不少行業都開始習慣遙距工作，因此，能確保員工安全地存取企業網內的資源，就顯得非常重要。究竟哪個國家走在最前，在推行安全遙距工作上做得最好？又有甚麼工具是遙距工作者必須使用的？ 想知最新科技新聞？立即免費訂閱 ！ Proxyrack 最近發布的研究，介紹可能影響遙距工作者連接性和安全性的因素，包括一個國家的人口中使用 VPN 的比例、總體上多少人有互聯網接入、每 10 萬人中的 5G 熱點數量，以及在國家網絡安全指數（NCSI）中的排名。Proxyrack 結合這些數字以及幸福指數和薪水等因素，發布了以國家為單位的遙距工作者安全評分。 以私隱和數據保留法律而聞名的瑞士，成為遙距工作者和他們的安全首選之地。其得分為 7.62 分，93.56％ 人口有互聯網接入，NCSI 得分為 76.62，每 10 萬人有…

網絡釣魚經常利用虛假的社交媒體資料，以及對目標人物作深入調查，從而製作出精細的攻擊活動，誘騙受害者點擊惡意連結，並將用戶名和密碼「雙手奉上」。究竟有甚麼方法可以避免墮入黑客的陷阱？正所謂知己知彼，首先我們要了解黑客背後的運作模式。 英國國家網絡安全中心（NCSC）早前發出警報指，網絡釣魚攻擊針對來自多個行業的個人和組織。網絡釣魚攻擊的最終目標，是誘使受害者點擊惡意連結，這些連結會導向看起來逼真的虛假登入頁面，受害者一旦輸入他們的登入憑據，等同向攻擊者直接提供自己帳戶的訪問權限。黑客透過利用這些帳戶，再接觸其他受害者。 許多惡意連結的頁面會設計成常用的雲端軟件和協作工具，如 OneDrive、Google Drive 和其他文件共享平台。其中一個案例是攻擊者與受害者進行 Zoom 通話，然後在通話期間於即時訊息發送了一個惡意 URL。他們甚至會在網絡釣魚過程中，創造出多個角色並操作，增加可信性。 魚叉式網絡釣魚攻擊的第一階段是做研究和準備。攻擊者透過社交媒體和網絡平台等的公開資料，盡可能了解目標人物背景，包括他們的職業和聯絡人，例如家人、朋友和同事。攻擊者通常會根據真實人物，設置虛假社交媒體和文件以令人信服，使之看起來像是與真實事件相關，實際上這些事件並不存在。 據 NCSC 指，這些活動是俄羅斯和伊朗的網絡攻擊者所為，兩地的攻擊活動雖不相關，但策略相同。無論攻擊者冒充何人，或使用甚麼誘餌，這些魚叉式網絡釣魚活動都有一個共同特徵，就是以個人電子郵件地址為目標。這種策略能用以繞過對公司賬戶和網絡安全控制，而公司或企業電郵也成為攻擊目標。 這些網絡釣魚活動背後另一關鍵要素，是攻擊者相當有耐性，他們會花時間與目標建立關係。通常他們不會立即潛入，或直接要求目標人物點擊惡意連結或打開惡意附件，反而會與目標慢慢建立信任。過程通常從一封看起來平平無奇的電郵開始，通常是經調查後發現目標很可能感興趣的內容，藉以吸引他們，然後他們之間來回發送電子郵件，有時持續很長時間，直到建立起受害者所需的信任，令他們中招。 惡意連結將偽裝成受害者感興趣的文檔或網站，如會議邀請或議程，將受害者導向至攻擊者控制的伺服器。當受害者在惡意連結中輸入用戶名和密碼時，這些資料將發送給攻擊者，他們便可利用受害者的電子郵件和其他帳戶作更多行動。據 NCSC 稱，這些行動包括從帳戶中竊取訊息和文件，以及監控受害者未來發送和接收的電子郵件和附件。 攻擊者還會利用受害者電子郵件帳戶的權限，獲取郵件列表數據和聯絡人列表，隨後用於後續活動：由其他人作進一步網絡釣魚攻擊。 NCSC 運營總監…

Microsoft 的 Windows CryptoAPI 系統架構，再次被發現安全漏洞，雖然漏洞早於去年 8 月被堵塞，不過科技公司 Akamai 指，網絡上還有大量設備存在漏洞，而他們更已發布利用該漏洞的概念驗證（PoC），如繼續放任漏洞存在，將可讓黑客透過偽冒證書安裝各種惡意軟件。 CryptoAPI 是 Microsoft 為 Windows 作業系統加入的密碼編譯功能，可以用於加密或解密資料，以及驗證下載軟件的證書與開發者的證書是否一致，杜絕偽冒行為。不過，英國國家安全機構去年便發現 Windows CryptoAPI 存在漏洞（CVE-2022-34689），可讓黑客偽造軟件訊息中的 MD5 值，將惡意軟件成功假扮成其他可信機構推出的軟件，又或以中間人攻擊攔截收發的訊息及進行解密。…

