📰 Comet: เบราว์เซอร์ AI ตัวแรกที่มาพร้อมระบบความปลอดภัยจาก 1Password — เมื่อผู้ช่วยส่วนตัวออนไลน์ต้องปลอดภัยตั้งแต่ต้นทาง ในยุคที่เบราว์เซอร์ไม่ใช่แค่เครื่องมือค้นหา แต่กลายเป็นผู้ช่วยส่วนตัวที่ “คิด วิเคราะห์ และตัดสินใจ” ได้เอง Comet จาก Perplexity คือเบราว์เซอร์ AI ตัวใหม่ที่ออกแบบมาเพื่อเปลี่ยนประสบการณ์ออนไลน์ให้ฉลาดขึ้น โดยใช้ AI ในการเข้าใจเจตนาและนำเสนอข้อมูลแบบตรงจุด แต่ความสามารถนี้ก็มาพร้อมความเสี่ยงด้านความปลอดภัยที่สูงขึ้น เพื่อรับมือกับความท้าทายนี้ Perplexity ได้จับมือกับ 1Password ผู้นำด้านการจัดการรหัสผ่าน เพื่อฝังระบบความปลอดภัยระดับสูงเข้าไปใน Comet ตั้งแต่ต้น โดยผู้ใช้สามารถติดตั้งส่วนขยายของ 1Password เพื่อจัดการรหัสผ่าน, passkeys, และข้อมูลล็อกอินต่าง ๆ ได้อย่างปลอดภัยผ่านระบบ end-to-end encryption และ zero-knowledge architecture Comet ยังเน้นการเก็บข้อมูลแบบ local storage โดยไม่ส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Perplexity ทำให้ผู้ใช้สามารถควบคุมสิ่งที่ AI เข้าถึงได้อย่างชัดเจน และลดความเสี่ยงจากการรั่วไหลของข้อมูลส่วนตัว ความร่วมมือครั้งนี้สะท้อนแนวคิดใหม่ของการพัฒนา AI — ไม่ใช่แค่ “ฉลาด” แต่ต้อง “ปลอดภัยโดยออกแบบ” เพื่อให้ผู้ใช้สามารถไว้วางใจและใช้งานได้อย่างมั่นใจในโลกออนไลน์ที่เต็มไปด้วยภัยคุกคาม ✅ Comet คือเบราว์เซอร์ AI ที่ออกแบบมาเพื่อเป็นผู้ช่วยส่วนตัวออนไลน์ ➡️ ใช้ AI วิเคราะห์เจตนาและนำเสนอข้อมูลแบบตรงจุด ➡️ เปลี่ยนเบราว์เซอร์จากเครื่องมือแบบ passive เป็นระบบที่ “คิดและตัดสินใจ” ได้ ✅ ความร่วมมือระหว่าง Perplexity และ 1Password ➡️ ฝังระบบ credential security เข้าไปใน Comet โดยตรง ➡️ ใช้ end-to-end encryption และ zero-knowledge architecture ✅ ส่วนขยาย 1Password สำหรับ Comet ➡️ รองรับการล็อกอิน, autofill, และจัดการรหัสผ่านแบบปลอดภัย ➡️ ซิงค์ข้อมูลข้ามอุปกรณ์และเบราว์เซอร์ได้ ➡️ สร้าง passkeys และรหัสผ่านที่แข็งแรงได้ทันที ✅ Comet เน้นความเป็นส่วนตัวของผู้ใช้ ➡️ เก็บข้อมูลการใช้งานไว้ในเครื่อง ไม่ส่งไปยังเซิร์ฟเวอร์ ➡️ ผู้ใช้สามารถควบคุมว่า AI เข้าถึงข้อมูลใด เมื่อใด และทำไม ✅ แนวคิด “ปลอดภัยโดยออกแบบ” สำหรับ AI ➡️ ไม่ให้ LLM เข้าถึงรหัสผ่านโดยตรง ➡️ ใช้ระบบ authorization ที่มีการกำหนดสิทธิ์แบบ deterministic ➡️ ทุกการเข้าถึงต้องมี audit trail เพื่อความโปร่งใส ‼️ คำเตือนเกี่ยวกับการใช้เบราว์เซอร์ AI ⛔ หากไม่มีระบบความปลอดภัยที่ดี AI อาจเข้าถึงข้อมูลสำคัญโดยไม่ได้ตั้งใจ ⛔ การใช้ LLM โดยไม่มีการควบคุมสิทธิ์ อาจทำให้เกิดการรั่วไหลของ credentials ⛔ ผู้ใช้ต้องเข้าใจว่า AI ไม่ควรได้รับ “raw secrets” ผ่าน prompt หรือ embedding ⛔ หากไม่มี audit trail องค์กรจะไม่สามารถตรวจสอบการเข้าถึงย้อนหลังได้ https://www.techradar.com/pro/security/1password-and-perplexity-partner-on-comet-ai-browser-a-full-time-personal-assistant-with-security-by-default

📰 Raven Stealer: มัลแวร์สายลับยุคใหม่ที่ขโมยข้อมูลจากเบราว์เซอร์แล้วส่งผ่าน Telegram — ภัยเงียบที่ซ่อนตัวในความเบา ภัยคุกคามไซเบอร์ล่าสุดที่ถูกเปิดโปงโดยทีม Lat61 Threat Intelligence จาก Point Wild คือมัลแวร์ชื่อ “Raven Stealer” ซึ่งแม้จะดูเล็กและเรียบง่าย แต่กลับมีความสามารถในการขโมยข้อมูลส่วนตัวจากเบราว์เซอร์ยอดนิยมอย่าง Chrome และ Edge ได้อย่างมีประสิทธิภาพ โดยใช้เทคนิคล้ำสมัย เช่น process hollowing และการส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ Raven Stealer ถูกเขียนด้วยภาษา Delphi และ C++ และถูกแจกจ่ายผ่านฟอรั่มใต้ดินหรือมากับซอฟต์แวร์เถื่อน โดยเมื่อถูกติดตั้ง มัลแวร์จะทำงานแบบไร้ร่องรอยในหน่วยความจำ ไม่ทิ้งไฟล์ไว้บนฮาร์ดดิสก์ ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยากมาก สิ่งที่ Raven ขโมยมีตั้งแต่รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต ไปจนถึง session cookies ที่สามารถใช้ข้ามระบบ MFA ได้ นอกจากนี้ยังสามารถขโมยข้อมูลจากแอปอื่น ๆ และกระเป๋าเงินคริปโตได้ด้วย โดยข้อมูลทั้งหมดจะถูกจัดเก็บใน ZIP แล้วส่งผ่าน Telegram API ไปยังผู้โจมตี ซึ่งมักใช้ Telegram เป็นช่องทางควบคุมและรับข้อมูลแบบ C2 (Command and Control) แม้การทดสอบบางครั้งจะล้มเหลวในการส่งข้อมูลเพราะ token ผิดพลาด แต่โครงสร้างของมัลแวร์นี้แสดงให้เห็นถึงแนวโน้มใหม่ของ “commodity malware” ที่แม้ผู้โจมตีจะไม่มีทักษะสูง ก็สามารถใช้เครื่องมือเหล่านี้ได้อย่างง่ายดาย ✅ Raven Stealer เป็นมัลแวร์ขโมยข้อมูลที่ถูกพัฒนาอย่างลับ ➡️ เขียนด้วย Delphi และ C++ ➡️ ถูกแจกจ่ายผ่านฟอรั่มใต้ดินและซอฟต์แวร์เถื่อน ✅ ใช้เทคนิค process hollowing เพื่อหลบเลี่ยงการตรวจจับ ➡️ ทำงานในหน่วยความจำโดยไม่ทิ้งไฟล์บนดิสก์ ➡️ ปลอมตัวเป็นโปรเซสของเบราว์เซอร์ เช่น chrome.exe ✅ ขโมยข้อมูลจากเบราว์เซอร์และแอปอื่น ๆ ➡️ รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต และ session cookies ➡️ ข้อมูลจากกระเป๋าเงินคริปโตและแอปอื่น ๆ ก็ถูกเก็บ ✅ ส่งข้อมูลผ่าน Telegram bot แบบเรียลไทม์ ➡️ ใช้ API /sendDocument เพื่อส่ง ZIP file ➡️ Telegram ถูกใช้เป็นช่องทางควบคุมและรับข้อมูล ✅ มีโครงสร้างที่เอื้อต่อผู้โจมตีที่ไม่มีทักษะสูง ➡️ ใช้ builder สร้าง payload ได้ง่าย ➡️ มี UI ที่เรียบง่ายและรองรับโมดูลแบบ dynamic ‼️ คำเตือนเกี่ยวกับความเสี่ยงจาก Raven Stealer ⛔ การทำงานแบบ in-memory ทำให้แอนตี้ไวรัสทั่วไปตรวจจับได้ยาก ⛔ session cookies ที่ถูกขโมยสามารถใช้ข้าม MFA ได้ ⛔ การใช้ Telegram เป็นช่องทางส่งข้อมูลอาจหลบเลี่ยง firewall ขององค์กร ⛔ ผู้ใช้ที่ดาวน์โหลดซอฟต์แวร์เถื่อนมีความเสี่ยงสูงต่อการติดมัลแวร์นี้ https://hackread.com/raven-stealer-malware-browsers-passwords-payment-data/

📰 อังกฤษแชมป์ด้านจับผิดเว็บหลอกลวง — แต่ยังมีช่องโหว่เรื่องความเป็นส่วนตัวในยุค AI จากผลการทดสอบ National Privacy Test โดย NordVPN ซึ่งสำรวจผู้ใช้งานกว่า 30,000 คนจาก 185 ประเทศ พบว่า “ชาวอังกฤษ” เป็นกลุ่มที่มีความสามารถโดดเด่นที่สุดในบรรดาประเทศที่ใช้ภาษาอังกฤษ ในการตรวจจับเว็บไซต์ฟิชชิ่งหรือเว็บหลอกลวง โดยอังกฤษติดอันดับที่ 5 ของโลกในด้านความรู้ไซเบอร์และความเป็นส่วนตัวออนไลน์ ในทางกลับกัน “ชาวอเมริกัน” กลับมีคะแนนต่ำในด้านนี้ โดยมีเพียง 31% เท่านั้นที่สามารถแยกแยะเว็บไซต์ฟิชชิ่งได้อย่างถูกต้อง ซึ่งถือเป็นช่องโหว่สำคัญในยุคที่การหลอกลวงออนไลน์มีความซับซ้อนมากขึ้นทุกวัน แม้ชาวอังกฤษจะเก่งเรื่องการตั้งรหัสผ่านและรู้จักวิธีหลีกเลี่ยงมัลแวร์ แต่กลับมีความรู้ต่ำมากในเรื่อง “ความเป็นส่วนตัวเมื่อใช้ AI ในที่ทำงาน” โดยมีเพียง 5% เท่านั้นที่ตอบคำถามด้านนี้ได้ถูกต้อง ซึ่งใกล้เคียงกับค่าเฉลี่ยทั่วโลกที่อยู่ที่ 6% นอกจากนี้ยังพบว่า คนอังกฤษจำนวนมากยังไม่รู้วิธีเก็บรักษารหัสผ่านอย่างปลอดภัย และไม่คุ้นเคยกับเครื่องมือออนไลน์ที่ช่วยปกป้องข้อมูลส่วนตัว เช่น VPN หรือ password manager ซึ่งเป็นสิ่งที่สามารถช่วยลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ได้อย่างมาก ✅ อังกฤษเป็นประเทศที่เก่งที่สุดในกลุ่มภาษาอังกฤษในการจับเว็บฟิชชิ่ง ➡️ ติดอันดับ 5 ของโลกในด้านความรู้ไซเบอร์จากการทดสอบของ NordVPN ➡️ มีความเข้าใจเรื่องมัลแวร์และการตั้งรหัสผ่านที่แข็งแรง (96%) ✅ สหรัฐฯ มีช่องโหว่ด้านการตรวจจับเว็บหลอกลวง ➡️ มีเพียง 31% ของผู้ตอบแบบสอบถามที่สามารถแยกแยะเว็บฟิชชิ่งได้ ➡️ คะแนนรวมของสหรัฐฯ อยู่ที่อันดับ 4 ร่วมกับเยอรมนี ✅ ความรู้เรื่องความเป็นส่วนตัวเมื่อใช้ AI ยังต่ำทั่วโลก ➡️ อังกฤษและสหรัฐฯ มีเพียง 5% ที่ตอบคำถามด้านนี้ได้ถูกต้อง ➡️ ค่าเฉลี่ยทั่วโลกอยู่ที่ 6% เท่านั้น ✅ ช่องโหว่ด้านการจัดการรหัสผ่านยังมีอยู่มาก ➡️ มีเพียง 21% ของชาวอังกฤษที่รู้วิธีเก็บรหัสผ่านอย่างปลอดภัย ➡️ เครื่องมืออย่าง password manager ยังไม่เป็นที่รู้จักแพร่หลาย ✅ เครื่องมือช่วยป้องกันฟิชชิ่งมีบทบาทสำคัญ ➡️ NordVPN Threat Protection Pro สามารถบล็อกเว็บอันตรายและสแกนมัลแวร์ ➡️ ทำงานได้แม้ไม่มีการเชื่อมต่อ VPN โดยตรง https://www.techradar.com/vpn/vpn-privacy-security/brits-are-better-than-americans-at-spotting-phishing-scams-nordvpn-study-shows

