網絡釣魚（Phishing）攻擊手法層出不窮，有黑客緊貼市場動向，把握蘋果發佈新品及 NFT 買賣活躍的機會，作出針對性部署。電郵安全公司 Green Radar 劍達（香港）有限公司公布的 2022 年第三季度電郵威脅指數（GRETI）中，季度指數為 68.1 分，比上季 66.5 分為高，反映電郵威脅風險比上季有所提升。網絡釣魚及商業電郵詐騙（BEC）攻擊非常活躍，處於「高」風險級別水平，其中商業電郵詐騙攻擊比上季增長42.2%。 根據 Green Radar 電郵安全監控中心（SOC）統計數據顯示，LinkedIn、DHL和HSBC三大品牌最常被冒充，當中 LinkedIn 超越 DHL 成首位。Green…

雖然未必每個人都會去「甜相」網站，不過這次由 Cyble 專家發現的網絡攻擊，就借助了 Microsoft Windows 一種下載檔案時的慣常做法，令用家以為只是下載一張無傷大雅的圖檔，結果卻誤裝勒索軟件，而且被加工的檔案幾乎無法還原，就算無交贖金，受害者都一樣頭痛。 圖檔本身其實都有一定危險程度，例如小編以往就曾報道有信用卡資料盜竊集團 Magecart，將 card skimmer 惡意程式碼隱藏在網站圖標 favicon 內，只要有網站用來裝飾，日後網站的客戶如使用信用卡購物，所有資料都會落入黑客集團手上。而這次由網絡安全公司捕獲的攻擊中，專家發現黑客瞄準這些安全意識較差的網民，利用色情相片引誘對方上當授權下載惡意軟件。 專家解釋，黑客集團首先設立一個色情相片網站，再於不同社交渠道宣傳吸引網民瀏覽。當 Windows 用家一進入網站，瀏覽器便會彈出一個授權下載的提示，專家說 Windows 會預設隱藏延伸檔案名稱，所以黑客便將惡意軟件執行檔命名為 SexyPhotos.JPG.exe，讓Windows下載提示只顯示 .exe…

雖然近年即時通訊 app 的選擇增多，不過，Meta 旗下的 WhatsApp 在用家數量方面始終佔有優勢，因此自然有較多騙徒利用來犯案。網絡安全公司 Cygenta 專家早前便列舉三種熱門詐騙手法，大家不妨同朋友分享，減少被騙機會。 扮熟陷阱：騙徒會假扮成目標的家人或愛人，聲稱因為遺失了電話而暫時用新號碼開設帳戶，經過一輪溝通搏取目標信任後，就會慌稱自己有金錢需要，說服目標轉帳金錢。雖然聽落好似好離譜，不過實際上並不罕有，例如假扮成目標的上司要求買點數卡的案例，就經常發生。 雙重驗證陷阱：為了保障帳戶安全，不少 WhatsApp 用家都啟動了 2FA 雙重驗證功能，登入時必須額外輸入經 SMS 發送的驗證碼，才能登入帳戶。不過，有騙徒在奪取了其中一個 WhatsApp 帳戶後，便會讀取受害者的聯絡人清單資料尋找下一目標，然後利用對方顯示的手提號碼重新登記帳戶，並以「朋友」身份向目標發送訊息，指錯誤將2FA驗證碼發送到對方帳戶，騙取目標提供驗證碼，從而奪取帳戶並重複犯案手法。 限時陷阱：騙徒會向特定目標或漁翁撒網式發出訊息，利用不同藉口引誘對方點擊連結或通過連結安裝惡意軟件。視乎當時社會熱門話題，魚餌或有差別，例如早兩年新冠疫情剛爆發，騙徒會發出感染 COVID-19…

網絡安全公司 KrebsOnSecurity 早前收到讀者報料，指收到一封非常高質素的釣魚電郵，黑客假借 PayPal 帳戶發出電郵，同時內附 PayPal 帳單，幸好收件者及早意識到是騙局，無依從指示安裝遙距支援軟件，否則就會拱手送上電腦控制權，後果不堪設想。 俗語說久病成醫，每日都收到大量釣魚電郵，按道理應該可以減低中招風險。不過，如果面對的是高質攻擊就好難講。對於一般人來說，分辨釣魚電郵的方法首先是憑感覺，例如根本沒有Amazon帳戶而又收到對方發來的電郵，代表欺詐成分愈高。其次是留意電郵內容，看看有沒有串錯字、文法不通，又或使用了低像素的公司標誌圖案。更進階的方法會查看發送地址及電郵憑證，如做齊以上步驟，應該已可過濾七至八成釣魚電郵。 而在 KrebsOnSecurity 這次接獲的舉報中，讀者面對著這封由 PayPal 發出的電郵，已經做齊上述各種安全檢查，甚至利用預覽功能檢查電郵內的連結，亦證實全部都指向P官網，就連電郵內聲稱要打開的帳單連結，亦是寄存在 PayPal 網站內。讀者於是先放心點擊連結查看帳單，而帳單內的圖片及格式亦要 PayPal 發出的沒有分別，似乎有一定可信性。由於帳戶內指收件人有一宗 600 美元交易有可疑成分，於是讀者便跟指示打至客戶服務中心。不過，接聽電話的人很快便要求這位讀者安裝遙距控制軟件，讓客服可更快協助他確認是可疑交易，幸好讀者安全意識夠高，當下便拒絕要求，再從官網登入帳戶檢查，結果發現根本沒有收到可疑交易通知，確認差點受騙。 不過，到底問題出在什麼地方？KrebsOnSecurity…

