DNS 網絡服務供應商 Cloudflare 宣布，由即日起全面關閉其 API 服務使用 HTTP 連接，並強制要求所有請求採用加密的 HTTPS 協議。這項政策旨在消除傳輸未加密數據的風險，防止敏感訊息遭中間人攔截或洩露。雖然 HTTP 有簡易及快速傳輸的優勢，但隨著網絡安全風險攀升，也是時候退下火線。 想知最新科技新聞？立即免費訂閱！ Cloudflare 在公告中表示，新政策不單會完全拒絕任何試圖通過 HTTP 連接到其 API 的請求，甚至不會建立連接，換言之只有 HTTPS…

近日遊戲平台 Steam 便緊急下架一款名為《Sniper: Phantom’s Resolution》的試玩版遊戲，原因是該遊戲內含資訊盜竊惡意軟件，對用家電腦構成嚴重安全威脅。而開發者更聲稱平台存在安全風險，實際上透過其他渠道發放惡意軟件，名副其實「賊喊捉賊」。 想知最新科技新聞？立即免費訂閱！ 開發者建議玩家從平台下位置下載 作為全球最大的線上遊戲平台，Steam 擁有龐大的用家群，根據資料顯示，全球約有 1.3 億登記用家，峰值在線人數更高達 4,000 萬，所以自然成為黑客的狩獵場。過往黑客主要通過釣魚詐騙，誘騙使用者輸入帳號密碼和雙重驗證碼去盜用帳戶；其次是誘騙用家下載惡意軟件，感染電腦後便能盜取儲存的機密數據，又或將電腦變成殭屍網絡的成員，而這次事件便屬於後者。 開發者 Sierra Six Studios 在上星期在平台上預告會推出一款一第一身射擊遊戲的試玩版，介紹頁面上有齊遊戲的片段及內容，但開發者聲稱在 Steam 平台上下載存在安全風險，並留下連結建議玩家從平台下位置下載。部分玩家發現其內容存在異常，例如遊戲描述和素材疑似從其他遊戲複製而來。…

專家經常提醒網民，黑客的網絡攻擊手法與時並進，不斷以創新技巧逃避網絡防護系統的攔截。最近，一場針對 Coinbase 用家的大規模網絡釣魚攻擊，就可以印證網絡安全專家的勸言絕非危言聳聽，出人意料的做法令到眾多用家一夜清貧。 想知最新科技新聞？立即免費訂閱！ 在這次釣魚攻擊事件中，黑客主要針對加密貨幣交易所 Coinbase 的用家發動攻擊，黑客在電郵主題上聲稱用家必須在 3 月 14 日前完成將數碼資產轉移至 Coinbase 的自我保管電子錢包的手續，理由是公司受到法院的要求，必須讓用家自行保管數碼資產，否則將無法再進行交易，催促用家儘快完成轉移。 由於郵件中還附有下載官方 Coinbase Wallet 的教學，令受害者更容易相信其真實性。不過，這次釣魚詐騙的部署並不簡單，因為黑客為了避開電郵防護系統的技術性攔截，以及攻破受害者的心理防線，明顯下了不少苦功。 與以往釣魚攻擊策略大相逕庭 首先在對付防護系統方面，黑客利用了一個合法的地址發信，這樣的設置使得郵件能順利通過多重電郵防護機制，包括 SPF、DMARC…