🔐 “Pass: ผู้จัดการรหัสผ่านสาย Unix ที่เรียบง่ายแต่ทรงพลัง — เมื่อความปลอดภัยอยู่ในมือคุณผ่าน GPG และ Git” ในยุคที่ผู้คนต้องจัดการรหัสผ่านมากมายจากบริการออนไลน์ต่าง ๆ “Pass” ได้กลายเป็นเครื่องมือที่ได้รับความนิยมในหมู่ผู้ใช้ Unix และ Linux เพราะมันยึดหลักปรัชญา Unix อย่างแท้จริง — เรียบง่าย ใช้ได้จริง และไม่พึ่งพาโครงสร้างซับซ้อน Pass คือ shell script ขนาดเล็กที่จัดเก็บรหัสผ่านไว้ในไฟล์ที่ถูกเข้ารหัสด้วย GPG โดยแต่ละไฟล์จะตั้งชื่อตามเว็บไซต์หรือบริการที่ใช้รหัสนั้น เช่น Email/zx2c4.com หรือ Business/cheese-whiz-factory ซึ่งสามารถจัดหมวดหมู่เป็นโฟลเดอร์ได้ตามใจผู้ใช้ ผู้ใช้สามารถเพิ่ม แก้ไข ลบ หรือสร้างรหัสผ่านใหม่ได้ด้วยคำสั่งเดียว เช่น pass insert, pass edit, pass generate และยังสามารถคัดลอกรหัสผ่านไปยัง clipboard ได้ชั่วคราวด้วย pass -c ซึ่งจะล้างข้อมูลออกจาก clipboard ภายใน 45 วินาทีเพื่อความปลอดภัย Pass ยังรองรับการติดตามการเปลี่ยนแปลงผ่าน Git โดยทุกการแก้ไขจะถูกบันทึกเป็น commit ทำให้สามารถย้อนดูประวัติได้ และยังสามารถ sync ข้ามเครื่องด้วย pass git push และ pass git pull ที่น่าสนใจคือ Pass ไม่ได้จำกัดแค่รหัสผ่านเท่านั้น — ผู้ใช้สามารถจัดเก็บข้อมูลอื่น ๆ เช่น URL, คำถามลับ, PIN หรือ metadata ได้ในรูปแบบ multiline หรือแยกไฟล์ตามโฟลเดอร์ ซึ่งเปิดโอกาสให้ผู้ใช้จัดระเบียบข้อมูลได้ตามสไตล์ของตัวเอง นอกจากนี้ยังมี community ที่แข็งแกร่ง ซึ่งสร้าง extension และ GUI มากมาย เช่น pass-otp สำหรับรหัส OTP, qtpass สำหรับผู้ใช้ GUI, และ passff สำหรับใช้งานร่วมกับ Firefox รวมถึงเครื่องมือ import จาก password manager อื่น ๆ เช่น LastPass, KeePass และ 1Password ✅ จุดเด่นของ Pass ➡️ ใช้ GPG เข้ารหัสรหัสผ่านแต่ละรายการในไฟล์แยก ➡️ จัดเก็บใน ~/.password-store และสามารถจัดหมวดหมู่เป็นโฟลเดอร์ ➡️ ใช้คำสั่งง่าย ๆ เช่น insert, edit, generate, rm และ -c เพื่อจัดการรหัสผ่าน ➡️ รองรับการติดตามผ่าน Git และ sync ข้ามเครื่องได้ ✅ ความสามารถเพิ่มเติม ➡️ รองรับ multiline สำหรับจัดเก็บข้อมูลมากกว่ารหัสผ่าน เช่น URL, PIN, คำถามลับ ➡️ สามารถใช้ GPG key หลายตัวในระบบเดียวกัน — เหมาะกับการใช้งานเป็นทีม ➡️ มี bash/zsh/fish completion เพื่อความสะดวกในการใช้งาน ➡️ รองรับ extension เช่น pass-otp, pass-update, pass-import และ GUI เช่น qtpass, passmenu ✅ ข้อมูลเสริมจากภายนอก ➡️ Pass ถูกพัฒนาโดย Jason Donenfeld และเปิดให้ใช้งานภายใต้ GPLv2+ ➡️ มี community ที่แข็งแกร่งและมีการพัฒนาอย่างต่อเนื่อง ➡️ รองรับการติดตั้งผ่านแพ็กเกจของ Linux หลาย distro และ Homebrew บน macOS ➡️ มีเครื่องมือ import จาก password manager อื่น ๆ เช่น LastPass, KeePass, 1Password https://www.passwordstore.org/

🧨 “ChillyHell กลับมาหลอน macOS อีกครั้ง — มัลแวร์ผ่านการรับรองจาก Apple แอบใช้ Google.com บังหน้า” มัลแวร์ macOS ที่เคยเงียบหายไปอย่าง ChillyHell กลับมาอีกครั้งในปี 2025 พร้อมความสามารถที่ซับซ้อนและแนบเนียนกว่าเดิม โดยนักวิจัยจาก Jamf Threat Labs พบตัวอย่างใหม่ที่ถูกอัปโหลดขึ้น VirusTotal เมื่อเดือนพฤษภาคม ซึ่งน่าตกใจคือมันมีคะแนนตรวจจับเป็น “ศูนย์” และยังผ่านกระบวนการ notarization ของ Apple อย่างถูกต้อง ทำให้สามารถรันบน macOS ได้โดยไม่ถูกเตือนจาก Gatekeeper ChillyHell เป็นมัลแวร์แบบ backdoor ที่มีโครงสร้างแบบ modular เขียนด้วย C++ สำหรับเครื่อง Intel-based Mac โดยสามารถติดตั้งตัวเองแบบถาวรผ่าน 3 วิธี ได้แก่ LaunchAgent, LaunchDaemon และ shell profile injection เช่น .zshrc หรือ .bash_profile เพื่อให้เริ่มทำงานทุกครั้งที่เปิดเครื่องหรือเปิดเทอร์มินัลใหม่ เมื่อทำงานแล้ว มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่าน DNS หรือ HTTP โดยใช้ IP ที่ถูก hardcoded ไว้ และสามารถรับคำสั่งจากผู้โจมตี เช่น เปิด reverse shell, ดาวน์โหลด payload ใหม่, อัปเดตตัวเอง หรือแม้แต่ใช้ brute-force เพื่อเจาะรหัสผ่านของผู้ใช้ โดยมีโมดูลเฉพาะสำหรับการโจมตี Kerberos authentication เพื่อหลบเลี่ยงการตรวจจับ ChillyHell ใช้เทคนิค timestomping เพื่อเปลี่ยนวันที่ของไฟล์ให้ดูเก่า และเปิดหน้า Google.com ในเบราว์เซอร์เพื่อเบี่ยงเบนความสนใจของผู้ใช้ ทำให้ดูเหมือนว่าไม่มีอะไรผิดปกติเกิดขึ้น แม้ Apple จะรีบเพิกถอนใบรับรองนักพัฒนาที่เกี่ยวข้องทันทีหลังได้รับรายงานจาก Jamf แต่เหตุการณ์นี้สะท้อนถึงช่องโหว่สำคัญในระบบความปลอดภัยของ macOS ที่ไม่สามารถป้องกันมัลแวร์ที่ได้รับการรับรองอย่างเป็นทางการได้ ✅ รายละเอียดของมัลแวร์ ChillyHell ➡️ เป็น backdoor แบบ modular เขียนด้วย C++ สำหรับ Intel-based Macs ➡️ ผ่านการ notarization ของ Apple ตั้งแต่ปี 2021 โดยไม่มีการตรวจพบ ➡️ ถูกอัปโหลดขึ้น VirusTotal ในปี 2025 โดยมีคะแนนตรวจจับเป็นศูนย์ ➡️ ถูกพบว่าเคยถูกโฮสต์บน Dropbox แบบสาธารณะตั้งแต่ปี 2021 ✅ วิธีการติดตั้งและการทำงาน ➡️ ติดตั้งตัวเองแบบถาวรผ่าน LaunchAgent, LaunchDaemon และ shell profile injection ➡️ เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่าน DNS และ HTTP ด้วย IP ที่ถูก hardcoded ➡️ ใช้โมดูลต่าง ๆ เช่น reverse shell, payload loader, updater และ brute-force password cracker ➡️ ใช้เทคนิค timestomping เพื่อเปลี่ยนวันที่ไฟล์ให้ดูเก่าและหลบเลี่ยงการตรวจสอบ ✅ กลยุทธ์ในการหลบซ่อน ➡️ เปิดหน้า Google.com ในเบราว์เซอร์เพื่อเบี่ยงเบนความสนใจของผู้ใช้ ➡️ ปรับพฤติกรรมการสื่อสารกับเซิร์ฟเวอร์เพื่อหลบเลี่ยงการตรวจจับ ➡️ ใช้ shell command เช่น touch -c -a -t เพื่อเปลี่ยน timestamp หากไม่มีสิทธิ์ระบบ ➡️ ทำงานแบบเงียบ ๆ โดยไม่มีการแจ้งเตือนหรือพฤติกรรมผิดปกติที่ชัดเจน ✅ ข้อมูลเสริมจากภายนอก ➡️ ChillyHell เคยถูกเชื่อมโยงกับกลุ่ม UNC4487 ที่โจมตีเว็บไซต์ในยูเครน ➡️ มัลแวร์นี้มีความสามารถคล้าย RAT (Remote Access Trojan) แต่ซับซ้อนกว่า ➡️ Modular backdoor ที่มี brute-force capability ถือว่าแปลกใหม่ใน macOS ➡️ Jamf และ Apple ร่วมมือกันเพิกถอนใบรับรองนักพัฒนาที่เกี่ยวข้องทันที https://hackread.com/chillyhell-macos-malware-resurfaces-google-com-decoy/

🔐 “Signal เปิดตัวฟีเจอร์ Secure Backups สำรองข้อมูลแบบเข้ารหัส ปลอดภัยขั้นสุด!” ลองจินตนาการว่า...คุณใช้ Signal เป็นช่องทางหลักในการสื่อสารกับคนสำคัญ ไม่ว่าจะเป็นข้อความหวานๆ รูปครอบครัว หรือเอกสารลับทางธุรกิจ แล้ววันหนึ่งโทรศัพท์คุณพังหรือหาย—ทุกอย่างหายไปหมด ไม่มีทางกู้คืนได้เลย นั่นคือปัญหาที่ Signal เพิ่งแก้ไขด้วยฟีเจอร์ใหม่ “Secure Backups” ซึ่งเปิดให้ใช้ในเวอร์ชันเบต้าบน Android แล้ว และจะตามมาใน iOS และ Desktop เร็วๆ นี้ ฟีเจอร์นี้ให้ผู้ใช้ “เลือกเปิดใช้งานเอง” (opt-in) เพื่อสำรองข้อมูลการสนทนาแบบเข้ารหัสปลายทาง (end-to-end encrypted) โดยไม่มีใคร—including Signal เอง—สามารถเข้าถึงได้ ยกเว้นคุณคนเดียวผ่าน “รหัสกู้คืน” ที่ยาวถึง 64 ตัวอักษร ซึ่งถ้าคุณทำหาย ก็ไม่มีใครช่วยคุณได้เลย ที่น่าสนใจคือ Signal ยังเปิดตัวระบบสมัครสมาชิกแบบเสียเงินครั้งแรกในประวัติศาสตร์ของแอป เพื่อให้คุณสามารถสำรองไฟล์มีเดียย้อนหลังเกิน 45 วันได้ โดยคิดค่าบริการเพียง $1.99 ต่อเดือน ซึ่งถือว่าถูกมากเมื่อเทียบกับบริการอื่นที่มักแลกมาด้วยการขายข้อมูลผู้ใช้ และทั้งหมดนี้ยังคงยึดมั่นในหลักการ “ไม่เก็บข้อมูลผู้ใช้” และ “ไม่ผูกบัญชีสำรองกับตัวตนของผู้ใช้” ซึ่งเป็นหัวใจของ Signal มาตลอด ✅ ฟีเจอร์ใหม่: Secure Backups ➡️ เปิดให้ใช้ในเวอร์ชันเบต้าบน Android แล้ว ➡️ จะขยายไปยัง iOS และ Desktop ในอนาคต ➡️ เป็นฟีเจอร์แบบ opt-in ผู้ใช้ต้องเปิดใช้งานเอง ➡️ สำรองข้อมูลแบบเข้ารหัสปลายทาง (end-to-end encryption) ➡️ สำรองข้อความทั้งหมดและไฟล์มีเดียย้อนหลัง 45 วันได้ฟรี ➡️ มีระบบสมัครสมาชิก $1.99/เดือน สำหรับการสำรองไฟล์มีเดียย้อนหลังเกิน 45 วัน ➡️ ใช้เทคโนโลยี zero-knowledge ไม่ผูกกับบัญชีผู้ใช้หรือข้อมูลการชำระเงิน ➡️ สำรองข้อมูลใหม่ทุกวันโดยอัตโนมัติ ➡️ ข้อมูลที่ถูกตั้งให้ลบภายใน 24 ชั่วโมงจะไม่ถูกสำรองไว้ ✅ ความปลอดภัยของระบบ ➡️ ใช้รหัสกู้คืน 64 ตัวอักษรที่สร้างบนอุปกรณ์ของผู้ใช้ ➡️ Signal ไม่สามารถเข้าถึงหรือกู้คืนรหัสนี้ได้ ➡️ แนะนำให้เก็บรหัสไว้ในที่ปลอดภัย เช่น สมุดโน้ตหรือ password manager ➡️ ไม่มีการเชื่อมโยงข้อมูลสำรองกับบัญชีผู้ใช้โดยตรง ‼️ คำเตือนสำคัญ ⛔ หากทำรหัสกู้คืนหาย จะไม่สามารถกู้คืนข้อมูลได้อีกเลย ⛔ ข้อมูลที่ถูกลบหรือตั้งให้หายไปภายใน 24 ชั่วโมงจะไม่อยู่ในสำรอง ⛔ ผู้ใช้ต้องเปิดใช้งานฟีเจอร์เอง มิฉะนั้นจะไม่มีการสำรองข้อมูลใดๆ ⛔ การสำรองข้อมูลมีข้อจำกัดในเวอร์ชันฟรี (45 วันของไฟล์มีเดีย) https://signal.org/blog/introducing-secure-backups/

