สรุปข่าวสาร IT Security ประจําสัปดาห์ ปีที่5 ฉบับที่1-5

ศูนย์เผยแพร่ประชาสมั พันธค์ วามปลอดภยั เทคโนโลยสี ารสนเทศ
สว่ นมาตรฐานและบรหิ ารความมนั่ คงปลอดภัย โทรศัพท.์ 0-2505-1081

อ่านขา่ วสาร IT Security ประจาํ สัปดาห์ ไดท้ ่ี http://10.0.52.86

สรุปขา่ วสาร IT Security ประจาํ สัปดาห์

ปีที่ 5 ฉบับที่ 1 วันที่ 1 มกราคม – 6 มกราคม พ.ศ. 2563

1. เกาหลีใต้เตรยี มติดตัง้ กล้อง AI ตรวจจบั อาชญากรรมในกรุงโซล

เขต Seocho ทางตอนใต้ของประเทศเกาหลใี ต้ รว่ มกับสถาบันวิจัยอเิ ล็กทรอนิกส์และโทรคมนาคม (ERTI) ประกาศเตรยี ม
ตดิ ต้งั กล้องวงจรปิดที่ใช้ซอฟต์แวร์ AI ในการประมวลผลตําแหน่ง เวลา และรูปแบบพฤตกิ รรมของผู้ท่ีเดินผา่ น เพ่ือตรวจสอบความ
เป็นไปได้ท่ีจะเกิดเหตุอาชญากรรม จํานวน 3,000 ตัวในเดือนกรกฎาคม 2020 นี้ โดยกล้องวงจรปิดดังกล่าวจะทําการตรวจสอบ
บุคคลที่เดินผ่านว่าเป็นการเดินตามปกติหรือกําลังติดตามคนอ่ืนอยู่โดยอัตโนมัติ รวมไปถึงตรวจจับอุปกรณ์สวมใส่ เช่น หมวก
หนา้ กาก แว่นตา และของท่ีบคุ คลนั้นๆ อยวู่ ่าเป็นวตั ถอุ ันตรายหรือไม่ เพอ่ื นําข้อมลู เหล่านม้ี าประมวลผลรวมกันและหาความเป็นไป
ไดท้ ี่จะเกิดเหตอุ าชญากรรมขน้ึ ถ้าความเป็นไปไดส้ ูงเกนิ กวา่ ทีก่ ําหนด กล้องจะแจ้งเตือนไปยังสาํ นักงานเขตและสถานีตาํ รวจใกล้เคยี ง
เพื่อส่งเจ้าหนา้ ทีม่ าตรวจสอบสถานที่ทีก่ ล้องตง้ั อยทู่ ันที

ข้อมูลจาก : <https://www.techtalkthai.com/etri-to-install-ai-camera-in-seoul-for-crime-detection/> วันท่ี: 03/01/2020

2. บราซิลส่ังปรับเฟสบุ๊ค 1.65 ล้านดอลลา่ ร์สหรัฐฯ เหตุจาก Cambridge Analytica

กระทรวงยุติธรรมของบราซิลได้ส่ังปรับเฟสบุ๊คจํานวน 1.65 ล้านดอลล่าร์สหรัฐฯ เซ่นเหตุการเปิดเผยข้อมูลส่วนตัวของ
ผู้ใช้งานในประเทศกว่า 443,000 คนผ่านทางแอปพลิเคชัน ‘This is Your Digital Life’ ซ่ึงเชื่อว่าข้อมูลน้ันถูกส่งต่อไปยัง
Cambridge Analytica โดยประเด็นคอื ข้อมลู ของผู้ใช้งานรั่วไหลผา่ นทางแอปพลิเคชัน This is Your Digital Life ซง่ึ ทางการเชอื่ ว่า
รวมอยู่ในข้อมูล 87 ล้านคนท่ี Cambridge Analytica ได้ไป นอกจากน้ีทางการยังโทษว่าเฟสบุ๊คไม่ได้ประกาศให้ผู้ใช้งานทราบถึง
ผลกระทบของการต้ังค่าความเปน็ สว่ นตัวกบั ขอ้ มูลอยา่ ง ‘Friends และ Friends of Friends’ ให้ดีพอ อย่างไรก็ตามมีความเห็นแย้ง
จากเฟสบ๊คุ วา่ ไม่มีหลกั ฐานที่ผู้ใชง้ านในบราซิลจะตกเป็นเหยื่อนั้นจึงเตรยี มสคู้ ดี โดยทางการบราซิลเปดิ โอกาสให้เฟสบุ๊คไดเ้ ข้าอทุ รณ์
ภายใน 10 วนั นับตงั้ แตป่ ระกาศ

