ຖ້າໃນອະດີດ, ການສູນເສຍກະເປົາເງິນດິຈິຕອນມັກຈະເປັນຍ້ອນຜູ້ໃຊ້ເປີດເຜີຍລະຫັດສ່ວນຕົວຂອງເຂົາເຈົ້າໂດຍບັງເອີນ, ໃນປັດຈຸບັນແຮກເກີໄດ້ສ້າງເຄື່ອງມືເພື່ອ "ຊ່ວຍ" ຜູ້ໃຊ້ບໍລິຈາກຊັບສິນຂອງເຂົາເຈົ້າໂດຍບໍ່ຮູ້ຕົວ.
ສອງເຫດການທີ່ມີຄວາມນິຍົມສູງທີ່ຜ່ານມາທີ່ສະແດງໃຫ້ເຫັນເຖິງແນວໂນ້ມນີ້ແມ່ນການເກີດຂື້ນຂອງການຂະຫຍາຍທີ່ເປັນອັນຕະລາຍແລະແຄມເປນ APT ແນໃສ່ບຸກຄະລາກອນອຸດສາຫະກໍາ Blockchain.
TheHackerNews ລາຍງານວ່າໃນກາງເດືອນພະຈິກ 2025, ຊຸມຊົນຄວາມປອດໄພໄດ້ຕົກໃຈກັບການຄົ້ນພົບສ່ວນຂະຫຍາຍຂອງຕົວທ່ອງເວັບ Chrome ທີ່ເອີ້ນວ່າ "Safery: Ethereum Wallet". ປອມຕົວເປັນກະເປົາເງິນ Ethereum ທີ່ປອດໄພ ແລະປ່ຽນແປງໄດ້, ສ່ວນຂະຫຍາຍນີ້ແມ່ນເປັນ "ເຄື່ອງດູດເລືອດ".
ອີງຕາມນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພ, "Safery", ຜູ້ໂຈມຕີ cyber ໃຊ້ເທກໂນໂລຍີ Blockchain ເພື່ອຊ່ອນອາຊະຍາກໍາຂອງພວກເຂົາ. ໂດຍສະເພາະ, ເມື່ອຜູ້ໃຊ້ໃສ່ປະໂຫຍກການຟື້ນຕົວ (ປະໂຫຍກເມັດ) ເຂົ້າໄປໃນກະເປົາເງິນປອມນີ້, malware ຈະເຂົ້າລະຫັດປະໂຫຍກນັ້ນເຂົ້າໄປໃນທີ່ຢູ່ wallet ໃນເຄືອຂ່າຍ Sui (Sui blockchain).
ຜູ້ໂຈມຕີພຽງແຕ່ຕ້ອງການຕິດຕາມແລະຖອດລະຫັດທີ່ຢູ່ທີ່ໄດ້ຮັບເພື່ອຟື້ນຕົວປະໂຫຍກຂອງແກ່ນຕົ້ນສະບັບແລະລະບາຍກະເປົາເງິນດິຈິຕອນຂອງຜູ້ເຄາະຮ້າຍຢ່າງງຽບໆ. ອັນຕະລາຍແມ່ນຢູ່ໃນຄວາມຈິງທີ່ວ່າຂະບວນການລັກຂໍ້ມູນທັງຫມົດເບິ່ງຄືກັບການເຮັດທຸລະກໍາ Blockchain ປົກກະຕິ, ເຮັດໃຫ້ລະບົບການກວດສອບຄວາມປອດໄພເກືອບ "ຕາບອດ".
ການຄົ້ນພົບ ຈາກ Kaspersky ສະແດງໃຫ້ເຫັນວ່າພວກເຂົາບໍ່ພຽງແຕ່ໂຈມຕີຜູ້ໃຊ້ທົ່ວໄປເທົ່ານັ້ນ, ກຸ່ມອາຊະຍາກໍາທາງອິນເຕີເນັດທີ່ມີຊື່ສຽງ BlueNoroff (ຊຶ່ງເອີ້ນກັນວ່າ Sapphire Sleet ຫຼື APT38) ໄດ້ນໍາໃຊ້ສອງແຄມເປນການໂຈມຕີເປົ້າຫມາຍໃຫມ່, GhostCall ແລະ GhostHire, ແນໃສ່ໂດຍກົງກັບນັກຂຽນໂປລແກລມແລະຜູ້ບໍລິຫານໃນພາກສະຫນາມ Web3.