🎙️ เมื่อรหัสผ่านองค์กรกลายเป็นจุดอ่อน – และแฮกเกอร์ไม่ต้องพยายามมากอีกต่อไป ในปี 2025 รายงาน Blue Report ของ Picus Security เผยข้อมูลที่น่าตกใจว่า ใน 46% ขององค์กรที่ทำการทดสอบ มีรหัสผ่านอย่างน้อยหนึ่งชุดถูกเจาะสำเร็จ เพิ่มขึ้นจาก 25% ในปี 2024 ซึ่งสะท้อนถึงปัญหาที่เรื้อรังมานาน: การใช้รหัสผ่านที่อ่อนแอและนโยบายที่ล้าสมัย แม้จะมีการรณรงค์เรื่องความปลอดภัยมาหลายปี แต่หลายองค์กรยังคงใช้รหัสผ่านที่เดาง่าย ซ้ำซาก หรือไม่บังคับให้เปลี่ยนรหัสอย่างสม่ำเสมอ บางแห่งยังใช้วิธีเก็บ hash แบบ MD5 หรือ SHA-1 ซึ่งถูกแฮกได้ง่ายด้วยเทคนิค brute-force หรือ rainbow table ที่น่ากังวลกว่านั้นคือ การโจมตีด้วยรหัสผ่านที่ถูกขโมย (เช่นจาก phishing หรือ malware) มีอัตราความสำเร็จสูงถึง 98% และการป้องกันการขโมยข้อมูล (data exfiltration) สำเร็จเพียง 3% เท่านั้น ซึ่งลดลงจาก 9% ในปีที่แล้ว ผู้เชี่ยวชาญเตือนว่าองค์กรต้องเปลี่ยนจากแนวคิด “ตั้งค่าแล้วปล่อยไว้” ไปสู่การตรวจสอบระบบอย่างต่อเนื่อง และใช้มาตรการเชิงรุก เช่น MFA, การวิเคราะห์พฤติกรรมผู้ใช้, และการจัดการสิทธิ์แบบละเอียด 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ 46% ขององค์กรที่ทดสอบมีรหัสผ่านถูกเจาะสำเร็จอย่างน้อยหนึ่งชุด ➡️ เพิ่มขึ้นจาก 25% ในปี 2024 สะท้อนถึงการใช้รหัสผ่านที่อ่อนแอและนโยบายล้าสมัย ➡️ การโจมตีด้วยรหัสผ่านที่ถูกขโมยมีอัตราความสำเร็จสูงถึง 98% ➡️ การป้องกันการขโมยข้อมูลสำเร็จเพียง 3% ลดลงจาก 9% ในปีที่แล้ว ➡️ แฮกเกอร์ใช้เทคนิค brute-force, rainbow table, password spraying และ infostealer malware ➡️ การเก็บ hash แบบ MD5 หรือ SHA-1 ไม่ปลอดภัยอีกต่อไป ➡️ ควรใช้ bcrypt, Argon2 หรือ scrypt ร่วมกับ salt และ pepper เพื่อเพิ่มความปลอดภัย ➡️ ช่องโหว่เกิดจากการตั้งค่าระบบที่ไม่ต่อเนื่อง เช่น logging gaps และ detection rule ที่ไม่แม่นยำ ➡️ การตรวจจับพฤติกรรมผิดปกติ เช่น การเคลื่อนไหวภายในระบบ (lateral movement) ยังมีประสิทธิภาพต่ำ ➡️ การใช้ MFA และการจัดการสิทธิ์แบบละเอียดเป็นมาตรการพื้นฐานที่ควรมี ✅ ข้อมูลเสริมจากภายนอก ➡️ Infostealer malware เพิ่มขึ้น 3 เท่าในปี 2025 และเป็นภัยหลักในการขโมย credentials ➡️ การโจมตีแบบ Valid Accounts (MITRE ATT&CK T1078) เป็นวิธีที่แฮกเกอร์นิยมใช้ ➡️ Ransomware เช่น BlackByte, BabLock และ Maori ยังเป็นภัยที่ป้องกันได้ยาก ➡️ การตรวจจับการค้นหาข้อมูลระบบ (System Discovery) มีประสิทธิภาพต่ำกว่า 12% ➡️ การเปลี่ยนแนวคิดเป็น “assume breach” ช่วยให้ตอบสนองต่อภัยคุกคามได้เร็วขึ้น https://www.csoonline.com/article/4042464/enterprise-passwords-becoming-even-easier-to-steal-and-abuse.html

🎙️ GodRAT – มัลแวร์ที่แฝงตัวในภาพ ส่งผ่าน Skype เพื่อเจาะระบบธุรกิจ ในช่วงปลายปี 2024 ถึงต้นปี 2025 นักวิจัยจาก Kaspersky ได้ค้นพบมัลแวร์ตัวใหม่ชื่อว่า “GodRAT” ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ผ่านแอป Skype เพื่อเจาะระบบของธุรกิจขนาดเล็กและกลาง (SMBs) ในตะวันออกกลางและเอเชีย GodRAT ถูกซ่อนไว้ในไฟล์ภาพที่ดูเหมือนเอกสารการเงิน โดยใช้เทคนิค “steganography” เพื่อฝัง shellcode ที่เมื่อเปิดใช้งาน จะดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ของผู้โจมตี เมื่อมัลแวร์เข้าสู่ระบบ มันจะเก็บข้อมูลสำคัญ เช่น ระบบปฏิบัติการ ชื่อโฮสต์ รายชื่อโปรแกรมป้องกันไวรัส และบัญชีผู้ใช้ จากนั้นสามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น ตัวขโมยรหัสผ่าน หรือโปรแกรมสำรวจไฟล์ และในบางกรณี ยังมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างถาวร นักวิจัยเชื่อว่า GodRAT เป็นวิวัฒนาการของมัลแวร์ AwesomePuppet ที่เชื่อมโยงกับกลุ่มแฮกเกอร์ Winnti (APT41) โดยมีโค้ดคล้ายกับ Gh0st RAT ซึ่งเป็นมัลแวร์เก่าที่ถูกใช้มานานกว่า 15 ปี แม้ว่า Skype จะไม่ใช่ช่องทางหลักในการทำงานอีกต่อไป แต่การใช้แอปที่ไม่ปลอดภัยยังคงเป็นช่องโหว่สำคัญที่องค์กรต้องระวัง 📌 สรุปเนื้อหาเป็นหัวข้อ ➡️ Kaspersky พบมัลแวร์ใหม่ชื่อ GodRAT ถูกส่งผ่าน Skype ในรูปแบบไฟล์ screensaver ➡️ ใช้เทคนิค steganography ซ่อน shellcode ในภาพที่ดูเหมือนเอกสารการเงิน ➡️ เมื่อเปิดไฟล์ มัลแวร์จะดาวน์โหลดจากเซิร์ฟเวอร์ของผู้โจมตี ➡️ GodRAT เก็บข้อมูลระบบ เช่น OS, hostname, antivirus, และบัญชีผู้ใช้ ➡️ สามารถติดตั้งปลั๊กอินเพิ่มเติม เช่น FileManager และ password stealer ➡️ บางกรณีมีการติดตั้ง AsyncRAT เพื่อเข้าถึงระบบอย่างต่อเนื่อง ➡️ เหยื่อส่วนใหญ่คือ SMBs ใน UAE, ฮ่องกง, จอร์แดน และเลบานอน ➡️ GodRAT เป็นวิวัฒนาการจาก AwesomePuppet และมีโค้ดคล้าย Gh0st RAT ➡️ การโจมตีสิ้นสุดการใช้ Skype ในเดือนมีนาคม 2025 และเปลี่ยนไปใช้ช่องทางอื่น ➡️ Source code ของ GodRAT ถูกพบใน VirusTotal ตั้งแต่กรกฎาคม 2024 ✅ ข้อมูลเสริมจากภายนอก ➡️ Gh0st RAT เป็นมัลแวร์ที่มีต้นกำเนิดจากจีน และถูกใช้โดยกลุ่ม APT มานาน ➡️ Steganography เป็นเทคนิคที่นิยมใช้ในการซ่อนมัลแวร์ในไฟล์ภาพหรือเสียง ➡️ AsyncRAT เป็นเครื่องมือควบคุมระยะไกลที่สามารถขโมยข้อมูลและควบคุมระบบ ➡️ การใช้ Skype ในองค์กรลดลง แต่ยังมีบางธุรกิจที่ใช้เป็นช่องทางสื่อสาร ➡️ การโจมตีลักษณะนี้มักเน้นเป้าหมายที่ไม่มีระบบป้องกันระดับสูง https://www.techradar.com/pro/security/still-use-skype-at-work-bad-news-hackers-are-targeting-it-with-dangerous-malware

