญชี และการสูญเสียทางการเงิน ปกป้องชีวิตดิจิทัลของคุณตอนนี้ 👉 อ่านเรื่องราวทั้งหมดได้ที่นี่: https://amg-news.com/breaking-16-billion-passwords-leaked-digital-panic-has-begun-this-is-a-global-cyber-state-of-emergency/
    AMG-NEWS.COM
    BREAKING: 16 BILLION PASSWORDS LEAKED — DIGITAL PANIC HAS BEGUN. THIS IS A GLOBAL CYBER STATE OF EMERGENCY. - amg-news.com - American Media Group
    The largest password leak in digital history has just detonated: 16 BILLION credentials exposed, live and circulating. Apple, Google, Facebook users — no one is safe. This isn’t a breach. It’s a direct path to identity theft, account hijacking, and financial wipeout. Secure your digital life now.
    0 Comments 0 Shares 233 Views 0 Reviews
  • ช่วงนี้อิสราเอลกำลังเผชิญการโจมตีจากอิหร่าน ไม่ว่าจะเป็นขีปนาวุธหรือปฏิบัติการไซเบอร์ หนึ่งในแนวรุกของฝ่ายตรงข้ามคือ... แฮ็กกล้องวงจรปิดตามบ้านของประชาชน โดยเฉพาะกล้องที่ใช้รหัสผ่านเดิมจากโรงงาน หรือรหัสง่าย ๆ เดาง่าย เช่น “123456”

    สิ่งที่แฮกเกอร์ทำคือ เจาะกล้องเพื่อ ดูว่า “มิสไซล์ที่ยิงไปตกตรงไหน”, มีการเคลื่อนไหวของรถทหารหรือไม่ หรือแม้แต่ตรวจสอบจุดยุทธศาสตร์ที่ถูก blackout ข้อมูลในสื่อ กระทรวงไซเบอร์ของอิสราเอลยอมรับว่า มีความพยายามเจาะระบบกล้องเพิ่มขึ้นมากในช่วงไม่กี่วันหลังการยิงขีปนาวุธ

    ย้อนไปปี 2022 เคยมีการเตือนแล้วว่า “กล้องกว่า 66,000 ตัวในอิสราเอลยังใช้รหัสผ่านเริ่มต้น” — และหลายหมู่บ้านที่ถูกบุกในปีถัดมาก็ไม่เปลี่ยนแปลงอะไร จนกลายเป็นปัญหาข้อมูลรั่ววงกว้าง

    รัฐบาลจึงขอให้ประชาชน ปิดกล้องที่ไม่จำเป็น, เปลี่ยนรหัสผ่าน, เปิด two-factor authentication และถ้าเป็นไปได้... อย่าติดตั้งกล้องที่ “สตรีมออนไลน์” ได้เอง เพราะอาจกลายเป็นหน้าต่างเปิดให้ศัตรูมองย้อนกลับมา

    กรณีนี้ไม่ได้เกิดแค่ในอิสราเอล — ในยูเครน เคยมีการแบนกล้องวงจรปิด เพราะพบว่ารัสเซียใช้วิดีโอแบบ live มา “ปรับทิศการโจมตีอากาศ” แบบทันทีได้เช่นกัน

    รัฐบาลอิสราเอลเตือนประชาชนให้ “ปิดกล้องวงจรปิดที่ไม่จำเป็น” หรืออย่างน้อยให้เปลี่ยนรหัสผ่านใหม่  
    • ลดความเสี่ยงที่กลุ่มอิหร่านเจาะเข้าไปดู live feed เพื่อเก็บข้อมูล

    พบว่าแฮกเกอร์จากอิหร่านพยายามแฮกกล้องเพื่อดูผลกระทบของมิสไซล์ และการเคลื่อนไหวทางทหาร  
    • เป็นการเจาะระบบในช่วงสื่อถูกจำกัดการเผยข้อมูล