ขอ้ มูลจาก : <https://www.techtalkthai.com/brazil-fines-facebook-for-1-65-million-for-data-privacy/> วันท่ี: 03/01/2020

3. ผูเ้ ชี่ยวชาญเผยสมาร์ททวี สี ามารถแอบตดิ ตามการรบั ชมของเราได้

The Washington Post พบว่าผู้ผลิตทีวีหลายรายกําลังแอบติดตามผู้ใช้งานด้วยการ Screenshot สิ่งที่กําลังรับชมและ
ส่งกลับไปหาเซิร์ฟเวอร์ ท้ังน้ีผู้ใช้งานส่วนใหญ่ได้อนุญาตการติดตามเหล่าน้ันได้ เทคโนโลยีอายุกว่า 10 ปีท่ีพูดถึงน้ันมีชื่อว่า
Automatic Content Recognition (ACR) ที่ไอเดียการทาํ งานก็คือทีวีจะทําการ Snapshot หน้าจอไม่ว่าจากต้นทางการรับชมใดก็
ตามทั้ง สตรีมมิ่ง ดวี ีดี เคเบิ้ล และแอปพลิเคชนั โดยจะมีการแปลงส่วนของพกิ เซลของหน้าจอไปเป็นชุดตวั เลขประกบกบั TV ID และ
สง่ กลบั ไปยงั เซริ ์ฟเวอร์ จากนน้ั กจ็ ากถกู นําไปเทยี บกับฐานขอ้ มูล (คล้ายกับแอปบนั ทึกเสยี งแลว้ ไปเทยี บฐานข้อมูลเพอื่ บอกเราว่าเพลง
นีช้ อื่ อะไร) สง่ิ ทีน่ ่าเศร้าก็คือผู้เช่ียวชาญเชือ่ ว่า 90% ของผ้ใู ช้งานยอมให้เกิดเหตกุ ารณ์นี้ได้อย่างไมไ่ ยดี หนาํ ซา้ํ บางคนเต็มใจมอบให้
เพ่ือช่วยอุตสาหกรรมทีวีด้วย นอกจากนี้ยังมีเทคนิคหลอกล่อ เช่น ทําไฮไลต์ปุ่มคําว่า ‘Accept’ หรืออย่างทีวีซัมซุง Permission
ของ ACR จะถูกซ่อนไว้ใน Term and Condition ซงึ่ มีการเลอื กไว้ใหก้ ่อนแล้วที่หลายคนไม่รูว้ า่ ปฏิเสธได้ รวมถึงท่หี ลายคนไม่ใส่ใจก็
เพราะถอื ว่าปกติ ดงั นัน้ แล้วการหลบซ่อนแค่นี้คงไมช่ ่วยอะไร

ขอ้ มลู จาก : <https://www.techtalkthai.com/smart-tv-are-tracking-your-watching-by-acr-technology/> วนั ท่ี: 02/01/2020

ศูนยเ์ ผยแพร่ประชาสมั พนั ธค์ วามปลอดภยั เทคโนโลยสี ารสนเทศ
สว่ นมาตรฐานและบรหิ ารความมนั่ คงปลอดภัย โทรศัพท์.0-2505-1081

อา่ นขา่ วสาร IT Security ประจาํ สัปดาห์ ได้ท่ี http://10.0.52.86

สรปุ ขา่ วสาร IT Security ประจาํ สปั ดาห์

ปที ี่ 5 ฉบับที่ 2 วันท่ี 7 – 13 มกราคม พ.ศ. 2563

1. บ ริษั ทในสห รัฐฯ ป ระกาศปิ ดทํ าการและป ลดพ นักงาน กว่า 300 คน
เหตุติดมัลแวร์เรยี กค่าไถ่ จ่ายเงินไปแล้วแต่ยงั กขู้ ้อมลู คนื ไม่ได้

บริษัท The Heritage Company ในรัฐอาคันซัส ประเทศสหรฐั อเมริกา ได้ประกาศปิดทําการช่ัวคราวพร้อมปลด
พนกั งานกวา่ 300 คน สาเหตุจากระบบไอทขี องบริษัทติดมลั แวร์เรียกค่าไถ่ โดยทางบริษัทไดจ้ ่ายเงนิ ค่าไถไ่ ปแลว้ แต่กลับไมไ่ ด้
รบั กญุ แจสําหรับใชป้ ลดลอ็ กขอ้ มลู กลับคืน ทางทีมไอทพี ยายามกู้คืนระบบแล้วแตไ่ ม่สามารถทาํ ได้ จึงจาํ เปน็ ต้องปดิ บางแผนก
และปลดพนกั งานกว่า 300 คนออกเพ่อื ลดภาระคา่ ใชจ้ า่ ย เหตุการณ์นเี้ ปน็ กรณศี กึ ษาทส่ี ําคัญ 2 อยา่ ง

