雖然近期 Google、Microsoft和Apple都各自在其平台推出了無密碼的驗證密鑰（passkey）功能，但大多數人仍然選擇使用自己的密碼。Google 最近開始透過FIDO 聯盟（Fast Identity Online Alliance）測試 Chrome 和 Android 中的驗證密鑰支援功能，而 FIDO 的密鑰是以智能手機傳感器進行生物識別身份驗證，以完成無密碼登入。Apple 於 6 月宣布 iOS 和 macOS 支援使用…

俄羅斯防毒軟件公司 Kaspersky 警告，一個擁有 18 萬訂戶的香港 YouTube 頻道，正被利用推廣一個內含惡意功能的 Tor 瀏覽器，一旦用家跟著連結下載及安裝，除了會將輸入的帳戶資料及密碼上傳給黑客，還會進一步引入監控軟件，令使用 Tor 瀏覽器隱藏身份上網的意義全失！ Tor 的全寫為 The Orion Router，又稱為洋葱網絡，是美國海軍研究所於上世紀 90 年代開發出來，用於令美國軍方及情報人員可在網絡上匿名通訊，其後在 2006 年交由…

DDoS（分散式阻斷服務）的規模日益龐大，每秒攻擊次數屢創新高，不過一般都只會持續數秒至幾分鐘。不過，網絡安全公司 Imperva 最新為客戶攔截反常 DDoS 攻擊，不單只每秒訪問次數接近現時最高紀錄，持續時間更非常誇張，對企業造成極大危機。 DDoS 攻擊的全名是 Distributed Denial of Service attack，中文稱之為分散式阻斷服務攻擊，通過不同攻擊手段消耗目標網站、連線遊戲或網上應用服務的運算或網絡資源，最終陷入癱瘓狀況。相對於 DoS 攻擊（Denial of Service attack）的單一攻擊來源，發動 DDoS 的攻擊者會利用多個來源，例如最常見的是利用受感染電腦組成的僵屍網絡（botnet）大軍。不過，近年黑客使用先進的放大（Amplification）技術，只須少量僵屍裝置便能製造龐大的無效訪問要求，例如早在 6…

多重因素驗證 (MFA) 原本是用來加強登入帳戶的安全性，減少因帳戶名稱及密碼外洩，導致黑客可以直接登入帳戶的風險。不過，網絡安全公司 Mandiant 最近一份調查報告便發現，俄羅斯國家級黑客集團 Cozy Bear (又稱為 APT29) 就利用了 Microsoft 帳戶容許用家自行登記 MFA 驗證裝置的漏洞，暗中將「休眠」帳戶據為己用，然後進入企業的內部網絡刺探機密。 專家解釋，企業 IT 管理員會因為各種原因，預先開設一些帳戶供日後使用。不過，Cozy Bear不知道由什麼渠道得知這些休眠帳戶，或可能從地下討論區買到休眠帳戶，而且又以預設密碼或暴力破解密碼方式，順利登入帳戶，讓他們可以進行下一步的惡意活動。專家說黑客首先為帳戶申請 Microsoft Azure…

元宇宙虛擬現實的世代即將降臨，疫情催化下，各行企業必須採用新興科技，驅動數碼轉型及雲端部署，確保業務可持續性。加上混合辦公模式盛行，員工使用自己的裝置（BYOD）工作極爲普遍，令攻擊面大幅增加。企業必須提升整體應變能力，以應付多方面的網絡安全挑戰。香港電訊（HKT）擁有環球合作夥伴及本地專才，結合旗下的新世代網絡安全監控中心（Next-Generation Security Operations Center, NG SOC），提供全方位網絡安全服務方案及託管服務，協助企業在安全的網絡環境下迎接數碼轉型帶來的優勢，在瞬息萬變的營商環境下依然迎難而上，保持競爭力。 嶄新託管服務 網絡防禦至全面 當數碼轉型成爲企業的首要任務時，其衍生的網絡威脅如釣魚電郵、勒索軟件、端點攻擊等亦成為企業的最大挑戰。香港電訊商業客戶業務方案及市務主管吳家隆（Steve Ng）表示，「網絡安全環境日益嚴峻，企業亦面對網絡安全專才嚴重不足的局面。HKT 早已作出策略性部署，領先同儕成立 NG SOC，除了是本地領先的ICT數碼方案供應商，同時已發展為全方位網絡安全託管服務供應商（Managed Security Services Provider, MSSP），一直緊貼市場推出多元網絡安全方案，致力協助企業成功實現數碼轉型。」 HKT 的新世代網絡安全監控中心（NG SOC）擁有…

