news on May 18, 2016, 08:07:20 AM


SophosLabs Research พบแนวโน้มอันตรายไซเบอร์ “ที่ออกแบบมาอย่างดี” กำลังพุ่งสูงขึ้น

•   อันตรายทางไซเบอร์มีการปรับแต่งให้เข้ากับภาษา, ยี่ห้อสินค้า, และรูปแบบการชำระเงินของท้องถิ่น
•   Ransomware เริ่มแฝงตัวอย่างฉลาด หลอกให้คนคลิกสแปมได้มากขึ้น
•   พบการฟอกเงิน และเทคนิคการจารกรรมเงินจากธนาคารทางไซเบอร์ในแต่ละท้องถิ่นทั่วโลก
•   อาชญากรไซเบอร์มีการคัดกรองเหยื่อตามตำแหน่งที่ตั้ง







chester_wisniewski

เมืองอ็อกฟอร์ด, สหราชอาณาจักร, พฤษภาคม 2559 – Sophos (LSE: SOPH) ผู้นำระดับโลกด้านความปลอดภัยบนเครือข่ายและเครื่องเอ็นด์พอยท์ ได้เปิดเผยวันนี้ว่า ทาง SophosLabs Research ค้นพบแนวโน้มการเติบโตของอาชญากรไซเบอร์ที่เจาะกลุ่มเป้าหมายตามรายประเทศ โดยออกแบบ Ransomware และการโจมตีทางไซเบอร์ที่อันตรายอื่นๆ ให้เข้ากับพื้นที่นั้นๆ ซึ่งข้อมูลที่ได้นี้รวมรวบมาจากเครื่องเอ็นด์พอยท์หลายล้านจุดทั่วโลก ที่นำมาวิเคราะห์โดยทีมงานของ SophosLabs

เพื่อล่อเหยื่อให้เข้ามาติดกับมากขึ้นนั้น ปัจจุบันเหล่าอาชญากรไซเบอร์ได้ออกแบบสแปมแบบที่ปรับแต่งทั้งรูปแบบการสื่อสาร, โลโก้แบรนด์, รวมทั้งวิธีการชำระเงินที่สอดคล้องกับที่ใช้ในพื้นที่นั้นๆ  ซึ่ง Sophos ระบุว่าไวรัสเรียกค่าไถ่นี้ปลอมตัวได้อย่างแนบเนียนในรูปการแจ้งเตือนทางอีเมล์, ปลอมโลโก้แบรนด์ในท้องถิ่น เพื่อให้น่าเชื่อถือมากขึ้น, มีอัตราการคลิกสูงขึ้น และทำให้อาชญากรทำเงินได้มากขึ้นนั่นเอง ซึ่งเพื่อที่จะให้เมล์หลอกลวงเหล่านี้หลอกได้ผลมากที่สุด ก็มักจะแฝงตัวในรูปหน่วยงานในประเทศนั้นๆ เช่น ไปรษณีย์, หน่วยงานด้านภาษีและกฎหมาย ซึ่งรวมถึงการแจ้งเตือนการได้รับพัสดุไปรษณีย์, การคืนเงิน, การจองตั๋วแบบลัดคิว, หรือแม้แต่การแจ้งบิลค่าไฟฟ้า SophosLabs ยังพบด้วยว่าสแปมเหล่านี้มีการใช้ภาษาและไวยากรณ์ในท้องถิ่นอย่างถูกต้องจนเดาไม่ออกเลยทีเดียว

“คุณจำเป็นต้องตรวจดูอย่างละเอียดมากเพื่อแยกเมล์จริงจากเมล์ปลอม” เชสเตอร์ วิสนิวสกี้ ที่ปรึกษาอาวุโสด้านความปลอดภัยของ Sophos กล่าวและเสริมว่า “การตระหนักถึงเทคนิคการหลอกลวงที่ใช้ในพื้นที่ของคุณ ถือเป็นหลักการสำคัญด้านความปลอดภัย”