1. การจา่ ยเงนิ ให้กบั ผู้พฒั นามัลแวรเ์ รยี กคา่ ไถ่นน้ั ไมส่ ามารถรับประกันได้ว่าจะสามารถกคู้ นื ข้อมลู ได้เสมอไป
2. การลงทนุ ดา้ นความม่ันคงปลอดภยั ไซเบอร์ โดยเฉพาะการวางแผนความตอ่ เนื่องทางธุรกิจ

(Business Continuity Plan หรอื BCP) นน้ั เป็นสิง่ จาํ เปน็

ข้อมลู จาก : <https://www.thaicert.or.th/newsbite/2020-01-07-01.html> วนั ที่: 07/01/2020

2. ระวงั ภัย พบอีเมลฟชิ ชิ่งโจมตผี ใู้ ช้ Office 365 หลอกใหต้ ิดตงั้ Add-Ins เพื่อสวมรอยบญั ชี

PhishLabs รายงานการโจมตีผู้ใช้ Office 365 โดยอาศัยการหลอกให้ติดต้ัง Add-Ins เพื่อให้ได้สิทธ์ิเข้าถึงข้อมูลในอีเมล
วธิ กี ารโจมตีผไู้ ม่หวงั ดจี ะสง่ อีเมลฟิชชิ่งหลอกวา่ ส่งมาจาก Office 365 (เช่น อ้างว่ามีการแชร์เอกสารมาเพอ่ื ขอใหช้ ่วยรีวิว) หากเหยื่อ
หลงเช่ือคลกิ ลิงกจ์ ะถูกพาไปยังหน้าเว็บไซตส์ ําหรับติดตงั้ Add-Ins ของ Office 365 ซงึ่ ตวั Add-Ins ดังกล่าวจะขอสทิ ธ์ใิ นการเข้าถึง
ขอ้ มลู อีเมลและรายชอ่ื ผ้ตู ิดตอ่ การโจมตีด้วยวธิ นี ้ีเหย่ือจะสังเกตความผิดปกตไิ ดย้ ากอกี ท้ังแมเ้ ปลี่ยนรหสั ผ่านไปแลว้ แต่ผู้ไม่หวงั ดกี ย็ ัง
สามารถเขา้ ถึงบัญชดี ังกล่าวไดเ้ พราะไม่ไดเ้ ปน็ การหลอกขโมยรหัสผ่านแตเ่ ปน็ การหลอกให้อนญุ าตสิทธ์แิ อปพลเิ คชนั โดยผ้ใู ช้ Office
365 สามารถตรวจสอบรายการแอปพลิเคชันทไ่ี ด้รับสิทธใ์ิ นการเชอ่ื มต่อบัญชีได้จากเว็บไซต์ https://myapps.microsoft.com หรือ
เขา้ ไปท่หี น้า Settings เลือก My account แล้วเลือกหวั ขอ้ App permission

ข้อมลู จาก : <https://www.thaicert.or.th/newsbite/2020-01-09-01.html> วนั ท่ี: 09/01/2020

3. เตือนช่องโหว่ Zero-day บน Firefox กําลังถกู แฮก็ เกอร์ใชโ้ จมตี รบี อัปเดตแพตชด์ ่วน

Mozilla ประกาศออกแพตช์ใหม่บนเบราว์เซอร์ Firefox และ Firefox ESR หลังนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์
จาก Qihoo 360 ATA พบช่องโหว่ Zero-day ซ่ึงกําลังถูกกลุ่มแฮ็กเกอร์ใช้โจมตีอยู่ในขณะนี้ แนะนําให้ผู้ใช้รีบอัปเดตโดยด่วน
ช่องโหว่ Zero-day ดังกล่าวมีรหัส CVE-2019-17026 เป็นช่องโหว่ประเภท Type Confusion ความรุนแรงระดับ Critical
บน IonMonkey just-in-time (JIT) Compiler ที่อยู่ใน SpiderMonkey JavaScript Engine ของ Mozilla ซึ่งช่วยให้แฮ็กเกอร์
สามารถถล่มการทํางานของแอปพลิเคชันหรือลอบรันโค้ดแปลกปลอมได้ จนถึงตอนน้ี Mozilla ยังไม่ได้เปิดเผยรายละเอียดของ
ชอ่ งโหว่ รวมไปถึงวธิ ีที่แฮก็ เกอร์สามารถใช้โจมตี แต่คาดการณ์ว่าช่องโหว่น้ีช่วยใหแ้ ฮ็กเกอรส์ ามารถโจมตีไดจ้ ากระยะไกล โดยหลอก
ให้ผู้ใช้เข้าถึงเว็บเพจที่สร้างข้ึนมาเป็นพิเศษ แล้วโจมตีช่องโหว่เพื่อลอบรันโค้ดแปลกปลอมบนระบบของผู้ใช้ภายใต้บริบทของ
แอปพลิเคชัน Firefox Mozilla แนะนําให้ผใู้ ช้รบี อปั เดต Firefox 72.0.1 หรอื Firefox ESR 68.4.1 โดยด่วน

