ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

6 ข่าว

บัญชี X ของ SpaceX และ Starlink ถูกยึดปั่นเหรียญคริปโตปลอม — รีโพสต์เนียนกลางฟีดก่อนดึงสภาพคล่องหนี

SpaceX and Starlink X accounts compromised to promote fake cryptocurrency scam
บัญชีทางการของ SpaceX และ Starlink บนแพลตฟอร์ม X ถูกยึดชั่วครู่เพื่อโปรโมตเหรียญคริปโตปลอม ก่อนที่โทเคนจะถูกดึงสภาพคล่องหนี (Rug Pull) ทิ้งผู้ซื้อไว้กับสินทรัพย์ไร้ค่า บัญชีปลอมชื่อ Sam Catman ที่แสดงตราสัญลักษณ์อ้างว่าเกี่ยวข้องกับโครงการ AI ของ SpaceX โพสต์โปรโมตเหรียญ แล้วบัญชีทางการก็รีโพสต์เนียนไปกับโพสต์ปกติ อาศัยฐานผู้ติดตามที่ยืนยันตัวตนจำนวนมหาศาลสร้างความน่าเชื่อถือ เหตุนี้ไม่ใช่กรณีแรก บัญชีแบรนด์ดังถูกยึดปั่นเหรียญปลอมซ้ำแล้วซ้ำเล่า

EvilTokens ซ่อน flow การโจมตีไว้ในเบราว์เซอร์ — เจาะ Microsoft Device Code หลบ static analysis

EvilTokens hides its phishing attack flow inside the browser DOM
Cyber Security News รายงานชุดเครื่องมือฟิชชิง EvilTokens ที่เจาะการยืนยันตัวตนแบบ Microsoft Device Code และซ่อนหน้าฟิชชิงไว้ในเบราว์เซอร์ หน้าฟิชชิงถูกเข้ารหัส AES-GCM ในการตอบกลับ HTML ครั้งแรก แล้วถอดรหัสด้วย JavaScript ฝั่งเบราว์เซอร์ก่อนแสดงใน DOM ทำให้การวิเคราะห์ URL แบบ static มองไม่เห็นเนื้อหาจริง สร้างจุดบอดให้นักวิเคราะห์ SOC และทำให้การยืนยัน account takeover ล่าช้า

ManageEngine แจ้งช่องโหว่ร้ายแรง CVE-2026-11374 ใน AD360 — คาดเดา SSO token ได้ เปิดทางยึดบัญชีโดยไม่ต้องล็อกอิน

ManageEngine AD360 integration flaw CVE-2026-11374 exposes user identity and role information
ManageEngine เปิดเผยช่องโหว่ระดับสูง CVE-2026-11374 ที่กระทบผลิตภัณฑ์จัดการตัวตนหลายตัวเมื่อเชื่อมต่อกับ AD360 ช่องโหว่เกิดจากการสร้าง SSO token ที่คาดเดาได้ ทำให้ผู้โจมตีแบบไม่ต้องยืนยันตัวตนสร้าง session token ปลอมและสวมรอยผู้ใช้ได้ กระทบ ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus และ ADAudit Plus เสี่ยงยกระดับสิทธิ์และเคลื่อนตัวในเครือข่าย ManageEngine ออกแพตช์แล้วระหว่าง 3-12 มิ.ย. 2026

แฮ็กเกอร์ DraftKings ฉายา 'Snoopy' ถูกตัดสินจำคุก 18 เดือน — เจาะ 60,000 บัญชี ขโมยเงิน 600,000 ดอลลาร์

DraftKings hacker Snoopy sentenced to prison for credential stuffing attack
นาย Nathan Austad วัย 21 ปี ฉายา ‘Snoopy’ ถูกศาลสหรัฐตัดสินจำคุก 18 เดือนจากบทบาทในการเจาะบัญชีผู้ใช้ DraftKings เมื่อปี 2022 กลุ่มผู้โจมตีใช้เทคนิค credential stuffing เจาะบัญชีได้ราว 60,000 บัญชี และดูดเงินจาก 1,600 บัญชีรวมกว่า 600,000 ดอลลาร์ Austad เปิดร้านขายสิทธิ์เข้าถึงบัญชีที่ถูกขโมยเอง โดยบัญชีคริปโตได้รับทรัพย์สินราว 465,000 ดอลลาร์ ศาลยังสั่งคุมประพฤติ 3 ปีและชดใช้เงินรวมกว่า 1.7 ล้านดอลลาร์

CVE-2026-8206 — ช่องโหว่ปลั๊กอิน WordPress Kirki เปิดทางยึดบัญชีแอดมิน กระทบเว็บกว่า 500,000 แห่ง CVSS 9.8

WordPress Kirki plugin vulnerability exposes 500000 websites to privilege escalation attacks
ช่องโหว่ระดับวิกฤตในปลั๊กอิน Kirki ของ WordPress (CVE-2026-8206 CVSS 9.8) เปิดทางให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนยึดบัญชีแอดมินได้ กระทบเว็บกว่า 500,000 แห่ง และยังเสี่ยงอยู่ราว 150,000 แห่ง ช่องโหว่อยู่ในฟังก์ชัน handle_forgot_password() ที่รับทั้ง username และ email โดยไม่ตรวจความสัมพันธ์ ทำให้ผู้โจมตีส่งคำขอรีเซ็ตรหัสด้วย username ของแอดมินแต่ใช้อีเมลของตัวเอง รับ reset token แล้วตั้งรหัสใหม่ยึดบัญชี กระทบเวอร์ชัน 6.0.0–6.0.6 แก้แล้วใน 6.0.7

Meta AI ถูกหลอกส่งมอบบัญชี Instagram ให้แฮ็กเกอร์ — เหยื่อติดลูปแชตบอต กู้คืนไม่ได้เพราะไร้เจ้าหน้าที่มนุษย์

Instagram users locked out after Meta AI abused to steal accounts
ผู้ใช้ Instagram หลายรายถูกยึดบัญชีหลังแฮ็กเกอร์หลอกเครื่องมือ AI ของ Meta ให้เชื่อว่าเป็นเจ้าของตัวจริง วิธีการง่ายอย่างน่าตกใจ คือใช้รูปจากบัญชีเหยื่อแปลงเป็นวิดีโอ AI ผ่านการยืนยันด้วยเซลฟี ข้าม 2FA และใช้ VPN ปลอมพิกัด แล้วเปลี่ยนอีเมลเพื่อรีเซ็ตรหัสผ่าน บัญชีหายากที่ถูกยึดรวมถึงบัญชีเก่าของทีม Obama White House, นักวิจัย Jane Manchun Wong, @hey และ @korn ที่ร้ายคือเหยื่อกู้คืนไม่ได้เพราะระบบเป็นแชตบอต AI ล้วน ไม่มีเจ้าหน้าที่มนุษย์