近年生成式人工智能(Generative AI)發展蓬勃,已成為企業營運不可或缺的工具。在這股浪潮中,應用程式介面(API)扮演著不可或缺的橋樑角色,它負責連接各種應用、雲端服務以至大型語言模型(LLM)。正因為企業最有價值的數據和資產都可透過 API 存取,使其成為網絡攻擊的重點目標。全球網絡安全領域的領先企業 Thales 之旗下 Imperva 指出,針對 API 的攻擊在過去四、五年呈直線上升趨勢,而要攔截這種被黑客視為高回報率的攻擊手法,僅依靠傳統方法已難以應付。 API攻擊直線上升 BOLA漏洞成頭號威脅 Thales API 安全產品副總裁 Lebin Cheng 指出,API 安全漏洞並非新鮮事,但其嚴重性隨著應用模式的改變而急劇升溫。「以往很多應用程式和 API 只在企業內部網絡使用,環境相對受信任,但當企業將應用遷移上雲,或因業務需要將內部 API 開放給外部合作夥伴甚至公眾使用時,潛在的漏洞便會浮現。」他補充說,近年生成式…
Search Results: 漏洞 (810)
電腦周邊設備製造商 Logitech(羅技)正式向美國證券交易委員會(SEC)提交文件,確認公司近期遭遇嚴重網絡安全事件,涉及資料外洩。此次攻擊由臭名昭著的 Clop 勒索集團發動,並相信與今年 7 月針對 Oracle E-Business Suite 的零日漏洞攻擊有關。 想知最新科技新聞?立即免費訂閱! 敏感資料未有外洩 Logitech 在公告中指出,該事件屬於「資料外洩型網絡攻擊」,但強調產品、業務運作及生產線未受影響。公司表示,一旦發現異常,立即聯同外部網絡安全公司展開調查與應對。根據 Logitech 披露,遭竊資料可能包括員工與消費者的有限資訊,以及客戶與供應商相關資料。該公司認為敏感資訊(如身份證號碼及信用卡資料)未有遭入侵,因為這類數據並未儲存在受影響系統中。 是次攻擊源於第三方軟件的零日漏洞,並在修補程式釋出後立即完成更新,Logitech 雖未公開軟件供應商名稱,但業界普遍認為,此次事件與 Oracle E-Business…
釣魚攻擊又再進化,以往黑客主要透過電郵去引誘目標人物中招,但最近有調查報告便發現,不少黑客轉而經職場社交平台 LinkedIn 尋找目標攻擊,將這個專業人士建立人脈的平台,轉化為發動精密攻擊的溫床。 想知最新科技新聞?立即免費訂閱! 釣魚防禦工具未涵蓋個人社交平台 報告指出,現時已有高達 34% 的釣魚攻擊發生在電郵以外的渠道,如社交媒體、搜尋引擎及即時通訊應用程式,當中 LinkedIn 更成為黑客發動魚叉式釣魚攻擊(spear-phishing)的首選,對企業高層及敏感行業構成前所未有的威脅。 根據最新的網絡安全報告,針對企業高層特別是金融服務業和科技業主管的 LinkedIn 釣魚活動正變得日益猖獗。原因之一是由於業界大多數的釣魚防禦都是應用於電郵安全工具,而且許多企業管理層亦會質疑為何要顧及屬於個人應用的社交平台如 LinkedIn 等,但實際上這些平台已被員工廣泛應用,而且他們會在帳戶內透露大量個人訊息及與其在企業內的崗位,為黑客提供大量釣魚詐騙的資訊及素材。 透過詐騙員工及入侵其設備,黑客更有可能竊取如 Microsoft 或 Google Workspace…
