LinkedIn宣布加強安全功能，阻止近年愈來愈多黑客透過平台詐騙。新加入的帳戶驗證機制，以及持續以先進人工智能技術辨識虛假帳戶，均可提高用家的安全意識及打擊假帳戶，讓用家用得放心。 近年不少黑客都透過職場社交平台 LinkedIn 犯案，原因有多方面。首先，由於用家都會樂於上載詳細資料到平台，以便讓潛在僱主找到自己，因此黑客可簡單地利用搜尋功能找到目標，同時亦可訂立更個人化的社交工程攻擊，讓目標上當。 其次是大部分用家都以尋找新工作機遇為目標，因此對於來自大公司的工作邀請，更易上當。詐騙活動近年經常發生，比較著名的有北韓黑客集團 Lazarus 以虛假的工作職位為名，引誘英國、印度及美國等地從事 IT 及媒體工作的職員，打開假扮成職位資料的文件，實際上卻在對方電腦上安裝木馬程式，以便黑客刺探目標公司的內部機密。其他手法還包括引誘對方到其他通訊軟件聯絡，或到訪釣魚網站，盜竊對方的個人及公司帳戶登入資料。 LinkedIn 為了打擊上述詐騙活動，宣布即日起陸續推出新的安全功能。其中之一的「About this profile」，可顯示登記用家是否已通過公司電郵或電話驗證，如黑客要假扮為某間企業員工，並在個人資料上顯示目標公司的電郵地址，便要先通過驗證，否則便不會獲得驗證標記。 新加入的人工智能技術，則會無間斷地偵測所有用家的帳戶使用情況，包括帳戶相片、登入平台後的活動內容，如發現可疑行為，便可能會凍結用家帳戶，或對其他用家發出警告。LinkedIn 強調相片辨識上毋須使用生物辨識技術，即用家毋須先通過人臉辨識，系統也可憑人工智能找出虛假相片。 新加設的 「About this profile」 功能。…

國際刑警組織開新戰線，新設專責保衛元宇宙和平的特別調查團隊 Interpol Metaverse，讓探員化身為 avatars 穿梭元宇宙世界，還會有沉浸式搜證調查及相關的世界觀知識培訓，不過最重要的法例，似乎就未有聲氣。 自從 Facebook 改名 Meta，表示要全情投入發展元宇宙業務，Metaverse 概念才正式被炒起，市場調查公司 Gartner 早前發表報告，估計在 2027 年全球將有 40% 大企業會借助 web3 及 AR 擴充實景技術為員工或客戶提供元宇宙服務。而現時有港資背景的…

不少人為了提升瀏覽器的使用經驗，都會為瀏覽器安裝延伸工具，例如即時翻譯、屏幕截圖等。不過，黑客亦會利用這途徑竊取目標人物私隱資料，例如北韓黑客集團便透過魚叉式釣魚電郵攻擊鎖定攻擊目標，誘使對方打開惡意附件化身為延伸工具後，便可利用儲存的登入憑證隨意進入 Gmail 帳戶，神不知鬼不覺。 網絡安全公司 Volexity 為客戶提供威脅情報服務及電腦搜證服務，而在提供鑑證服務時，便經常在受感染電腦內發現這款被稱為 SharpTongue 的惡意軟件，安全專家指它與北韓黑客集團 Kimsuky 有關。SharpTongue 入侵工具的詳細分析早於 2021 年出現，這個黑客集團專門針對美國、歐洲及南韓的企業及機構，特別是該機關與調查北韓事務、核技術、國防武器，更會成為頭號入侵對象。 不過，Volexity 在近來的調查發現，背後的黑客集團正開始使用一款專門用來盜取電郵內容的惡意瀏覽器延伸工具 SHARPEXT，相比起 SharpTongue 以盜取帳戶登入資料為目的，SHARPEXT 在安裝到瀏覽器後，便會利用受害者儲存在瀏覽器內的雲端電郵帳戶登入 sessions，進入受害者的電郵信箱內搜集所需資料及下載有用的電郵附件。由於帳戶已在早前經驗證登入，因此電郵服務供應商難以發現帳戶正被入侵，從而增加偵測的難度。…

