為了避開電郵防護工具攔截，黑客可謂奇招盡出，安全專家警告，有10,000個Microsoft電腦服務帳戶，被新一輪仿真度極高的釣魚電郵襲擊。黑客除了冒充FedEX、DHL等速遞公司發出電郵，更避開使用容易被防護工具判斷為釣魚電郵的發信伺服器、電郵主題及內容，更利用Google Firebase及Quip等免費服務，令電郵變得身家清白，極容易受騙。 電郵防護服務供應商Armorblox最新報告顯示，黑客看準市民在疫情下經常使用FedEX、DHL等速遞服務，於是便冒充有關公司大量發出釣魚電郵，企圖提升收件人打開電郵內連結或PDF檔案的成功率，進而騙取收件人的Microsoft帳戶或公司帳戶的登入資料。雖然攻擊手法看似跟以往的釣魚釣擊相似，不過專家指出無論在電郵內容的仿真度上以至其他配套，就較以往的釣魚電郵更精密，以及會使用更多免費的合法工具去逃避電郵防護工具的偵測。 先說說電郵防護工具的運作原理，傳統工具的系統除了會比對電郵內有否已知的惡意元素，例如發信方的電郵地址、伺服器、電郵主題及內容等之外，還會掃描附件或內裏的連結有否可疑之處，如發現有問題便會攔截下來，再交由收件人去決定如何處理郵件。新的電郵防護工具或會提供沙盒(sandbox)功能，讓用家在有需要時於完全隔離環境打開郵件，以免電腦設備在過程中受到感染。 黑客由於熟知上述防護原理，因此在製作釣魚電郵時，便會避開可疑元素，例如避免在電郵內使用Urgent等字眼，減少被系統攔截的機會。而今次Armorblox發現的新釣魚電郵，更將經連結跳轉的虛假帳戶登入頁面，寄存在合法的免費服務上，例如Google Firebase及Quip等，由於寄存位置可信，再加上偽造的頁面逼真得沒有漏洞，於是便能獲電郵防護工具放行。 安全專家指出，有證據顯示愈來愈多釣魚攻擊會將跳轉連結的虛假頁面或惡意附件檔，寄存在合法的免費服務上，警告電郵用家要進步提高警覺，不要誤以為電郵防護工具能夠百分之百攔截釣魚電郵或其他攻擊，最重要是要細閱電郵內容，如有任何可疑之處便絕不能打開附件或點擊任何連結。 資料來源：http://bit.ly/3pNuOUt

COVID19 推動 Work From Anywhere，打工仔覺得更有效率，但管理層覺得屏幕濾走積極與熱情，畢竟值班行山這類例子並不罕見，特別疫下百業蕭條，中層更加需要證據證明大家盡忠職守，每日最早與早夜的電郵收發時間已不能成為勤力指標，遠程工作下應有另一套管理規範，但員工老闆們暫時未必有共識。 新一代「提升效率工具」，讓僱主可以全方位洞察員工如何運用工作時間，包括瀏覽歷史、App Screen Time、甚至微管理至 Keystrokes Logging 與 Desktop Session，換句話可說是「攞正牌的黑客」。Skillcast 與 YouGov 2020 年 12 月調查顯示，20％ 僱主正在或有意引入監察員工線上活動工具；英國的…

VPN 服務為網路流量進行加密，最早是用來幫助跨國企業連接世界各地的辦公室，讓不同地方的員工都可以進入公司內聯網，執行高權限的任務，並透過 VPN 連線，讓過程中傳輸的資料得到保護，安全傳輸。現時 VPN 使用普及，在疫情之下在家辦工成為趨勢，而使用 VPN 工作也相當普遍，但 VPN 技術如果沒有相應地提升，亦會帶來不少安全問題。黑客會利用 VPN 漏洞入侵企業內聯網，洩漏 VPN 用戶名稱和密碼時有發生，所以應作出適當的防護措施 。 今次研討會將介紹如何利用 Safe-T，透過採用 Software Defined Perimeter (SDP) 技術和 MFA 雙重驗證降低風險，以安全地遙距工作。 探討的議題包括： · VPN 的安全挑戰，包括身份驗證之前的訪問，橫向移動等 · VPN 的營運挑戰，包括遠程用戶的擴展問題，高營運支出等 · 如何利用現有基礎架構簡化操作達至 Zero Trust Network Access (ZTNA)…