全球電訊詐騙日益猖獗,相信大家每日都深受困擾。英國政府近日就宣布與全國主要電訊商簽署全新「電訊約章」(Telecoms Charter),要求電訊商承諾在一年內徹底消除詐騙份子利用技術偽冒電話號碼的手段,令市民可以避免受到海外騙徒假扮本地電話的滋擾。 想知最新科技新聞?立即免費訂閱! 引入來電追蹤系統 根據早前英國內政部發表的新聞稿,英國的 BT EE、Virgin Media O2、Vodafone Three、Tesco Mobile、TalkTalk 及 Sky 等主要電訊商已承諾升級網絡系統,確保來電顯示能準確標示海外來源,杜絕詐騙分子冒充銀行、政府部門或其他可信機構。 這種偽冒電話號碼技術的運作原理,其中一個主要方法是使用網絡電話(VoIP)技術。VoIP 服務允許用戶透過互聯網撥打電話,而部分供應商更提供自訂「來電顯示號碼」的功能。詐騙分子正是利用這一技術,即使他們身處海外,也能輕易將來電號碼偽裝成本地銀行、政府部門甚至親友的號碼,大大降低市民的戒心。 而英國這項措施的核心在於消除號碼偽冒,要求電訊商在一年內完成技術升級,並同時引入先進的來電追蹤系統,讓警方能更快鎖定詐騙集團的運作,進一步瓦解犯罪網絡。而除了技術層面的改革,約章亦要求電訊商加強與執法部門共享數據,確保警方能即時掌握哪些網絡存在漏洞,避免黑客有機可乘。 同時,電訊商必須提升對受害者的支援,例如承諾在兩週內回應客戶的求助並提供協助,並確保防騙措施能夠持續改進。英國防詐騙大臣 Lord Hanson…
電子詐騙手法持續升級,從傳統的視覺混淆陷阱到針對 AI 技術的新型釣魚攻擊,市民面臨的網絡安全威脅日益增大。香港網絡安全事故協調中心(HKCERT)提醒,當前黑客不但利用肉眼難察的細微視覺差異進行「以假亂真」的詐騙,更會進一步針對人工智能(AI)工具展開隱蔽性的釣魚攻擊。面對這些類型的新型態詐騙,市民務必提高警覺,落實最佳保安實踐,以保障個人資料與財產安全。 想知最新科技新聞?立即免費訂閱! 視覺陷阱:用「rn」冒充「m」的釣魚手法 最近出現典型的電郵釣魚攻擊事件,該郵件聲稱來自科技公司 Microsoft,但實際上其電郵地址中的「microsoft」字樣存在細微的視覺陷阱。黑客將字母「m」替換為由「r」和「n」組成的「rn」,形成「rnicrosoft」,令用戶在匆忙查看郵件時難以察覺異常。 這種極度細微的視覺混淆手段越來越普遍,黑客還可能利用類似的大小寫和字母替換手法,例如將「o」換成「0」、「l」換成「1」或「I」以及使用西里爾字母「а」假裝英語「a」,來製造真假難辨的釣魚電郵或網站,誘騙用戶洩露敏感信息或點擊惡意鏈接。 郵件地址中的字母「m」替換為由「r」和「n」組成的「rn」,形成「rnicrosoft」。 使用 AI 工具需警惕:釣魚攻擊與安全隱患 除了視覺陷阱,針對 AI 工具的新型網絡攻擊也逐漸浮出水面。根據近期保安研究,OpenAI 新推出的 ChatGPT Atlas 瀏覽器被發現存在嚴重漏洞,由於 Atlas…
第一屆 Akamai Security Day 2025 日前圓滿結束,現場匯聚本地業界領袖、政策制定者、網絡安全專家及 Akamai 亞太區管理層,共同探討人工智能技術迅速發展,對網絡安全帶來的挑戰與應對策略。Akamai 期望可協助香港及業界於人工智能時代推動網絡安全,促進產業創新。 是次 Akamai Security Day 2025 於本月 16 日,在香港瑰麗酒店舉辦,主題為「超越防禦 – 在人工智能驅動的世界中建立數碼信任和韌性」,旨在為業界提供一個交流平台,探討安全創新與合規並行的可能性。 Parimal…