元宇宙（Metaverse）是當今科技界及商界的熱門話題， 雖然絕大多數企業都難以預測它的潛力和未來發展走向，但若不把握機會，待其成型才投入資源，恐怕會被競爭者早著先機。DICT 數智通訊服務供應商中信國際電訊 CPC（以下簡稱 CPC）及網絡安全服務供應商 Fortinet 早前便合辦了一場午餐研討會，邀請了羅兵咸永道會計師事務所（PricewaterhouseCoopers, 以下簡稱 PwC）專家，一同分析企業及早參與元宇宙的優勢，並提出需要關注的問題，確保企業能夠在摸索階段就善用資源。 摸索元宇宙應用 經驗有助開拓創新服務 如何透過元宇宙概念為業務帶來創意，是現時企業最關心的問題，PwC 顧問季瑞華先生（William Gee）說見到不少大品牌紛紛通過元宇宙推廣其產品，亦有企業和機構用於舉辦虛擬會議及設立產品展示區，更會配合穿戴式設備，例如 VR 眼鏡、體感裝置等，為客戶帶來更嶄新的體驗。他認為這些都是一些探索性的做法，因為眾所周知現時整個技術正處於起步階段，元宇宙的未來發展仍待探究。William 更以 SMS 短訊傳呼技術為例：「當年大家都覺得短訊傳呼技術很厲害，可以隨時隨地將訊息傳送給對方，所以一時之間有很多傳呼服務供應商湧現。大家也會隨身帶備傳呼機，秘書台服務亦成巷成市。但其實傳送訊息只是 SMS…

不少人為了提升瀏覽器的使用經驗，都會為瀏覽器安裝延伸工具，例如即時翻譯、屏幕截圖等。不過，黑客亦會利用這途徑竊取目標人物私隱資料，例如北韓黑客集團便透過魚叉式釣魚電郵攻擊鎖定攻擊目標，誘使對方打開惡意附件化身為延伸工具後，便可利用儲存的登入憑證隨意進入 Gmail 帳戶，神不知鬼不覺。 網絡安全公司 Volexity 為客戶提供威脅情報服務及電腦搜證服務，而在提供鑑證服務時，便經常在受感染電腦內發現這款被稱為 SharpTongue 的惡意軟件，安全專家指它與北韓黑客集團 Kimsuky 有關。SharpTongue 入侵工具的詳細分析早於 2021 年出現，這個黑客集團專門針對美國、歐洲及南韓的企業及機構，特別是該機關與調查北韓事務、核技術、國防武器，更會成為頭號入侵對象。 不過，Volexity 在近來的調查發現，背後的黑客集團正開始使用一款專門用來盜取電郵內容的惡意瀏覽器延伸工具 SHARPEXT，相比起 SharpTongue 以盜取帳戶登入資料為目的，SHARPEXT 在安裝到瀏覽器後，便會利用受害者儲存在瀏覽器內的雲端電郵帳戶登入 sessions，進入受害者的電郵信箱內搜集所需資料及下載有用的電郵附件。由於帳戶已在早前經驗證登入，因此電郵服務供應商難以發現帳戶正被入侵，從而增加偵測的難度。…

電子郵件威脅越趨本地化，愈來愈多黑客冒充本地品牌，使港人降低戒心。電郵安全公司 Green Radar 劍達（香港）有限公司公布的 2022 年第二季度的電子郵件威脅指數中，季度指數為 68.1 分，與去年 6 月的 63 分相比，電郵威脅風險大幅上升。根據分析，本年度網絡釣魚和商業電郵詐騙攻擊繼續處於「高」風險級別水平，而惡意軟件威脅為「中」風險級別水平。 發送假電郵 聲稱可退稅呃私隱 Green Radar 產品營銷執行副總裁李崇基（Francis）提到，不少本地知名品牌被黑客利用，Green Radar 電郵安全監控中心（SOC）在攔截的電郵當中，發現港燈、稅務局、港鐵、PayMe、恒生銀行及匯豐銀行都有被冒充。以稅務局為例，黑客藉 3、4…