ขอ้ มูลจาก : <https://www.techtalkthai.com/firefox-patches-zero-day-flaw-exploiding-in-the-wild/> วนั ที่: 09/01/2020

ศูนย์เผยแพรป่ ระชาสมั พันธ์ความปลอดภยั เทคโนโลยสี ารสนเทศ
ส่วนมาตรฐานและบริหารความมน่ั คงปลอดภัย โทรศพั ท์.0-2505-1081

อ่านขา่ วสาร IT Security ประจาํ สปั ดาห์ ไดท้ ่ี http://10.0.52.86

สรุปขา่ วสาร IT Security ประจําสัปดาห์

ปที ี่ 5 ฉบบั ที่ 3 วนั ที่ 14 – 20 มกราคม พ.ศ. 2563

1. Microsoft ออกเตอื นชอ่ งโหว่ Zero-day บน IE ทถ่ี ูกใชโ้ จมตีแลว้

Microsoft ได้ออก Advisory เพ่ือบรรเทาปัญหาช่องโหว่ Zero-day ท่ีนําไปสู่การโจมตี RCE บน Internet Explorer (IE)
โดยมีรายงานว่าถูกใช้โจมตีแล้ว จึงแนะนําให้ผู้ใช้งานปฏิบัติตามอย่างเครง่ ครัด โดยความร้ายแรงก็คือเป็นช่องโหว่ที่สามารถใช้เพ่ือ
ลอบรันโค้ดจากทางไกล (RCE) ท่ีเกิดขึ้นจากกลไกของสคิร์ปต์ท่ีจัดการ Object ในหน่วยความจําของ IE ซึ่งความผิดพลาดของ
หน่วยความจําอาจนําไปส่กู ารลอบรันโคด้ ในบรบิ ทของผใู้ ช้งาน ดงั นน้ั หากผู้ใชง้ านมสี ิทธริ์ ะดับผู้ดูแลแฮ็กเกอรก์ จ็ ะไดส้ ิทธิเ์ หลา่ น้ันโดย
สมบูรณ์ สําหรับการใช้งานบนเว็บเพียงแค่แฮ็กเกอร์สร้างเว็บไซต์อันตรายขึ้นมาและลวงให้เหย่ือเข้าชมเว็บไซต์นั้นก็สามารถโจมตี
ช่องโหว่ได้ เชน่ สง่ เมลท่ีแนบลงิ ก์เว็บไปหาเหยอื่ ขนั้ ตอนการบรรเทาปญั หาจาก Microsoft โดยใชค้ าํ ส่ังใน Administrative Prompt
ทาํ ได้ ดังนี้

ผใู้ ชง้ าน 32 บติ - takeown /f %windir%\system32\jscript.dll
- cacls %windir%\system32\jscript.dll /E /P everyone:N

ผูใ้ ชง้ าน 64 บติ - takeown /f %windir%\syswow64\jscript.dll
- cacls %windir%\syswow64\jscript.dll /E /P everyone:N
- takeown /f %windir%\system32\jscript.dll
- cacls %windir%\system32\jscript.dll /E /P everyone:N

ข้อมลู จาก : <https://www.techtalkthai.com/microsoft-warning-ie-zero-day-explioted-cve-2020-0674/> วันท่ี: 20/01/2020