隨著繳税季節的來臨，公眾在準備提交稅務申報的同時，網絡犯罪分子亦可能會利用人為疏忽，通過各種網絡平台發起釣魚攻擊和詐騙活動。黑客可能透過偽造的稅務局網站和欺詐訊息，誘使用戶洩露敏感的個人或財務資料。因此，香港網絡安全事故協調中心（HKCERT）提醒公眾於繳税季節期間應小心注意網絡安全，尤其對透過釣魚網站要求提供個人數據，或要求立即採取行動的通訊應保持警惕。 想知最新科技新聞？立即免費訂閱！ 經電郵或短訊發送偽造通知 在繳税季節，假冒稅務局的釣魚網站成為網絡犯罪分子的常用手段。他們可能會通過電子郵件或短訊發送偽造的通知，聲稱你的稅務資料需要更新或存在問題，並要求你立即回應。這些詐騙訊息可能會包含一個惡意連結，將你引導至一個假冒的稅務局網站，要求你輸入敏感訊息，如身份證號碼、銀行賬戶訊息等。HKCERT 提醒公眾，稅務局不會通過電子郵件或短訊要求提供此類敏感訊息。 以下是假冒稅務局網站和謊稱來自稅務局的電子郵件的例子： 釣魚網站盜取稅務局標誌、eTax名稱和網址hkataxorevenu[.]com[/]hk。（HKCERT 提供圖片） 釣魚電郵同樣盜取稅務局標誌，以及用 Hong Kong SAR 等字樣來增加緊急性。（HKCERT 提供圖片） 如何識別和防範釣魚詐騙 為了保護自己免受這類詐騙的侵害，公眾在收到任何自稱來自稅務局的電子郵件或短訊時，應仔細核實發件人的身份和訊息的真實性。切勿點擊任何可疑的連結或下載附件，尤其是來自不明來源的郵件。若對訊息的真實性有疑問，請直接聯繫稅務局或相關機構進行確認。 保護個人訊息和財務安全至關重要，以下是 HKCERT 的一些建議： 不要查閱被瀏覽器標示為可疑的網站和不應點擊任何不明來歷的連結，例如來自搜尋引擎的廣告等。檢查瀏覽器上所顯示的網址域名有否可疑，惡意的網址域名帶誤導性或與所聲稱機構名稱不符。使用瀏覽器的反釣魚功能來幫助阻止釣魚攻擊，這些功能可以分析網址並在偵測到釣魚網站時彈出警告頁面。當收到可疑的電子郵件或即時訊息時，請務必通過官方渠道核實詳細訊息。切勿在不明來源的網站或向未知發件人提供上個人資料或登入密碼。若網站並非使用…

通常大型機構會儲存大量敏感數據，確保這些數據的安全尤其重要，而採用特權賬號存取管理（Privileged Access Management，簡稱 PAM）則是提升整體安全最有效手段之一。wepro180 今次特意找來本地大型金融機構的資訊安全主管 Kelvin Wong，與大家分享選擇 PAM 解決方案時的經驗與心得，並歸納出 7 個要點。 Kelvin表示，去年為公司完成了 IT 基礎設施的整體遷移，並建構了全新的核心系統。過程中，他們選擇了一款新晉的 PAM 產品，不但通過滿足監管要求，更顯著提升了系統的安全性和營運效率，當時主要考慮了以下 7 個重點： 一、產品功能與設計 在PAM產品要求方面，重點是必須夠兼容性、安全性和穩定性。…

在數碼轉型浪潮中，資訊安全的挑戰與日俱增。有市場報告預計在 2025 年，全球會有超過 500 億部設備連接互聯網，可以想像網絡安全的覆蓋面有多廣闊及複雜。不過，只要做好以下四大防護，便可以建立「數碼護城河」，無論是對內抑或對外，都可以阻止攻擊發生。 想知最新科技新聞？立即免費訂閱！ 近年不少調查數據均顯示網絡攻擊的數量及造成的損失都有升無跌，在攻擊數量方面，自從 ChatGPT 等生成式 AI 面世，網路釣魚攻擊便暴增了4,151%！在損失方面，最新統計亦顯示平均每宗資安事件都會造成高達 480 萬美元的損失，較去年上升 10%。企業若要遠離網絡攻擊，便要參考如何做好四大防護工作。 風險管理框架 有效的風險管理框架不僅能夠迅速應對突發事件，還可以主動識別弱點和降低漏洞風險。全面的風險管理策略應以保護關鍵業務和數據私隱為核心，當中必須具備透明度，掌握數據的儲存位置、存取者的身份及適當分配權限，時刻以「零信任」和「設計安全」為原則，持續評估風險和保持靈活的思維。另外，要確保快速應對入侵事件，必須設立事故響應團隊，並清晰指定主要聯絡人及各部門的職責。高層管理人員如 CTO、CIO 和 CISO 須互相協調目標，定期評估資安計劃，良好的溝通和共享威脅情報有助於提高應對能力。…