นักวิจัยยังพบแนวโน้มการใช้ Ransomware หลากหลายสายพันธุ์ต่อเป้าหมายที่เจาะจงด้วย เช่น CryptoWall หลายเวอร์ชั่นที่เจาะจงเหยื่อในสหรัฐฯ, อังกฤษ, แคนาดา, ออสเตรเลีย, เยอรมัน และฝรั่งเศส ขณะที่ TorrentLocker พุ่งเป้าโจมตีในประเทศอังกฤษ, อิตาลี, ออสเตรเลีย และสเปน ส่วน TeslaCrypt พบการระบาดทั้งในอังกฤษ, สหรัฐ, แคนาดา, สิงคโปร์ และประเทศไทย

จากการวิเคราะห์พบว่า อัตราการพบอันตรายหรือ TER(1) ในแต่ละประเทศในสามเดือนแรกของปี 2559 ของกลุ่มประเทศตะวันตกที่ดูเหมือนว่าจะตกเป็นเหยื่ออย่างหนักในตอนแรก แต่กลับมี TER ต่ำกว่า โดยกลุ่มประเทศที่พบอันตรายต่ำที่สุดได้แก่ ฝรั่งเศส 5.2 เปอร์เซ็นต์, แคนาดา 4.6 เปอร์เซ็นต์, ออสเตรเลีย 4.1 เปอร์เซ็นต์, สหรัฐฯ 3 เปอร์เซ็นต์, และอังกฤษ 2.8 เปอร์เซ็นต์ ขณะที่กลุ่มประเทศที่พบการโจมตีเครื่องเอ็นด์พอยท์จากมัลแวร์มากที่สุดกลับเป็น อัลจีเรีย 30.7 เปอร์เซ็นต์, โบลีเวีย 20.3 เปอร์เซ็นต์, ปากีสถาน 19.9 เปอร์เซ็นต์, จีน 18.5 เปอร์เซ็นต์, และอินเดีย 16.9 เปอร์เซ็นต์ โดยที่ประเทศไทยพบสูงถึง 11.8 เปอร์เซ็นต์

(1)หมายเหตุ – ข้อมูล TER นี้แสดงถึงการติดเชื้อมัลแวร์ และการโจมตีต่อเครื่องเอ็นด์พอยท์ที่ใช้ผลิตภัณฑ์ Sophos 1,000 แห่งในแต่ละประเทศ นับตั้งแต่วันที่ 1 มกราคม 2559 ถึง 8 เมษายน 2559

“แม้แต่การฟอกเงินก็ยังทำภายในท้องถิ่นเพื่อความรวดเร็ว และเนื่องจากขั้นตอนการชำระผ่านบัตรเครดิตอาจก่อให้เกิดความเสี่ยงต่อเหล่าอาชญากร พวกเขาจึงหันไปใช้การชำระเงินทางอินเทอร์เน็ตแบบไร้ตัวตัวเพื่อรีดค่าไถ่จากเหยื่อ Ransomware แทน” วิสนิวสกี้กล่าวเสริม “เราเคยพบว่าอาชญากรไซเบอร์ใช้การรับชำระเงินผ่านบัตรที่เหมือนบัตรเครดิต และตำแหน่งที่ตั้งในการชำระเงินในท้องถิ่น อย่างเช่นบัตรพรีเพด Green Dot MoneyPak ของ Walgreens ในสหรัฐฯ รวมทั้งบัตร Ukash ที่ตอนนี้เปลี่ยนเป็นชื่อ PaySafeCard ที่ใช้ในเอาต์เล็ตรีเทลหลายแห่งในอังกฤษ”

วิธีคัดกรองประเทศเป้าหมายก็เริ่มมีความซับซ้อนมากขึ้นตามมาด้วย
“อาชญากรไซเบอร์เริ่มวางแผนโจมตีโดยหลีกเลี่ยงประเทศหรือคีย์บอร์ดที่ใช้บางภาษา” วิสนิวสกี้กล่าว “ซึ่งมีเหตุผลได้หลากหลายมาก บางครั้งอาชญากรไม่ต้องการโจมตีประเทศที่ใกล้กับจุดเริ่มการโจมตีเพื่อหลีกเลี่ยงการโจมตี หรือแม้แต่เป็นความภาคภูมิใจในชาติตัวเอง หรือการโจมตีบางประเทศอาจระบุประเทศศัตรูได้ง่ายเกินไป เป็นต้น”