ໃນແຄມເປນ GhostCall, ແຮກເກີເຂົ້າຫາເປົ້າໝາຍຜ່ານທາງ Telegram, ປອມຕົວເປັນນາຍທຶນ (VCs). ພາກສ່ວນທີ່ຫນ້າຢ້ານແມ່ນວິສະວະກໍາສັງຄົມທີ່ລະອຽດອ່ອນ: ພວກເຂົາເຈົ້າໄດ້ເຊື້ອເຊີນຜູ້ຖືກເຄາະຮ້າຍເຂົ້າຮ່ວມກອງປະຊຸມ ວິດີໂອ ຢູ່ໃນເວັບໄຊທ໌ປອມເຊັ່ນ Zoom ຫຼື Microsoft Teams.
ເມື່ອເຂົ້າຮ່ວມ, ຜູ້ຖືກເຄາະຮ້າຍຈະເຫັນວິດີໂອຂອງຜູ້ເຂົ້າຮ່ວມອື່ນໆ. ໃນຄວາມເປັນຈິງ, ເຫຼົ່ານີ້ບໍ່ແມ່ນ Deepfakes ຍ້ອນວ່າຫຼາຍຄົນເຊື່ອຜິດ, ແຕ່ບັນທຶກສຽງ / ວິດີໂອທີ່ແທ້ຈິງຂອງຜູ້ຖືກເຄາະຮ້າຍທີ່ຜ່ານມາທີ່ຖືກລັກໂດຍແຮກເກີ.
"ຄວາມແທ້ຈິງ" ນີ້ເຮັດໃຫ້ຜູ້ຖືກເຄາະຮ້າຍເຮັດໃຫ້ຜູ້ຖືກເຄາະຮ້າຍຫຼຸດລົງແລະໄດ້ຢ່າງງ່າຍດາຍດາວໂຫລດ "ການອັບເດດ" ປອມທີ່ມີ AppleScript ທີ່ເປັນອັນຕະລາຍ (ສໍາລັບ macOS) ຫຼືໄຟລ໌ທີ່ເປັນອັນຕະລາຍ (ສໍາລັບ Windows).
ອີງຕາມບົດລາຍງານຫລ້າສຸດຈາກ Kaspersky ກ່ຽວກັບເຕັກນິກການ phishing ໃນປີ 2025, ແຮກເກີໄດ້ "ຟື້ນຟູ" ປະຕິທິນ phishing trick ແຕ່ຢູ່ໃນລະດັບທຸລະກິດ (B2B).
ແທນທີ່ຈະສົ່ງອີເມວ "ຂີ້ເຫຍື້ອ" ຈໍານວນຫລາຍ, ພວກເຂົາສົ່ງຄໍາເຊີນກອງປະຊຸມປອມທີ່ມີການເຊື່ອມຕໍ່ທີ່ເປັນອັນຕະລາຍໃນຄໍາອະທິບາຍເຫດການ. ເຖິງແມ່ນວ່າຜູ້ໃຊ້ບໍ່ໄດ້ເປີດອີເມລ໌, ການແຈ້ງເຕືອນຈາກແອັບຯປະຕິທິນຂອງໂທລະສັບຂອງພວກເຂົາຍັງສາມາດຊັກຊວນໃຫ້ພວກເຂົາຄລິກໃສ່ການເຊື່ອມຕໍ່ໂດຍຄວາມຢາກຮູ້.