加密貨幣波動，投資者經常猜度是否炒底良機。不過，並非所有投資者都熟悉加密貨幣玩法。美國 FBI 便在早前發出警告，指愈來愈多詐騙集團假扮有名氣的投資公司，假借回報率高的投資計劃，誘使目標人物將加密貨幣存入「公司」的加幣貨幣帳戶，單是過去八個月，在美國已有 244 人中招，損失近 4,270 萬美元！ 根據 FBI 公布的資料，詐騙集團的欺詐手法並不創新。騙徒會假扮成當地有名投資公司致電或發電郵給目標人物，邀請對方將手上持有的加密貨幣投資到它們的管理服務，換取可觀的回報率。一旦對方感興趣，騙徒便會說服受害者下載及安裝公司的專用手機應用軟件，不過這些軟件其實只是騙徒特製的惡意軟件，只是表面看上來與真實投資公司的軟件一模一樣。受害者其後只要按指示於手機應用軟件內將自己的加密貨幣轉帳，便已深陷騙局之中。FBI 指出由去年 10 月至今年 5 月中，已受到 244 名受害者求助，損失四千多萬美元。 官方援引其中一些個案為例，其中有騙徒假扮成美國金融公司進行詐騙，28 個受害者按指示存入加密貨幣，其後有 13…

不少企業也有為員工舉辦網絡安全培訓課程，以為做完就安全？可惜事與願違，有調查發現34%員工受訓後依然用紙寫低密碼，60% 員工依然接駁公共 Wi-Fi 工作。其實舉辦培訓都要成本，究竟如何才能有效地運用資源？一齊學習四個要點。 根據 TalentLMS 和 Kenna Security 一項員工網絡安全風險意識調查發現，大部分安全培訓都未能達到預期效果。調查訪問了 1,200 個美國員工，當中 69% 已接受安全培訓，除了上述學完等於無學的例子外，受訪者當中有 61% 未能通過主辦機構提供的基本安全測試。 由此可見，設計網絡安全培訓課程絕不簡單，罐頭式培訓內容未必。網絡安全專家認為安全培訓課程要有成效，不可忽略以下四點。 定期審核：做完培訓班都要有跟進，企業管理者必須安排人手定期進行內部審計，評估員工有否執行課程內容，例如檢查員工電腦有否未經批准使用的軟件、帳戶密碼是否繼續採用易於破解的組合，同時亦可留意員工工作枱上有否隨意擺放敏感度高的文件。如效果未有改善，就有可能要改課程內容或教學方法。 實用淺白：影響網絡安全培訓效率的經典原因是內容大路及充斥大量專業術語。首先如員工未能了解釣魚電郵、社交工程攻擊的意思，根本無法了解自己有可能中招的原因。另外如內容過於大路或理論化，員工亦無法將課程內容應用到實際工作上，因此導師應針對行業實況及公司文化，設計出實用淺白的教程，同時以實例進行分析，確保員工清楚掌握入侵原理。 持續培訓：培訓應定期進行，一次性課程不可能讓員工記住所有內容，最好每次課程有不同主題，加深員工印象。…