在數碼轉型之下，企業採用雲端服務已成主流，雲端服務為各大企業提供更具敏捷性和速度的存取架構，有效推進創新發展，以更大的可擴展性，增強生產力和降低運作成本。全球頂尖互連（interconnection）及數據中心公司 Equinix 推出混合雲策略方案（Hybrid Cloud Strategy Solution），方案可連同科技公司翹楚 Oracle（甲骨文公司）的 Database 使用：透過將 Oracle Exadata 數據庫放在與雲端服務提供商彼鄰，即 Cloud Adjacency，以與雲端相鄰的體系結構，為企業提供結合安全性及高可控性的服務，讓客戶靈活地存取 on-premises 及雲端數據。 Equinix 早前與 Oracle 舉辦 Rethink…

Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight…

有跨作業系統「AirDrop」之稱的手機應用軟件SHAREit，由於可以供用家自由於 Android、iOS 及 Windows 上交換檔案，所以深受 Android 用家歡迎，至今已有 100 億用家下載使用。不過，現時一項已知漏洞已被 Trend Micro 專家公開，而且至今仍未被修復，有可能被黑客利用來盜取手機內的檔案或作中間人攻擊 (man-in-the-middle)，用家必須即時停用。 Trend Micro 手機威脅分析專家 Echo Duan 早在三個月前，已發現由新加坡公司 Smart…

最近網絡安全公司頻頻失事，繼 Solarwind 事件後，今次主角輪到法國防火牆龍頭安全公司 StormShield，公司發言人指工單處理系統 (ticket system) 被入侵，同時黑客亦盜取了旗下網絡防火牆工具 Stormshield Network Security Firewall 的原始碼！系統潛在漏洞隨時被發現，引爆另一場供應鏈攻擊災難。 Solarwind 被黑客入侵後釀成大災難，不少全球知名科技公司、政府機構、醫療企業，全部因 Solarwind 本身的漏洞而被入侵，令供應鏈攻擊 (supply chain attack) 這種攻擊手法再度被重視。StormShield…

後疫情催生無限危與機，資安界都有無數「不容錯過」Buzzword，當中 Secure Access Service Edge（SASE）獲 Gartner 等資安權威平台加持，原因同企業雲端化熱潮息息相關。科技資訊分析機構 Canalys 統計，雲端化企業數目在 2019 年增長 30％，資安平台 IDG 則大膽預測相關增幅在 2021 超過達 50％。 雲端化優點相信大家相當清楚，但於企業與雲服務平台間、資安責任誰屬上，暫時難以統一區分，黑客間接有機可趁，尤其企業發展猛迅的情況下，情況越兇險。幸而，在客戶資料外洩、非授權登入、介面漏洞等問題上，SASE 能夠靈活應對，有 SASE…