ນອກຈາກນັ້ນ, ການນໍາໃຊ້ລະຫັດ QR ໄດ້ປະຕິບັດຮູບແບບໃຫມ່, ການຝັງລະຫັດ QR ໃນໄຟລ໌ແນບ PDF. PDF ເຫຼົ່ານີ້ບາງຄັ້ງຖືກປ້ອງກັນດ້ວຍລະຫັດຜ່ານ (ລະຫັດຜ່ານຖືກສົ່ງໃນອີເມວຫຼືອີເມວແຍກຕ່າງຫາກ) ເພື່ອຂ້າມເຄື່ອງມືສະແກນໄວຣັສອັດຕະໂນມັດ.
ການສະແກນລະຫັດ QR ບັງຄັບໃຫ້ຜູ້ໃຊ້ໃຊ້ອຸປະກອນມືຖືສ່ວນຕົວຂອງເຂົາເຈົ້າ – ເຊິ່ງມັກຈະຂາດການປົກປ້ອງຄວາມປອດໄພທີ່ເຂັ້ມແຂງຄືກັນກັບຄອມພິວເຕີຂອງບໍລິສັດ – ເພື່ອເຂົ້າເຖິງເວັບໄຊທ໌ປອມ, ຟິດຊິງ.
ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພຂອງ Kaspersky ໄດ້ສະແດງໃຫ້ເຫັນເຕັກນິກທີ່ໂດດເດັ່ນທີ່ແຮກເກີສ້າງຫນ້າເຂົ້າສູ່ລະບົບປອມ (ເຊັ່ນ: ການປອມຕົວເປັນການບໍລິການເກັບຮັກສາ pCloud) ທີ່ມີຄວາມສາມາດໃນການໂຕ້ຕອບໃນເວລາຈິງກັບການບໍລິການທີ່ແທ້ຈິງຜ່ານ API.
ເມື່ອຜູ້ໃຊ້ໃສ່ຂໍ້ມູນການເຂົ້າສູ່ລະບົບແລະລະຫັດ OTP ຂອງເຂົາເຈົ້າເຂົ້າໄປໃນເວັບໄຊທ໌ປອມ, ເວັບໄຊທ໌ຈະສົ່ງຂໍ້ມູນນັ້ນໄປຫາບໍລິການທີ່ແທ້ຈິງ. ຖ້າຂໍ້ມູນຖືກຕ້ອງ, ແຮກເກີຈະຜ່ານເວລາເຂົ້າສູ່ລະບົບກ່ອນທີ່ຜູ້ໃຊ້ຈະຮັບຮູ້ມັນ.
ນອກຈາກນັ້ນ, ເພື່ອຫຼີກເວັ້ນການຖືກກວດພົບແລະວິເຄາະໂດຍການກັ່ນຕອງຄວາມປອດໄພສໍາລັບເວັບໄຊທ໌ phishing, ແຮກເກີໄດ້ຕັ້ງ "ຕ່ອງໂສ້ການກວດສອບ". ເມື່ອຜູ້ໃຊ້ຄລິກໃສ່ການເຊື່ອມຕໍ່, ພວກເຂົາຈະຕ້ອງຜ່ານຫຼາຍຊັ້ນຂອງລະຫັດການກວດສອບຄວາມຖືກຕ້ອງ CAPTCHA ຫຼືຫນ້າການຢັ້ງຢືນປອມກ່ອນທີ່ຈະໄປເຖິງຫນ້າປາຍທາງ (ຫນ້າເຂົ້າສູ່ລະບົບ Google / Microsoft ປອມ). ນີ້ທັງສອງການກັ່ນຕອງອອກ bots ການກວດສອບອັດຕະໂນມັດແລະສ້າງຄວາມຮູ້ສຶກທີ່ບໍ່ຖືກຕ້ອງຂອງຄວາມໄວ້ວາງໃຈສໍາລັບຜູ້ໃຊ້ວ່າເວັບໄຊທ໌ມີຄວາມປອດໄພຢ່າງລະອຽດ.
ອັນຕະລາຍຂອງການ phishing ໄດ້ຖືກຂະຫຍາຍອອກໂດຍຮູບແບບ "Phishing-as-a-Service", ຕາມຫຼັກຖານຂອງການຟ້ອງຮ້ອງຂອງ Google ທີ່ຜ່ານມາຕໍ່ກັບແຮກເກີທີ່ຢູ່ເບື້ອງຫຼັງເວທີ Lighthouse.