    เคยมีการเตือนเมื่อปี 2022 ว่ามีกล้อง 66,000 ตัวใช้รหัสผ่านจากโรงงาน (default password)  
    • ส่วนใหญ่ไม่ถูกเปลี่ยนแม้มีคำเตือน

    รัฐบาลสามารถปิดการทำงานของกล้องภาครัฐและส่วนบุคคลในพื้นที่อ่อนไหว เช่น พรมแดน หรือโครงสร้างสำคัญแล้ว
    • ใช้กฎหมายพิเศษในช่วงภัยพิบัติ

    กรณีคล้ายกันเคยเกิดในยูเครน — เมื่อรัสเซียใช้วิดีโอจากกล้องสาธารณะเพื่อเจาะพิกัดเป้าหมาย

    ผู้เชี่ยวชาญแนะให้เลือกกล้องที่มีระบบความปลอดภัยดี รองรับการตั้งค่ารหัส, การเข้ารหัส และปิดการสตรีมออนไลน์ได้

    https://www.techspot.com/news/108401-israel-urges-citizens-turn-off-home-cameras-iran.html
    ช่วงนี้อิสราเอลกำลังเผชิญการโจมตีจากอิหร่าน ไม่ว่าจะเป็นขีปนาวุธหรือปฏิบัติการไซเบอร์ หนึ่งในแนวรุกของฝ่ายตรงข้ามคือ... แฮ็กกล้องวงจรปิดตามบ้านของประชาชน โดยเฉพาะกล้องที่ใช้รหัสผ่านเดิมจากโรงงาน หรือรหัสง่าย ๆ เดาง่าย เช่น “123456” สิ่งที่แฮกเกอร์ทำคือ เจาะกล้องเพื่อ ดูว่า “มิสไซล์ที่ยิงไปตกตรงไหน”, มีการเคลื่อนไหวของรถทหารหรือไม่ หรือแม้แต่ตรวจสอบจุดยุทธศาสตร์ที่ถูก blackout ข้อมูลในสื่อ กระทรวงไซเบอร์ของอิสราเอลยอมรับว่า มีความพยายามเจาะระบบกล้องเพิ่มขึ้นมากในช่วงไม่กี่วันหลังการยิงขีปนาวุธ ย้อนไปปี 2022 เคยมีการเตือนแล้วว่า “กล้องกว่า 66,000 ตัวในอิสราเอลยังใช้รหัสผ่านเริ่มต้น” — และหลายหมู่บ้านที่ถูกบุกในปีถัดมาก็ไม่เปลี่ยนแปลงอะไร จนกลายเป็นปัญหาข้อมูลรั่ววงกว้าง รัฐบาลจึงขอให้ประชาชน ปิดกล้องที่ไม่จำเป็น, เปลี่ยนรหัสผ่าน, เปิด two-factor authentication และถ้าเป็นไปได้... อย่าติดตั้งกล้องที่ “สตรีมออนไลน์” ได้เอง เพราะอาจกลายเป็นหน้าต่างเปิดให้ศัตรูมองย้อนกลับมา กรณีนี้ไม่ได้เกิดแค่ในอิสราเอล — ในยูเครน เคยมีการแบนกล้องวงจรปิด เพราะพบว่ารัสเซียใช้วิดีโอแบบ live มา “ปรับทิศการโจมตีอากาศ” แบบทันทีได้เช่นกัน ✅ รัฐบาลอิสราเอลเตือนประชาชนให้ “ปิดกล้องวงจรปิดที่ไม่จำเป็น” หรืออย่างน้อยให้เปลี่ยนรหัสผ่านใหม่   • ลดความเสี่ยงที่กลุ่มอิหร่านเจาะเข้าไปดู live feed เพื่อเก็บข้อมูล ✅ พบว่าแฮกเกอร์จากอิหร่านพยายามแฮกกล้องเพื่อดูผลกระทบของมิสไซล์ และการเคลื่อนไหวทางทหาร   • เป็นการเจาะระบบในช่วงสื่อถูกจำกัดการเผยข้อมูล ✅ เคยมีการเตือนเมื่อปี 2022 ว่ามีกล้อง 66,000 ตัวใช้รหัสผ่านจากโรงงาน (default password)   • ส่วนใหญ่ไม่ถูกเปลี่ยนแม้มีคำเตือน ✅ รัฐบาลสามารถปิดการทำงานของกล้องภาครัฐและส่วนบุคคลในพื้นที่อ่อนไหว เช่น พรมแดน หรือโครงสร้างสำคัญแล้ว • ใช้กฎหมายพิเศษในช่วงภัยพิบัติ ✅ กรณีคล้ายกันเคยเกิดในยูเครน — เมื่อรัสเซียใช้วิดีโอจากกล้องสาธารณะเพื่อเจาะพิกัดเป้าหมาย ✅ ผู้เชี่ยวชาญแนะให้เลือกกล้องที่มีระบบความปลอดภัยดี รองรับการตั้งค่ารหัส, การเข้ารหัส และปิดการสตรีมออนไลน์ได้ https://www.techspot.com/news/108401-israel-urges-citizens-turn-off-home-cameras-iran.html
    WWW.TECHSPOT.COM
    Israel urges citizens to turn off home cameras as Iran hacks surveillance systems
    In the aftermath of recent Iranian missile strikes on Tel Aviv, concerns about the vulnerability of internet-connected cameras have intensified. "We know that in the past two...
    0 Comments 0 Shares 343 Views 0 Reviews
  • เครื่องมือ GitHub Actions คือพระเอกของ DevOps ยุคใหม่ เพราะช่วยให้เรารัน CI/CD pipeline ได้อัตโนมัติ เช่น build, test, deploy โดยไม่ต้องเซ็ตเซิร์ฟเวอร์เอง แต่...ความสะดวกนี้ก็แอบซ่อน "กับดักความปลอดภัย" ไว้เช่นกัน