調查顯示，96% 的勒索軟件攻擊針對備份，隨著數據量激增，企業明顯需要一個更安全、高效和靈活的雲端存儲解決方案。今次小編介紹的 Veeam 雲端備份和災難恢復解決方案，具備全面數據加密、不可變備份等功能，為敏感數據提供多一層的保障，正能滿足企業相關需求。 Veeam Data Cloud Vault 安全雲端存儲，是由雲端數據管理備份解決方案供應商 Veeam 於 2024 年 6 月 4 日正式推出，專為數據保護而設計，旨在為企業提供一個安全、高效及可靠的備份數據存儲方式，同時滿足遠程儲存和合規需求。 存儲即服務　符合零信任原則 方案屬於「存儲即服務」（StaaS）產品，用戶毋須自行設計、部署和管理雲端或實體存儲基礎設施下，即可輕鬆存儲、管理和訪問數據，更符合零信任原則。 它不但提供高度安全、靈活及合規的雲端存儲功能，專注於數據保護與災難恢復，更具備全面數據加密、不可變備份（Immutable…

網絡安全是一個充滿變動的行業。新趨勢、新技術以及新手法正以驚人的速度重塑著整個行業的格局，這也使得跟上時代的步伐變得極具挑戰性。邁入 2025 年，應用程式和 API 安全的重要性從未像現在這樣明顯。2024 年，API 鞏固了其作為數字創新核心支柱的地位。然而，API 採用率的激增也擴大了攻擊面，其中有 27% 的 API 攻擊針對業務邏輯漏洞，比前一年增加了 10%。作爲現代企業營運的核心驅動力之一，數據保護也將繼續成為 2025 年企業的首要關注點。 數據安全展望 全球數據隱私法規趨勢 根據聯合國貿易與發展會議（UNCTAD）的統計，目前全球 80% 的國家已經制定或正在推動數據保護與隱私相關法規。這些法規要求數據必須在特定的管轄範圍內儲存和處理，以應對與國際執法相關的風險。雲服務供應商和企業必須遵守當地的數據主權法律，同時企業必須在新系統和應用中做到「隱私保護融入設計」。比如，2024…

蛇年來臨，對企業和數碼領袖而言，現時不斷演變的數碼環境，無疑帶來了無限的機會，如何應對未來挑戰，以充分發揮新技術的潛力，亦是至關重要。Equinix 香港區董事總經理韓祖恩分享了 2025 年影響香港科技基礎設施的四大趨勢，並指出私有 AI、網絡安全、邊緣運算及混合多雲，將成為 IT 策略的關鍵。 想知最新科技新聞？立即免費訂閱！ 趨勢一：採用混合模式進行AI部署 結合私有AI基礎設施 香港政府積極推出多項運用人工智能（AI）技術的公共服務，包括使用本地訓練的生成式 AI 處理文件，同時確保重要文件經人工審核；亦推出 30 億港元的 AI 資助計劃，以推動和發掘 AI 在香港的潛力。 公有雲中的大型語言模型（Large…

踏入 2025 年，主導科技發展的技術估計仍是人工智能（AI），雖然 AI 有助提升網絡安全的格局，但亦為網絡罪犯帶來更強大及方便的力量，對企業和機構造成莫大威脅。而在 AI 帶來的網絡安全威脅中，專家認為主要表現在以下幾個方面，管理者必須及早認清弱點，防患於未然。 想知最新科技新聞？立即免費訂閱！ 首先在勒索軟件方面，專家指在 2025 年，這種攻擊手法不再局限於加密數據或勒索金錢，而是逐漸演變為一種系統性破壞的工具。未來的攻擊還可能會專注於刪除或篡改機密數據，破壞數據的完整性，例如黑客有可能篡改醫療記錄，或者跨國銀行的財務數據等，比起單純導致金錢上或營運中斷所帶來的損失，新的攻擊方法還會危害生命，又或令公眾對金融機構失去信任，造成更大的威脅。 而在攻擊方面，去年勒索軟件出現了許多新技術，大大提升攻擊的複雜與多樣化，例如新的攻擊已顯示黑客會濫用合法工具，並在最後階段才引入惡意軟件，而這些攻擊都可以透過 AI 和自動化技術，實現更快及精準的攻擊。 另一個 AI 帶來的影響，在於黑客可用來設計高針對性的網絡釣魚攻擊、開發先進的惡意軟件，以生成式 AI 為例，早前香港一間跨國企業的員工便遭受深偽技術（deepfake）所騙，令公司損失兩億港元，專家警告這種技術將會發展得愈來愈成熟，讓網絡罪犯可以輕易繞過身分驗證系統，或散播錯誤訊息。 第三個…