銀行木馬 Emotet 早前透過 TrickBot 感染途徑回歸，最近又有新搞作，專家指 Emotet 最新利用一款信用卡資料盜竊模組，專攻瀏覽器 Chrome 用家。最特別之處是背後的黑客組織採用兩種新方法，成功提升入侵成功率。 Emotet 在去年一月被搗破，螫伏十個月後，被發現在 11 月借用銀行木馬 TrickBot 的網絡散播病毒，並在四個月內取得分散於百多個國家的 13 萬電腦設備控制權。而在今年 6 月初，網絡安全機構 Proofpoint…

千祈唔好以為黑客只針對大型企業，無論是甚麼規模的企業，一樣要做好網絡安全的措施，即使是小型企業，一樣有方法避免中伏。 網絡攻擊對於小型企業來說，可能並非首要考慮的事情，網絡犯罪分子貌似多數只針對具規模、有利可圖的目標；然而事實是小型企業同樣會成為黑客和網絡犯罪分子的目標，因為小型企業同樣手握各種機密數據，例如個人資料、信用卡資料、密碼等，黑客一樣會虎視眈眈。但相對中型企業或大型企業，小型企業的資訊安全意識及保護措施相對較弱，尤其是在沒有專業網絡安全員工的情況下，致使危險度也增加。 小型企業成為供應鏈攻擊的一部分，主要是黑客能透過他們獲得大公司的存取權：從入侵可能是大型機構供應商的小型企業，攻擊者可以利用存取權滲透網絡，攻擊其商業夥伴。 小型企業遭遇無論是網絡釣魚、勒索軟件、惡意軟件，還是攻擊者擁有存取權和篡改數據權限的任何其他類型的惡意活動，其所導致的結果都可以是極具毀滅性，甚至有網絡攻擊受害者因此而永久關閉。 以下是 ZDNet 提供的自保招式，提醒小型企業如何避免墮入一些基本網絡安全陷阱。 1.不要使用弱密碼來保護線上帳戶 網絡犯罪分子並不一定具備超強技能，才能入侵企業電子郵件帳戶和其他應用程式，因為很多時他們能夠進入企業系統，純粹是因為帳戶擁有者使用弱密碼或容易猜測的密碼；同時使用雲端辦公應用程式和遙距工作模式的轉變，也為網絡犯罪分子提供了更多攻擊機會。 記住許多不同的密碼可能很困難，因此不少人在多個帳戶中使用簡單的密碼，導致帳戶和企業易受網絡攻擊，特別是如果網絡犯罪分子使用暴力攻擊以常用或簡單密碼列表作嘗試。另外，也不應該將密碼設定為易於發現的訊息，例如最喜歡的球隊或寵物名字，因為社交媒體上的資料，或成為密碼線索。 國家網絡安全中心 (NCSC) 建議使用由三個隨機單詞組成的密碼，並指這個策略能令密碼難以猜測。另外，應該使用不同的密碼來保護每個帳戶，使用密碼管理器可以幫助用戶消除記住每個密碼的煩惱。 2.不要忽略使用多因素身份驗證（MFA） 即使已採用強密碼，密碼仍有可能落入壞人手中。網絡犯罪分子可以使用網絡釣魚攻擊等方式，來竊取用戶的登入資料。多因素身份驗證會要求用戶響應警報，來確認是他們本人嘗試登入帳戶，讓入侵帳戶增添障礙：即使網絡犯罪分子擁有正確的密碼，他們也無法在沒有帳戶擁有者批准之下，使用該帳戶。如果用戶收到意外警報，提示有人正嘗試登入其帳戶，他們應向其 IT 或安全團隊報告，並立即重置密碼，避免網絡犯罪分子繼續嘗試利用被盜密碼。 儘管使用多因素身份驗證或雙因素身份驗證 (2FA)，已是最常建議採用的網絡安全措施之一，但許多企業仍沒使用，令人憂心。 3.…

不少企業可能都有使用 Google SMTP 轉寄功能，例如設定從打印機、應用程式直接發送郵件，又或將它用於發送市場推廣電郵。不過，有黑客亦「善用」這項服務，假扮成其他機構發出釣魚電郵，以繞過電郵防護工具的攔截。企業如不想被假扮，就要做好 DMARC 設定。 由今年 4 月開始，電郵防護公司 Avanan 發現有黑客大量濫用 Google SMTP (Simple Mail Transfer Protocol) 轉寄服務，借用其他企業的電郵地址轉發釣魚電郵。該公司專家解釋，這種轉寄服務最常用於發送市場推廣電郵，因為如企業直接使用公司電郵地址發送推廣電郵，一旦被收件人舉報為垃圾電郵，便有可能影響企業電郵位址的信譽評級，有可能導致員工日常發送的電郵都被直接發送至垃圾信箱。因此企業只須借用 SMTP 轉寄服務，便可減少上述情況發生，同時又不用花錢購買第三方電郵伺服器服務。…