Palo Alto Networks 網絡安全團隊 Unit42 最新發現一個供應鏈攻擊 (supply chain attack)，有黑客利用一個雲端影像寄存平台的自定播放器漏洞，將被混淆化 (obfuscated) 的惡意編碼混入其中。不知情的用家如使用了這個播放器，便會將專門用於竊取信用卡資料的 card skimmer 惡意功能帶進網站，令客戶曝露於被盜用信用卡消費的風險之中。現時已有過百個物業網站已中招，可說是一次成功的供應鏈攻擊案例。 Card skimmer 是一種專門入侵網購網站，再於結帳頁面植入惡意編碼以盜取客戶信用卡資料的攻擊手法。多年來網絡犯罪集團一直使用不同手法將這種惡意功能混入各種網站之中，只要該網站的客戶填入個人私隱及信用卡資料，就會同時將這些資料送交黑客的 C&C 控制中心，由於中招網站在外貌上並無異樣，因此用家可說無法防備，只能靠店商能否阻止惡意功能入侵。 而最近…

社交媒體平台 Clubhouse 洩露的 38 億個電話號碼的數據資料，據報道指，被一名威脅行為者連同在去年 4 月洩露的 5.33 億 Facebook 個人資料結合，並將這批個人身份信息 (Personal Identifiable Information, PII) 出售給地下市場上出價最高的人。 Threatpost 報道指 Clubhouse 洩露的…

騙子發疫症財不是新鮮事，但是疫情一日未完，只怕不法分子仍然會利用群眾的恐慌，繼續製造謠言呃錢。最近承著疫苗推出，英國出現不少與疫苗有關的電郵，誘騙民眾輸入個人資料，身在香港的我們，也要留神會否有相同情況出現，下文將介紹各種隨疫症而出現的虛假訊息。 早於去年 12 月，國際刑警組織已發出警告指，未來幾個月內將出現大量與 COVID-19 相關的欺詐和網絡罪案，呼籲執法機構作好準備，該組織秘書長 Jürgen Stock 提到，這些不法分子會利用虛假網站和虛假療法，瞄準毫無戒心的民眾，結果或對他們的健康、甚至生命造成重大威脅。而發出警告後的四星期，民眾與及疫苗供應鏈首當其衝成為罪犯的目標。 假冒產品 有假冒疫苗正在網上發售，令人最為擔憂。Check Point研究人員發現與 Dark Web 相連的論壇帖文中，包含「冠狀病毒疫苗」和「冠狀病毒療法」字眼，內有供應商聲稱可以使用未標明品牌的 COVID-19 疫苗，索價達 300 美元的加密貨幣。Check Point…

為求保障，網絡安全產品服務不可或缺。然而，所有網絡安全背後的 final boss，始終是背後操控一切的人類。KnowBe4 與 SoftwareOne 聯合主辦的網絡研討會，將探討社會工程師及騙徒如何設局，或以不同手段誘使受害人順從吩咐，讓你識破詭計，掌握 OODA (Observe, Orient, Decide, Act)循環方法，免墮陷阱！ 是次 Webinar 由全球最大的「安全意識培訓平台」供應商 KnowBe4 亞太區網絡安全意識倡導者 Jacqueline Jayne 及 SoftwareONE…

究竟一個黑客係點樣煉成嘅呢？網絡安全公司 Check Point 最近就係網誌上，寫出一個被佢哋追蹤多年嘅尼日利亞黑客 Dton 嘅成魔之路，而且佢仲係連程式都唔識寫嘅黑客嚟添。咁佢點開始做黑客？咪就係上網買信用卡資料囉。 Check Point 研究員係網誌上透露，Dton 一開始係去專門出售信用卡資料嘅暗網，用咗13,000 美元去購買一千張信用卡資料，然後進行網上購物。為咗減少被信用卡公司發現盜用嘅風險，Dton 每次只會用張卡消費 550 美元，結果喺佢試勻呢一千張卡後，研究員話佢至少都攞返十萬美元收入，所以 Dton 之後都有繼續買卡賺錢。不過，Dton 可能唔多賺蠅頭小利，所以好快佢就轉咗玩電郵詐騙，透過買入大量目標群組嘅電郵帳戶，向目標發動社交工程攻擊，增加引誘對方打開惡意程式附件嘅成功率。雖然 Dton 好成功咁呃到唔少錢， 但貪心嘅…