現時不少人都知道 Google、Facebook 等網上服務巨企,會對用家的網上行蹤感到興趣,但其實網民的電郵帳戶行為,對市場推廣員來說一樣非常寶貴。BBC便發現,有 2/3 電郵內被發信人暗中植入間諜 pixel,以追蹤相關電郵如何被處理! 市場推廣的其中一種方法是透過發送推廣電郵,吸引目標客戶的注意。不過,收件人如何處理電郵,均會對發送人的信譽 (reputation) 有一定影響,例如收件人將郵件標示為垃圾郵件,或從未打開該發送人的電郵等舉動,便會讓電郵服務供應商理解該發送人的電郵沒有價值,將之加入黑名單或直接送到用家的垃圾電郵信箱,以提升用家的服務體驗。此外,市場推廣公司亦極欲得知收件人如何處理電郵,用以製作服務報告給客戶參考,因此有不少市場推廣公司便不惜踩界,在電郵內放入一粒小小的 pixel,以記錄電郵有否被打開及處理方法。 英國傳媒公司 BBC 為了調查 spy pixel 的使用狀況,便委托Hey訊息服務公司分析網絡上的電郵實況,結果便發現有 2/3 的電郵內隱藏著 spy pixel。這些…
Search Results: 瀏覽器 (173)
Google Chrome 瀏覽器推出新版本,為用家提供更方便的帳戶密碼安全檢查服務,一旦發現帳戶曾涉及外洩事故,又或帳戶密碼容易被猜中及多個帳戶共用同一組密碼,就會彈出通知建議用家即時修改,不過暫時只更新了桌面電腦及 iOS 版本,Android 用家要等等。 事實上,Google 在去年的 Chrome 86 版本已加入了 Safety Check 密碼檢查功能,而且 Google 公布在這項功能推出後,現時每周均錄得 1,400 萬次用量,而且為了提升 iOS 裝置的用家體驗,以及鼓勵用家選用更複雜及高強度密碼,這些儲存於…
疫情下網購成為新常態,黑客自然會與時並進,利用相關付款工具發動釣魚攻擊。最近手法是透過 SMS 發出 PayPal 帳戶受限制的訊息,假扮官方通知用家的帳戶須重新驗證方可使用。PayPal 用家如收到類似短訊,切記直接刪除! 釣魚攻擊 (Phishing) 主要是指透過虛假電郵或訊息,引誘收件人點擊內裏的連結,騙取帳戶登入資料。其中一種方式叫作 SMishing,即以 SMS 短訊為攻擊媒介,早前美國電訊商 Verizon 發表的 Mobile Security Index 2020,便指至少有 17% 的釣魚攻擊源自…
Google 的威脅分析小組(Threat Analysis Group, TAG)披露,北韓政府的黑客組織向從事漏洞研究的網絡安全研究人員埋手,在不同的社交媒體中,包括 Twitter、LinkedIn、Telegram、Discord 和 Keybase 等,甚至還利用電子郵件,以多個不同的虛假身份,接觸這班網絡安全研究人員。他們先假裝有興趣一起進行漏洞研究,繼而發放包含惡意軟件的 Visual Studio 檔案,果然不是省油的燈。 Google TAG 的安全研究人員 Adam Weidemann 指出,這班北韓黑客在經過初步溝通後,便會詢問網絡安全研究人員,有否興趣一起從事研究,並發送 Visual Studio…
