號稱保安性極高嘅 Apple Card，推出無耐，已經出現咗首個被盜用簽帳嘅個案喇。受害人 David 打去 Apple 尋求協助，但獲得嘅回應竟然係話佢哋都唔知點解可以發生，而且一張卡同時出現喺兩個地方實在太奇怪。可能你會問，複製咗就得啦好難咩？咁我哋就首先回一回帶，睇吓 Apple Card 有乜咁巴閉先。 Apple Card 分為實體及虛擬卡，鈦金屬製嘅實體 Apple Card ，卡身只係得晶片同埋帳戶名稱，信用卡號碼、CVV保安號碼、到期日以及簽名位完全被消失，所以就算想複製張卡都唔係易事，而且就算俾人執到呢張卡，想用嚟網上購物都唔得。至於虛擬 Apple Card 就收喺 iPhone…

有追開我哋嘅報導，應該仲記得 Magecart 呢個黑客集團。根據網絡安全專家嘅調查，Magecart 旗下至少有 12 個小團體，功力不一，但佢哋嘅犯案目的就好一致，就係專門盜取信用卡資料。死喺佢哋手上嘅大企業有好多，包括英國航空、TicketMaster、Newegg、Forbes 等等。Magecart 比較令人印象深刻嘅攻擊手法，係佢哋會攻入上述企業嘅第三方服務供應商嘅 web server，喺 Javascript Library 內加入惡意代碼，將幫襯網站嘅客戶引導去另一個像真度極高嘅仿製網站，呃取佢哋嘅信用卡資料。 不過，IBM X-Force IRIS 嘅研究員就發現，近月 Magecart 最活躍嘅第 5…

網絡安全事故頻頻發生，香港企業當然不可能獨善其身，特別是雲技術興起，重要數據或敏感資料未必會只儲存在內部伺服器，被攻擊的層面自然大增。為了減低風險，現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過，面對層出不窮的攻擊手法及難以防備的人為疏忽，企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說，這類保險概念在香港屬起步階段，但在歐洲地區卻歷史悠久，遠在上世紀七十年代已有相關保險，因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟，不單只保障企業，個人一樣受保，例如經常拿著電腦到不同地方工作的自由工作者，保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險，主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇，但網絡安全保險就相對陌生。盧子頴解析，網絡安全保障範疇不難理解，當發生黑客入侵或資料外洩，善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障，主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後，企業必須聘請專家去證明這是否一宗網絡安全事故，進行調查及鑑證，分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報，便有可能需向法律顧問諮詢意。除此之外，為免外洩的客戶資料被黑客用作申請信用卡或借貸，企業或有需要採用信貸監控服務，而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業，這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額，例如過往的交易紀錄等，但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞，又或受到勒索軟件攻擊，待專家取證後，企業便可以修復系統及復原數據，涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱，導致客戶在名譽或金錢上出現損失，對方便有可能入禀追討賠償。 除了上述四項保障，盧子頴說因應市場需求，部分保險公司還會提供一些額外的保障，例如贖金索償，當企業遭受勒索軟件攻擊，有需要繳付贖金以取回解鎖方法，這些贖金便會獲得賠償。「另外，近年因外判商失誤造成損失的個案大增，所以亦有保險公司提供這類保障，例如一些業務涉及電子交易的企業，會委托外判商提供及管理網上交易平台，如證實導致資料外洩的失誤是出在對方身上，投保人便可獲得保障，而保險公司則保留向外判商追討損失的權利。」 事實上，網絡安全保險的保障範圍可以很全面，不過，盧子頴強調與其他保險產品一樣，投保的概念並非為了賺錢，而是減少損失。不過，是否所有企業也需要投保？他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information（PII），而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料？如需管有這些敏感資料，受黑客攻擊的風險便會增加，企業管理者應認真考慮投保，特別是全球各地都開始為保障個人私隱立法，歐盟通過的 GDPR…

睇子華嘅最鍾意嗌「回水」，不過冇一次得到正面回應。而最近有黑客被補之後，起返之前呃落嘅 110 萬 Bitcoin 贓款，當局決定將贓款歸還苦主，實現真正嘅回水！ 是咁的，英國警方花咗兩年時間調查，終於响 2017 年 9 月成功捉到 Grant West（aka Courvoisier），行動外號叫「Operation Draba」。 Grant West 被判監 10 年零 8…

裝得防毒軟件，梗係希望可以攔截病毒或去錯虛假網站，但如果佢會洩漏你嘅行蹤，你又會唔會用？ 網絡防毒軟件供應商 Kaspersky 嘅產品，最近就被發現原來有呢種「附加功能」，而且喺過去四年一直發生緊。網絡安全獨立調查員 Ronald Eikenberg 發現，Kaspersky 旗下嘅防毒軟件 Anti-Virus、Internet Security、Total Security、Free Anti-Virus 及 Small Office Security，喺用戶訪問每個網站時，都會遙距注入一個 JavaScript 檔案去目標網站，以確定呢個網站有無被 blacklist。呢一個名為 Kaspersky…

香港電腦保安事故協調中心（HKCERT）剛啱發表咗香港第二季《香港保安觀察報告》，統計數字顯示釣魚電郵嘅個案，數字由第一季嘅 289 宗飊升至第二季嘅 1,306 宗，升幅高達三倍，其中有四成更係假冒 apple.com 及 icloud.com 嚟發送電郵。釣魚電郵之所以能夠歷久常新、講極都有人中招，都係因為黑客用咗唔少有創意嘅方法，去減低目標人物嘅警覺性。 最近網絡安全公司 ReversingLabs 又發現咗一個新趨勢，研究員指出以往釣魚電郵嘅欺詐方法，主要係透過引誘收件人點擊電郵入面嘅連結，然後去到一個冒牌網站例如 Apple、Amazon 或各大銀行等等，部分冒牌網站會整到同官網一樣提升可信性，務求令收件人輸入登入資料，黑客就可以盜用帳戶嚟購物或攞到信用卡資料。 千方百計呃人Login 不過，最近有黑客就改為喺附件到放置一個 PDF 檔案，電郵內容係提醒收件人嘅 Amazon 帳戶有一啲稅務費用，講明唔係收費通知，只係要求用戶登入檢查。由於喺美國…