🍟 จากฟรีนักเก็ตสู่ช่องโหว่ระดับองค์กร – เมื่อ McDonald’s ลืมล็อกประตูดิจิทัล เรื่องเริ่มต้นจากนักวิจัยด้านความปลอดภัยนามว่า “BobDaHacker” ที่แค่อยากได้ McNuggets ฟรีจากแอปของ McDonald’s แต่กลับพบว่าการตรวจสอบคะแนนสะสมทำแค่ฝั่งผู้ใช้ (client-side) ทำให้สามารถปลดล็อกของรางวัลได้แม้ไม่มีคะแนน เมื่อเขาขุดลึกลงไป ก็พบช่องโหว่ใน “Feel-Good Design Hub” ซึ่งเป็นแพลตฟอร์มภายในของ McDonald’s ที่ใช้สำหรับจัดการแบรนด์และสื่อการตลาดในกว่า 120 ประเทศ โดยระบบเดิมใช้รหัสผ่านฝั่งผู้ใช้ในการป้องกันข้อมูลลับ! แม้ McDonald’s จะใช้เวลาถึง 3 เดือนในการแก้ไขระบบให้มีการล็อกอินแบบแยกสำหรับพนักงานและพันธมิตร แต่ Bob พบว่าเพียงแค่เปลี่ยนคำว่า “login” เป็น “register” ใน URL ก็สามารถสร้างบัญชีใหม่และเข้าถึงข้อมูลลับได้ทันที ที่น่าตกใจยิ่งกว่าคือระบบส่งรหัสผ่านแบบ plain-text ทางอีเมล และไม่มีช่องทางรายงานช่องโหว่อย่างเป็นทางการ ทำให้ Bob ต้องโทรไปยังสำนักงานใหญ่และสุ่มชื่อพนักงานจาก LinkedIn เพื่อให้มีคนรับเรื่อง นอกจากนี้ยังพบ API Key ที่รั่ว, ระบบค้นหาที่เปิดเผยข้อมูลพนักงานทั่วโลก, ช่องโหว่ในระบบ GRS ที่เปิดให้ใครก็ได้ inject HTML และแม้แต่แอปทดลองของร้าน CosMc’s ที่สามารถใช้คูปองไม่จำกัดและแก้ไขคำสั่งซื้อได้ตามใจ ✅ ข้อมูลในข่าว ➡️ BobDaHacker พบช่องโหว่จากการตรวจสอบคะแนนสะสมในแอป McDonald’s ที่ทำแค่ฝั่ง client ➡️ ระบบ Feel-Good Design Hub ใช้รหัสผ่านฝั่ง client ในการป้องกันข้อมูลภายใน ➡️ เปลี่ยน “login” เป็น “register” ใน URL สามารถสร้างบัญชีและเข้าถึงข้อมูลลับได้ ➡️ ระบบส่งรหัสผ่านแบบ plain-text ทางอีเมล ซึ่งเป็นแนวปฏิบัติที่ไม่ปลอดภัย ➡️ ไม่มีช่องทางรายงานช่องโหว่อย่างเป็นทางการ ต้องโทรสุ่มชื่อพนักงานจาก LinkedIn ➡️ พบ API Key และ Algolia Index ที่รั่ว ทำให้สามารถส่ง phishing และดูข้อมูลพนักงาน ➡️ ระบบ TRT เปิดให้พนักงานทั่วไปค้นหาอีเมลของผู้บริหารและใช้ฟีเจอร์ “impersonation” ➡️ GRS Panel ไม่มีการยืนยันตัวตน ทำให้สามารถ inject HTML ได้ ➡️ แอป CosMc’s มีช่องโหว่ให้ใช้คูปองไม่จำกัดและแก้ไขคำสั่งซื้อได้ ✅ ข้อมูลเสริมจากภายนอก ➡️ การตรวจสอบฝั่ง client เป็นช่องโหว่พื้นฐานที่ควรหลีกเลี่ยงในระบบที่เกี่ยวข้องกับสิทธิ์หรือรางวัล ➡️ การส่งรหัสผ่านแบบ plain-text ขัดกับมาตรฐานความปลอดภัยสมัยใหม่ เช่น OWASP ➡️ security.txt เป็นมาตรฐานที่ใช้ระบุช่องทางรายงานช่องโหว่ แต่ McDonald’s ลบไฟล์นี้ออก ➡️ การไม่มีช่องทางรายงานที่ชัดเจนทำให้นักวิจัยอาจละทิ้งการแจ้งเตือน ➡️ การใช้ API Key แบบ hardcoded ใน JavaScript เป็นช่องโหว่ที่พบได้บ่อยในเว็บแอป ➡️ การเปิดเผยข้อมูลพนักงานระดับผู้บริหารอาจนำไปสู่ targeted phishing หรือ social engineering https://www.tomshardware.com/tech-industry/cyber-security/prompted-by-free-nuggets-security-researcher-uncovers-staggering-mcdonalds-internal-platform-vulnerability-changing-login-to-register-in-url-prompted-site-to-issue-plain-text-password-for-a-new-account

🧠🔐 เรื่องเล่าจากเครือข่ายส่วนตัว: Tailscale กับการเชื่อมต่อที่ง่าย ปลอดภัย และทรงพลัง ลองนึกภาพว่าคุณสามารถเชื่อมต่ออุปกรณ์ทุกชิ้นของคุณ—จากมือถือ คอมพิวเตอร์ ไปจนถึง Raspberry Pi—เข้าด้วยกันได้อย่างง่ายดาย โดยไม่ต้องตั้งค่าเครือข่ายให้ยุ่งยาก นั่นคือสิ่งที่ Tailscale ทำได้ Chris Smith ใช้ Tailscale มานานกว่า 4 ปี และเล่าประสบการณ์ว่า มันไม่ใช่แค่ VPN ธรรมดา แต่เป็นระบบที่ใช้ WireGuard เป็นแกนหลัก พร้อมฟีเจอร์เสริมที่ทำให้ชีวิตง่ายขึ้น เช่น: - เชื่อมต่ออุปกรณ์ผ่าน IP ส่วนตัวใน tailnet โดยไม่ต้องเปิดพอร์ตหรือแจก key - รองรับ SSH โดยไม่ต้องใช้ public key หรือ password - Expose บริการเฉพาะบนเครื่องให้เป็น node แยกใน tailnet - ใช้ MagicDNS เพื่อเรียกชื่อเครื่องแทน IP ได้ทันที - แชร์บริการผ่านอินเทอร์เน็ตด้วยฟีเจอร์ Funnel แบบ HTTPS โดยไม่ต้องติดตั้งอะไรเพิ่ม นอกจากนี้ Tailscale ยังมีฟีเจอร์ระดับองค์กร เช่น ACL, session recording, log streaming, และการจัดการผ่าน GitOps ที่ช่วยให้ควบคุมสิทธิ์และตรวจสอบการใช้งานได้อย่างละเอียด แต่ก็มีข้อควรระวัง เช่น การพึ่งพาเซิร์ฟเวอร์กลางของ Tailscale อาจเป็นข้อจำกัดด้านความเป็นส่วนตัว และการใช้งานในองค์กรขนาดใหญ่หรือแอปที่ต้องการ throughput สูงอาจไม่เหมาะนัก ✅ Tailscale ใช้ WireGuard เป็นแกนหลักในการสร้างเครือข่าย VPN ➡️ ช่วยให้เชื่อมต่ออุปกรณ์ต่าง ๆ ได้โดยไม่ต้องตั้งค่าเครือข่าย ✅ ติดตั้งง่าย ใช้งานได้ทันทีหลัง login โดยไม่ต้องแจก key หรือเปิดพอร์ต ➡️ รองรับหลายแพลตฟอร์ม เช่น Windows, macOS, Linux, iOS, Android ✅ รองรับ SSH โดยไม่ต้องใช้ public key หรือ password ➡️ ทำให้การเชื่อมต่อจากมือถือหรือเครื่องอื่นสะดวกขึ้น ✅ สามารถ expose บริการเฉพาะบนเครื่องให้เป็น node แยกใน tailnet ➡️ ใช้ Docker image, Go library หรือเครื่องมือ third-party ได้ ✅ MagicDNS ช่วยให้เรียกชื่อเครื่องแทน IP ได้ทันที ➡️ ลดความยุ่งยากในการจัดการ DNS ด้วยตนเอง ✅ Funnel ช่วยแชร์บริการผ่านอินเทอร์เน็ตแบบ HTTPS ได้ทันที ➡️ ไม่ต้องติดตั้งอะไรเพิ่ม ผู้ใช้ปลายทางไม่ต้องมี Tailscale https://chameth.com/how-i-use-tailscale/

🔓 เรื่องเล่าจากสายโทรศัพท์: เมื่อแฮกเกอร์แค่ “ขอรหัส” แล้วได้จริง ย้อนกลับไปในเดือนสิงหาคม 2023 บริษัท Clorox ผู้ผลิตน้ำยาฟอกขาวชื่อดัง ถูกโจมตีด้วยแรนซัมแวร์โดยกลุ่ม Scattered Spider ซึ่งใช้วิธีง่ายๆ อย่างการโทรไปยังฝ่าย IT ของ Cognizant—ผู้ให้บริการด้านเทคโนโลยีของ Clorox—แล้ว “ขอรหัสผ่าน” โดยแอบอ้างว่าเป็นพนักงาน สิ่งที่น่าตกใจคือ พนักงานของ Cognizant กลับให้รหัสผ่านโดยไม่ตรวจสอบตัวตนใดๆ ทั้งสิ้น! ไม่ถามชื่อผู้จัดการ ไม่ตรวจสอบอีเมล ไม่ใช้ระบบยืนยันตัวตนที่ Clorox เตรียมไว้เลยแม้แต่นิดเดียว ผลลัพธ์คือ Clorox ต้องหยุดการผลิต, ปิดระบบ IT, และใช้การจัดการคำสั่งซื้อแบบแมนนวลนานหลายสัปดาห์ รวมความเสียหายกว่า 380 ล้านดอลลาร์ และล่าสุด Clorox ได้ฟ้อง Cognizant ฐานประมาทเลินเล่ออย่างร้ายแรง ✅ Clorox ถูกโจมตีด้วยแรนซัมแวร์ในเดือนสิงหาคม 2023 โดยกลุ่ม Scattered Spider ➡️ ใช้วิธี social engineering โทรไปขอรหัสผ่านจากฝ่าย IT โดยแอบอ้างเป็นพนักงาน ➡️ ไม่ใช้มัลแวร์หรือเทคนิคซับซ้อนใดๆ ✅ Cognizant เป็นผู้ให้บริการ IT ที่ดูแลระบบภายในของ Clorox รวมถึงการรีเซ็ตรหัสผ่านและ MFA ➡️ มีหน้าที่ตรวจสอบตัวตนก่อนให้ข้อมูลสำคัญ ➡️ แต่กลับละเลยขั้นตอนทั้งหมดที่ Clorox กำหนดไว้ ✅ Clorox ฟ้อง Cognizant เรียกค่าเสียหาย 380 ล้านดอลลาร์ ➡️ รวมถึงค่าใช้จ่ายในการฟื้นฟูระบบกว่า 49 ล้านดอลลาร์ ➡️ และความเสียหายจากการหยุดผลิตและจัดส่งสินค้า ✅ มีหลักฐานเป็นบทสนทนาระหว่างแฮกเกอร์กับพนักงาน Cognizant ที่ให้รหัสโดยไม่ตรวจสอบ ➡️ “I don’t have a password, so I can’t connect.” ➡️ “Oh, ok. Ok. So, let me provide the password to you, okay?” ✅ ระบบที่ควรใช้คือ MyID และการตรวจสอบผ่านชื่อผู้จัดการและอีเมลยืนยัน ➡️ แต่ไม่ได้ถูกนำมาใช้เลยในเหตุการณ์นี้ ➡️ แสดงถึงความล้มเหลวในการฝึกอบรมและควบคุมคุณภาพ ‼️ การละเลยขั้นตอนตรวจสอบตัวตนสามารถเปิดช่องให้เกิดการโจมตีร้ายแรง ⛔ แม้จะมีระบบความปลอดภัยดีแค่ไหน แต่จุดอ่อนคือ “มนุษย์” ที่ไม่ทำตามขั้นตอน ⛔ การแอบอ้างตัวตนเป็นวิธีพื้นฐานที่ยังได้ผลในหลายองค์กร ‼️ การจ้างบริษัทภายนอกดูแลระบบ IT ต้องมีการกำกับและตรวจสอบอย่างเข้มงวด ⛔ ไม่ควรคิดว่า “จ้างแล้วจบ” โดยไม่ติดตามการปฏิบัติงานจริง ⛔ ควรมีสัญญาที่ระบุขั้นตอนความปลอดภัยอย่างชัดเจน ‼️ การตอบสนองต่อเหตุการณ์โจมตีต้องรวดเร็วและแม่นยำ ⛔ Clorox ระบุว่า Cognizantใช้เวลานานเกินไปในการติดตั้งเครื่องมือป้องกัน ⛔ ส่งผลให้การควบคุมความเสียหายล่าช้าไปหลายชั่วโมง ‼️ การละเมิดขั้นตอนพื้นฐานอาจนำไปสู่ความเสียหายระดับองค์กร ⛔ ไม่ใช่แค่ข้อมูลรั่ว แต่กระทบถึงการผลิต, การจัดส่ง, และความเชื่อมั่นของลูกค้า ⛔ อาจต้องใช้เวลาหลายเดือนในการฟื้นฟูภาพลักษณ์และระบบ https://www.tomshardware.com/tech-industry/cyber-security/it-provider-sued-after-it-simply-handed-the-credentials-to-hackers-clorox-claims-cognizant-gaffe-enabled-a-usd380m-ransomware-attack

