釣魚電郵又有新攻擊手法，黑客利用 Microsoft Exchange 伺服器早前被發現的 ProxyShell 及 ProxyLogon 漏洞，入侵企業帳戶，假扮員工向其他人發送內部回覆電郵，成功避過電郵防護系統的攔截。要成全這種攻擊，最要感謝企業 IT 部門未有為伺服器安裝安全更新檔案。 釣魚攻擊的成功率，取決於電郵能否令收件者相信沒有可疑之處，例如發送者的身份有否被驗證、電郵內的連結或檔案是否可疑等。從人類角度出發，如收件者的安全意識夠高，首先會檢查發送者的電郵地址是否偽裝、電郵內文是否錯字連篇；而從電郵防護系統出發，分析的準則就更多，系統甚至會檢查連結傳導的網頁是否與官方有分別。在眾多因素影響下，釣魚電郵攻擊者便要不斷改變攻擊方法，才能讓電郵落入收件夾及令收件者開啟惡意檔案或連結。網絡安全公司 Trend Micro 研究員最近便發現了一項有趣的攻擊手法，並撰文於網誌上跟大家分享。 研究員指出，黑客這次的目標是入侵企業電郵系統，當取得其中一個員工的電郵帳戶後，便會利用回覆電郵手法，將帶有惡意軟件的電郵發送給其他員工，如有員工信以為真，黑客便可於對方電腦安裝惡意軟件如 Qbot、IcedID、Cobalt Strike 及 SquirrelWaffle 等，當中滲透測試工具…

零日漏洞是黑客入侵的途徑之一，隨著網絡犯罪分子不斷尋找新的攻擊方式，他們變得愈來愈先進。有研究人員表示，勒索軟件團體已有足夠金錢購買零日漏洞以發動攻擊。以前零日漏洞是國家級的領域，但現在犯罪團體也有資金購買，看來攻擊將會變得更頻繁也更難抵禦。 零日漏洞和利用這些漏洞的知識，一直在地下論壇上索價不菲，犯罪分子能以這些漏洞謀取更大利益，特別是涉及網絡安全研究人員不知道的零日漏洞，潛在受害者就更難以安全更新來防禦攻擊。例如在今年 Microsoft Exchange 漏洞被披露後的幾周內，網絡犯罪分子就爭先恐後地利用這個漏洞，以便在更新廣泛應用之前作攻擊。 零日漏洞以往多由資源充足、有國家支持的黑客行動部署，但 Digital Shadows 網絡安全研究人員的分析，詳細說明了在暗網留言板上有關零日犯罪市場的討論愈來愈多。Digital Shadows 解析，這是一個極其昂貴且競爭激烈的市場，通常是由獲國家支持的威脅組織所擁有的特權，但某些知名的網絡犯罪組織在過去幾年大賺特賺，財力已足夠購買這些漏洞並分一杯羹。 Digital Shadows 的威脅研究員 Stefano De Blasi 向 ZDNet 分享，各州可以以合法方式，從專門開發這些工具的公司那裏，購買零日漏洞。然而，當這些工具是由網絡犯罪分子在法律監管以外開發時，在網絡犯罪世界中識別客戶身份可能變得更容易，只有少數網絡犯罪分子能負擔使用零日漏洞的成本。…

Google 的威脅分析小組 (Threat Analysis Group, TAG) 透露，有黑客正利用 macOS 中以前未公開的漏洞或零日漏洞，來監視針對香港網站瀏覽者，並捕捉用戶的按鍵和屏幕截圖等動作。Google 未透露攻擊所針對的網站，但指出當中包括香港媒體機構和民主派的勞工和政治團體。 大約在 Google TAG 研究人員發現該漏洞被利用一個月後，Apple 在 9 月的 macOS Catalina 更新並修補了這個漏洞，編號為…

由於遙距工作的需要，VPN 在疫情期間突然成為企業熱搜工具。不過，網絡安全專家指出企業加速引入 VPN，但 IT 員工卻未必熟悉它的運作，導致有漏洞而未能發現。最重要是黑客已看透了這情況，因而爭相利用漏洞入侵。 新冠疫情下不少企業加速數碼轉型步伐，特別是為了讓員工可以在家工作，因此急就章引入各種遙距工作應用服務，以及架設虛擬私人網絡 (VPN)，加強遠端網絡連線安全性，一心以為可以減少數據外洩風險。不過，網絡安全公司 Mandiant 的事故回應顧問 Bart Vanautgaerden 在歐洲舉辦的 Black Hat 座談會上，就指出這些公司的 IT 員工雖然熟悉 Windows 系統的防護，但對 VPN…

IoT（物聯網）的應用愈來愈廣泛，但對於 IoT 設備的安全保護卻成疑。五分之四的物聯網設備供應商未有公開其產品安全漏洞的相關資料，意味著用戶處於私隱洩露危機及網絡攻擊的危機當中。 物聯網安全基金會 (IoTSF) 作為鼓勵保護 IoT 安全的科技業界組織，早前分析了數百間常用的物聯網產品製造商，發現只有五分之一在公共渠道上曾公布產品安全漏洞，以便修復。儘管包括英國、美國、新加坡、印度、澳大利亞以及歐盟，都曾強調 IoT 設備網絡安全的重要性以及能夠披露漏洞的能力。但以這種形式公布安全漏洞的供應商只有 21%，自去年起略有上升。 報告指出，漏洞披露政策的有缺失的原因可能是由於「非傳統 IT 企業」首次進入 IoT 市場，例如時尚供應商推出連線產品或廚房電器製造商為其產品添加智能功能。有些 IoT 設備製造商首次面對須考慮將網絡安全功能納入產品內，因為漏洞不僅可以進入設備，而且沒有固定的報告漏洞的途徑。 儘管如此，該報告指出「自 2017…

