Có đến 83% tổ chức ghi nhận ít nhất một cuộc tấn công từ các mối đe dọa nội bộ trong vòng 12 tháng qua (Theo Báo cáo Insider Threat Report 2024 của Cybersecurity Insiders). Đáng chú ý hơn, tỷ lệ các tổ chức trải qua từ 11 đến 20 cuộc tấn công nội bộ…

Các nhà nghiên cứu bảo mật đã phát hiện một số lỗ hổng bảo mật trong giao thức AirPlay của Apple, giúp tin tặc có thể chiếm quyền điều khiển các thiết bị dễ bị tấn công nếu chúng kết nối với mạng Wi-Fi không an toàn. Những lỗ hổng này có thể được kết hợp…

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong ADOdb – thư viện dùng để kết nối cơ sở dữ liệu trong các ứng dụng PHP, với hơn 2,8 triệu lượt sử dụng trên toàn cầu. Lỗ hổng này được theo dõi với mã định danh CVE-2025-46337, tồn tại trong phương thức…

Ngày 2/5/2025, Ủy ban Bảo vệ Dữ liệu Ireland (DPC) đã ra quyết định phạt TikTok 530 triệu euro (tương đương 601 triệu USD) vì vi phạm Quy định bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR). Lý do chính là việc TikTok chuyển dữ liệu người dùng từ Khu vực Kinh…

Một kỹ thuật tấn công mới mang tên DeviceCodePhishing vừa được công bố. Kỹ thuật này khai thác điểm yếu trong quy trình xác thực bằng mã thiết bị (Device Code Flow), thường được sử dụng trong các nền tảng như Microsoft Azure Entra, để thực hiện hành vi lừa đảo tinh vi vượt qua…

Phishing-as-a-Service (PhaaS) có sử dụng trí tuệ nhân tạo nổi lên như một hiện tượng nguy hiểm trong những năm gần đây. Không còn là công cụ dành riêng cho những hacker dày dạn kinh nghiệm, phishing giờ đây trở thành một dịch vụ có sẵn, dễ tiếp cận và mạnh mẽ, cho phép bất…

Một kỹ thuật tấn công mới mang tên Policy Puppetry vừa được công bố, cho phép khai thác lỗ hổng trong cơ chế kiểm soát an toàn của hầu hết các mô hình AI tạo sinh (gen-AI) lớn hiện nay. Policy Puppetry tận dụng kỹ thuật prompt injection tạo các prompt sao cho mô hình…

Lỗ hổng zero-day nghiêm trọng CVE-2025-31324 (CVSS 10.0)đang bị tin tặc tích cực khai thác ngoài thực tế để tấn công các hệ thống sử dụng SAP NetWeaver Visual Composer MetadataUploader. Đây là một lỗ hổng đặc biệt nguy hiểm khi cho phép kẻ tấn công không cần xác thực vẫn có thể tải lên…

Compromise Assessment – Lớp phòng vệ tiên phong cho doanh nghiệp trước sự gia tăng của các mối đe dọa mạng tinh vi và khó truy vết, khả năng phát hiện sớm dấu hiệu xâm nhập đã trở thành yêu cầu thiết yếu trong bảo vệ hạ tầng CNTT doanh nghiệp. Những giải pháp truyền…

Các nhà nghiên cứu an ninh mạng vừa công bố một rootkit proof-of-concept (PoC) có tên Curing, khai thác cơ chế I/O bất đồng bộ của Linux – được gọi là io_uring – nhằm vượt qua các phương pháp giám sát truyền thống dựa trên system call – vốn là nền tảng của nhiều giải…

Vishing – hay còn gọi là voice phishing – đang nổi lên như một trong những chiến thuật xâm nhập hiệu quả nhất mà các nhóm tội phạm mạng (eCrime) sử dụng trong năm 2024. Không còn là chiêu trò đơn lẻ, vishing đã phát triển thành các chiến dịch có tổ chức, với kịch…

Một chiến dịch phishing được đánh giá là “cực kỳ tinh vi” vừa bị phát hiện khi kẻ tấn công sử dụng hạ tầng hợp pháp của Google để gửi email giả mạo, dẫn dụ người dùng đến các trang web lừa đảo nhằm chiếm đoạt thông tin đăng nhập.  Trong chiến dịch này, các…