🧠 เรื่องเล่าจากข่าว: เกมเอาชีวิตรอดที่ “ขโมยชีวิตดิจิทัล” ของคุณ ลองจินตนาการว่าคุณโหลดเกมเอาชีวิตรอดชื่อ Chemia จาก Steam เพื่อเล่นในช่วง Early Access แต่แทนที่จะได้สนุกกับการสร้างฐานและฝ่าฟันภัยพิบัติ คุณกลับโดนขโมยข้อมูลส่วนตัวและคริปโตแบบไม่รู้ตัว — นี่คือสิ่งที่เกิดขึ้นจริง! บริษัทความปลอดภัยไซเบอร์ Prodaft เปิดเผยว่าเกม Chemia ถูกฝังมัลแวร์ 3 สายพันธุ์ ได้แก่: - Fickle Stealer: ขโมยข้อมูลจากเบราว์เซอร์, password manager และ crypto wallet - Vidar Stealer: มัลแวร์แบบบริการ (Malware-as-a-Service) ที่เชื่อมต่อผ่านโซเชียลมีเดีย - HijackLoader: ตัวโหลดมัลแวร์ที่สามารถติดตั้งภัยคุกคามอื่นในอนาคต เกมนี้ถูกแจกผ่านระบบ Playtest ของ Steam ซึ่งต้องขอสิทธิ์เข้าถึงก่อนเล่น ทำให้ดูเหมือนปลอดภัย แต่จริง ๆ แล้วเป็นช่องทางที่แฮกเกอร์ใช้หลบเลี่ยงการตรวจสอบของแพลตฟอร์ม ✅ เกม Chemia ถูกใช้เป็นช่องทางแพร่มัลแวร์ ➡️ ฝังมัลแวร์ 3 ชนิด: Fickle Stealer, Vidar Stealer, HijackLoader ➡️ มัลแวร์ทำงานเมื่อผู้ใช้เปิดเกม โดยรันควบคู่กับแอปพลิเคชันจริง ✅ มัลแวร์แต่ละตัวมีหน้าที่เฉพาะ ➡️ Fickle Stealer: ใช้ PowerShell ขโมยข้อมูลระบบและไฟล์สำคัญ ➡️ Vidar Stealer: เชื่อมต่อผ่านโซเชียลมีเดียเพื่อส่งข้อมูล ➡️ HijackLoader: ใช้ติดตั้งมัลแวร์อื่นในอนาคต ✅ เกมถูกแจกผ่านระบบ Playtest ของ Steam ➡️ ต้องขอสิทธิ์ก่อนเล่น ทำให้ดูเหมือนปลอดภัย ➡️ ไม่มีรีวิวหรือข้อมูลจากนักพัฒนาอื่น ทำให้ตรวจสอบยาก ✅ นักพัฒนา Aether Forge Studios ไม่มีตัวตนชัดเจน ➡️ ไม่มีเว็บไซต์หรือโซเชียลมีเดียที่เชื่อมโยงกับเกม ➡️ อาจเป็นบัญชีปลอมที่ใช้หลอกลวงผู้ใช้ ✅ Prodaft เผยว่าแฮกเกอร์ชื่อ EncryptHub อยู่เบื้องหลัง ➡️ เคยมีประวัติการโจมตีแบบ spear-phishing ตั้งแต่ปี 2024 ➡️ แชร์ Indicators of Compromise (IOCs) บน GitHub เพื่อช่วยตรวจสอบ ‼️ เกมบนแพลตฟอร์มที่เชื่อถือได้ก็อาจไม่ปลอดภัย ⛔ Steam ไม่สามารถตรวจสอบมัลแวร์ในทุกเกมได้ทันที ⛔ ผู้ใช้มักเชื่อว่าการโหลดจาก Steam คือ “ปลอดภัยโดยอัตโนมัติ” ‼️ มัลแวร์สามารถขโมยข้อมูลสำคัญได้ทันทีที่เปิดเกม ⛔ ข้อมูลที่ถูกขโมยรวมถึงรหัสผ่าน, session token, และ crypto wallet ⛔ อาจนำไปสู่การสูญเสียทางการเงินและการขโมยตัวตน ‼️ ระบบ Early Access และ Playtest อาจถูกใช้เป็นช่องทางโจมตี ⛔ เกมที่ยังไม่เปิดตัวเต็มรูปแบบอาจไม่มีการตรวจสอบเข้มงวด ⛔ แฮกเกอร์ใช้ช่องโหว่นี้ในการฝังโค้ดอันตราย ‼️ ผู้ใช้ที่เคยเล่น Chemia ควรตรวจสอบระบบทันที ⛔ ลบเกมออกจากเครื่อง ⛔ สแกนมัลแวร์เต็มระบบ ⛔ เปลี่ยนรหัสผ่านทุกบัญชีที่เคยล็อกอินระหว่างเล่นเกม https://www.tomshardware.com/tech-industry/cyber-security/hacker-plants-three-strains-of-malware-in-a-steam-early-access-game-called-chemia-security-company-found-crypto-jacking-infostealers-and-a-backdoor-to-install-yet-more-malware-in-the-future

🎙️ เรื่องเล่าจากมัลแวร์ที่ปลอมตัวเป็น Chrome: เมื่อ Interlock แรนซัมแวร์ใช้ CAPTCHA หลอกให้รันคำสั่งเอง Interlock ถูกตรวจพบครั้งแรกในเดือนกันยายน 2024 และมีการโจมตีเพิ่มขึ้นในช่วงกลางปี 2025 โดย FBI พบว่า: - กลุ่มนี้พัฒนาแรนซัมแวร์สำหรับทั้ง Windows และ Linux - เน้นโจมตีระบบ virtual machine (VM) และใช้เทคนิคใหม่ในการเข้าถึงระบบ เทคนิคที่ใช้มีความแปลกใหม่ เช่น: - “Drive-by download” จากเว็บไซต์ที่ถูกแฮก โดยปลอมเป็นอัปเดตของ Chrome, Edge, FortiClient หรือ Cisco Secure Client - “ClickFix” — หลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วคัดลอกคำสั่งไปวางในหน้าต่าง Run ของระบบ เมื่อเข้าระบบได้แล้ว Interlock จะ: - ใช้ web shell และ Cobalt Strike เพื่อควบคุมระบบ - ขโมยข้อมูล เช่น username, password และใช้ keylogger บันทึกการพิมพ์ - เข้ารหัสไฟล์และเปลี่ยนนามสกุลเป็น .interlock หรือ .1nt3rlock - ส่งโน้ตร้องขอค่าไถ่ผ่านเว็บไซต์ .onion โดยไม่ระบุจำนวนเงิน - ข่มขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่เป็น Bitcoin — และเคยทำจริงหลายครั้ง FBI, CISA, HHS และ MS-ISAC แนะนำให้ทุกองค์กรเร่งดำเนินมาตรการป้องกัน เช่น: - ใช้ DNS filtering และ firewall เพื่อป้องกันการเข้าถึงเว็บอันตราย - อัปเดตระบบและซอฟต์แวร์ทั้งหมด - ใช้ MFA และจัดการสิทธิ์การเข้าถึงอย่างเข้มงวด - แบ่งเครือข่ายเพื่อลดการแพร่กระจาย - สำรองข้อมูลแบบ offline และไม่สามารถแก้ไขได้ (immutable backup) ✅ FBI และ CISA เตือนภัย Interlock ransomware ที่โจมตีองค์กรและโครงสร้างพื้นฐานสำคัญ ➡️ ใช้เทคนิค double extortion คือทั้งเข้ารหัสและข่มขู่เปิดเผยข้อมูล ✅ Interlock พัฒนาแรนซัมแวร์สำหรับ Windows และ Linux โดยเน้นโจมตี VM ➡️ ใช้เทคนิคใหม่ เช่น drive-by download และ ClickFix ✅ ClickFix คือการหลอกให้ผู้ใช้คลิก CAPTCHA ปลอม แล้วรันคำสั่งอันตรายเอง ➡️ เป็นการใช้ social engineering ที่แยบยลและยากต่อการตรวจจับ ✅ หลังเข้าระบบ Interlock ใช้ Cobalt Strike และ web shell เพื่อควบคุมและขโมยข้อมูล ➡️ รวมถึงการใช้ keylogger เพื่อดักจับการพิมพ์ ✅ ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .interlock หรือ .1nt3rlock ➡️ โน้ตร้องขอค่าไถ่ไม่ระบุจำนวนเงิน แต่ให้ติดต่อผ่าน Tor ✅ หน่วยงานแนะนำให้ใช้ DNS filtering, MFA, network segmentation และ backup แบบ immutable ➡️ พร้อมทรัพยากรฟรีจากโครงการ #StopRansomware https://hackread.com/fbi-cisa-interlock-ransomware-target-critical-infrastructure/

🎙️ เรื่องเล่าจากรหัสผ่านเดียวที่ล้มบริษัท 158 ปี KNP เป็นบริษัทขนส่งที่มีรถบรรทุกกว่า 500 คัน และพนักงานราว 700 คน โดยมีมาตรการด้านความปลอดภัยตามมาตรฐานอุตสาหกรรม รวมถึงประกันภัยไซเบอร์ แต่กลับถูกโจมตีด้วย ransomware ที่เริ่มต้นจากการ “เดารหัสผ่าน” ของพนักงานคนหนึ่ง แฮกเกอร์เข้าระบบได้และเข้ารหัสข้อมูลทั้งหมดของบริษัท — แม้จะมีประกัน แต่บริษัทประเมินว่าค่าไถ่อาจสูงถึง £5 ล้าน ซึ่งเกินกว่าที่จะจ่ายไหว สุดท้าย KNP ต้องปิดกิจการ และพนักงานทั้งหมดตกงาน Paul Abbott ผู้อำนวยการบริษัทบอกว่าเขาไม่เคยแจ้งพนักงานคนนั้นว่า “รหัสผ่านของเขาคือจุดเริ่มต้นของการล่มสลาย” เพราะไม่อยากให้ใครต้องแบกรับความรู้สึกผิดเพียงคนเดียว หน่วยงานด้านความมั่นคงไซเบอร์ของอังกฤษระบุว่า: - ปีที่ผ่านมา มีการโจมตี ransomware กว่า 19,000 ครั้ง - ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน - หนึ่งในสามของบริษัทเลือก “จ่ายเงิน” เพื่อให้ธุรกิจดำเนินต่อได้ Suzanne Grimmer จาก National Crime Agency เตือนว่า: 🔖 “ถ้าแนวโน้มนี้ยังดำเนินต่อไป ปีนี้จะเป็นปีที่เลวร้ายที่สุดสำหรับ ransomware ในสหราชอาณาจักร” ✅ KNP Logistics Group ถูกโจมตีด้วย ransomware จากรหัสผ่านที่เดาง่ายของพนักงาน ➡️ ส่งผลให้ข้อมูลทั้งหมดถูกเข้ารหัส และบริษัทไม่สามารถจ่ายค่าไถ่ได้ ✅ บริษัทมีพนักงานราว 700 คน และรถบรรทุกกว่า 500 คัน ➡️ เป็นหนึ่งในบริษัทขนส่งเก่าแก่ที่สุดในอังกฤษ ✅ ค่าไถ่ถูกประเมินว่าอาจสูงถึง £5 ล้าน แม้จะมีประกันภัยไซเบอร์ ➡️ เกินกว่าที่บริษัทจะรับไหว ทำให้ต้องปิดกิจการ ✅ หน่วยงานความมั่นคงไซเบอร์ของอังกฤษระบุว่ามี ransomware กว่า 19,000 ครั้งในปีที่ผ่านมา ➡️ ค่าไถ่เฉลี่ยอยู่ที่ £4 ล้าน และหนึ่งในสามของบริษัทเลือกจ่ายเงิน ✅ Paul Abbott ไม่แจ้งพนักงานเจ้าของรหัสผ่านว่าเป็นต้นเหตุของการล่มสลาย ➡️ เพื่อไม่ให้เกิดความรู้สึกผิดที่รุนแรงเกินไป ✅ ผู้เชี่ยวชาญระบุว่าแฮกเกอร์มัก “รอวันที่องค์กรอ่อนแอ” แล้วลงมือทันที ➡️ ไม่จำเป็นต้องเจาะระบบซับซ้อน แค่รหัสผ่านอ่อนก็พอ https://www.techspot.com/news/108749-one-weak-password-brought-down-158-year-old.html