    ทีมวิจัยจาก Sysdig พบว่าฟีเจอร์ pull_request_target ของ GitHub Actions ถูกใช้แบบผิดพลาดในหลายโปรเจกต์ดัง เช่น MITRE, Splunk และ Spotipy — ทำให้แฮกเกอร์สามารถส่ง Pull Request จาก fork แล้วสั่งให้รันโค้ดอันตรายได้ภายใต้สิทธิ์ของ repo หลัก

    เพราะ pull_request_target จะรัน workflow ใน context ของ branch หลัก เช่น main — ซึ่งแปลว่าแฮกเกอร์สามารถเข้าถึง token หรือ secrets ได้เลย หากไม่มีการป้องกันเพิ่มเติม

    ในกรณี MITRE แฮกเกอร์สามารถรันโค้ดอันตรายผ่านการปรับ dependency ได้ ขณะที่ Splunk เผย secrets เช่น APPINSPECTUSERNAME/PASSWORD ออกไปผ่าน workflow ที่ไม่ปลอดภัย และใน Spotipy ก็ใช้ setup.py ที่แอบรันโค้ดได้ทันที

    ข่าวนี้เตือนว่า...ภัยคุกคามใน open source ไม่ได้มาแบบ “ยิงตรง” แต่แฝงผ่าน supply chain ซ่อนอยู่ใน workflow ที่ดูปกติ!

    พบช่องโหว่การตั้งค่า GitHub Actions (pull_request_target) ในหลายโปรเจกต์ดัง  
    • MITRE, Splunk, Spotipy ถูกใช้เป็นตัวอย่างการโจมตี  
    • แฮกเกอร์สามารถรันโค้ดใน context ของ branch หลัก (main) ได้จาก PR

    ฟีเจอร์ pull_request_target ทำให้โค้ดจาก fork มีสิทธิ์เข้าถึง token หรือ secrets ได้  
    • เพราะ workflow จะรันด้วย GITHUB_TOKEN และ access ของ repo ต้นทาง

