อีเมล LastPass ปลอมอ้างเป็นการแจ้งเตือนให้สำรองข้อมูล Password Vault
LastPass ได้ออกคำเตือนเกี่ยวกับแคมเปญฟิชชิ่งใหม่ที่ปลอมตัวเป็นการแจ้งเตือนการบำรุงรักษาจากบริการ โดยเรียกร้องให้ผู้ใช้สำรองข้อมูล Vault ของตนภายใน 24 ชั่วโมง ซึ่งเป็นการพยายามขโมยรหัสผ่านหลักหรือเข้ายึดบัญชี Severity: สูง System Impact: LastPass (บริการจัดการรหัสผ่าน) บัญชีผู้ใช้ LastPass ข้อมูลใน Password Vault Technical…
New Magecart Attack Inject Malicious JavaScript to Skim Payment Data
แคมเปญ Magecart รูปแบบใหม่ได้ถือกำเนิดขึ้น โดยมีเป้าหมายโจมตีนักช้อปออนไลน์ผ่านโค้ด JavaScript ที่เป็นอันตราย ซึ่งออกแบบมาเพื่อขโมยข้อมูลการชำระเงินโดยตรงจากเว็บไซต์อีคอมเมิร์ซ การโจมตีดำเนินการโดยการฉีดสคริปต์ที่ซ่อนอยู่เข้าไปในเว็บไซต์ช้อปปิ้งที่ถูกบุกรุก ทำให้นักโจมตีสามารถดักจับข้อมูลที่ละเอียดอ่อน เช่น รายละเอียดบัตรเครดิตและที่อยู่สำหรับเรียกเก็บเงิน ได้ในขณะที่ลูกค้ากำลังกรอกข้อมูล ณ ขั้นตอนการชำระเงิน แคมเปญนี้ถูกเปิดเผยโดยนักวิเคราะห์ความปลอดภัย Himanshu Anand และใช้โดเมน `cc-analytics.com` ในการโฮสต์สคริปต์ที่เป็นอันตราย…
Microsoft แชร์วิธีแก้ไขปัญหา Outlook ค้างหลังอัปเดต Windows
Microsoft ได้เผยแพร่วิธีแก้ไขชั่วคราวสำหรับผู้ใช้งานที่ประสบปัญหาโปรแกรม Outlook ค้างหรือไม่ตอบสนอง หลังจากติดตั้งการอัปเดตความปลอดภัยของ Windows ประจำเดือนนี้ ปัญหานี้ส่งผลกระทบต่อผู้ใช้ Outlook Classic ที่ใช้บัญชีอีเมล POP และจัดเก็บไฟล์ PST บนระบบคลาวด์ เช่น OneDrive นอกจากนี้ แอปพลิเคชันอื่นๆ ก็อาจได้รับผลกระทบเมื่อมีการเปิดหรือบันทึกไฟล์จากที่เก็บข้อมูลบนคลาวด์เช่นกัน…
Zoom และ GitLab ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ RCE, DoS และการข้าม 2FA
Zoom และ GitLab ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่หลายจุด โดย Zoom ได้แก้ไขช่องโหว่ Remote Code Execution (RCE) ที่รุนแรง (CVE-2026-22844) ใน Node Multimedia Routers (MMRs) ซึ่งมีคะแนน CVSS…
ErrTraffic Fueling ClickFix by Breaking the Page Visually and Turns Attack to GlitchFix
เทคนิควิศวกรรมสังคมรูปแบบใหม่ที่เรียกว่า GlitchFix ได้ถูกตรวจพบ โดยใช้แพลตฟอร์ม ErrTraffic ซึ่งเป็นระบบกระจายทราฟฟิกที่ออกแบบมาเพื่อหลอกล่อให้ผู้เยี่ยมชมเว็บไซต์ดาวน์โหลดมัลแวร์ผ่านหน้าเว็บที่ดูเหมือนเสียหาย แพลตฟอร์มโจมตีนี้มีราคาประมาณ 800 ดอลลาร์สหรัฐฯ และช่วยให้ผู้โจมตีทางไซเบอร์สามารถรันแคมเปญหลอกลวงได้ในหลายระบบปฏิบัติการ เช่น Windows, macOS, Android และ Linux รวมถึงรองรับ 8 ภาษา เทคนิคนี้สร้างความรู้สึกเร่งด่วนโดยการบิดเบือนเนื้อหาหน้าเว็บด้วยตัวอักษรขยะ…
คุณถูกฟิชชิ่งหรือเปล่า? แน่นอน! คุณคือมนุษย์…