HPE 年度旗艦活動 HPE Discover More AI Hong Kong 2025 的香港站活動日前順利舉行,適逄 HPE 成立 10 週年,在新的品牌標識下,匯聚眾多商界領袖、行業專家、超過 500 家本地客戶以及策略夥伴,就香港企業如何克服基礎設施挑戰,加速建立整合系統,大規模釋放 AI 潛力,提供切實可行的方案及觀點。網球新星黃澤林(Coleman Wong)亦出席分享環節,提及數據分析對運動員的重要性。 想知最新科技新聞?立即免費訂閱!…
近期資料外洩事故頻生,澳洲航空(Qantas)及香港蔬菜統營處(菜統處)分別遭受網絡攻擊,前者有約 2 萬名香港客戶受影響,後者則有 7,000 名批發市場用戶資料有外洩風險,而網絡安全供應商 F5 近日亦公布過去八月,其內部系統遭受長期持續性網絡攻擊。有見及此,香港網絡安全事故協調中心 (HKCERT)建議用戶和中小企採取防範措施自保。 想知最新科技新聞?立即免費訂閱! 採用第三方服務供應商具風險 澳航的事故源於其第三方服務供應商在菲律賓的客服中心,遭受社交工程攻擊。黑客利用社交工程等手法(如語音釣魚),誘騙第三方服務供應商的工作人員授予訪問權限,從而竊取客戶資料。事件導致 570 萬客戶資料被盜,其中約 2 萬名香港客戶受到影響,外洩的姓名、電話及地址等資料,恐令受害人面臨釣魚攻擊與詐騙風險。目前個人資料私隱專員公署已接獲通報並就事件展開調查。 事件突顯供應鏈攻擊日益普遍帶來的風險。黑客往往會針對第三方服務供應商的漏洞,藉此作為攻擊更大型機構的跳板。即使是中小企,假如忽視自身的網絡安全防護,亦可能會成為網絡攻擊的對象。 與此同時,香港蔬菜統營處(菜統處)近日有部分電腦系統遭受勒索軟件攻擊,導致其中一個批發市場用戶的資料有外洩的風險。菜統處現時已委托外判承辦商,盡快修復系統並協助調查工作;網絡安全供應商 F5 近日亦公布過去八月,其內部系統遭受長期持續性網絡攻擊。黑客從中盜取其產品的原始碼和未向外公布的系統漏洞,估計黑客有利用外洩的資料策劃對其產品用戶作網路攻擊。 這些事件均可見使用第三方服務供應商的風險,及鞏固網絡安全措施的重要性。鑑於事件的規模和潛在威脅,為預防第三方網絡風險,以及加強自身網絡安全,HKCERT…
近來黑客集團 ShinyHunters、Scattered Spider 頻頻出現於網絡攻擊新聞中,他們針對數百間企業進行一系列的數據竊取及勒索攻擊,受害機構包括 Google、Cisco、Disney/Hulu、Toyota、UPS、Chanel 等知名品牌。最近這批黑客終於展開大型勒索行動,於網上公開至少 39 間企業的敏感數據,除了威脅受害機構支付贖金,黑客甚至要求 Salesforce 為過失負責找數,以防止約 10 億條個人數據被進一步曝光。 專家警告,這次攻擊可能導致身份盜竊、詐騙及法律訴訟等連鎖反應,對受害企業及其客戶來說是一場大災難。 想知最新科技新聞?立即免費訂閱! 已成功入侵 760 間公司 這次攻擊行動由三大黑客集團 ShinyHunters、Scattered Spider…
早前 Google 威脅情報團隊揭露了一款名為 Brickstorm 的惡意軟件,這款以 Go 語言編寫的木馬程式功能強大,能充當 Web 服務器、文件操作工具、指令執行平台,甚至作為 SOCKS 代理隧道,將受害者的敏感數據偷偷傳輸至攻擊者的控制中心。 專家指出幕後的黑客主要瞄準美國的軟件開發、技術與法律行業的機構發動攻擊,並警告這類攻擊不僅對個別受害者造成嚴重損失,還可能因攻擊者掌握的資訊被用於開發零日漏洞(0 Day Exploits),進一步危及下游企業。 想知最新科技新聞?立即免費訂閱! 與 Salesforce 事件屬同類型 供應鏈攻擊近年是黑客慣常採用的策略,貪其成本低效率高,而 Brickstorm…