黑客集團為求成功攻擊目標會出盡法寶，Group-IB 安全研究員早前便捕捉到中國黑客集團 APT41 (又稱 Winnti)，在去年攻擊的 80 間機構中，至少成功入侵 13 間。採用的其中一個迂迴手法是將 Cobalt Strike 斬件為 154 份再加密，然後細水長流式導入目標電腦設備，非常有耐性。 Group-IB 安全研究員長時間追蹤中國國家級黑客集團 APT41 的活動，並指出過去一年是中國黑客異常活躍的一年。研究員說 APT41 主要的攻擊目標包括美國的軟件開發商及醫療機構、印度的航空公司、台灣政府機構、製造業及傳媒等，當中連國內的軟件代理亦不放過。而為了令攻擊可以更順利實行，APT41…

VNC (Virtual Network Computing) 是不少企業都會使用的工具，不過，在網絡安全層面卻沒有適當的保護，有專家便發現，超過 9,000 個面向互聯網的 VNC 竟沒有密碼保護，而且當中更有屬於製造業的 SCADA 系統，一旦被黑客控制，隨時可引發大災難。 VNC 是一套可讓一部電腦遙距控制另一部電腦操作的軟件，以往最大用途是可讓 IT 員工遙距替其他同事解決電腦問題，而在新冠疫情期間，由於員工無法回到公司工作，因此不少企業都要借助 VNC 讓員工工作。不過，網絡安全公司 Cyble 最近進行一次調查便發現，有超過 9,000…

數據洩露經常發生，幾乎每天都聽到相關事故。無論是甚麼行業、部門、地方，受害組織的規模從小型企業，至國際大企業都不能倖免。IBM 估計，2021 年美國公司的數據洩露平均成本為 424 萬美元，當涉及遙距工作，損失平均更增加了 107 萬美元。這篇文章將講解如何檢查自己的資料有否遭外洩及數據外洩的風險等問題。 企業遭遇數據外洩事故，其成本可包括以數百萬美元修復受損系統、執行網絡取證、改善防禦和支付法律費用，還涉及受數據洩露影響的個人客戶流失所致的損失。對於個人而言，損失可能就會變得個人化，損失或可能是工資、儲蓄和投資資金。 數據洩露是如何發生的？ 根據 IBM，網絡攻擊者闖入公司網絡的最常見的初始攻擊手段，多數是利用外洩的憑證，這種方法佔了 20%。這些憑據可能包括線上洩露的帳戶用戶名和密碼，可能在單獨的事故中被盜；或是從暴力攻擊獲得，例如以自動劇本嘗試不同的組合，來破解易於猜測的密碼。 其他潛在的攻擊方法包括： Magecart 攻擊：British Airways 和 Ticketmaster 等公司都曾遇過這些攻擊，即惡意代碼被悄悄加入電子支付頁面，以偷取信用卡資料。 在網站…

不少人為了提升瀏覽器的使用經驗，都會為瀏覽器安裝延伸工具，例如即時翻譯、屏幕截圖等。不過，黑客亦會利用這途徑竊取目標人物私隱資料，例如北韓黑客集團便透過魚叉式釣魚電郵攻擊鎖定攻擊目標，誘使對方打開惡意附件化身為延伸工具後，便可利用儲存的登入憑證隨意進入 Gmail 帳戶，神不知鬼不覺。 網絡安全公司 Volexity 為客戶提供威脅情報服務及電腦搜證服務，而在提供鑑證服務時，便經常在受感染電腦內發現這款被稱為 SharpTongue 的惡意軟件，安全專家指它與北韓黑客集團 Kimsuky 有關。SharpTongue 入侵工具的詳細分析早於 2021 年出現，這個黑客集團專門針對美國、歐洲及南韓的企業及機構，特別是該機關與調查北韓事務、核技術、國防武器，更會成為頭號入侵對象。 不過，Volexity 在近來的調查發現，背後的黑客集團正開始使用一款專門用來盜取電郵內容的惡意瀏覽器延伸工具 SHARPEXT，相比起 SharpTongue 以盜取帳戶登入資料為目的，SHARPEXT 在安裝到瀏覽器後，便會利用受害者儲存在瀏覽器內的雲端電郵帳戶登入 sessions，進入受害者的電郵信箱內搜集所需資料及下載有用的電郵附件。由於帳戶已在早前經驗證登入，因此電郵服務供應商難以發現帳戶正被入侵，從而增加偵測的難度。…

上兩集同大家介紹過 HKUSPACE 的資訊保安皇牌課程，以及香港科技專上書院舉辦的全港第一個 CyberSecurity 網絡保安（榮譽）理學士課程，回想以往未有這兩個課程前，要在網絡安全行業中突圍而出，考取國際資訊保安專業證書，便是成為資訊保安顧問的唯一出路。而在芸芸眾多的資訊保安專業認證書中，CISSP 可以說是 Best of the Best，因為它是資訊保安行業首個符合 ISO/IEC 17024 國際標準的認證。 CISSP 歷史悠久 CISSP 的全名是 Certified Information Systems…