    โค้ดโจมตีอาจมาแบบไร้พิษภัย เช่น setup.py หรือ dependency ปลอม  
    • Spotipy ใช้ setup.py ฝังคำสั่ง  • MITRE แก้ dependency ให้รันโค้ดฝังใน workflow

    Sysdig แนะนำแนวทางป้องกันเบื้องต้น:  
    • แยก workflow เป็น 2 ส่วน: ส่วนตรวจสอบ PR แบบ read-only และส่วน sensitive สำหรับ merged เท่านั้น  
    • ไม่ให้ PR จาก fork เข้าถึง token  
    • ใช้ Falco Actions หรือระบบ real-time detection ช่วยตรวจ

    การตั้งค่า GitHub Actions ผิดพลาดเพียงบรรทัดเดียว อาจเปิดทางให้แฮกเกอร์เข้ายึด repo ได้  
    • โดยเฉพาะหากใช้ pull_request_target โดยไม่มี guard

    แฮกเกอร์สามารถขโมย secrets หรือครองสิทธิ์ repo ผ่านการ merge PR อันตรายได้ทันที  
    • หากไม่มีการแยกสิทธิ์หรือใช้ token แบบจำกัดขอบเขต

    แม้โค้ดจะผ่าน PR review ได้ดี แต่ workflows จะรัน “ก่อน” ที่ reviewer ได้ดูไฟล์  
    • เปิดโอกาสให้โค้ดฝัง payload มาได้ก่อน merge

    โปรเจกต์โอเพ่นซอร์สที่เปิดรับ Pull Request ต้องเพิ่มมาตรการตรวจสอบ workflow  
    • ไม่ควรใช้ค่า default โดยไม่เข้าใจ scope และสิทธิของ GitHub Actions