การเลือกธนาคารที่จะโจมตี ก็นับเป็นอีกตัวอย่างที่อาชญากรไซเบอร์เลือกการใช้มัลแวร์ที่เจาะจงตำแหน่งที่ตั้ง เพื่อให้หลอกได้ผลมากยิ่งขึ้น ทีมวิจัยของ Sophos เผยประวัติการใช้โทรจันและมัลแวร์เจาะระบบธนาคารและสถาบันการเงินอย่างหนักในแต่ละพื้นที่ ดังนี้:
•   การใช้โทรจัน Brazilian banker ที่เจาะจงธนาคารในบราซิล
•   Dridex เจาะกลุ่มพื้นที่ในสหรัฐฯ และเยอรมัน
•   Trustzeb พบมากในประเทศที่ใช้ภาษาเยอรมัน
•   Yebot พบมากในฮ่องกงและญี่ปุ่น
•   Zbot พบทั่วโลก แต่พบมากในสหรัฐฯ, อังกฤษ, แคนาดา, เยอรมัน, ออสเตรเลีย, อิตาลี, สเปน, และญี่ปุ่น

“มีกลุ่มผู้พัฒนาโทรจันที่ออกแบบมาเฉพาะสำหรับเจาะระบบธนาคารในบราซิล เป็นต้น” วิสนิวสกี้กล่าว

ขณะที่กลุ่มอาชญากรไซเบอร์ต่างมุ่งมั่นพัฒนาอันตรายให้ดูแนบเนียน และเจาะจงเป้าหมายมากขึ้นนั้น ทำให้การระบุตัวตนสแปมที่อันตรายยากขึ้นตามไปด้วย ผู้ใช้งานตามบ้านมักตกเป็นเป้าหมายการโจมตีเหล่านี้ ซึ่งควรปกป้องระบบของตัวเองจากอันตรายมัลแวร์ที่ซับซ้อน เช่น เลือกใช้ซอฟต์แวร์ความปลอดภัยระดับองค์กรที่ไม่มีค่าใช้จ่าย ที่สามารถตรวจจับอันตราย และปกป้องได้ทั้งแมคและพีซีสำหรับผู้ใช้งานตามบ้าน ที่มีให้โหลดจาก https://www.sophos.com/en-us/lp/sophos-home.aspx เป็นต้น

ผลการค้นคว้าและวิจัยนี้มาจาก SophosLabs ซึ่งเป็นเครือข่ายผู้เชี่ยวชาญด้านความปลอดภัยจากทั่วโลก ที่คอยตรวจจับและติดตามช่องโหว่บนอินเทอร์เน็ตทุกประเทศตลอด 24 ชั่วโมง ไม่ว่าจะเป็นไวรัสคอมพิวเตอร์, อันตรายชั้นสูงทั้งในรูปมัลแวร์และโทรจัน, สแปม, และอันตรายบนเว็บ, การเจาะระบบ และอื่นๆ อีกมากมาย โดย SophosLabs ได้รับและตรวจสอบข้อมูลนับล้านทั้งทางอีเมล์, URL, ไฟล์ และจุดรับข้อมูลอื่นๆ เพื่อขยายขอบเขตความชำนาญของทีมวิจัย เพื่อพัฒนา Defenition ใหม่ที่ตรวจจับอันตรายที่เกี่ยวข้องทั้งหมดได้อย่างครอบคลุม ด้วยตำแหน่งที่ตั้งทั้งในออสเตรเลีย, ฮังการี, อังกฤษ, และแคนาดา ทำให้ผู้เชี่ยวชาญจาก SophosLabs สามารถตรวจสอบและระบุแนวโน้มอันตรายจากมัลแวร์, สแปม, และอันตรายบนเว็บได้อย่างเรียลไทม์ สำหรับข้อมูลเพิ่มเติมและอินโฟกราฟิกสามารถเข้าดูได้ที่ https://blogs.sophos.com/location-based-ransomware-threat-research

