Mới đây, các cơ quan Chính phủ Mỹ cảnh báo rằng các tin tặc có liên hệ với Iran đang nhắm mục tiêu vào các PLC (Programmable Logic Controllers) Rockwell/Allen-Bradley được kết nối Internet trên mạng lưới của các tổ chức cơ sở hạ tầng trọng yếu của Mỹ.

Nhóm tin tặc TeamPCP đứng sau vụ tấn công chuỗi cung ứng Trivy, tiếp tục nhắm mục tiêu vào Aqua Security, phát tán các Docker image độc hại và chiếm quyền kiểm soát GitHub organization của công ty để can thiệp vào hàng chục kho lưu trữ.

Tin tặc đang lợi dụng cơ chế chuyển hướng OAuth hợp pháp để vượt qua các biện pháp bảo vệ chống lừa đảo trong email và trình duyệt, dẫn người dùng đến các trang web độc hại.

Một chiến dịch lừa đảo trực tuyến đang sử dụng trang bảo mật Google Account giả mạo để phát tán ứng dụng web có khả năng đánh cắp mã xác thực một lần (OTP), thu thập địa chỉ ví tiền điện tử và chuyển hướng lưu lượng truy cập của kẻ tấn công thông qua trình duyệt của nạn nhân.

Bộ phận quản trị Google Cloud đã thông báo rằng họ sẽ thực thi xác thực đa yếu tố (MFA) bắt buộc đối với tất cả người dùng vào cuối năm 2025. Đây là một phần trong nỗ lực nâng cao khả năng bảo mật tài khoản của Google.

Các chuyên gia bảo mật tại Sophos (Anh) vừa cảnh báo về sự gia tăng của các cuộc tấn công quishing, sử dụng mã QR độc hại để lừa đảo và chiếm đoạt thông tin người dùng.

Ngày 02/8/2023, Microsoft cho biết, một nhóm tin tặc được theo dõi là “APT29” và được liên kết với Cơ quan Tình báo đối ngoại Nga (SVR) đã nhắm mục tiêu vào hàng chục tổ chức trên toàn thế giới, bao gồm cả các cơ quan chính phủ, trong các cuộc tấn công lừa đảo Microsoft Teams diễn ra mới đây.

Vừa qua, các nhà nghiên cứu tại công ty bảo mật Resecurity đã phát hiện một nền tảng PaaS (Phishing-as-a-Service) được gọi là “EvilProxy” (còn được gọi là Moloch), đang được các tin tặc sử dụng như một công cụ để đánh cắp mã xác thực thông báo nhằm vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA) trên các ứng dụng phổ biến như Apple, Google, Facebook,...

Trong thế giới hiện đại, mật khẩu dường như là một hình thức bảo mật lỗi thời và tồn tại nhiều nhược điểm, nhưng một tương lai không dùng mật khẩu sẽ như thế nào và các tổ chức đã sẵn sàng hay chưa?

Phần 3 và cũng là phần cuối trong chuỗi bài về nâng cao nhận thức về bảo mật đối với người dùng MFA của tác giả Hieupc sẽ giúp người dùng có phương pháp cụ thể để tự bảo vệ mình trước sự thiếu hoàn hảo của MFA.