เมื่อเร็วๆ นี้ ผู้เชี่ยวชาญด้านความปลอดภัยได้ค้นพบกลยุทธ์ใหม่ที่อาชญากรไซเบอร์ใช้เพื่อแฮ็กคลังรหัสผ่านของผู้ใช้ LastPass โดยอาชญากรเหล่านี้จะปลอมตัวเป็นเจ้าหน้าที่ LastPass และติดต่อผู้ใช้ LastPass ผ่านโทรศัพท์
กลยุทธ์นี้ประกอบไปด้วยขั้นตอนดังต่อไปนี้:
หมายเหตุ ปัจจุบันเว็บไซต์ phishing ดังกล่าวได้ถูกปิดลงไปแล้ว แต่ในอนาคตอาจมีการเปิดเว็บ phishing ใหม่ขึ้นมาอีกก็เป็นได้
วิธีการป้องกัน:
แหล่งข้อมูล:
BleepingComputer on Twitter / X
Security Incident December 2022 Update - LastPass - The LastPass Blog
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว