係囉，錯就要認，知錯就改，咁就抵讚！密碼管理工具 LastPass 被發現有漏洞，用戶有可能俾黑客盜取最近一次嘅登入憑證。LastPass 收到通知，立即回應，火速修復，抵讚！ 密碼管理工具絕對係現代人嘅必備，全靠佢，先可以應付日常海量密碼登入帳號之苦。事關網絡安全專家建議大家唔好重用密碼，以免其中一個帳戶嘅登入資料被盜取，就會波及其他帳戶。不過一個正常人又點記得咁多複雜密碼？為免大家被密碼折磨，網上就出現咗好多密碼管理工具，而 LastPass 就係最受歡迎嘅工具之一。較早前，Google 嘅網絡安全工程師 Tavis Ormandy 發現 LastPass 有一個漏洞，黑客可以利用一個有效嘅 clickjacking 手法，引導用戶利用 LastPass 登入個人帳戶，然後轉移到惡意網站，截取資料。 雖然此漏洞只出現於 Google Chrome 及…

雖然由細個開始，阿爸阿媽已經成日教你便宜莫貪，但而家諗返轉頭，咁耐以嚟你因為貪心而中過幾多次伏？肯定唔會少啦，所以用現金回贈或折扣優惠嚟做魚餌嘅手法，先至可以長做長有。 冒牌都要專業 最近網絡安全研究員 nao_sec 就發現，勒索軟件 Nemty 嘅變種最近開始活躍，透過 RIG EK 漏洞利用工具包，喺下載者嘅電腦上安裝惡意軟件，誘導佢哋去到虛假 PayPal 網站，然後再話只要下載及使用專用軟件，每次交易就會回贈返 3 至 5% 金額。研究員嘗試打開下載嘅 cashback.exe 執行檔，結果發現佢會將受害者電腦內嘅檔案上鎖，並要求交出約 7,800 港元贖款作為解鎖費。雖然另一位研究員…

成日話免費軟件唔係免費，原因就係咁，因為你喺用嘅同時，其實係付出緊某啲代價，例如要睇廣告、喺社交平台分享資訊等等，更嚴重嘅代價，就係有可能被黑客入侵，盜取個人私隱，Android免費版本嘅應用軟件 CamScanner 就係最佳例子。 CamScanner 第三方供應商偷藏後門 CamScanner 係一隻可以將影相製作 PDF 嘅應用軟件，由於好方便用嚟製作電子書，所以係一隻大受歡迎嘅 app，單係 Android 版本嘅下載量已破億，雖然免費版會有水印，亦唔支援 OCR，但都唔影響佢嘅受歡迎程式。不過，Kaspersky 網絡安全專家發現 Android 版 CamScanner 內藏後門，可以俾黑客暗中遙距安裝惡意軟件，盜取個人私隱或進行網上購物。 Kaspersky 專家話首先發現…

Clickjacking 攻擊技術，以往大多用喺呃廣告點擊方面，黑客會喺受害者嘅電腦或手機上安裝惡意軟件，暗中點擊網站上嘅廣告嚟賺取廣告費。不過，而家呃人已經唔似以前咁容易，因為互聯網廣告供應商都開發咗一啲偵測系統嚟捉鬼，只要點擊廣告嘅行為有可疑，例如重複點擊同一個廣告，又或瀏覽網頁時唔轉頁淨係 click 廣告等等，都會被視為無效點擊，令到黑客無咁易呃到廣告費及點擊率。 不過，正所謂「路不轉人轉」，呢個方法唔可行，黑客咪研究新方法囉，最新技術就係騎劫網民嘅點擊，即係明明你點呢個位，實際上就點咗其他地方，又或者係你開啟嘅連結同字面表述不符等。 Microsoft Research 最近就聯同香港中文大學、首爾國立大學等學術機構發表研究報告，透過開發出一款名為「Observer」嘅工具，去檢查 Alexa 頭 25 萬最多人瀏覽嘅網站，睇下當中有幾多個被黑客植入惡意騎劫程式碼。最後發現，當中有 613 個網站中招，每日總瀏覽量高達 4300 萬。研究人員又指出，喺被發現中招嘅網站中，有接近 36% 嘅點擊騎劫係用嚟賺取廣告費，其餘騎劫就用喺將網民轉去一啲詐騙網站。而為咗避免令網民起疑，黑客仲識得限制騎劫頻率添。 問題就搵咗出嚟，但點樣防範呢？答案係都要靠網站或瀏覽器製造商時刻偵測網站有無俾黑客植入惡意程式碼，同時間，亦可以喺網民真正點擊連結前，提供多啲連結資料俾網民，等佢哋更容易知道條 link…

無論係企業抑或個人，喺轉售、棄置或因中毒而要重設電子產品嘅時候，都應該要注意小心處理入面儲存嘅資料。以為刪除晒入面嘅資料或回復原廠設定就得？等英國國家網絡安全中心嘅專家話你知得唔得。 英國國家網絡安全中心（UK National Cyber Security Centre, NCSC）早前發佈咗一份關於 電子裝置還原原廠設定或重新配備嘅安全指引，指引內模擬咗四個唔同嘅場景，分別係：裝置受惡意軟件感染、設定新裝置、於組織內將裝置重新交由另一相同職級嘅人使用，及清洗裝置以作出售或於組織內將裝置重新交由較低權限的人使用。根據以上呢四個場景，NCSC 對 Android、iOS 作業系統嘅裝置都有唔同建議。 Android 裝置唔建議放售 首先係清洗病毒及內存資料方面，專家指一旦 Android 受惡意軟件感染，單係回復原廠設定或重裝系統並唔足夠，因為先進嘅惡意軟件可以繼續存在於系統內，同時間，做完以上動作都唔會清除到 SD 卡上嘅資料。如果裝置係牽涉到接觸高度機密資料，專家就建議中毒後要換過部新機，而且由於 Android 裝置係無認證方法可以完全清除所有資料，所以無論部機有無中過毒都好，只要入面嘅資料唔外洩得，都唔好拎去轉售，又或交俾組織內權限較低嘅人使用。…