🎙️ เรื่องเล่าจากโลกมืดของ UIA: เมื่อเครื่องมือสำหรับผู้พิการถูกใช้เป็นช่องทางลอบโจมตี UI Automation (UIA) เป็นระบบที่ Microsoft ออกแบบเพื่อช่วยให้เทคโนโลยีผู้ช่วย (assistive technologies) เช่น screen reader เข้าถึง UI ของซอฟต์แวร์ต่าง ๆ ได้ — แต่แฮกเกอร์พบว่า UIA สามารถใช้ “สแกน” หน้าต่างของโปรแกรมอื่น เพื่อดึงข้อมูลจากฟิลด์ต่าง ๆ ได้ โดยไม่ต้องเข้าถึง API หรือระบบเครือข่าย มัลแวร์ Coyote รุ่นล่าสุดจึงใช้ UIA ในการ: - ตรวจสอบว่าเหย้อติดต่อกับธนาคารหรือเว็บคริปโตหรือไม่ โดยวิเคราะห์ชื่อหน้าต่าง - หากไม่พบชื่อในลิสต์ 75 สถาบันที่ถูกตั้งไว้ล่วงหน้า จะใช้ UIA สแกน sub-elements เพื่อตรวจจับ field ที่น่าจะเกี่ยวกับการเงิน - ดึงข้อมูล เช่น username, password, หรือ address bar ได้โดยตรงผ่าน COM object ของ UIA เทคนิคนี้ช่วยให้มัลแวร์: - หลบหลีก endpoint detection software ได้ดีขึ้น - ทำงานได้ทั้งแบบ online และ offline - มีความยืดหยุ่นในการเข้าถึงหลายแอปและหลาย browser โดยไม่ต้องรู้โครงสร้างล่วงหน้า ✅ Coyote Trojan รุ่นใหม่ใช้ Microsoft UI Automation (UIA) ในการขโมยข้อมูลจากธนาคารและคริปโต ➡️ ถือเป็นมัลแวร์ตัวแรกที่นำ UIA ไปใช้จริงจากแนวคิด proof-of-concept ✅ UIA เป็น framework ที่ช่วยให้โปรแกรมเข้าถึง UI ของแอปอื่นผ่าน COM object ➡️ ทำให้สามารถอ่าน content ใน input field, address bar, และ sub-element ของหน้าต่างได้ ✅ Coyote ตรวจสอบชื่อหน้าต่างว่าเกี่ยวข้องกับสถาบันการเงินหรือไม่ ➡️ หากไม่ตรง จะใช้ UIA “ไต่” โครงสร้างหน้าต่างเพื่อหาข้อมูลแทน ✅ มัลแวร์มีลิสต์สถาบันการเงิน 75 แห่ง ซึ่งรวมถึงธนาคารและ crypto exchange ➡️ มีการ mapping เป็นหมวดหมู่ภายใน เพื่อใช้เลือกเป้าหมายและเทคนิคการโจมตี ✅ Coyote ยังส่งข้อมูลเครื่องกลับไปยัง C2 เช่น username, computer name, browser ➡️ แม้อยู่แบบ offline ก็ยังตรวจสอบและเก็บข้อมูลไว้ได้โดยไม่ต้องสื่อสารตลอดเวลา ✅ Akamai มีคำแนะนำให้ตรวจสอบ DLL ที่โหลด เช่น UIAutomationCore.dll ➡️ และใช้ osquery ตรวจสอบ named pipe ที่เกี่ยวข้องกับ UIA เพื่อจับพฤติกรรมผิดปกติ https://hackread.com/coyote-trojan-use-microsoft-ui-automation-bank-attacks/

🎙️ เรื่องเล่าจากรหัสลับในเฟิร์มแวร์: เมื่อ Wi-Fi ธุรกิจกลายเป็นช่องทางให้แฮกเกอร์เข้าระบบ ช่องโหว่หลักคือ CVE-2025-37103 ซึ่งมีคะแนนความรุนแรงถึง 9.8/10 (ระดับวิกฤต) โดยเกิดจากการที่มีบัญชีแอดมินแบบ hardcoded อยู่ในเฟิร์มแวร์ของอุปกรณ์ — ใครก็ตามที่รู้รหัสนี้สามารถ: - เข้าสู่ระบบในฐานะแอดมิน - เปลี่ยนการตั้งค่า - ติดตั้งมัลแวร์ - ควบคุมอุปกรณ์และเครือข่ายที่เชื่อมต่อ ช่องโหว่นี้ไม่มีวิธีแก้ชั่วคราว (no workaround) นอกจากการติดตั้งแพตช์ล่าสุดเท่านั้น นอกจากนี้ยังมีช่องโหว่รองอีกตัวคือ CVE-2025-37102 ซึ่งเป็นช่องโหว่ command injection ที่เปิดให้ผู้ใช้ที่มีสิทธิ์สูงสามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง — มีคะแนนความรุนแรง 7.2/10 (ระดับสูง) ✅ HPE พบช่องโหว่ร้ายแรงใน Aruba Instant On Access Points และออกแพตช์แล้ว ➡️ ช่องโหว่หลักคือ CVE-2025-37103 ที่มีรหัสแอดมินแบบ hardcoded ในเฟิร์มแวร์ ✅ ช่องโหว่นี้เปิดให้แฮกเกอร์เข้าถึงอุปกรณ์ในฐานะแอดมินโดยไม่ต้องยืนยันตัวตน ➡️ สามารถเปลี่ยนการตั้งค่า, ติดตั้งมัลแวร์ และควบคุมเครือข่ายได้ ✅ ช่องโหว่รองคือ CVE-2025-37102 เป็น command injection สำหรับผู้ใช้ที่มีสิทธิ์สูง ➡️ สามารถรันคำสั่งบนระบบปฏิบัติการได้โดยตรง ✅ Aruba Instant On เป็นอุปกรณ์ Wi-Fi สำหรับธุรกิจขนาดเล็กที่เน้นความง่ายและความปลอดภัย ➡️ แต่ช่องโหว่นี้ทำให้ความปลอดภัยถูกลดลงอย่างมาก ✅ ช่องโหว่ทั้งสองไม่มีวิธีแก้ชั่วคราว ต้องติดตั้งแพตช์เท่านั้น ➡️ HPE แนะนำให้ผู้ใช้รีบอัปเดตทันทีเพื่อป้องกันการโจมตี ✅ ช่องโหว่แบบ hardcoded credential มักเกิดจากการตั้งค่าชั่วคราวในช่วงพัฒนา ➡️ หากทีม DevSecOps ไม่ลบออกก่อนปล่อยผลิตภัณฑ์ จะกลายเป็นช่องโหว่ถาวร ‼️ ช่องโหว่ CVE-2025-37103 มีความรุนแรงระดับวิกฤตและสามารถถูกใช้โจมตีจากระยะไกล ⛔ หากไม่อัปเดตแพตช์ อุปกรณ์อาจถูกควบคุมโดยแฮกเกอร์ทันที ‼️ ไม่มีวิธีแก้ชั่วคราวสำหรับช่องโหว่ทั้งสอง ⛔ การป้องกันต้องอาศัยการติดตั้งแพตช์เท่านั้น ‼️ ช่องโหว่ command injection อาจถูกใช้ร่วมกับช่องโหว่อื่นเพื่อเจาะระบบลึกขึ้น ⛔ โดยเฉพาะในระบบที่มีผู้ใช้หลายระดับสิทธิ์ ‼️ การมีรหัสแอดมินแบบ hardcoded เป็นความผิดพลาดด้านความปลอดภัยที่ไม่ควรเกิดขึ้น ⛔ แสดงถึงการขาดการตรวจสอบในกระบวนการพัฒนาและปล่อยผลิตภัณฑ์ ‼️ อุปกรณ์ที่ไม่ได้รับการอัปเดตอาจกลายเป็นจุดเริ่มต้นของการโจมตีทั้งเครือข่าย ⛔ โดยเฉพาะในธุรกิจขนาดเล็กที่ไม่มีทีมรักษาความปลอดภัยเฉพาะทาง https://www.techradar.com/pro/security/hpe-warns-hardcoded-passwords-in-aruba-hardware-could-be-a-security-risk

🎙️ เรื่องเล่าจากช่องโหว่เดียว: โจมตีเซิร์ฟเวอร์ระดับโลกได้ด้วย 1 บรรทัด ช่องโหว่นี้มีชื่อว่า CVE-2025-47812 และเปิดเผยแบบ public บน GitHub เมื่อ 30 มิถุนายน 2025 — แต่เพียงหนึ่งวันหลังจากนั้น ก็มีการโจมตีจริงเกิดขึ้นทันที โดยนักวิจัยจาก Huntress พบว่า: - ช่องโหว่นี้อยู่ใน Wing FTP เวอร์ชันก่อน 7.4.4 (แพตช์ออก 14 พ.ค. 2025) - อาศัยการ ฉีด null byte เข้าในฟิลด์ชื่อผู้ใช้ - ทำให้ bypass authentication แล้วแนบโค้ด Lua ลงในไฟล์ session - เมื่อเซิร์ฟเวอร์ deserialize ไฟล์ session เหล่านั้น จะรันโค้ดในระดับ root/SYSTEM แม้การโจมตีบางครั้งถูกสกัดโดย Defender ของ Microsoft แต่พบพฤติกรรมหลายอย่าง เช่น: - การพยายามใช้ certutil และ cmd.exe เพื่อดาวน์โหลด payload - การสร้างผู้ใช้งานใหม่ในระบบ - การสแกน directory เพื่อหาช่องทางเข้าถึงอื่น มีเคสหนึ่งที่แฮกเกอร์ ต้องค้นหาวิธีใช้ curl แบบสด ๆ ระหว่างโจมตี แสดงให้เห็นว่าส่วนหนึ่งของผู้โจมตียังไม่ได้มีความเชี่ยวชาญเต็มที่ — แต่ช่องโหว่นั้นร้ายแรงมากจน “ต่อให้โจมตีไม่เก่งก็ยังสำเร็จได้” ✅ ช่องโหว่ CVE-2025-47812 ทำให้เกิดการรันโค้ดจากระยะไกลแบบไม่ต้องล็อกอิน ➡️ ใช้การฉีด null byte ในฟิลด์ username แล้วแนบโค้ด Lua ลงในไฟล์ session ✅ โค้ด Lua ที่ถูกแทรกจะถูกรันเมื่อเซิร์ฟเวอร์ deserialize session file ➡️ ทำงานในระดับ root บน Linux หรือ SYSTEM บน Windows ✅ นักวิจัยพบว่าแฮกเกอร์ใช้คำสั่งผ่าน cmd.exe และ certutil เพื่อดึง payload ➡️ พฤติกรรมคล้ายการเจาะระบบเพื่อฝัง backdoor และสร้างผู้ใช้ใหม่ ✅ Wing FTP Server ถูกใช้ในองค์กรระดับโลก เช่น Airbus และ USAF ➡️ ช่องโหว่นี้อาจกระทบระบบ sensitive และเครือข่ายภายใน ✅ แพตช์แก้ไขอยู่ในเวอร์ชัน 7.4.4 ซึ่งปล่อยตั้งแต่ 14 พฤษภาคม 2025 ➡️ แต่หลายองค์กรยังใช้เวอร์ชันก่อนหน้านั้น แม้ช่องโหว่ถูกเปิดเผยแล้ว ✅ นักวิจัยแนะนำให้ปิดการเข้าถึงผ่าน HTTP/S, ปิด anonymous login และตรวจ log session ➡️ เป็นมาตรการเบื้องต้นหากยังไม่สามารถอัปเดตเวอร์ชันได้ทันที ✅ ยังมีช่องโหว่อื่นอีก 3 ตัวที่พบ เช่นการดูด password ผ่าน JavaScript และการอ่านระบบ path ➡️ แต่ CVE-2025-47812 ถูกจัดว่า “รุนแรงที่สุด” เพราะสามารถเจาะระบบได้ครบทุกระดับ https://www.techradar.com/pro/security/hackers-are-exploiting-a-critical-rce-flaw-in-a-popular-ftp-server-heres-what-you-need-to-know

มีคนมาถามว่าลุงให้ Antivirus ยี่ห้ออะไร? ลุงใช้ Bitdefender ครับ 🎙️ เรื่องเล่าจากโลกไซเบอร์: Antivirus กับ Internet Security ยังต่างกันอยู่ไหม? ในยุคที่มัลแวร์แอบแฝงผ่านเว็บ, อีเมล, และไฟล์ต่าง ๆ ได้เนียนเหมือนภาพโฆษณา — คนจำนวนมากจึงตั้งคำถามว่า “ควรเลือกแค่ Antivirus หรือจ่ายเพิ่มเพื่อ Internet Security ดี?” 🔍 Antivirus คืออะไร Antivirus คือซอฟต์แวร์ที่ตรวจจับและกำจัดมัลแวร์จากไฟล์ในเครื่อง เช่น ไวรัส, หนอน (worm), โทรจัน ฯลฯ โดยอิงจากการเทียบ signature และการวิเคราะห์พฤติกรรม (heuristics) ล่าสุดยังรวมถึงการตรวจภัยออนไลน์ด้วย (ไม่ใช่เฉพาะไฟล์ในเครื่องเท่านั้นอีกต่อไป) 🌐 Internet Security Suite คืออะไร Internet Security Suite คือแพ็กเกจรวมหลายเครื่องมือ เช่น antivirus, firewall, VPN, password manager, และระบบควบคุมภัยคุกคามแบบเรียลไทม์ ช่วยป้องกันผู้ใช้จากภัยออนไลน์โดยเฉพาะ เช่น การฟิชชิ่ง, การถูกสอดแนม, การโดนแฮกผ่านเว็บ, และมัลแวร์จากเว็บที่แฝงมา ✅ Antivirus คือการป้องกันระดับ local ที่สแกนไฟล์ในเครื่อง ➡️ ใช้ signature-based และ heuristic-based detection เพื่อดักจับภัย ✅ Internet Security ครอบคลุมมากกว่า โดยเน้นการป้องกันภัยขณะออนไลน์ ➡️ ป้องกันฟิชชิ่ง, เว็บมัลแวร์, และการสอดแนมผ่านเครือข่าย ✅ ฟีเจอร์ที่มักมีใน Internet Security เช่น firewall, VPN, password manager ➡️ เสริมความปลอดภัยให้กับการใช้งานอินเทอร์เน็ตแบบครบวงจร ✅ ปัจจุบัน Antivirus หลายตัวใช้ cloud-based threat detection แล้ว ➡️ ความแตกต่างระหว่าง antivirus กับ internet security จึงเริ่มพร่ามัว ✅ ผู้ให้บริการเริ่มรวมทั้งสองไว้ในผลิตภัณฑ์เดียว ต่างกันแค่ “ระดับราคา” ➡️ เช่น Norton Antivirus (พื้นฐาน) กับ Norton 360 (พรีเมียม) ✅ Antivirus ฟรีบางตัวก็มีฟีเจอร์ internet security แล้ว เช่น Avast, Bitdefender ➡️ มี firewall, สแกน Wi-Fi, ป้องกัน ransomware และ phishing mail https://www.techradar.com/pro/security/antivirus-vs-internet-security-whats-the-difference