疫情下大家都習慣了網上購物,就算以往不熟悉如何網購,現在亦變成格價及集運高手。有大量金錢流轉的地方,黑客又怎會錯過?有網絡安全研究員便發現,黑客正借助網站頁面上的社交平台分享按掣圖標,隱藏惡意軟件的蹤影。只要你在網站上購物,信用卡資料就會同時送到黑客手上! Credit card skimmer 是一種專門入侵電商網站,再於結帳頁面植入惡意程式盜取客戶信用卡資料的攻擊手法。近年這種攻擊日益猖獗,當中 Magecart 黑客集團更是當中的表表者,不少知名網站如 newegg、Forbes 都曾中招。最近荷蘭網絡安全公司 Sansec 的研究員又發現,credit card skimmer 的入侵方法再度變招,而今次就向網站版面上的社交平台分享按掣圖標落手,同時將惡意軟件的組件拆散,從而繞過電商網站所採用的網絡安全工具的偵測。 研究員指出,黑客今次將部分惡意程式碼植入 SVG 格式的圖標內,而且亦用上 facebook_full、instagram_full 等指令,令整段編碼變得更加可信。只要網頁被瀏覽,惡意程式碼就會執行,並且繼續於網站伺服器的其他位置讀取剩餘的程式碼。研究員認為這種斬件式擺放方法有可能瞞過安全掃描器的偵測,因為即使偵測到其中一部分,也未必會發現其可疑之處。其實之前我們也曾報導黑客利用網站擺放於瀏覽器分頁的小圖標 (favicon) ,將惡意程式碼植入其中,並且將惡意程式碼轉成混浠碼(obfuscated…
Google 近年不斷強化用戶的私隱保護功能,例如招聘特別安全人員去篩選 Google Play Store 上的可疑 Android app ,加強 Android 11 作業系統的安全功能。而在最新推出的 Chrome 瀏覽器版本86上,亦特別加強密碼管理、反下載惡意程式方面的功能,一定要盡快更新。 去年 Google 推出 Chrome 79 時,新增…
Mozilla為Firefox推出版本79,加強了用戶瀏覽網頁時的反追蹤功能,以及讓用戶自訂不會被指定網站追蹤,提升私隱保護。不過,就算你並不太注重瀏覽私隱而又屬於Android用戶,也一定要盡快更新Firefox瀏覽器,否則只要你加入任何有黑客置身其中的Wi-Fi無線熱點,黑客便可以騎勢你的手機版Firefox,開啟釣魚網站騙取帳戶登入資料或安裝惡意軟件! Firefox舊版本手機瀏覽器的漏洞由澳洲安全研究員Chris Moberly發現,出事的地方是Firefox的SSDP(Simple Service Discovery Protocol)組件。SSDP的作用在於讓新裝置通知內部網絡控制點的它的存在,同時亦可快捷地搜尋內部網絡所提供的服務。應用在Firefox上,它就會搜尋同一網絡內的裝置以便分享內容,例如將影片分享至智能電視等;而每當發現新裝置,它會自動獲取一個關於該裝置設定的XML檔案,預先為分享檔案做好準備。 不過,Moberly發現舊版本的Android Firefox瀏覽器存在漏洞,黑客可在XML內藏入執行動作的指令,只要手機用戶在這個內部網絡例如Starbucks的公共Wi-Fi使用Firefox,同時又有黑客在同一網絡,Firefox便會自動執行該裝置的XML指令,打開虛假帳戶登入版面,或指示用戶安裝惡意程式,如果用戶信以為真就很易中招。即使是公司Wi-Fi網絡亦未見安全,黑客亦可使用Wi-Fi router已知漏洞入侵,而且在公司網被要求輸入公司帳戶資料更能讓人掉以輕心。 現時漏洞已在最新版本Firefox 79上被堵塞,建議大家要盡快更新,保護自己之餘,也可享用新的反網頁追蹤服務,一舉兩得。 資料來源:https://bit.ly/3kA9rUw