    https://www.techradar.com/computing/artificial-intelligence/jaw-dropping-flaws-found-in-open-source-projects-could-allow-hackers-to-take-away-entire-projects-heres-what-devs-need-to-know
    เครื่องมือ GitHub Actions คือพระเอกของ DevOps ยุคใหม่ เพราะช่วยให้เรารัน CI/CD pipeline ได้อัตโนมัติ เช่น build, test, deploy โดยไม่ต้องเซ็ตเซิร์ฟเวอร์เอง แต่...ความสะดวกนี้ก็แอบซ่อน "กับดักความปลอดภัย" ไว้เช่นกัน ทีมวิจัยจาก Sysdig พบว่าฟีเจอร์ pull_request_target ของ GitHub Actions ถูกใช้แบบผิดพลาดในหลายโปรเจกต์ดัง เช่น MITRE, Splunk และ Spotipy — ทำให้แฮกเกอร์สามารถส่ง Pull Request จาก fork แล้วสั่งให้รันโค้ดอันตรายได้ภายใต้สิทธิ์ของ repo หลัก 😨 เพราะ pull_request_target จะรัน workflow ใน context ของ branch หลัก เช่น main — ซึ่งแปลว่าแฮกเกอร์สามารถเข้าถึง token หรือ secrets ได้เลย หากไม่มีการป้องกันเพิ่มเติม ในกรณี MITRE แฮกเกอร์สามารถรันโค้ดอันตรายผ่านการปรับ dependency ได้ ขณะที่ Splunk เผย secrets เช่น APPINSPECTUSERNAME/PASSWORD ออกไปผ่าน workflow ที่ไม่ปลอดภัย และใน Spotipy ก็ใช้ setup.py ที่แอบรันโค้ดได้ทันที ข่าวนี้เตือนว่า...ภัยคุกคามใน open source ไม่ได้มาแบบ “ยิงตรง” แต่แฝงผ่าน supply chain ซ่อนอยู่ใน workflow ที่ดูปกติ! ✅ พบช่องโหว่การตั้งค่า GitHub Actions (pull_request_target) ในหลายโปรเจกต์ดัง   • MITRE, Splunk, Spotipy ถูกใช้เป็นตัวอย่างการโจมตี   • แฮกเกอร์สามารถรันโค้ดใน context ของ branch หลัก (main) ได้จาก PR ✅ ฟีเจอร์ pull_request_target ทำให้โค้ดจาก fork มีสิทธิ์เข้าถึง token หรือ secrets ได้   • เพราะ workflow จะรันด้วย GITHUB_TOKEN และ access ของ repo ต้นทาง ✅ โค้ดโจมตีอาจมาแบบไร้พิษภัย เช่น setup.py หรือ dependency ปลอม   • Spotipy ใช้ setup.py ฝังคำสั่ง  • MITRE แก้ dependency ให้รันโค้ดฝังใน workflow ✅ Sysdig แนะนำแนวทางป้องกันเบื้องต้น:   • แยก workflow เป็น 2 ส่วน: ส่วนตรวจสอบ PR แบบ read-only และส่วน sensitive สำหรับ merged เท่านั้น   • ไม่ให้ PR จาก fork เข้าถึง token   • ใช้ Falco Actions หรือระบบ real-time detection ช่วยตรวจ ‼️ การตั้งค่า GitHub Actions ผิดพลาดเพียงบรรทัดเดียว อาจเปิดทางให้แฮกเกอร์เข้ายึด repo ได้   • โดยเฉพาะหากใช้ pull_request_target โดยไม่มี guard ‼️ แฮกเกอร์สามารถขโมย secrets หรือครองสิทธิ์ repo ผ่านการ merge PR อันตรายได้ทันที   • หากไม่มีการแยกสิทธิ์หรือใช้ token แบบจำกัดขอบเขต ‼️ แม้โค้ดจะผ่าน PR review ได้ดี แต่ workflows จะรัน “ก่อน” ที่ reviewer ได้ดูไฟล์   • เปิดโอกาสให้โค้ดฝัง payload มาได้ก่อน merge ‼️ โปรเจกต์โอเพ่นซอร์สที่เปิดรับ Pull Request ต้องเพิ่มมาตรการตรวจสอบ workflow   • ไม่ควรใช้ค่า default โดยไม่เข้าใจ scope และสิทธิของ GitHub Actions https://www.techradar.com/computing/artificial-intelligence/jaw-dropping-flaws-found-in-open-source-projects-could-allow-hackers-to-take-away-entire-projects-heres-what-devs-need-to-know
    0 Comments 0 Shares 331 Views 0 Reviews
  • Cock.li เป็นบริการอีเมลฟรีในเยอรมนีที่โด่งดังเรื่องความเป็นส่วนตัว โดยเฉพาะในกลุ่มผู้ใช้งานสาย underground หรือแฮกเกอร์ เพราะไม่ต้องยืนยันตัวตนและไม่แสดงโฆษณา แต่ล่าสุดมี แฮกเกอร์ออกมาขายฐานข้อมูลของ Cock.li ถึง 2 ชุดในดาร์กเว็บ โดยอ้างว่ามีข้อมูลกว่า 1 ล้านบัญชี!

    หลังตรวจสอบแล้ว ทางผู้ดูแล Cock.li ยอมรับว่าการเจาะเกิดจากช่องโหว่ของระบบเว็บเมล Roundcube ที่เลิกใช้ไปแล้ว โดยผู้โจมตีสามารถดึงเอาข้อมูลจากตาราง “users” และ “contacts” ออกไปได้

    ในฐานข้อมูลมีทั้งอีเมล, เวลาล็อกอินล่าสุด, การตั้งค่าผู้ใช้ (signature, ภาษา) รวมถึง contact ที่เก็บไว้ (vCard) จากกว่า 10,000 คน รวมทั้งหมดกว่า 93,000 รายการ ถึงแม้จะไม่มีรหัสผ่านหรือ IP หลุด แต่ก็พอให้แฮกเกอร์รู้พฤติกรรมของผู้ใช้ได้มาก

    ทีมงานรีบบอกให้ผู้ใช้เปลี่ยนรหัสผ่านทันที และเตือนว่าบัญชีที่ใช้ Roundcube หรือเคยล็อกอินระบบตั้งแต่ปี 2016 อาจมีความเสี่ยงทั้งสิ้น