ASUS、Huawei、Intel、NVIDIA、GIGABYTE、ASRock、MSI、Toshiba……講明先唔係大清算，只係合共廿幾個電腦硬件品牌嘅驅動程式被發現有漏洞，可以俾黑客攞到 Ring 0 最高權限，快啲睇下自己有無份先。 DEFCON 網絡安全大會嘅好玩之處，係過程中有好多黑客會發表獨家調查報告，而且仲會好詳細咁分析保安事故發生嘅原因，有時呢啲錯誤真係低級到難以置信會發生喺一啲大企業身上，所以特別適合花生友睇。 電腦安全公司 Eclypsium 研究員今年就喺 DEFCON 上發表報告，佢哋研究咗各大電腦硬件公司推出嘅硬件驅動程式（drivers），當中發現有廿幾個品牌、40 個驅動程式存在高危級別漏洞，黑客可以通過呢啲漏洞，將登入 Windows 作業系統嘅權限由 Ring 3 一口氣提升至最高嘅 Ring 0，令到黑客可以喺電腦內為所欲為，例如整死部電腦、安裝後門等惡意軟件、盜取資料等等。而最大嘅問題係，呢啲 drivers…

唔單只牙線唔可以交換用，就連手機充電線都唔得，因為都有可能引發病毒感染㗎！ 近排搭車成日碌手機睇新聞睇片，搞到部 iPhone 好快無電，相信唔少 iPhone 用家都會喺公司擺多條 Lightning 線駁電腦充電。但你有無諗過，插住果條線好可能係鬼線，只要你開著電腦做嘢，隨時可以俾黑客偷走資料？ 手機充電線內藏病毒 其實好多手機用家對充電線都無乜戒心，基本上有需要時就會四圍問人借線充電。理解嘅，因為咁細條充電線，可以惡得去邊丫？有黑客為咗提高公眾對充電線嘅安全意識，特別整咗條像真度高達 100 % 嘅 Lightning 線出嚟，但就內置 Wi-Fi 接收器同惡意軟件，只要目標人物將呢條線插入電腦，黑客就可以透過 Wi-Fi 訊號發出指令，指示惡意軟件執行特別任務，例如引導瀏覽器去釣魚網站，又或將電腦進入鎖定模式，強制要用家輸入登入資料，從而盜取登入系統權限。當然，職位愈高，帳戶可接觸嘅公司資料都愈機密。 製作呢條古惑…

之前都報導過唔少關於 Google Play Store 內嘅 app 藏有惡意程式嘅消息，呢種由源頭落毒嘅手法，令到好多人都唔為意中咗毒。理解嘅，因為大家傾向相信 Play Store 內嘅應用軟件係安全，Google 一定會檢查清楚先俾佢上架，再加上自己已經無安裝來源不明嘅 app，但黑客正正就係利用呢種天真嘅諗法，所以供應鏈攻擊（supply chain attack）先會咁多人中招。 不過，將惡意軟件放上 Play Store，除咗要瞞過 Google 監察，仲要等人自己下載嚟用，好似唔多夠效率，慢慢黑客就發現仲有進步空間，呢個方法就係令到手機製造商睇中惡意軟件嘅表面功能，自動將 app…

Facebook 日前宣佈，已經向兩個應用程式開發者提出控告，指控佢哋用惡意軟件感染用家手機，然後假冒用家點擊廣告，同時瞞住用家以詐騙方式產生廣告點擊、騙取收入。而喺兩個開發者當中，有一個係來自香港。 兩個被 Facebook 控告嘅應用程式開發者分別係香港嘅 LionMobi 及新加坡嘅 JediMobi，Facebook 喺發布嘅新聞稿指兩個開發者喺 Google Play 提供含有惡意軟件嘅應用程式，以便於 Facebook 廣告上產生虛假點擊（click injection fraud），賺取收入。LionMobi 更於 Facebook 上刊登服務廣告，嚴重違反 Facebook…

為咗吸引客戶上台，流動網絡商都會提供各種手機優惠上台計劃，只要客戶簽訂一年或以上合約，就可以超平價錢買手機。回想 iPhone 好炒得嘅年代，就有唔少人會上台後賣走 iPhone，賺取嘅差價就夠俾一年或以上嘅月費，可以大慳網絡費。不過，喺美國就唔係好 work，因為上台客戶除咗要簽約，就連手機都有 SIM lock，客戶必須插住網絡商嘅 SIM 卡先用得，變相限制咗 iPhone 嘅易手價值。不過，要解鎖都唔係無辦法，其實網絡商可以喺系統做嘢，只要取消系統上 iPhone 嘅 IMEI 登記，呢部手機就可以用到其他網絡商嘅 SIM 卡。 100萬美元解鎖賄款 財路就係咁出現喇，一個巴基斯坦黑客 Muhammad…