ໃນ 2025, ເສັ້ນລະຫວ່າງຄວາມປອດໄພແລະອັນຕະລາຍໃນ ໂລກ cryptocurrency ແມ່ນ thinner ກວ່າເຄີຍ.
cybercriminals ບໍ່ພຽງແຕ່ເປັນ shadowy malware writers, ພວກເຂົາເຈົ້າແມ່ນ "ນັກຈິດຕະສາດ" ທີ່ເຂົ້າໃຈພຶດຕິກໍາຂອງຜູ້ໃຊ້ແລະ "ວິສະວະກອນ" ທີ່ຮູ້ຈັກວິທີທີ່ຈະໃຊ້ປະໂຍດຈາກເຕັກໂນໂລຊີຄວາມປອດໄພ (ເຊັ່ນ: blockchain, ການກວດສອບ 2-factor) ເພື່ອໂຈມຕີຜູ້ຖືກເຄາະຮ້າຍຂອງເຂົາເຈົ້າ.
ສໍາລັບນັກລົງທຶນ, ຄໍາແນະນໍາຂອງ "ຢ່າແບ່ງປັນກະແຈສ່ວນຕົວຂອງເຈົ້າ" ແມ່ນບໍ່ພຽງພໍອີກຕໍ່ໄປ. ຜູ້ຊ່ຽວຊານ Kaspersky ເວົ້າວ່າການກວດສອບຕົ້ນກໍາເນີດຂອງສ່ວນຂະຫຍາຍຢ່າງລະມັດລະວັງ, ລະວັງການເຊີນກອງປະຊຸມອອນໄລນ໌ຫຼືການສະເຫນີວຽກທີ່ບໍ່ຄາດຄິດ, ແລະການລະມັດລະວັງການຮ້ອງຂໍການເຂົ້າສູ່ລະບົບຈາກອີເມວ (ເຖິງແມ່ນວ່າມີ PDF ຫຼືການປົກປ້ອງ CAPTCHA) ແມ່ນທັກສະການຢູ່ລອດທີ່ບັງຄັບຢູ່ໃນຍຸກດິຈິຕອນທີ່ເຕັມໄປດ້ວຍໃສ່ກັບດັກ.
ອີງຕາມຜູ້ຊ່ຽວຊານ Kaspersky, ສະເຫມີໃຊ້ເຄື່ອງມືຄວາມປອດໄພກັບໄຟວໍໃນອຸປະກອນທີ່ສໍາຄັນ, ຈາກຄອມພິວເຕີ້ Windows ກັບ MacBooks, ແລະຢ່າລືມວ່າໂທລະສັບສະຫຼາດ, ເຊິ່ງຖືວ່າເປັນຄອມພິວເຕີ້ຂະຫນາດນ້ອຍ, ຍັງຕ້ອງການຄໍາຮ້ອງສະຫມັກປ້ອງກັນ.
ກະເປົ໋າເງິນດິຈິຕອນທີ່ບັນຈຸຊັບສິນການລົງທຶນກໍ່ຕ້ອງການຄໍາຮ້ອງສະຫມັກການປົກປ້ອງ "ທີ່ສົມຄວນ" ເພື່ອມອບຄວາມໄວ້ວາງໃຈຂອງທ່ານ.
ທີ່ມາ: https://www.sggp.org.vn/vi-tien-so-khong-con-la-noi-an-toan-post826686.html
![[ພາບ] ຂະບວນແຫ່ເພື່ອສະເຫຼີມສະຫຼອງວັນຊາດລາວ ຄົບຮອບ 50 ປີ](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F02%2F1764691918289_ndo_br_0-jpg.webp&w=3840&q=75)
![[ພາບ] ການໄຫວ້ຮູບປັ້ນ Tuyet Son - ຊັບສົມບັດທີ່ມີອາຍຸເກືອບ 400 ປີທີ່ວັດ Keo Pagoda](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F02%2F1764679323086_ndo_br_tempimageomw0hi-4884-jpg.webp&w=3840&q=75)
(0)