    Cock.li ยืนยันการถูกเจาะระบบ และข้อมูลผู้ใช้กว่า 1 ล้านรายหลุดออกไป  
    • แฮกเกอร์ขายฐานข้อมูล 2 ชุดใน dark web  
    • รวมผู้ใช้ที่ล็อกอินผ่าน Roundcube ตั้งแต่ปี 2016

    ฐานข้อมูลที่หลุดมีข้อมูลหลากหลาย ได้แก่:  
    • อีเมล, เวลาล็อกอิน, ภาษาที่เลือก, การตั้งค่าบน Roundcube  
    • รายชื่อผู้ติดต่อ (contact) กว่า 93,000 entries จากผู้ใช้ ~10,400 ราย

    ช่องโหว่มาจากระบบ Roundcube ที่ถูกถอดออกไปแล้ว  
    • เป็น Remote Code Execution ที่กำลังถูกโจมตีในวงกว้าง  
    • Cock.li ระบุว่า “ไม่ว่าจะเวอร์ชันใด เราจะไม่ใช้ Roundcube อีก”

    ทีมงานแนะให้เปลี่ยนรหัสผ่านทันทีแม้ไม่พบรหัสผ่านหลุด  
    • เพื่อป้องกันการถูกใช้ช่องโหว่เดิมหรือข้อมูลถูกโยงเข้ากับบัญชีอื่น

    Cock.li เป็นอีเมลฟรีที่เคยได้รับความนิยมในหมู่แฮกเกอร์และผู้ใช้สาย privacy
    • เพราะไม่ต้องยืนยันตัวตนและไม่มีโฆษณา

    แม้จะไม่มีรหัสผ่านหลุด แต่อาจนำไปใช้ประกอบกับข้อมูลจากแหล่งอื่นเพื่อโจมตีแบบ spear phishing ได้  
    • โดยเฉพาะผู้ที่ใช้บัญชีเดียวกันกับบริการอื่น (reuse password)

    ผู้ใช้ที่บันทึก “ลายเซ็น” หรือข้อมูลส่วนตัวไว้ใน Roundcube มีความเสี่ยงข้อมูลถูกเปิดเผย  
    • เช่น เบอร์โทร, แท็ก GPG key, หรือที่อยู่

    Roundcube เป็นระบบเว็บเมลที่มีช่องโหว่จำนวนมาก และถูกใช้เป็นจุดโจมตีในหลายกรณี  
    • ไม่ควรใช้งานเวอร์ชันเก่าหรือปล่อยระบบโดยไม่มีการอัปเดต

    ผู้ให้บริการอีเมลฟรีที่ไม่ลงทุนในระบบความปลอดภัย มักไม่สามารถป้องกันเหตุลักษณะนี้ได้  
    • โดยเฉพาะบริการที่ไม่รองรับ MFA หรือไม่เข้ารหัสข้อมูลฝั่งเซิร์ฟเวอร์