สามารถอ่านข่าวและมุมมองเกี่ยวกับความปลอดภัยล่าสุดได้ที่สำนักข่าวที่ได้รับรางวัลของเรา Naked Security News https://nakedsecurity.sophos.com/ และอ่านเพิ่มเติมเกี่ยวกับเราได้ทาง Sophos News https://blogs.sophos.com/

เชื่อมต่อกับ Sophos ได้ทาง
Twitter http://soph.so/CfuKd
LinkedIn http://soph.so/Cfv36
Facebook http://soph.so/CfvaA
Google+ https://plus.google.com/+sophos
Spiceworks http://soph.so/Cgbwa
YouTube http://www.youtube.com/user/sophoslabs
Sophos Blog http://blogs.sophos.com/
Naked Security News http://nakedsecurity.sophos.com/

เกี่ยวกับ Sophos
ผู้ใช้กว่า 100 ล้านรายใน 150 ประเทศต่างเลือกใช้โซลูชั่นความปลอดภัยสมบูรณ์แบบของ Sophos เพื่อการปกป้องที่ดีที่สุดจากอันตรายที่ซับซ้อนและการรั่วไหลของข้อมูล ด้วยความง่ายในการติดตั้ง, จัดการ, และใช้งาน โดยโซลูชั่นที่ได้รับรางวัลของ Sophos ทั้งด้านการเข้ารหัส, ความปลอดภัยที่เครื่องเอ็นด์พอยท์, บนเว็บ, อีเมล์, อุปกรณ์พกพา, และความปลอดภัยบนเครือข่าย ต่างได้รับการซัพพอร์ตจาก SophosLabs ซึ่งเป็นศูนย์บริการข้อมูลอันตรายแบบอัจฉริยะ Sophos มีสำนักงานใหญ่ตั้งอยู่ในเมืองออกฟอร์ด, สหราชอาณาจักร และเปิดให้ร่วมทุนในตลาดหลักทรัพย์ของลอนดอนภายใต้สัญลักษณ์ “SOPH” สำหรับข้อมูลเพิ่มเติมสามารถเข้ามาดูได้ที่ www.sophos.com
« Last Edit: May 18, 2016, 08:20:27 AM by news »

news on May 18, 2016, 08:22:17 AM


SophosLabs Research Finds “Designer” Cyber Threats on the Rise

•   Cyber threats regionalized with local languages, brands and payment methods
•   Ransomware cleverly hidden in customized, clickable spam
•   Localized money laundering and cyber bank robbery techniques seen globally
•   Cybercriminals filtering out victims by location







chester_wisniewski

OXFORD, U.K., May 3, 2016 – Sophos (LSE: SOPH), a global leader in network and endpoint security, today revealed SophosLabs research that indicates a growing trend among cybercriminals to target and even filter out specific countries when designing ransomware and other malicious cyberattacks. The research includes information from millions of endpoints worldwide and is analyzed by the team at SophosLabs.

To lure more victims with their attacks, cybercriminals are now crafting customized spam to carry threats using regional vernacular, brands and payment methods for better cultural compatibility, according to Sophos. Ransomware cleverly disguised as authentic email notifications, complete with counterfeit local logos, is more believable, highly clickable and therefore more financially rewarding to the criminal. To be as effective as possible, these scam emails now impersonate local postal companies, tax and law enforcement agencies and utility firms, including phony shipping notices, refunds, speeding tickets and electricity bills. SophosLabs has seen a rise in spam where the grammar is more often properly written and perfectly punctuated.

“You have to look harder to spot fake emails from real ones,” said Chester Wisniewski, senior security advisor at Sophos. “Being aware of the tactics used in your region is becoming an important aspect of security.”

Researchers also saw historic trends of different ransomware strains that targeted specific locations. Versions of CryptoWall predominantly hit victims in the U.S., U.K., Canada, Australia, Germany and France, TorrentLocker attacked primarily the U.K., Italy, Australia and Spain and TeslaCrypt honed in on the U.K., U.S., Canada, Singapore and Thailand.