透過人工智能技術編輯影片、相片或聲音檔案,達到以假亂真嘅 Deepfake 技術,由於效果實在太逼真,容易喺社會上散布虛假訊息,所以一直係全球政府及社交平台首要解決嘅問題。特別係美國總統大選在即,呢啲虛假訊息隨時可以令選情逆轉添!就喺呢個時候,Microsoft 宣布推出一套可以偵測 Deepfake 內容嘅工具 Microsoft Video Authenticator,借助人工智能去分析影片或相片中嘅瑕玼,再提供可信度俾用家自行判斷內容真偽,絕對有助打擊虛假訊息嘅散播。 點解 Deepfake 技術咁得人驚?因為佢都係利用人工智能深度學習嚟製造虛假內容嘅技術,一方面人工智能會自行產生愈嚟愈精細嘅內容,同時間另一組人工智能就會愈嚟愈精準咁識破虛假內容,喺兩套人工智能嘅競賽下,虛假內容自然愈嚟愈像真,好多時肉眼已分唔到真假。而 Microsoft 呢套工具,亦同樣使用人工智能技術,用咗 FaceForensics++公開嘅 1000 組 Deepfake 資料庫以及 Facebook…
曾經盛極一時嘅挖礦劫持攻擊(Cryptojacking),由於賺錢效率極低,喺上年中開始已無乜黑客使用。不過,Symantec 指出喺今年第二季,偵測到嘅 Cryptojacking 竟然比上季勁升163%!唔通有新方法搵錢? 隨住加密貨幣(Cryptocurrency)嘅興起,唔少人都添置咗強勁電腦喺屋企挖礦賺錢。不過,有黑客就唔想買電腦同俾電費,於是就透過 Cryptojacking,偷偷喺人哋嘅電腦或網站上置入挖礦程式,用人哋嘅資源嚟搵錢,手法可謂極度卑劣。當中一間德國公司 Coinhive 就專門提供門羅幣(Monero)挖礦程式服務,只要喺網站程式碼內嵌入佢哋嘅程式,當有網民瀏覽呢個網站,電腦運算資源就會被利用嚟挖礦,網站所得收入就會同 Coinhive 分成。另一方面,亦有黑客偷偷哋入侵人哋嘅網站,再嵌入 Coinhive 程式碼,借人哋嘅網站賺錢。據調查統計,高峰時期至少有 4200 間英美網站被植入挖礦程式碼。 不過,自從各大瀏覽器開發商開始攔截呢啲植入挖礦程式碼嘅網站,再加上門羅幣價值暴瀉八成,Coinhive 亦再搵唔到錢,結果喺上年 3 月宣布停止服務,順帶令到 Cryptojacking 步向衰落。而最大嘅原因係,利用網站嚟挖礦所得費用,居然仲低過正正經經刊登廣告,所以點解喺今季又突然多咗人用呢?…
新冠疫情持續半年有多,好多人嘅生活習慣都改變晒,例如家居工作嘅時間多咗,上網使錢密集咗,玩手機 game 或睇網上娛樂亦挑剔咗⋯⋯消費者嘅日常生活轉晒型,作為提供應用服務嘅企業,都要跟車轉型,將重要工作或 IT 架構移雲。不過,移雲一啲都唔簡單,一旦無守穩整個服務流程,更有可能運作唔到、增加管理成本,最壞情況更加會造成機密外洩,隨時一鋪清盤! 獨立運作 訪問行為難分善惡 無論邊個行業,老闆而家都面對住同一問題,就係點樣做好遙距工作(Remote Work)同埋網上服務嘅安全保護,因為當企業進行數碼轉型後,員工、客戶主要透過各種網絡應用(Web Application)服務,經 API(Application Programming Interface)介面去存取公司資料庫入面嘅數據,任何一個位置出事,損失都難以估計。 Imperva 亞太區資深技術顧問張瑞宏(Kelvin)指出,必須做好由網絡應用以至數據庫各關卡嘅防禦,先夠穩陣,而關鍵就係網絡流量嘅透明度。「數據庫入面嘅資料就好似珠寶首飾,如果連邊個人入過去、由邊度入嚟、入去做過啲乜都唔清楚,就完全無安全性可言。」要睇通睇透,自然要由一開始睇起,佢話有企業雖然採用咗唔同嘅防禦工具,但工具同工具之間無法溝通,都分唔到入嚟嘅網絡行為有無古惑。舉個例,大門守衛做咗身份認證就放行,但嚟到保險室,如果無溝通,個護衛又點知呢位來賓入嚟做乜呢?佢嘅行為會唔會顯示到佢越權或係冒充呢?所以唔係賣花讚花香,現時市面上可以打通呢三個關卡嘅安全工具,就只得 Imperva 做得到。 天生外向 WAAP 防護至重要…