2. Microsoft ปลอ่ ยแพตช์เดือนมกราคม 2563 แก้ไขช่องโหวร่ ะดบั วกิ ฤติใน CryptoAPI และ RD Gateway

Microsoft ปล่อยแพตช์ความม่ันคงปลอดภัยประจาํ เดอื นมกราคม 2563 โดยรอบนี้แก้ไขช่องโหว่ทง้ั หมด 49 จดุ มีช่องโหว่
ระดบั วกิ ฤติ (Critical) จํานวน 7 จุด ซ่งึ ควรตดิ ต้ังอัปเดตในทนั ทที ี่สามารถทําได้ ในบรรดาช่องโหว่ของเดือนนม้ี ี 2 เรื่อง ทน่ี า่ สนใจคือ
ช่องโหว่ใน CryptoAPI มีผลกระทบเฉพาะ Windows 10, Windows Server 2016 และ 2019 ส่วน Windows เวอร์ชันก่อนหน้า
ไม่ได้รับผลกระทบเนื่องจากไม่รองรับการตรวจสอบใบรับรองดิจิทัลแบบ ECC ท่ีมีพารามิเตอร์ (ช่องโหว่นี้มีรหัส CVE-2020-0601
ระดับความรุนแรง CVSS 9.4) และ Remote Desktop Gateway มีผลกระทบต้ังแต่ Windows 7, 8.1, 10, Server 2008, 2012,
2016, และ 2019 ถึงแม้จะยังไม่มรี ายงานการโจมตีผา่ นช่องโหวน่ ้ีแตโ่ อกาสโจมตีสาํ เร็จและความเสียหายมีสูงจึ งควรรีบติดตั้งแพตช์
ทนั ที (ชอ่ งโหว่น้ีมีรหัส CVE-2020-0609, CVE-2020-0610 และ CVE-2020-0611 ระดบั ความรุนแรง CVSS 9.8)

ขอ้ มลู จาก : <https://www.thaicert.or.th/newsbite/2020-01-15-01.html> วนั ท่ี: 15/01/2020

3. พบการใช้ Microsoft Sway เพ่ือพาไปยังเวบ็ ไซตฟ์ ชิ ชิง่ อาจถูกหลอกขโมยรหสั ผ่านหรอื ใหต้ ิดต้ังมัลแวร์

บริษทั Avanan ไดร้ ายงานเทคนิคการโจมตโี ดยอาศัย Microsoft Sway มาใช้เป็นตวั ลอ่ ใหเ้ ขา้ ไปยงั เวบ็ ไซตฟ์ ชิ ชงิ่ เพอ่ื ใหก้ าร
ส่งอีเมลฟิชช่งิ มีความแนบเนยี นและหลบเลี่ยงระบบตรวจจบั ได้ โดยอาศัยบรกิ ารที่น่าเช่อื ถอื มาใชเ้ ปน็ ตัวลอ่ จากน้ันคอ่ ยพาเหยือ่ ไปยัง
เว็บไซตป์ ลอมอกี ทหี นึ่ง ซ่ึงเทคนิคน้ีทําให้อีเมลปลอมสามารถหลุดรอดระบบตรวจจับได้ โดยอาศัยบรกิ ารแชรไ์ ฟล์หรือบริการแก้ไข
เอกสารออนไลน์มาเป็นตัวล่อน้ัน ไม่ใช่เร่ืองใหม่เพราะก่อนหน้าน้ีก็เคยมีรายงานการใช้บริการอ่ืนๆ อย่างเช่น Dropbox, Google
Docs หรือ Microsoft Office Online มาแล้ว เนื่องจากเทคนคิ การโจมตีแบบฟชิ ชิง่ นน้ั มีการพฒั นาอย่เู ร่อื ยๆ รวมถึงวธิ ีการหลอกลวง
ก็ทําได้แนบเนียนขึ้นมาก ทางฝั่งผู้ใช้จึงจําเป็นต้องตรวจสอบ ระมัดระวัง รวมถึงติดตามข่าวสารด้านความมั่นคงปลอดภัย
อยา่ งสมา่ํ เสมอ

ข้อมลู จาก : <https://www.thaicert.or.th/newsbite/2020-01-14-01.html> วันท่ี: 14/01/2020

ศูนย์เผยแพร่ประชาสัมพันธค์ วามปลอดภยั เทคโนโลยสี ารสนเทศ
ส่วนมาตรฐานและบรหิ ารความมนั่ คงปลอดภัย โทรศพั ท.์ 0-2505-1081

อา่ นข่าวสาร IT Security ประจําสัปดาห์ ไดท้ ี่ http://10.0.52.86

สรปุ ขา่ วสาร IT Security ประจาํ สัปดาห์

ปที ี่ 5 ฉบบั ท่ี 4 วันท่ี 21 – 27 มกราคม พ.ศ. 2563
1. NIST Privacy Framework ออกแล้ว องค์กรควรศึกษาเพ่ือใช้เป็นแนวทางบริหารความเส่ียงด้านความ