The analysis also shows Threat Exposure Rates[1] (TER) for countries during the first three months of 2016. Although Western economies are more highly targeted, they typically have a lower TER. Nations ranked with the lowest TER include France at 5.2 percent, Canada at 4.6 percent, Australia at 4.1 percent, the U.S. at 3 percent, and the U.K. at 2.8 percent. Algeria at 30.7 percent, Bolivia at 20.3 percent, Pakistan at 19.9 percent, China at 18.5 percent and India at 16.9 percent are among countries with the highest percentage of endpoints exposed to a malware attack.
For Thailand it is at – 11.8 percent

“Even money laundering is localized to be more lucrative. Credit card processing can be risky for criminals, so they started using anonymous Internet payment methods to extort money from ransomware victims,” said Wisniewski. “We have seen cybercrooks using local online cash-equivalent cards and purchasing locations, such as prepaid Green Dot MoneyPak cards from Walgreens in the U.S. and Ukash, which is now paysafecard, from various retail outlets in the U.K.”

Tweet This: “Designer” cyber threats on the rise with localized logos, language and payment methods, according to Sophos.

The concept of filtering out specific countries has also emerged as a trend.

“Cybercriminals are programming attacks to avoid certain countries or keyboards with a particular language,” said Wisniewski. “This could be happening for many reasons. Maybe the crooks don’t want attacks anywhere near their launch point to better avoid detection. It could be national pride or perhaps there’s a conspiratorial undertone to create suspicion about a country by omitting it from an attack.”

Banking is an example of how cybercriminals are using location-based malware to be more prosperous. Sophos research reveals historically how Trojans and malware used to infiltrate banks and financial institutions converges on specific regions: 
•   Brazilian banker Trojans and variants pinpoint Brazil
•   Dridex is predominant in the U.S. and Germany
•   Trustezeb is most prevalent in German speaking counties
•   Yebot is popular in Hong Kong and Japan
•   Zbot is wider spread, but mostly in the U.S., U.K., Canada, Germany, Australia, Italy, Spain and Japan

“There is an entire cottage industry of uniquely-crafted Trojans just targeting banks in Brazil,” said Wisniewski.

With cybercriminals having a deliberate hand in creating threats that look authentic and are specifically targeted, it is more difficult to recognize malicious spam. Home computer users are often a target of these attacks and should protect their systems from sophisticated malware threats. Free enterprise-grade security software that can detect threats and protect both Mac and PC for the home user is available from Sophos Home.

This research and analysis is from SophosLabs, a network of security experts across the world who detect and track all types of Internet breaches 24/7/365 worldwide, including computer viruses, advanced malware and Trojans, spam, web threats, hack attacks and more. SophosLabs receives and investigates millions of emails, URLs, files and other data points daily and leverages its extensive expertise within the group to develop new definitions that detect entire classes of threats and new variants. With facilities strategically located in Australia, Hungary, U.K. and Canada, SophosLabs experts also monitor and determine threat trends and maintain malware, spam and web threat dashboards in real time. For more information and graphics please visit the Sophos News Blog.
Read the latest security news and views on our award-winning Naked Security News and read more about us at Sophos News.

Connect with Sophos
Twitter http://soph.so/CfuKd
LinkedIn http://soph.so/Cfv36
Facebook http://soph.so/CfvaA
Google+ https://plus.google.com/+sophos
Spiceworks http://soph.so/Cgbwa
YouTube http://www.youtube.com/user/sophoslabs
Sophos Blog http://blogs.sophos.com/
Naked Security News http://nakedsecurity.sophos.com/

About Sophos
More than 100 million users in 150 countries rely on Sophos’ complete security solutions as the best protection against complex threats and data loss. Simple to deploy, manage, and use, Sophos’ award-winning encryption, endpoint security, web, email, mobile and network security solutions are backed by SophosLabs - a global network of threat intelligence centers. Sophos is headquartered in Oxford, U.K., and is publicly traded on the London Stock Exchange under the symbol “SOPH.” More information is available at www.sophos.com.