近年資產管理成為跨國企業 IT 部重要的職責，團隊要管理世界各地的企業資產，同時執行漏洞管理，分析不同資產的重要性，制定資產保安策略，可謂相當大的挑戰。國際網絡安全專家 Qualys 因此推出 CyberSecurity Asset Management (CSAM) 解決方案，以統一平台結合漏洞管理及資產管理。CSAM 能夠獨立成為企業的 CMDB 或和其他 CMDB 同步，為企業建立全面資產管理清單，自動偵測硬件和軟件的風險，並快速作出提示。 漏洞管理的重要功能 針對漏洞管理，CSAM 能夠提供企業資產 Product Lifecycle…

人工智能技術提高攔截釣魚電郵的準確度，於是網絡罪犯又變陣，反利用人工智能盲點避開攔截。最新方式是利用算術符號取代知名品牌logo上的文字，例如美國電訊商 Verizon，就俾罪犯用平方根符號代替V字，驟眼睇好似 logo 原貌得來又有些微差別，令電郵呃到人又呃到人工智能，高招！ 網絡安全業界均肯定人工智能技術，必然有助提升惡意行為的攔截率，因為它具備機器學習功能，而且又能快速從不同渠道搜集網絡威脅資訊及趨勢，因此無論在調查及處理速度、標準化上，都較人類優勝。不過，始終人工智能的演算法都會依循一定規條，因此只要掌握它的規則，便有辦法找到入侵盲點。以這次打著 Verizon 旗號的釣魚電郵為例，一般人工智能技術都會著重檢查電郵內的品牌標誌是否偽造、內含的跳轉連結是否已被確認用於惡意行為等。網絡罪犯就利用這個規則，以平方根取代品牌的 V 字，令人工智能不會認為它是偽造的 Verizon 標誌，成功通過第一關。 不過，網絡罪犯當然不會單靠這招通關，這次發現的釣魚電郵攻擊還有其他招數。當收件者信以為真，點擊電郵內的語音留言 button，就會將收件者帶到一個虛假的 Verizon 網站。由於這次的目標是要令收件者以為正在瀏覽官方網站，所以網站的圖文排版都抄襲得一模一樣，專家指罪犯偷用了官方網站的 HTML 及 CSS 素材，因此才能令收件者信以為真。網絡罪犯亦特別利用新的 domain…

隨著黑客愈來愈傾向利用零日漏洞或內部人威脅入侵企業，企業管理者在發現內部系統被勒索軟件等惡意軟件襲擊時，好多時都會覺得攻擊避無可避。其實最新的 CSF 防禦框架已將防禦比重由識別及保護，延伸至退後一步的偵測，令企業即使已被入侵，都可及早控制受影響範圍，盡量減少損失。 零日漏洞 (zero day vulnerabilities) 是指一些未被發現的弱點，當中包括軟硬件的安全設計漏洞，例如最近需要一再更新的 iOS 作業系統等。由於漏洞尚未被發現，只得入侵者察覺得到，因此黑客便可大搖大擺地利用漏洞進行各種惡意軟件，而不會被網絡安全工具阻截。可能讀者會發現，零日漏洞好似愈來愈常見，除了因為更多網絡罪犯鍾情研究，亦因為現時應用服務的交付時間愈來愈短，安全團隊無法在推出前完成所有測試，才會令問題愈趨嚴重。 對企業的 IT 及安全團隊來說，零日漏洞絕對是頭號敵人，因為傳統的安全策略都著重於識別 (Identity) 及保護 (protect) 等前期功夫，但因為零日漏洞難以被識別，因此更遑論可就入侵執行各種保護措施。VMware CISO Jason Lewkowicz…

防毒軟件公司 ESET 最新發現，一班被稱為 FamousSparrow 的 APT 網絡犯罪集團正在大肆利用已知漏洞，入侵全球各地政府部門、國際機構、酒店、工程公司及法律事務處。所利用的已知漏洞包括 SharePoint、Oracle Opera、Microsoft Exchange 等伺服器服務。唯一解決方法，就是盡快安裝系統更新檔。 APT 全名為 Advanced Persistent Threat，是一種專門以收集情報為目標的網絡犯罪組織，這些組織大都有國家支援，因此賺錢並非他們的主要目標。為減少被受害企業或機構發現的機會，APT 攻擊一向以隱密性為優先，因此經常瞄準目標對象 IT 系統上存在的已知漏洞發動攻擊，以避過網絡防護工具的偵測。另外，他們亦不會長期存在於受感染的電腦設備內，只會於運作期間靜靜地將機密資料斬件外傳，或將資料藏在圖像內外傳，盡量不會出現可疑的網絡活動。 今次被…

防毒軟件公司 Kaspersky 發表最新安全報告，有三分之一的工業控制系統 (ICS) 在今年上半年曾成為攻擊目標，根據卡巴斯基的最新數據，到 2021 年上半年，估計大約有三分之一的工業控制系統 (ICS) 成為攻擊目標，惡意活動的目標，間諜軟件的威脅越來越大。 ICS (Industrial Control System) 被應用於多種重要工業，包括供電網、供水系統、水壩、核電廠等等，因此它的網絡安全性備受關注，因為一旦 ICS 被惡意攻擊，有可能會令國家陷入混亂。早年烏克蘭及委內瑞拉等國家便因供電網懷疑被敵國狙擊，導致全國發生大停電，烏克蘭更用了差不多一個多星期才能回復供電正常。俄羅斯防毒軟件供應商 Kaspersky 便每年都會就 ICS 系統發表安全報告，而在今年上半年，Kaspersky…