สมัคร membership YouTube ไม่ได้เพราะ ลืมรหัส Gmail ใช่ไหม? ดูขั้นตอนเปลี่ยนรหัสผ่านผ่านแอป Play Store บน Android ได้ที่นี่! 🔐 วิธีเปลี่ยนหรือรีเซ็ตรหัสผ่าน Gmail ผ่าน Play Store (Android) 1. เปิดแอป Play Store 2. แตะที่รูปโปรไฟล์ของคุณมุมขวาบน (วงกลมที่แสดงชื่อย่อหรือรูปภาพของคุณ) 3. ตรวจสอบอีเมลที่แสดงอยู่ - ต้องเป็น อีเมลเดียวกันกับที่คุณใช้ใน YouTube - หากไม่ใช่ ให้เปลี่ยนไปยังอีเมลที่ถูกต้องก่อน - กรุณาตรวจสอบให้แน่ใจว่าเป็นบัญชีที่ต้องการเปลี่ยนรหัสผ่านจริง ๆ 4. เลือกเมนู "จัดการบัญชี Google" (Google Account) 5. ไปที่แท็บ "ความปลอดภัย" (Security) - เลื่อนแถบเมนูด้านบน หรือเลื่อนหน้าจอลงมาจนเจอหัวข้อนี้ 6. แตะที่เมนู "รหัสผ่าน" (Password) - ระบบจะให้ใส่ รหัสปลดล็อกหน้าจอมือถือของคุณ ก่อนดำเนินการต่อ 7. ตั้งรหัสผ่านใหม่ - พิมพ์รหัสผ่านใหม่ที่คุณต้องการ - ยืนยันรหัสผ่านอีกครั้ง - กด "เปลี่ยนรหัสผ่าน" (Change Password) เพื่อยืนยันการเปลี่ยน ✅ หมายเหตุเพิ่มเติม - รหัสผ่านใหม่ควรมีความยาวอย่างน้อย 8 ตัวอักษร - ระบบให้ท่านตั้งรหัสโดย ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข ผสมกัน - หลังเปลี่ยนแล้ว ระบบอาจให้คุณเข้าสู่ระบบใหม่ในอุปกรณ์อื่น ๆ ด้วยรหัสผ่านใหม่ / ให้ยืนยัน #sondhitalk #สนธิ #youtube #สมัครสมาชิก #membership #thaitimes #ความจริงมีเพียงหนึ่งเดียว #android #Gmail #password #ลืมรหัส #Email

Scattered Spider เป็นกลุ่มแฮกเกอร์ที่เริ่มปรากฏตัวตั้งแต่ปี 2022 โดยใช้วิธี SIM-swapping และ ransomware โจมตีบริษัทโทรคมนาคมและบันเทิง เช่น MGM Resorts และ Caesars Entertainment แต่ในปี 2025 พวกเขาขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีก (Marks & Spencer, Harrods) และสายการบิน (Hawaiian, Qantas) สร้างความเสียหายหลายล้านดอลลาร์ เทคนิคที่ใช้ล่าสุดคือการหลอกพนักงาน help desk ด้วยข้อมูลส่วนตัวของผู้บริหาร เช่น วันเกิดและเลขประกันสังคม เพื่อรีเซ็ตอุปกรณ์และเข้าถึงบัญชีระดับสูง จากนั้นใช้สิทธิ์นั้นเจาะระบบ Entra ID (Azure AD), SharePoint, Horizon VDI และ VPN เพื่อควบคุมระบบทั้งหมด เมื่อถูกตรวจจับ กลุ่มนี้ไม่หนี แต่กลับโจมตีระบบอย่างเปิดเผย เช่น ลบกฎไฟร์วอลล์ของ Azure และปิด domain controller เพื่อขัดขวางการกู้คืนระบบ นักวิจัยจาก Rapid7 และ ReliaQuest พบว่า Scattered Spider: - ใช้เครื่องมือเช่น ngrok และ Teleport เพื่อสร้างช่องทางลับ - ใช้ IAM role enumeration และ EC2 Serial Console เพื่อเจาะระบบ AWS - ใช้บัญชีผู้ดูแลระบบที่ถูกแฮกเพื่อดึงข้อมูลจาก CyberArk password vault กว่า 1,400 รายการ แม้ Microsoft จะเข้ามาช่วยกู้คืนระบบได้ในที่สุด แต่เหตุการณ์นี้แสดงให้เห็นถึงความสามารถของกลุ่มแฮกเกอร์ที่ผสมผสาน “การหลอกมนุษย์” กับ “การเจาะระบบเทคนิค” ได้อย่างมีประสิทธิภาพ ✅ ข้อมูลจากข่าว - Scattered Spider เริ่มโจมตีตั้งแต่ปี 2022 โดยใช้ SIM-swapping และ ransomware - ขยายเป้าหมายไปยังอุตสาหกรรมค้าปลีกและสายการบินในปี 2025 - ใช้ข้อมูลส่วนตัวของผู้บริหารเพื่อหลอก help desk และเข้าถึงบัญชีระดับสูง - เจาะระบบ Entra ID, SharePoint, Horizon VDI, VPN และ CyberArk - ใช้เครื่องมือเช่น ngrok, Teleport, EC2 Serial Console และ IAM role enumeration - ลบกฎไฟร์วอลล์ Azure และปิด domain controller เพื่อขัดขวางการกู้คืน - Microsoft ต้องเข้ามาช่วยกู้คืนระบบ - Rapid7 และ ReliaQuest แนะนำให้ใช้ MFA แบบต้าน phishing และจำกัดสิทธิ์ผู้ใช้งาน ‼️ คำเตือนและข้อควรระวัง - การหลอก help desk ด้วยข้อมูลส่วนตัวยังคงเป็นช่องโหว่ใหญ่ขององค์กร - บัญชีผู้บริหารมักมีสิทธิ์มากเกินไป ทำให้แฮกเกอร์เข้าถึงระบบได้ง่าย - การใช้เครื่องมือ legitimate เช่น Teleport อาจหลบการตรวจจับได้ - หากไม่มีการตรวจสอบสิทธิ์และพฤติกรรมผู้ใช้อย่างสม่ำเสมอ องค์กรอาจไม่รู้ตัวว่าถูกแฮก - การพึ่งพา endpoint detection เพียงอย่างเดียวไม่สามารถป้องกันการเจาะระบบแบบนี้ได้ - องค์กรควรฝึกอบรมพนักงานเรื่อง social engineering และมีระบบตรวจสอบการรีเซ็ตบัญชีที่เข้มงวด https://www.csoonline.com/article/4020567/anatomy-of-a-scattered-spider-attack-a-growing-ransomware-threat-evolves.html

นี้คือการเคลียร์ใจครั้งใหญ่ของ AMD — หลังผู้ใช้ Ryzen เจอปัญหา “TPM ล้มเหลว + เครื่องเข้าสู่ BitLocker Recovery” โดยไม่มีใครรับผิดชอบเต็มๆ มาตั้งแต่ปี 2022 จนล่าสุด AMD ออกมาชี้แจงว่า ตนแก้ปัญหาให้ตั้งแต่ปีนั้นแล้ว แต่ “ผู้ผลิตเมนบอร์ดหลายรายไม่ยอมปล่อยอัปเดต” ใครที่ใช้ Ryzen Gen 1 ถึง Gen 3 อาจเคยเจอปัญหาเวลาเปิดเครื่องแล้ว BitLocker ขึ้น Recovery แบบไม่ทันตั้งตัว → สาเหตุที่แท้จริงคือ TPM Attestation ล้มเหลว (error 0x80070490) ทำให้ Windows ไม่มั่นใจว่าระบบยัง “น่าเชื่อถือ” อยู่หรือไม่ → ซึ่ง TPM คือชิปหรือเฟิร์มแวร์ที่ช่วยให้ Windows เข้ารหัสและตรวจสอบความปลอดภัยในเครื่อง → หากล้มเหลว เครื่องจะเข้าสู่ BitLocker Recovery ทันที และต้องใช้ “Recovery Key” ปลดล็อก Microsoft เคยบอกว่าปัญหานี้ถูกแก้แล้วใน firmware รุ่นใหม่ → แต่ผู้ใช้ยังเจออยู่ และคิดว่า AMD ไม่ยอมแก้ → ล่าสุด AMD ออกมาบอกว่า “เราอัปเดต TPM firmware ให้ผู้ผลิตบอร์ดตั้งแต่ปี 2022 แล้ว แต่บางรายไม่ยอมปล่อยให้ผู้ใช้โหลด” → สรุปคือต้นเหตุอยู่ที่ “เมนบอร์ดไม่ได้อัปเดต firmware” นั่นเอง AMD แนะนำให้รันคำสั่งนี้เพื่อเช็กว่าเครื่องคุณเจอปัญหานี้ไหม: ============================================ powershell.exe -Command Get-TPM ============================================ หากใช้ fTPM 3.*.0 บนเมนบอร์ด AM4 ก็มีโอกาสเจอบั๊กนี้ → AMD แนะนำให้ติดต่อผู้ผลิตบอร์ดโดยตรงเพื่อสอบถามว่า firmware รุ่นล่าสุดอัปเดตปัญหานี้หรือยัง → และถ้าจะอัปเดต TPM firmware ต้อง “Suspend BitLocker ก่อน” มิฉะนั้นเครื่องอาจล็อกถาวร! ✅ AMD ชี้แจงว่าแก้บั๊ก TPM Attestation Fail ตั้งแต่ปี 2022 แล้ว   • ส่ง firmware ให้ผู้ผลิตเมนบอร์ดเรียบร้อย  • แต่บางผู้ผลิต “ไม่ยอมปล่อยอัปเดตให้ผู้ใช้” ✅ ปัญหาหลักอยู่ที่เมนบอร์ด AMD fTPM 3..0 → พบใน Ryzen 1000 ถึง Ryzen 5000 (Zen1–Zen3)*   • โดยเฉพาะบนเมนบอร์ด AM4 ✅ อาการ: TPM ล้มเหลว → Windows เข้า BitLocker Recovery อัตโนมัติ   • ต้องมี Recovery Key หรือ Recovery Password เพื่อปลดล็อก ✅ AMD แนะนำให้เช็กสถานะ TPM โดยใช้คำสั่ง Powershell   • และติดต่อผู้ผลิตเมนบอร์ดเพื่อขอ TPM firmware รุ่นใหม่ ✅ หากจะอัปเดต TPM firmware → ควร Suspend BitLocker ชั่วคราวก่อน   • ไม่เช่นนั้นระบบอาจลบ TPM โดยไม่ตั้งใจ และเข้าล็อกทันทีเมื่อบูตใหม่ ✅ AMD เตือนว่า บางกรณี TPM fail ทำให้ผู้ใช้เล่นเกมออนไลน์ที่ต้องการ TPM ไม่ได้ https://www.neowin.net/news/amd-finally-clarifies-windows-tpm--bitlocker-bug-that-still-affects-ryzen-cpus/