เป็นสว่ นตวั

หน่วยงาน NIST ของสหรัฐฯ ได้เผยแพร่เอกสาร Privacy Framework เวอร์ชัน 1.0 ออกมาให้ดาวน์โหลดแล้ว
(https://www.nist.gov/privacy-framework) โดยตัวเอกสารน้ีเป็นกรอบการทํางานด้านความเป็นส่วนตัว เพ่ือใช้ประกอบกับ
กรอบการทํางานด้านความม่ันคงปลอดภัยไซเบอร์ (NIST Cybersecurity Framework) ท้ังน้ี การจะนํากรอบการทํางานไปปรับใช้
ในองคก์ รน้ัน องคก์ รจําเปน็ ต้องพิจารณาความพร้อมด้านทรพั ยากร รวมถึงประเมินความเสย่ี งและผลกระทบจากการดาํ เนินการดว้ ย
โดยผบู้ รหิ ารอาจต้องพจิ ารณาแนวปฏิบัติอน่ื ๆ รวมถงึ ข้อกฎหมาย และขอ้ กําหนดจากหน่วยงานกาํ กบั ดแู ลร่วมดว้ ย

ข้อมลู จาก : <https://www.thaicert.or.th/newsbite/2020-01-20-01.html> วันท่ี: 20/01/2020

2. เผยกลเมด็ Phishing ใหมข่ องคนรา้ ยกบั บรกิ าร Citibank

MalwareHunter ได้เปิดเผยรูปแบบใหม่ของคนร้ายท่ีทํา Phishing หวังเล่นงานเหย่ือท่ีใช้บริการของ Citibank แม้ว่าจะ
ไม่ทราบวิธีการนําเสนอหน้า Phishing สู่เหย่ือว่าอาจเป็นทางอีเมล SMS หรอื ช่องทางอื่นๆ แต่จากการวิเคราะห์หน้าเพจ Phishing
ท่ีชือ่ update-citi .com พบคนร้ายได้ใช้ TLS Certificate ทาํ ให้ขนึ้ รปู กุญแจเสมือนวา่ เป็นเว็บจรงิ และมีการรอ้ งขอขอ้ มูลสําคัญ เช่น
ชือ่ -นามสกุล วนั เกิด ทอ่ี ยู่ เลข 4 หลัก ของเลขประกันสังคมและขอ้ มูลบัตรทางการเงนิ ผใู้ ช้งานควรป้องกนั ตวั เองได้จากการเข้าลิงก์
ทีม่ าจากธนาคารโดยตรง

ขอ้ มลู จาก : <https https://www.techtalkthai.com/citibank-web-phishing-that-ask-for-real-otp/> วันที่: 22/01/2020

3. ระวังภยั พบอเี มลฟชิ ชิ่งหลอกขโมยรหสั Facebook ด้วยการใส่ลิงกเ์ วบ็ ปลอมไว้ใน Facebook Notes

First Look Media ได้แจง้ เตือนเทคนิคการโจมตีฟิชช่ิงรูปแบบใหม่ หลอกขโมยรหัสผ่านบัญชี Facebook โดยอาศัยฟีเจอร์
Facebook Notes เปน็ ตัวพาไปยังเว็บไซต์ปลอม เทคนิคการโจมตี ผปู้ ระสงคร์ า้ ยจะสร้างบัญชี Facebook โดยตงั้ ชื่อบญั ชแี ละรปู โพร
ไฟล์หลอกว่าเป็นบัญชีของ Facebook Support จากนั้นส่งอีเมลหลอกว่าโพสต์ของผู้ใช้ถูกรายงานการละเมิดและต้องการให้
ตรวจสอบ โดยลิงก์ที่ส่งมาในอีเมลน้ันจะพาไปยังเว็บไซต์ Facebook จริงๆ ซึ่งเม่ือคลิกเข้าไปยังลิงก์ดังกล่าวจะถูกพาไปยังหน้า
Facebook Notes โดยเนอ้ื หาข้างในระบุว่าโพสต์ของผ้ใู ชถ้ ูกแจ้งระงับเนื่องจากละเมดิ ลิขสิทธ์ หากผู้ใช้พบวา่ ข้อมูลน้ีเป็นการแจ้งที่
ผิดพลาดให้ร้องเรียนมายัง Facebook โดยคลิกลิงก์ที่อยู่ด้านล่างสุดของ Notes หากผู้ใช้หลงเช่ือคลิกลิงก์ดังกล่าวจะถูกพาไปยัง
เว็บไซต์อ่ืน ซึ่งเป็นเว็บไซต์ปลอมท่ีถูกสร้างเลียนแบบหน้าล็อกอินของ Facebook โดยในหน้าดังกล่าวนอกจากหลอกขโมยรหัสผ่าน
แล้วยงั หลอกให้กรอกหมายเลขโทรศพั ท์และขอ้ มลู วนั เกดิ ดว้ ย เมอ่ื ผใู้ ช้กรอกขอ้ มลู ลงในหนา้ ดงั กล่าว ขอ้ มลู จะถกู สง่ ไปใหก้ ับผปู้ ระสงค์
ร้าย จากนั้นตัวหน้าเว็บปลอมจะ redirect กลับมายังหน้าเว็บไซต์จริงของ Facebook เพื่อหลอกให้ผู้ใช้เข้าใจว่าข้อมูลท่ีส่งไปก่อน
หน้าน้ีเป็นหน้าของทาง Facebook จรงิ ๆ ปัจจุบนั ทาง Facebook ได้ระงับบัญชปี ลอมท่ีใช้เทคนิคนี้ในการโจมตี รวมถึงนํารายการ
โดเมนปลอมใส่ไว้ใน block list ของ Facebook ด้วย ซึ่งผู้ใช้จะไม่สามารถโพสต์ลิงก์ไปยังเว็บไซต์ดังกล่าวใน Facebook ได้
จดุ ประสงคเ์ พ่ือป้องกันไมใ่ ห้มผี ู้ตกเป็นเหย่ือเพิม่ อกี