政府明日（1 月 30 日）就引入電話智能卡實名登記制度的安排展開公眾諮詢，徵詢電訊業、相關持份者和市民的意見，指為促進本地電訊服務發展，及有效打擊涉及電話智能卡的犯罪活動。 現時本港流動電話用戶主要透過智能卡服務計劃（服務計劃）和預付儲值電話智能卡（電話儲值卡或俗稱「太空卡」）使用相關服務，其中電話儲值卡用戶無須簽訂固定合約或登記個人資料。 政府指，由於電話儲值卡的匿名性質被不法之徒利用作違法活動，但現時並無法例規定須登記此類儲值卡用戶資料，執法機關難以追查、鎖定這些違法活動的幕後涉事人，又指過去有不少電話騙案，利用電話儲值卡匿名性質犯案。匿名儲值卡經常被用於各式各樣的騙案，包括電話騙案、網上購物騙案、求職騙案、投資騙案等，令受害市民蒙受損失。 商務及經濟發展局局長邱騰華表示，有迫切需要透過引入實名登記制度，堵塞漏洞，防止和協助偵查涉及使用電話儲值卡的罪案，並維持市民對本港電訊服務的信心。保安局副局長區志光則指，涉及本地流動電話犯案的嚴重罪行中，超過七成涉及使用匿名儲值卡，而電話騙案當中的比例更高達九成，匿名儲值卡有利不法之徒逃避身分識別、追蹤和偵查，即使犯案人士被捕，幕後的犯罪集團主腦往往能置身事外，而盡快落實實名登記制度，有助打擊和防範不法之徒利用匿名儲值卡犯案，從而保障市民的人身和財產安全。 政府計劃透過《電訊條例》訂立規例實施電話智能卡實名登記制度，提供所需的法律基礎讓電訊商按規例的要求登記、收集和儲存用戶的登記資料，將涵蓋所有由本地電訊商發出及在香港使用的電話智能卡。 實名登記制度主要規定如下： （一）用戶須提供身分證明文件（香港身份證或其他可接受的身分證明文件如旅客的旅遊證件）內的資料，包括姓名、出生日期和身分證明文件號碼及其副本，以作登記； 若公司或企業要登記成為電話智能卡用戶，則須提供其商業登記資料及指定某人士作為代表或負責人，並提供該名人士的個人資料； （二）16歲以下人士如需登記電話智能卡服務，相關登記必須得到一位「合適成人」的確認； （三）每名用戶只可向每間提供公共流動服務的電訊商登記不多於三張電話儲值卡； （四）電訊商應核對、釐清及核實用戶提供的資料，並在有合理理由認為有關資料屬虛假、誤導或不完整的情況下，取消有關電話智能卡的登記； （五）電訊商需在電話智能卡取消登記後，保存相關登記用戶的紀錄最少12個月； （六）登記的個人資料由相關電訊商保存，不會向他人包括政府或執法部門披露。執法部門在有需要時才可按規例向電訊商索取電話智能卡的登記資料； （七）按規例執法部門只能獲取電話卡的登記資料（即姓名、基本身份證資料），並不包括通話紀錄及內容。在一般情況下，執法部門須得到法庭手令，但在某些迫切或緊急事件的特殊情況下（例如涉及炸彈恐嚇、綁架等嚴重罪案），執法部門可在一名不低於等同警司職級的人員授權下，要求電訊商在沒有法庭手令下提供電話智能卡的登記資料。 為讓電訊商作好準備以遵照登記規定，政府建議登記制度分階段進行，規例生效 120 日後出售的新儲值卡及服務計劃才開始按規例作登記，屆時所有新的電話智能卡須先登記後才可啟用。按目前的建議，所有電話智能卡須於規例生效後的…

新加坡政府一向希望取代香港的亞洲金融中心地位，而在維護網絡安全政策方面，反應更比港府敏捷得多。最新動作是修改了金融業的科技風險管理指引，強調行業必須加強對第三方服務供應商的規管，相信跟近年頻頻發生的供應鏈攻擊 (supply chain attack) 有絕大關係，例如令人聞風喪膽的 SolarWinds 事件…… 現時金融業在發展網上業務時，傾向與第三方服務供應商合作，例如 IT 管理工具、數據備份及災難復原服務等，雖然金融業本身有嚴格的網絡安全法規要遵守，但在第三方服務供應商上卻難以監管，黑客組織自然會捨難取易，選擇向這些服務供應商發動攻擊，從而入侵金融機構。最近 SolarWinds 火燒連環船事件就可看出，如果能成功入侵第三方服務供應商，成效有可能更大。 而今次新加坡金融管理局修訂的科技風險管理指引，明顯針對供應鏈攻擊而來，因為在新指引下，金融業必須嚴格監督第三方服務供應商，同時亦就任命第三方供應商及高級 IT 管理人員方面提供建議，例如必須嚴格監管對方員工是否有足夠的技能或證書，而在聘用 CIO 或 CISO 等職位時，亦要考慮對方是否持有相關的認證。在兩方面配合下，便能確保服務供應商有高規格安全標準之餘，金融機構內部亦有懂得如何監管服務供應商的能力。 此外，新加坡金管局亦規定金融業界必須確立網絡威脅情報分享平台，交換彼此收集到的網絡威脅資訊，以供業界定期進行內部滲透測試，堵塞可被入侵的漏洞。在這方面，雖然香港金管局推出的網絡安全防衛計劃…