ลองจินตนาการดูนะครับ — บริษัทเพิ่งสั่งพักงานพนักงานไอทีคนหนึ่งไป แต่ลืม “ตัดสิทธิ์เข้าถึงระบบ” ของเขาให้ทัน เวลาผ่านไปแค่ไม่กี่ชั่วโมง พนักงานคนนั้นกลับมาออนไลน์... แล้วก็: เปลี่ยนรหัสผ่านระบบทุกอย่าง - ปั่นป่วนระบบ multi-factor authentication ให้ทีมงานเข้าไม่ได้ - ทำให้กิจกรรมของพนักงานในอังกฤษ และลูกค้าในเยอรมนี–บาห์เรน ล่มยาวเป็นวัน เรื่องนี้เกิดขึ้นจริงกับ Mohammed Umar Taj วัย 31 ปีในเมืองลีดส์ อังกฤษ ซึ่งถูกตั้งข้อหาในปี 2022 และเพิ่งถูกตัดสินจำคุก 7 เดือน 14 วันในปี 2025 นี้ แค่วันเดียว “ระบบล่ม” ยังไม่แย่เท่า “ความเชื่อมั่นที่พังทลาย” เพราะลูกค้าก็เริ่มไม่มั่นใจในบริษัท และพนักงานเองก็ไม่สามารถเข้าทำงานได้ ต้องเสียเวลาฟื้นฟูระบบกันนาน นักสืบจากหน่วย cybercrime ยังเตือนว่า “องค์กรควรตัดสิทธิ์ของพนักงานทันทีเมื่อมีการเปลี่ยนสถานะงาน” เพราะแม้จะมีนโยบายแล้ว แต่ในความเป็นจริง ระบบบางอย่างก็ “ลบชื่อได้ช้า” หรือมีบัญชีที่ควบคุมยาก เช่น admin service หรือ credential ฝังอยู่ในสคริปต์ต่าง ๆ ✅ อดีตพนักงานไอทีในอังกฤษถูกตัดสินจำคุก 7 เดือน 14 วัน   • กรณีเข้าถึงระบบองค์กรอย่างผิดกฎหมายหลังถูกสั่งพักงาน   • เปลี่ยนรหัสผ่านและปั่นป่วนระบบ MFA ภายในไม่กี่ชั่วโมง ✅ ความเสียหายประเมินมูลค่ากว่า $200,000   • มาจากการล่มของระบบงาน   • ส่งผลต่อพนักงานภายใน + ลูกค้าต่างชาติ (เยอรมนี, บาห์เรน) ✅ ศาลเมืองลีดส์ตัดสินโทษภายใต้ข้อหาเจตนา “ขัดขวางการทำงานของระบบคอมพิวเตอร์” ✅ ตำรวจแนะนำให้องค์กรทบทวนขั้นตอนการจัดการสิทธิ์เข้าระบบของพนักงานทันทีเมื่อเกิดการเปลี่ยนแปลง ‼️ พนักงานที่ยังมี access หลังถูกพักงานหรือให้ออก เป็นช่องโหว่อันตรายมาก   • โดยเฉพาะในฝ่าย IT, DevOps, หรือ admin ที่มีสิทธิ์สูง ‼️ ระบบ MFA ที่ถูกปั่นป่วน อาจทำให้การกู้คืนระบบยากขึ้นหลายเท่า   • เพราะแม้มี backup แต่ไม่สามารถยืนยันตัวเพื่อเข้าไปฟื้นฟูได้ ‼️ พนักงานแค่คนเดียวสามารถสร้างความเสียหายระดับขัดขวางธุรกิจ-ทำลายความเชื่อมั่น ‼️ หลายองค์กรยังไม่มีระบบ “access kill-switch” หรือไม่ได้ฝึกซ้อม incident response กรณี internal sabotage ‼️ บัญชีที่ฝัง credentials ใน script หรือ service อัตโนมัติ มักไม่อยู่ภายใต้ระบบกำกับปกติ → เสี่ยงถูกใช้ย้อนกลับมาทำลาย https://www.tomshardware.com/tech-industry/cyber-security/rogue-it-worker-gets-seven-months-in-prison-over-usd200-000-digital-rampage-technician-changed-all-of-his-companys-passwords-after-getting-suspended

ใครเคยเบื่อกับการจำรหัสผ่านยาว ๆ หรือรำคาญเวลาต้องเปลี่ยนรหัสใหม่ทุก 90 วันบ้างครับ? ตอนนี้ Microsoft กำลังจะทำให้เรื่องพวกนั้นกลายเป็นอดีต เพราะ Windows 11 เริ่มรองรับการใช้ Passkey แบบเต็มรูปแบบผ่านแอป 1Password แล้ว ก่อนหน้านี้ แม้เราจะได้ยินเรื่อง passkey จาก Google, Apple, หรือ FIDO2 มาสักพัก แต่ในฝั่ง Windows กลับยังใช้ยาก ต้องอาศัยการตั้งค่าผ่านแอปอื่นหรือใช้กับเว็บไซต์บางเจ้าเท่านั้น ล่าสุด Microsoft เปิดให้ทดสอบฟีเจอร์นี้ในเวอร์ชัน Insider Preview โดย: - ผู้ใช้สามารถเก็บและใช้ passkey ที่ผูกกับบัญชี Windows ได้เลย - รองรับการยืนยันตัวตนด้วย Windows Hello (เช่น สแกนลายนิ้วมือ, ใบหน้า, หรือ PIN) - ปลดล็อกให้ 1Password มาเป็น “ตัวจัดการ passkey” แทนรหัสผ่านปกติได้โดยตรง นี่คือจุดเริ่มต้นของระบบ login แบบไร้รหัสผ่าน (passwordless) ที่ปลอดภัยและลื่นไหลที่สุดตั้งแต่มี Windows มาเลยครับ ✅ Windows 11 รองรับ Passkey แบบเต็มตัวผ่านการร่วมมือกับ 1Password   • ผู้ใช้สามารถเก็บ–ใช้ passkey จาก 1Password ได้ในระบบ Windows โดยตรง   • ทำงานร่วมกับ Windows Hello เพื่อยืนยันตัวตน ✅ Microsoft ปล่อยฟีเจอร์ใน Windows 11 Insider Build 26200.5670 (KB5060838)   • ต้องเปิดใช้ผ่าน Settings > Passkeys > Advanced > Credential Manager Plugin   • จากนั้นเปิดใช้งานและยืนยันตนผ่าน Windows Hello ✅ มี Credential Manager API ใหม่สำหรับให้ password manager รายอื่นพัฒนา integration กับ Windows ได้ในอนาคต ✅ Microsoft กำลังทยอยเปลี่ยนระบบใหม่ทั้งหมดเป็น “passkey-first”   • เริ่มจาก Microsoft Authenticator ที่จะลบการเก็บรหัสผ่านในเดือนสิงหาคม 2025   • สร้างบัญชี Microsoft ใหม่จะไม่ให้ใช้ password แต่ใช้ passkey แทน https://www.techradar.com/pro/security/its-about-time-microsoft-finally-rolls-out-better-passkey-integration-in-windows

นักวิจัยจาก Rapid7 รายงานว่า แฮกเกอร์สามารถถอดรหัส “รหัสผ่านเริ่มต้น” ของอุปกรณ์ Brother, Toshiba และ Konica Minolta ได้ง่าย ๆ แค่รู้หมายเลขเครื่อง (serial number) เพราะบริษัทใช้สูตรคำนวณที่ predictable ซึ่งตอนนี้ถูกเปิดเผยออกมาแล้ว ปัญหาคือ Brother ไม่สามารถ patch ช่องโหว่นี้ได้แบบซอฟต์แวร์ เพราะมันถูกฝังมาตั้งแต่กระบวนการผลิต ทำให้ เครื่องรุ่นที่ผลิตก่อนมี.ค. 2025 มีความเสี่ยงทั้งหมด นอกจากนี้ Rapid7 ยังเผยว่าเจอช่องโหว่อื่นอีก 7 จุด ซึ่งเปิดทางให้แฮกเกอร์ทำสิ่งเหล่านี้ได้: - เข้าควบคุมเครื่องจากระยะไกล - ดึงข้อมูลสำคัญ - สั่งให้เครื่อง crash หรือหยุดทำงานทันที บางช่องโหว่ร้ายแรงถึงขั้นแค่ต่อพอร์ต TCP 9100 ก็ทำเครื่องล่มได้แล้ว (CVE-2024-51982) ข่าวดีคือ Brother และแบรนด์อื่นได้ปล่อยเฟิร์มแวร์อัปเดตสำหรับปิดรูรั่วแล้วครับ — แต่ข่าวร้ายคือ มีผู้ใช้จำนวนมากที่ยังไม่รู้และไม่ได้อัปเดต! ✅ ช่องโหว่ร้ายแรง CVE-2024-51978 เปิดให้แฮกเกอร์เดารหัสผ่านเริ่มต้นจากหมายเลขเครื่องได้   • ส่งผลกับอุปกรณ์ Brother, Toshiba และ Konica Minolta   • Brother แก้ไม่ได้ในระดับเฟิร์มแวร์ เพราะฝังไว้ในกระบวนการผลิต   • เครื่องที่ผลิตหลังมี.ค. 2025 จะปลอดภัยขึ้นเพราะใช้ระบบรหัสใหม่ ✅ นักวิจัยพบช่องโหว่อื่นรวม 8 จุด ครอบคลุมกว่า 689 รุ่นของเครื่องพิมพ์–สแกน–ทำป้ายจากหลายแบรนด์   • รุ่นจาก Fujifilm, Ricoh, Toshiba และ Konica Minolta ก็ได้รับผลกระทบ ✅ Brother ออกเฟิร์มแวร์อัปเดตเพื่อแก้บั๊กที่เหลือแล้ว พร้อม security advisory บนเว็บไซต์ทางการ   • ระบุวิธีปิด WSD, ปิด TFTP, และเปลี่ยนรหัสผ่าน admin ✅ ผู้ใช้งานควรเข้าเว็บไซต์ผู้ผลิตเพื่อตรวจสอบว่าอุปกรณ์ตนเองอยู่ในกลุ่มเสี่ยงหรือไม่   • Brother มีลิสต์รุ่นที่ได้รับผลกระทบบนเว็บ support ✅ การเปลี่ยนรหัสผ่าน admin เริ่มต้น ถือเป็นแนวทางป้องกันเบื้องต้นที่สำคัญที่สุด https://www.techspot.com/news/108484-brother-printer-owners-stop-using-default-password-asap.html

มัลแวร์ตัวนี้แอบแนบมากับแอปที่ดูเหมือนปกติ — เช่น แอปส่งข้อความ หรือแอปเทรดคริปโต — แล้วพอเรากดอนุญาตให้เข้าถึงรูปภาพ มันจะ “แอบเปิดกล้องหลัง” ใช้ AI อ่านตัวอักษรในภาพ (OCR) โดยเฉพาะภาพที่คนชอบแคปหน้าจอ “รหัสกู้คืน (recovery phrase)” ของกระเป๋าเงินคริปโตไว้ตอนสมัครใช้งานครั้งแรก ยิ่งไปกว่านั้น มันยัง เฝ้าดูภาพใหม่ ๆ ที่ถูกเพิ่มเข้ามาในแกลเลอรีอยู่ตลอด หากเราเผลอแคปรหัสคริปโตใหม่ ๆ ทีหลัง หรือมีภาพเอกสารสำคัญ ก็อาจถูกส่งออกโดยที่เราไม่รู้เลย นักวิจัยจาก Kaspersky ระบุว่า มัลแวร์นี้ถูกเผยแพร่ในสโตร์ตั้งแต่ต้นปี 2024 และแม้ปัจจุบันจะถูกลบออกแล้ว แต่ก็ยังมีเวอร์ชันที่แพร่ต่อผ่านเว็บนอกหรือแอป sideload อยู่ ✅ มัลแวร์ SparkKitty ใช้ OCR วิเคราะห์ภาพในเครื่องเพื่อขโมยรหัสคริปโตที่เป็น recovery phrase   • โดยเฉพาะภาพที่ผู้ใช้มักแคปเก็บไว้ตอนสมัครกระเป๋าเงินดิจิทัล ✅ พบแพร่กระจายทั้งใน Google Play และ App Store ตั้งแต่ต้นปี 2024   • แอปที่ติดมัลแวร์ชื่อ “SOEX” มียอดดาวน์โหลดเกิน 10,000 ครั้ง ✅ หลังติดตั้ง แอปจะขอสิทธิ์เข้าถึงรูปภาพ แล้วสแกนหาภาพที่มีรหัสกระเป๋าคริปโต   • หากพบ จะส่งข้อมูลกลับไปให้แฮกเกอร์แบบลับ ๆ ✅ มัลแวร์สามารถตรวจจับการเปลี่ยนแปลงในแกลเลอรีได้   • เช่น มีรูปใหม่เพิ่มเข้ามา หรือมีการลบภาพเดิม ✅ เป็นมัลแวร์ข้ามแพลตฟอร์มรุ่นแรกที่ใช้งาน OCR บนมือถือเพื่อขโมยข้อมูลจากภาพ ✅ Kaspersky เตือนผู้ใช้ให้สังเกตแอปที่ขอ permission เกินความจำเป็น โดยเฉพาะสิทธิ์การดู-แก้ไขภาพ หรือเพิ่ม certificate ✅ แนะนำให้เก็บ recovery phrase ไว้ใน encrypted vault เช่น password manager ที่น่าเชื่อถือ แทนการแคปภาพ https://www.techradar.com/pro/security/this-dangerous-new-malware-is-hitting-ios-and-android-phones-alike-and-its-even-stealing-photos-and-crypto