有睇開新聞嘅，都知呢排大家比較關心香港機場發生嘅事，但原來除咗「因航」出事之外，英航亦榜上有名，不過發生問題嘅係電子機票系統。 點解我講「又係」？咁就要回一回帶先，上個月中我哋先講過，英航因為舊年 8 月 21 日至 9 月 5 日期間，被黑客偷走約 38 萬客戶嘅名字、電郵地址、信用卡等資料，結果被英國資訊專員辦公室（ICO）罰款 1.8 億英鎊，破晒所有罰款記錄，以為佢會汲取教訓，點知又出事！ 今次出事嘅係佢哋嘅電子機票，外國網站 Threatpost 嘅研究員今年 7 月發現，所有英航透過電郵發俾顧客網上 check-in…

https://www.youtube.com/embed/nlS5lBNm9Us?wmode=transparent&rel=0&feature=oembed 上次網絡安全組織 VXRL 成員 Boris So 同大家講解過後門（Backdoor）好難分辨有心定無意，同埋簡單介紹咗後門的種類。今次就用三個實例，分析三種常見嘅後門攻擊手法係點執行，同埋根據呢三個個案嘅攻擊手法，從植入嘅複雜性、可執行嘅權限及隱密性三方面嚟進行評分。 寫死密碼 講緊嘅係 2015 年 Juniper 嘅 Firewall 被發現有後門事件，呢個後門屬於 hard-coded password，只要經 SSH 或 Telnet…

Visa 信用卡嘅非接觸式感應付款技術，早於上年已被研究人員警告，因為其付款金額限制功能唔夠穩陣，只要有辦法繞過認證機制，限制交易金額嘅保護機制就會形同虛設，黑客就可以實現「真‧無限簽帳」喇！ 網絡安全公司 Positive Technologies 研究人員 Leigh-Anne Galloway 與 Timur Yunusov 最近完成測試，成功利用漏洞繞過 Visa 信用卡感應式付款驗證限制，而且試埋用英國 5 間主要銀行所發出嘅信用卡，全部都可以做到，理論上，其他英國銀行應該都無一倖免。 研究人員嘅攻撃方法，係利用一部裝置攔截信用卡同終端機之間嘅訊號，即係中間人攻擊（man in the middle…

VISA上月於中國舉辦的 VISA SECURITY SUMMIT 安全峰會上，提出為了加強信用卡客戶的安全保障，計劃讓全港合作商戶參與代碼化（Tokenization），將客戶的信用卡資料變成代碼，即使黑客攔截到這些代碼，也無法進行任何逆向破解。 VISA 在同場公布的港澳區「支付安全藍圖」內，更表明希望年交易宗數達 100 萬宗以上的商戶，可以在明年內採用資料代碼化，2021 年再擴展至所有合作商戶。到底這種代碼化技術有何獨到之處？ 加密與代碼化技術 近年網上購物平台大熱，再加上形形式式的電子支付應用程式，令香港人習慣了使用電子支付服務。不過在支付較為大額的費用時，不少消費者仍傾向使用信用卡付費。VISA 上月在安全峰會上就指出，港澳區的無卡支付欺詐交易比率在去年第三季急升，為了提升信用卡用戶的安全，VISA 就希望能加快在香港推行代碼化技術。 對於電子支付的安全問題，大多數人都以為傳輸過程是以加密（Encryption）技術，將信用卡號碼、到期日等數據以金鑰加密，即使黑客中途攔截交易數據，在沒有金鑰下也難以破解。不過，由於這些數據被加密後未必可以維持原始格式，處理時有需要修改資料庫或檔案格式，而且傳輸的資料亦是原始資料，所以一旦金鑰外洩，就可逆向破解出原始資料。 非演算亂數無法破解 代碼化技術則以相同格式的亂數進行傳輸，舉例原來的信用卡號碼為 16 個位，代碼化後的亂數依然保持 16 個位格式，再加上當中不涉及任何數學演算對應關係，所以即使黑客攔截到這組代碼，亦難以估計這組代碼是原始資料抑或亂數，以信用卡為例，黑客便無法知道這 16 位數字是原來的版本抑或亂數後的版本，達到客戶去識別化的效果。現時 Apple Pay、Google Pay、Samsung Pay 均採用代碼化技術去處理交易資料。代碼化技術的另一好處，在於它可免於受由信用卡組織制定的 PCI-DSS（Payment Card Industry Data Security Standard）金融機構安全認證審查，大大省卻投放於達成標準所需的準備費用之上。代碼化技術除了可以應用在電子支付之上，為應付全球各國日益提升的個人私隱法例，它還可提升其他個人敏感資料、病歷紀錄的安全程度。 事實上代碼化技術亦有很多種類，到底它與傳統的加密法各有什麼優勢？要引入這項技術，電商或信用卡組織伙伴有什麼需要準備？如何選擇合適的電子支付服務，才能提升公司的營業額？網絡安全應用方案供應商 Edvance X Thales，將於下月舉辦工作坊，詳細講解代碼化技術的應用及解答業內人士的問題。名額有限，如欲了解代碼化技術的詳情及應用範疇，請即點擊報名連結。 Edvance…