好多人都會用打機嚟減壓或 kill time,雖然只係娛樂嚟,但大家都唔好忽視佢嘅安全性。Cyware 網絡安全分析師就近發表一篇文章就指出,無論係玩家抑或遊戲開發商,都要改變一下大家嘅想法,否則好易造成個人私隱外洩,後果可以好嚴重咁話。 其實大家間唔中都會聽到玩家帳戶被搶嘅消息,除咗因為廠方管理玩家嘅私隱不善導致外洩,例如上個月手機遊戲開發商 Zynga就洩露咗兩億玩家帳戶資料,另外亦可能同玩家設定嘅密碼太過簡單有關。專家 Ryan Stewart 解釋,唔少玩家覺得打機只係娛樂,認為無乜特別風險,為咗快速登入帳戶,所以傾向選擇簡單嘅密碼組合,就算廠方提供雙重認證登入方法,都唔會特別選用。Ryan 亦指出加上大部分玩家都係青少年,佢哋亦唔認為個人私隱有幾重要,所以對守護帳戶疏於防範。 Ryan 話如提升打機嘅安全性,無論玩家或開發商都要有所提升。首先係玩家方面,其實資深玩家嘅帳戶係地下市場有市有價,而且有時帳戶入面仲會有玩家嘅信用卡資料,所以絕對會成為黑客攻擊嘅目標,所以玩家一定要設定複雜嘅密碼,同時唔好同其他帳戶共用密碼,絕對唔好貪方便直接用Facebook 或 Google 帳戶嚟登入,萬一私隱外洩就有可能令呢啲帳戶同時失守。如果打機嘅裝置有防毒軟件,玩家亦應該考慮安裝。 至於遊戲開發商方面,Ryan 話應該主動提醒玩家安全事項同提供實際做法俾玩家參考,自己亦要做好防禦工作,以免將玩家資料外洩。仲有一點較為特別,就係開發商應引入行為分析工具,當發現玩家嘅行為出現異常,例如短時間內登入位置過遠、登入時間大幅度改變,都有可能係帳戶被黑客攻擊嘅徵兆,咁就可以為玩家提供多一重保障。簡單哋講句,即係玩都要玩得專業啦。 資料來源:https://bit.ly/2OPkoF1
Search Results: 信用卡 (121)
號稱保安性極高嘅 Apple Card,推出無耐,已經出現咗首個被盜用簽帳嘅個案喇。受害人 David 打去 Apple 尋求協助,但獲得嘅回應竟然係話佢哋都唔知點解可以發生,而且一張卡同時出現喺兩個地方實在太奇怪。可能你會問,複製咗就得啦好難咩?咁我哋就首先回一回帶,睇吓 Apple Card 有乜咁巴閉先。 Apple Card 分為實體及虛擬卡,鈦金屬製嘅實體 Apple Card ,卡身只係得晶片同埋帳戶名稱,信用卡號碼、CVV保安號碼、到期日以及簽名位完全被消失,所以就算想複製張卡都唔係易事,而且就算俾人執到呢張卡,想用嚟網上購物都唔得。至於虛擬 Apple Card 就收喺 iPhone…
有追開我哋嘅報導,應該仲記得 Magecart 呢個黑客集團。根據網絡安全專家嘅調查,Magecart 旗下至少有 12 個小團體,功力不一,但佢哋嘅犯案目的就好一致,就係專門盜取信用卡資料。死喺佢哋手上嘅大企業有好多,包括英國航空、TicketMaster、Newegg、Forbes 等等。Magecart 比較令人印象深刻嘅攻擊手法,係佢哋會攻入上述企業嘅第三方服務供應商嘅 web server,喺 Javascript Library 內加入惡意代碼,將幫襯網站嘅客戶引導去另一個像真度極高嘅仿製網站,呃取佢哋嘅信用卡資料。 不過,IBM X-Force IRIS 嘅研究員就發現,近月 Magecart 最活躍嘅第 5…
網絡安全事故頻頻發生,香港企業當然不可能獨善其身,特別是雲技術興起,重要數據或敏感資料未必會只儲存在內部伺服器,被攻擊的層面自然大增。為了減低風險,現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過,面對層出不窮的攻擊手法及難以防備的人為疏忽,企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說,這類保險概念在香港屬起步階段,但在歐洲地區卻歷史悠久,遠在上世紀七十年代已有相關保險,因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟,不單只保障企業,個人一樣受保,例如經常拿著電腦到不同地方工作的自由工作者,保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險,主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇,但網絡安全保險就相對陌生。盧子頴解析,網絡安全保障範疇不難理解,當發生黑客入侵或資料外洩,善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障,主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後,企業必須聘請專家去證明這是否一宗網絡安全事故,進行調查及鑑證,分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報,便有可能需向法律顧問諮詢意。除此之外,為免外洩的客戶資料被黑客用作申請信用卡或借貸,企業或有需要採用信貸監控服務,而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業,這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額,例如過往的交易紀錄等,但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞,又或受到勒索軟件攻擊,待專家取證後,企業便可以修復系統及復原數據,涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱,導致客戶在名譽或金錢上出現損失,對方便有可能入禀追討賠償。 