ข้อมูลจาก : <https://www.thaicert.or.th/newsbite/2020-01-24-02.html> วนั ท่ี: 24/01/2020

ศูนยเ์ ผยแพร่ประชาสัมพันธค์ วามปลอดภยั เทคโนโลยสี ารสนเทศ
ส่วนมาตรฐานและบรหิ ารความมนั่ คงปลอดภัย โทรศัพท์.0-2505-1081

อา่ นขา่ วสาร IT Security ประจาํ สปั ดาห์ ได้ที่ http://10.0.52.86

สรปุ ข่าวสาร IT Security ประจาํ สัปดาห์

ปีที่ 5 ฉบบั ท่ี 5 วนั ที่ 28 มกราคม – 3 กุมภาพนั ธ์ พ.ศ. 2563

1. เอกสารหลุดเผย Avast Free Antivirus เกบ็ ข้อมลู ผูใ้ ช้ขายให้บรษิ ทั โฆษณา เส่ยี งละเมดิ ความเปน็ สว่ นตวั

สํานักข่าว Motherboard ร่วมกับ PCMag ได้เผยแพร่รายงานผลการสืบสวนกรณีโปรแกรมแอนติไวรัสของบริษัท Avast
เก็บข้อมูลของผใู้ ชแ้ ล้วนาํ ไปขายตอ่ ให้กบั บริษทั อ่ืน อาจละเมิดความเปน็ ส่วนตวั ของผใู้ ช้งาน เนือ่ งจากพบเอกสารหลุดท่ีระบวุ า่ Avast
มบี ริษัทลูกชือ่ Jumpshot เพ่ือขายข้อมูลผูใ้ ช้ให้กับบริษัทขนาดใหญ่หลายราย ถึงแม้ในเอกสารจะระบุวา่ ทาง Avast น้นั เก็บเฉพาะ
ข้อมูลจากผู้ใช้ทเ่ี ลอื ก opt-in (ยนิ ยอมใหเ้ กบ็ ข้อมูลการใช้งานได้) แตผ่ ้ใู ช้จํานวนหนง่ึ กบ็ อกว่าไม่เคยทราบว่ามีการแจง้ ขอความยนิ ยอม
ในเรอื่ งน้ี ถึงแมใ้ นบรรดาขอ้ มูลที่ถกู เก็บไปน้ันจะถูกทําให้เป็นนิรนาม (anonymization) เช่น ไม่มขี ้อมูลทสี่ ามารถใชร้ ะบุตัวบุคคลได้
ชดั เจน แต่ผู้เช่ยี วชาญกว็ เิ คราะห์ว่าทาง Jumpshot ยังจัดการกบั ขอ้ มูลได้ไมด่ พี อ จึงไม่ใช่เรอื่ งยากที่จะตรวจสอบย้อนกลับเพ่ือระบุ
ตัวตนเจา้ ของขอ้ มูลดังกลา่ วได้ หลังจากท่ีมีการเผยแพร่รายงานดังกล่าว ทางหน่วยงานคุ้มครองผู้บริโภคของสหรัฐฯ ระบุว่าเตรียม
สอบสวนในเร่อื งนี้แลว้ ผู้ใช้งานโปรแกรม Avast Free Antivirus ท่กี ังวลเรอื่ งความเป็นสว่ นตัวควรตรวจสอบการต้ังค่าการแชรข์ ้อมูล
โดยเฉพาะอย่างย่ิงการแชร์ขอ้ มูลการใชง้ านเพือ่ ใชส้ าํ หรบั โฆษณา