บทความนี้อธิบายว่าการโจมตีแบบฟิชชิ่งประสบความสำเร็จได้อย่างไร ไม่ใช่เพราะผู้ใช้ประมาท แต่เป็นเพราะผู้โจมตีใช้ประโยชน์จากจังหวะ เวลา บริบท และอารมณ์ของมนุษย์ นอกจากนี้ยังเน้นย้ำว่าฟิชชิ่งสมัยใหม่ได้พัฒนาเป็นอุตสาหกรรมที่มีขนาดใหญ่และตรวจจับได้ยากขึ้น โดยใช้แพลตฟอร์ม Phishing-as-a-Service (PhaaS) และ AI เข้ามาช่วยสร้างข้อความล่อลวงที่สมจริง บทความเตือนว่าแม้แต่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ก็ยังตกเป็นเหยื่อได้ และเน้นย้ำถึงความสำคัญของการตระหนักรู้ การสร้างแรงต้านทาน และการใช้เวลาคิดก่อนที่จะคลิก Severity: สูง System…
AI Phishing Is Your Company’s Biggest Security Risk in 2026: Here’s How to Stop It
ข่าวนี้เน้นย้ำว่าการโจมตีฟิชชิ่งที่ขับเคลื่อนด้วย AI จะกลายเป็นความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดสำหรับบริษัทในปี 2026 โดยระบุว่าการโจมตีเหล่านี้มีความซับซ้อน เขียนอย่างดี และตรวจจับได้ยากกว่าวิธีฟิชชิ่งแบบดั้งเดิม เครื่องมือรักษาความปลอดภัยแบบคงที่มักจะพลาดการโจมตีเหล่านี้เนื่องจากเนื้อหาที่เปลี่ยนแปลงตลอดเวลา พฤติกรรมที่เป็นอันตรายที่ซ่อนอยู่ และการโหลดหน้าฟิชชิ่งแบบไดนามิก บทความนำเสนอโซลูชันคือการใช้แซนด์บ็อกซ์สมัยใหม่ เช่น ANY.RUN ที่ผสานรวมการโต้ตอบและระบบอัตโนมัติ เพื่อเปิดเผยห่วงโซ่การโจมตีฟิชชิ่งได้อย่างรวดเร็วในสภาพแวดล้อมจริง ซึ่งช่วยให้ทีมรักษาความปลอดภัยสามารถตัดสินใจได้อย่างรวดเร็วและเพิ่มประสิทธิภาพการทำงานของทีม Severity: วิกฤต System Impact:…
GitLab warns of high-severity 2FA bypass, denial-of-service flaws
GitLab ได้ออกแพตช์ช่องโหว่ความรุนแรงสูงหลายรายการ รวมถึงการบายพาสการยืนยันตัวตนแบบสองปัจจัย (2FA) และช่องโหว่ Denial-of-Service (DoS) ที่ส่งผลกระทบต่อ GitLab Community Edition (CE) และ Enterprise Edition (EE) แนะนำให้ผู้ดูแลระบบอัปเกรดทันทีเพื่อป้องกันการโจมตี Severity: สูง System…
ผู้โจมตีซ่อน Payload ของ PURELOGS อย่างแนบเนียนในไฟล์ PNG ที่ถูกดัดแปลง
การโจมตีทางไซเบอร์ที่ค้นพบใหม่นี้เผยให้เห็นวิธีการส่งมัลแวร์ PURELOGS infostealer ที่ซับซ้อน ผู้โจมตีใช้ไฟล์ PNG ที่ถูกดัดแปลง (weaponized PNG) ซึ่งโฮสต์อยู่บนโครงสร้างพื้นฐานที่ถูกกฎหมาย (เช่น archive.org) เพื่อหลบเลี่ยงการตรวจจับและส่ง Payload มัลแวร์ โดยการโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่ปลอมเป็นใบแจ้งหนี้ยา ซึ่งมีไฟล์ ZIP ที่เป็นอันตราย ภายในมี…
Tesla ถูกแฮก, มีการสาธิต Zero-day 37 รายการในงาน Pwn2Own Automotive 2026
นักวิจัยด้านความปลอดภัยสามารถแฮกระบบ Infotainment ของ Tesla และได้รับเงินรางวัล 516,500 ดอลลาร์สหรัฐฯ หลังจากการใช้ประโยชน์จากช่องโหว่ Zero-day จำนวน 37 รายการ ในวันแรกของการแข่งขัน Pwn2Own Automotive 2026 Severity: สูง System Impact:…