除了上述四項保障,盧子頴說因應市場需求,部分保險公司還會提供一些額外的保障,例如贖金索償,當企業遭受勒索軟件攻擊,有需要繳付贖金以取回解鎖方法,這些贖金便會獲得賠償。「另外,近年因外判商失誤造成損失的個案大增,所以亦有保險公司提供這類保障,例如一些業務涉及電子交易的企業,會委托外判商提供及管理網上交易平台,如證實導致資料外洩的失誤是出在對方身上,投保人便可獲得保障,而保險公司則保留向外判商追討損失的權利。」 事實上,網絡安全保險的保障範圍可以很全面,不過,盧子頴強調與其他保險產品一樣,投保的概念並非為了賺錢,而是減少損失。不過,是否所有企業也需要投保?他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information(PII),而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料?如需管有這些敏感資料,受黑客攻擊的風險便會增加,企業管理者應認真考慮投保,特別是全球各地都開始為保障個人私隱立法,歐盟通過的 GDPR…
睇子華嘅最鍾意嗌「回水」,不過冇一次得到正面回應。而最近有黑客被補之後,起返之前呃落嘅 110 萬 Bitcoin 贓款,當局決定將贓款歸還苦主,實現真正嘅回水! 是咁的,英國警方花咗兩年時間調查,終於响 2017 年 9 月成功捉到 Grant West(aka Courvoisier),行動外號叫「Operation Draba」。 Grant West 被判監 10 年零 8…
裝得防毒軟件,梗係希望可以攔截病毒或去錯虛假網站,但如果佢會洩漏你嘅行蹤,你又會唔會用? 網絡防毒軟件供應商 Kaspersky 嘅產品,最近就被發現原來有呢種「附加功能」,而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現,Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security,喺用戶訪問每個網站時,都會遙距注入一個 JavaScript 檔案去目標網站,以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky…
香港電腦保安事故協調中心(HKCERT)剛啱發表咗香港第二季《香港保安觀察報告》,統計數字顯示釣魚電郵嘅個案,數字由第一季嘅 289 宗飊升至第二季嘅 1,306 宗,升幅高達三倍,其中有四成更係假冒 apple.com 及 icloud.com 嚟發送電郵。釣魚電郵之所以能夠歷久常新、講極都有人中招,都係因為黑客用咗唔少有創意嘅方法,去減低目標人物嘅警覺性。 最近網絡安全公司 ReversingLabs 又發現咗一個新趨勢,研究員指出以往釣魚電郵嘅欺詐方法,主要係透過引誘收件人點擊電郵入面嘅連結,然後去到一個冒牌網站例如 Apple、Amazon 或各大銀行等等,部分冒牌網站會整到同官網一樣提升可信性,務求令收件人輸入登入資料,黑客就可以盜用帳戶嚟購物或攞到信用卡資料。 千方百計呃人Login 不過,最近有黑客就改為喺附件到放置一個 PDF 檔案,電郵內容係提醒收件人嘅 Amazon 帳戶有一啲稅務費用,講明唔係收費通知,只係要求用戶登入檢查。由於喺美國…
有睇開新聞嘅,都知呢排大家比較關心香港機場發生嘅事,但原來除咗「因航」出事之外,英航亦榜上有名,不過發生問題嘅係電子機票系統。 點解我講「又係」?咁就要回一回帶先,上個月中我哋先講過,英航因為舊年 8 月 21 日至 9 月 5 日期間,被黑客偷走約 38 萬客戶嘅名字、電郵地址、信用卡等資料,結果被英國資訊專員辦公室(ICO)罰款 1.8 億英鎊,破晒所有罰款記錄,以為佢會汲取教訓,點知又出事! 今次出事嘅係佢哋嘅電子機票,外國網站 Threatpost 嘅研究員今年 7 月發現,所有英航透過電郵發俾顧客網上 check-in…
https://www.youtube.com/embed/nlS5lBNm9Us?wmode=transparent&rel=0&feature=oembed 上次網絡安全組織 VXRL 成員 Boris So 同大家講解過後門(Backdoor)好難分辨有心定無意,同埋簡單介紹咗後門的種類。今次就用三個實例,分析三種常見嘅後門攻擊手法係點執行,同埋根據呢三個個案嘅攻擊手法,從植入嘅複雜性、可執行嘅權限及隱密性三方面嚟進行評分。 寫死密碼 講緊嘅係 2015 年 Juniper 嘅 Firewall 被發現有後門事件,呢個後門屬於 hard-coded password,只要經 SSH 或 Telnet…
Visa 信用卡嘅非接觸式感應付款技術,早於上年已被研究人員警告,因為其付款金額限制功能唔夠穩陣,只要有辦法繞過認證機制,限制交易金額嘅保護機制就會形同虛設,黑客就可以實現「真‧無限簽帳」喇! 網絡安全公司 Positive Technologies 研究人員 Leigh-Anne Galloway 與 Timur Yunusov 最近完成測試,成功利用漏洞繞過 Visa 信用卡感應式付款驗證限制,而且試埋用英國 5 間主要銀行所發出嘅信用卡,全部都可以做到,理論上,其他英國銀行應該都無一倖免。 研究人員嘅攻撃方法,係利用一部裝置攔截信用卡同終端機之間嘅訊號,即係中間人攻擊(man in the middle…