ข้อมูลจาก : <https://www.thaicert.or.th/newsbite/2020-01-28-01.html> วนั ท่ี: 28/01/2020

2. ผู้ใช้ Samsung Pay ในสหรฐั ฯ สามารถตง้ั ค่าปิดไม่ใหน้ าํ ขอ้ มูลการใชง้ านไปขายต่อ แตข่ องไทยยังไมม่ ี

ผูใ้ ช้ชื่อ Max Weinbach ได้รายงานในเว็บไซต์ XDA Developers ว่าแอปพลิเคชัน Samsung Pay เวอร์ชนั สหรัฐอเมริกา
มอี ัปเดตใหม่ และเปดิ ใช้งาน จะพบข้อความแจ้งเร่ืองการควบควบคุมความเป็นส่วนตวั โดยมตี ัวเลอื ก Privacy controls เพิ่มขึ้นมา
เมื่อกดเข้าไปยังเมนูดังกล่าวจะพบหน้าจอแจ้งขอสิทธิ์การใช้งานข้อมูลส่วนบุคคล โดยมีการอ้างถึงกฎหมายคุ้มครองผู้ บริโภคของ
แคลิฟอร์เนียหรือ CCPA ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้ไปต้ังแต่วันท่ี 1 มกราคม 2563 หน่ึงในข้อสังเกต
ทพี่ บในหน้าจอน้ีคอื ทาง Samsung ได้เพิ่มตัวเลือก Do not sell ขึน้ มา โดยระบวุ ่าหากเปิดใชต้ วั เลือกดังกลา่ ว ทาง Samsung จะไม่
นาํ ขอ้ มูลการใชง้ านไปขายต่อใหก้ บั บรษิ ัทอนื่ ทง้ั น้ี อาจต้องติดตามกนั ต่อไปวา่ ในอนาคตผ้ใู ช้ Samsung Pay ในประเทศไทยจะมสี ทิ ธิ์
เลือกไม่ใหน้ ําขอ้ มลู ไปขายเหมือนอยา่ งผใู้ ชใ้ นสหรฐั ฯ หรอื ไม่

ขอ้ มูลจาก : <https://www.thaicert.or.th/newsbite/2020-01-30-01.html> วันที่: 30/01/2020

3. ระวังภัย พบมลั แวร์แพรก่ ระจายผา่ นอีเมลโดยอ้างชื่อไวรัสโคโรน่า

มีรายงานการแพรก่ ระจายมัลแวร์ Emotet โดยใช้วิธีสง่ อีเมลเรอ่ื งไวรัสโคโรนา่ พรอ้ มกับแนบไฟลท์ ี่มมี ัลแวรม์ าด้วย ผู้ใช้ใน
ประเทศญี่ปุ่นแจ้งว่าได้รับอีเมลที่อ้างว่าส่งมาจากกระทรวงสาธารณสุข มีเน้ือหาเก่ียวกับการแพร่ระบาดของไวรัสโคโรน่า โดยอเี มล
ฉบับดังกล่าวแนบไฟล์ Microsoft Word มาด้วย หากเปิดไฟล์แนบจะพบว่ามสี คริปต์ macro ซ่ึงหากอนุญาตให้รันสคริปต์ดังกล่าว
มลั แวร์ Emotet จะถูกดาวน์โหลดมาตดิ ตั้งลงในเครอื่ งทนั ที และยังถกู ใชส้ ่งอีเมลแพรก่ ระจายมลั แวรต์ ่อไปยังเครอ่ื งอื่นๆ ดว้ ย เทคนิค
การโจมตีในลักษณะน้ีจะมีมาอยู่เรื่อยๆ ผู้ใช้ควรระมัดระวังการเปิดไฟล์แนบหรือคลิกลิงก์จากอีเมลที่น่าสงสัย ไม่ควรเปิดใช้งาน
macro ใน Microsoft Office หากไม่สามารถยืนยันความน่าเชื่อถือของไฟล์ดังกล่าว ไม่ควรล็อกอินด้วยสิทธ์ิของผู้ดูแลระบบ และ
ควรสํารองขอ้ มูลทส่ี าํ คัญ หม่ันอัปเดตแอนติไวรสั และแพตชข์ องระบบปฏบิ ตั กิ าร รวมถงึ ติดตามขา่ วสารดา้ นความม่ันคงปลอดภัยอย่าง
สม่ําเสมอ

ขอ้ มูลจาก : <https://www.thaicert.or.th/newsbite/2020-01-30-02.html> วันท่ี: 30/01/2020