    https://www.techradar.com/pro/security/top-email-hosting-provider-cock-li-hacked-over-a-million-user-records-stolen
    Cock.li เป็นบริการอีเมลฟรีในเยอรมนีที่โด่งดังเรื่องความเป็นส่วนตัว โดยเฉพาะในกลุ่มผู้ใช้งานสาย underground หรือแฮกเกอร์ เพราะไม่ต้องยืนยันตัวตนและไม่แสดงโฆษณา แต่ล่าสุดมี แฮกเกอร์ออกมาขายฐานข้อมูลของ Cock.li ถึง 2 ชุดในดาร์กเว็บ โดยอ้างว่ามีข้อมูลกว่า 1 ล้านบัญชี! หลังตรวจสอบแล้ว ทางผู้ดูแล Cock.li ยอมรับว่าการเจาะเกิดจากช่องโหว่ของระบบเว็บเมล Roundcube ที่เลิกใช้ไปแล้ว โดยผู้โจมตีสามารถดึงเอาข้อมูลจากตาราง “users” และ “contacts” ออกไปได้ ในฐานข้อมูลมีทั้งอีเมล, เวลาล็อกอินล่าสุด, การตั้งค่าผู้ใช้ (signature, ภาษา) รวมถึง contact ที่เก็บไว้ (vCard) จากกว่า 10,000 คน รวมทั้งหมดกว่า 93,000 รายการ ถึงแม้จะไม่มีรหัสผ่านหรือ IP หลุด แต่ก็พอให้แฮกเกอร์รู้พฤติกรรมของผู้ใช้ได้มาก ทีมงานรีบบอกให้ผู้ใช้เปลี่ยนรหัสผ่านทันที และเตือนว่าบัญชีที่ใช้ Roundcube หรือเคยล็อกอินระบบตั้งแต่ปี 2016 อาจมีความเสี่ยงทั้งสิ้น ✅ Cock.li ยืนยันการถูกเจาะระบบ และข้อมูลผู้ใช้กว่า 1 ล้านรายหลุดออกไป   • แฮกเกอร์ขายฐานข้อมูล 2 ชุดใน dark web   • รวมผู้ใช้ที่ล็อกอินผ่าน Roundcube ตั้งแต่ปี 2016 ✅ ฐานข้อมูลที่หลุดมีข้อมูลหลากหลาย ได้แก่:   • อีเมล, เวลาล็อกอิน, ภาษาที่เลือก, การตั้งค่าบน Roundcube   • รายชื่อผู้ติดต่อ (contact) กว่า 93,000 entries จากผู้ใช้ ~10,400 ราย ✅ ช่องโหว่มาจากระบบ Roundcube ที่ถูกถอดออกไปแล้ว   • เป็น Remote Code Execution ที่กำลังถูกโจมตีในวงกว้าง   • Cock.li ระบุว่า “ไม่ว่าจะเวอร์ชันใด เราจะไม่ใช้ Roundcube อีก” ✅ ทีมงานแนะให้เปลี่ยนรหัสผ่านทันทีแม้ไม่พบรหัสผ่านหลุด   • เพื่อป้องกันการถูกใช้ช่องโหว่เดิมหรือข้อมูลถูกโยงเข้ากับบัญชีอื่น ✅ Cock.li เป็นอีเมลฟรีที่เคยได้รับความนิยมในหมู่แฮกเกอร์และผู้ใช้สาย privacy • เพราะไม่ต้องยืนยันตัวตนและไม่มีโฆษณา ‼️ แม้จะไม่มีรหัสผ่านหลุด แต่อาจนำไปใช้ประกอบกับข้อมูลจากแหล่งอื่นเพื่อโจมตีแบบ spear phishing ได้   • โดยเฉพาะผู้ที่ใช้บัญชีเดียวกันกับบริการอื่น (reuse password) ‼️ ผู้ใช้ที่บันทึก “ลายเซ็น” หรือข้อมูลส่วนตัวไว้ใน Roundcube มีความเสี่ยงข้อมูลถูกเปิดเผย   • เช่น เบอร์โทร, แท็ก GPG key, หรือที่อยู่ ‼️ Roundcube เป็นระบบเว็บเมลที่มีช่องโหว่จำนวนมาก และถูกใช้เป็นจุดโจมตีในหลายกรณี   • ไม่ควรใช้งานเวอร์ชันเก่าหรือปล่อยระบบโดยไม่มีการอัปเดต ‼️ ผู้ให้บริการอีเมลฟรีที่ไม่ลงทุนในระบบความปลอดภัย มักไม่สามารถป้องกันเหตุลักษณะนี้ได้   • โดยเฉพาะบริการที่ไม่รองรับ MFA หรือไม่เข้ารหัสข้อมูลฝั่งเซิร์ฟเวอร์ https://www.techradar.com/pro/security/top-email-hosting-provider-cock-li-hacked-over-a-million-user-records-stolen
    0 Comments 0 Shares 263 Views 0 Reviews
More Results