วันจันทร์ที่ 23 ธันวาคม พ.ศ. 2562

บริษัท AI เผยการทดสอบ ใช้หน้ากาก 3 มิติหลอกระบบ Face Recognition ได้

การใช้รูปหรือตัวปลอมหลอกระบบ Facial Recognition เป็นประเด็นที่ถูกหยิบยกมาพูดถึงอยู่บ่อยครั้งในแง่ความปลอดภัยและความน่าไว้วางใจของเทคโนโลยี ล่าสุด Kneron บริษัทที่พัฒนา AI ได้ทดสอบหลอกระบบ Facial Recognition ที่ถูกใช้งานในที่สาธารณะด้วยหน้ากาก 3 มิติที่พิมพ์หน้าบุคคลอื่นไว้

นักวิจัยทดสอบทั้งระบบตรวจคนเข้าเมืองในสนามบิน Schiphol กรุงอัมสเตอร์ดัม และระบบจ่ายเงินด้วยใบหน้าของทั้ง Alipay และ WeChat ในจีน ซึ่งทุกระบบถูกหลอกได้ด้วยหน้ากาก 3 มิติที่นักวิจัยพิมพ์มา และแน่นอนว่าการทดสอบทั้งหมดได้รับอนุญาตจากเจ้าหน้าที่แล้ว นักวิจัยก็ย้ำด้วยว่าการมีเจ้าหน้าที่คอยดูแลบริเวณระบบตรวจสอบน่าจะช่วยป้องกันการใช้หน้ากากแบบนี้ได้

อย่างไรก็ตามระบบสแกนใบหน้าของแอปเปิลอย่าง Face ID หรือของ Huawei กลับผ่านการทดสอบนี้ (ไม่ถูกหลอก) เพราะใช้เทคโนโลยีที่เรียกว่า Structured Light Imaging ในการเก็บรูปใบหน้าแบบ 3 มิติด้วยการอาศัยแพทเทิร์นของแสงที่กระทบ


ที่มา: Blognone
ไม่มีความคิดเห็น:

วันเสาร์ที่ 14 ธันวาคม พ.ศ. 2562

Microsoft เผย 3 เทคนิค Phishing อันแนบเนียนที่ควรพึงระวัง

Microsoft ได้ออกรายงานแนวโน้มภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ที่เกิดขึ้นในปี 2019 ระบุว่า Phishing เป็นหนึ่งในไม่กี่รูปแบบการโจมตีที่ยังคงพบบ่อยมากขึ้นในช่วง 2 ปีที่ผ่านมานี้ ในขณะที่ Ransomware, Crypto-mining และมัลแวร์รูปแบบอื่นๆ เริ่มพบน้อยลง


ล่าสุด Microsoft ได้ออกมาเปิดเผยถึง 3 เทคนิคการโจมตีแบบ Phishing อันชาญฉลาดและมีความแนบเนียนซึ่งมีผู้ตกเป็นเหยื่อจำนวนมาก ดังนี้

1. ป่วนผลการค้นหาของ Search Engine


Phishing แบบแรกนี้อาศัยการโจมตีหลายขั้นตอนเพื่อป่วนผลการค้นหาของ Google ดังนี้
  • แฮ็กเกอร์รวมทราฟฟิกที่ไฮแจ็กมาจากเว็บไซต์ปกติทั่วไปมายังเว็บไซต์ที่ตนเองดูแลอยู่
  • เว็บไซต์นั้นๆ กลายเป็นผลลัพธ์ของการค้นหาที่อยู่บนสุดของ Google สำหรับคีย์เวิร์ดบางอย่าง
  • แฮ็กเกอร์ส่งอีเมลไปยังเหยื่อพร้อมกับลิงค์ที่เชื่อมโยงไปยังการค้นหาคีย์เวิร์ดนั้นๆ บน Google
  • ถ้าเหยื่อคลิกลิงค์การค้นหาคีย์เวิร์ดที่ส่งมา และเลือกเว็บไซต์บนสุด จะกลายเป็นการเข้าถึงเว็บไซต์ที่แฮ็กเกอร์ควบคุมอยู่
  • เว็บไซต์ดังกล่าวจะเปลี่ยนเส้นทางของเหยื่อไปยังเว็บ Phishing
Microsoft ยังระบุอีกว่า การป่วนผลลัพธ์การค้นหาของ Google ให้ขึ้นไปติดอันดับบนสุดนั้นไม่ได้ยากอย่างที่คิด ถ้าใช้คีย์เวิร์ดแปลกๆ ที่ไม่มีคนค้นหากัน เช่น “hOJoXatrCPy.” นอกจากนี้ แฮ็กเกอร์ยังพรางการโจมตีโดยใช้การค้นหาตามสถานที่อีกด้วย เช่น จะแสดงผลเว็บ Phishing ก็ต่อเมื่อคลิกลิงค์ค้นหาคียเวิร์ดในทวีปยุโรปเท่านั้น เป็นต้น



2. ใช้ประโยชน์จากหน้า 404 Page Not Found


อีเมล Phishing มักมาพร้อมกับ Phishing URL สำหรับหลอกเหยื่อให้ตกหลุบพราง แต่ในเดือนสิงหาคมที่ผ่านมา Microsoft ได้ตรวจพบแคมเปญ Phishing ที่แนบลิงค์ที่ชี้ไปยังเว็บเพจที่ไม่มีอยู่จริง เมื่อระบบรักษาความมั่นคงปลอดภัยของ Microsoft สแกนลิงค์ดังกล่าว จะได้รับการคืนค่าเป็น 404 Page Not Found ส่งผลให้ระบบจำแนกว่าลิงค์นั้นเป็นลิงค์ที่มีความปลอดภัย อย่างไรก็ตาม ถ้าเหยื่อ (ที่เป็นผู้ใช้จริงๆ ) เข้าถึง URL นั้นๆ เว็บ Phishing จะปลี่ยนเส้นทางไปยังหน้า Phishing แทนที่จะเป็นหน้า 404 Page Not Found


3. Phishing แบบ Man-in-the-Middle


Microsoft ระบุว่า Phishing รูปแบบนี้เป็นการยกระดับการปลอมตัวไปอีกขั้น โดยแทนที่แฮ็กเกอร์จะคัดลอกองค์ประกอบต่างๆ จากเว็บไซต์ต้นฉบับที่ต้องการปลอม กลายเป็นมีคนกลาง (Man-in-the-Middle) ทำการดักจับข้อมูลของบริษัทที่ต้องการจะปลอม เช่น โลโก้, แบนเนอร์, ข้อความ และภาพพื้นหลัง จาก Rendering Site ของ Microsoft แทน ซึ่งผลลัพธ์ที่ได้แทบจะเหมือนกับการเข้าเว็บไซต์ต้นฉบับทุกประการ เพิ่มความแนบเนียนได้เป็นอย่างมาก อย่างไรก็ตาม เทคนิคนี้ยังคงมีช่องโหว่ตรง URL ที่ยังคงเป็นของเว็บ Phishing ทำให้เหยื่อสามารถตรวจจับและหลีกเลี่ยงได้ถ้าระมัดระวังเพียงพอ

ที่มา: TechTalk
ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)