約 4.87 億 WhatsApp 帳戶的登記號碼，上星期六被黑客放上暗網發售，數據中更列明包含約 300 萬香港用家電話號碼，用家除了要留意是否 WhatsApp 被入侵之外，更重要是提高警覺，同時加強帳戶安全功能！ 網絡安全網站 Cybernews 上星期六發現，有黑客公然於暗網出售 WhatsApp 帳戶資料，數量更多達 4.87 億，雖然有關資料只得登記的電話號碼，但安全專家強調不容忽視，因為過往曾多次發生黑客僅使用電話號碼，便能奪取 WhatsApp 帳戶的成功個案，主要方法有二。 第一種方法是透過 SIM…

2022 年快將完結，回顧今年發生的網絡安全事故，可見已與 2021 年與遙距工作模式為主的情況大不同，正式踏入後疫情時代。網絡安全專家就為 2023 年作出 5 大預測，方向包括物聯網、私人裝置工作、國家級黑客、人工智能及安全意識培訓，業內人士不可不知。 物聯網（IoT） 根據市場調查公司 Gartner 預測，2023 年將有 430 億 IoT 裝置連線網絡，專家認為由於大部分 IoT 裝置的用途都不是用於儲存數據，因此生產商普遍低估其產品的網絡安全風險，證據就是不少裝置在出廠時依然採用低強度及統一帳戶登入資料，例如 admin…

無論問哪個老闆或管理層，都一定會大大聲話網絡安全是重中之重！不過一講到錢就傷感情，有調查報告顯示，在英國的科技公司中，只有 1/3 人事部願意在未來 12 個月出一萬英磅去聘請網絡安全員工，或進行安全培訓。相比起被勒索軟件攻擊後動輒數十萬美元起跳的贖金，看來大家聲稱重視網絡安全，純粹只是口號。 有關網絡安全的話題近年愈來愈普及，原因之一在於新冠疫情期間，企業被逼快速引入各種遙距工作工具及雲端服務，不過由於員工要離開公司內部網絡工作，因此企業管理者都會關注網絡安全問題，以保障公司機密不致外洩。 另一方面，勒索軟件集團亦在這段時間冒起，事關不少企業 IT 管理員仍未熟悉遙距工作工具及雲端應用服務的運作，安全設定出錯令公司中門大開，因此不少國際大企業都在這段期間失守，例如美國燃油公司 Colonial Pipeline、IT 服務管理公司 Kaseya 等等，不單影響巨大，黑客勒索的贖金亦高達數以百萬美元。 早前 IBM 一份調查報告顯示，企業一旦遭受勒索軟件攻擊，損失平均約 500 萬美元！由於勒索軟件集團經常向傳媒報料，因此近年有關網絡攻擊事件便常被廣泛報導，照理說，企業管理者應該會盡量避免成為受害者而加強網絡安全防禦力。 不過，多份調查報告均顯示，企業老闆或管理者不願出資去提升網絡安全，除了上述由科技培訓公司…

IT 界專才短缺，其中網絡安全人才更是需求甚殷。根據ISC2（國際信息系統安全認證聯盟）發布的一項最新研究，全球網絡安全人員的數量破紀錄，而亞太區的網絡安全勞動力增長速度雖然最快，但仍難以追上逾 216 萬人才的短缺。 ISC2 是一個由經過認證的網絡安全專業人士組成的全球非牟利機構，根據其 2022 年網絡安全勞動力研究結果，今年全球網絡安全專業人員的數量達到近 466 萬的創紀錄水平，當中 859,027 人位處亞太地區。ISC2 這項線上調查於今年 5 月至 6 月期間與 Forrester Research 合作進行，並對負責其工作場所網絡安全的…

LinkedIn宣布加強安全功能，阻止近年愈來愈多黑客透過平台詐騙。新加入的帳戶驗證機制，以及持續以先進人工智能技術辨識虛假帳戶，均可提高用家的安全意識及打擊假帳戶，讓用家用得放心。 近年不少黑客都透過職場社交平台 LinkedIn 犯案，原因有多方面。首先，由於用家都會樂於上載詳細資料到平台，以便讓潛在僱主找到自己，因此黑客可簡單地利用搜尋功能找到目標，同時亦可訂立更個人化的社交工程攻擊，讓目標上當。 其次是大部分用家都以尋找新工作機遇為目標，因此對於來自大公司的工作邀請，更易上當。詐騙活動近年經常發生，比較著名的有北韓黑客集團 Lazarus 以虛假的工作職位為名，引誘英國、印度及美國等地從事 IT 及媒體工作的職員，打開假扮成職位資料的文件，實際上卻在對方電腦上安裝木馬程式，以便黑客刺探目標公司的內部機密。其他手法還包括引誘對方到其他通訊軟件聯絡，或到訪釣魚網站，盜竊對方的個人及公司帳戶登入資料。 LinkedIn 為了打擊上述詐騙活動，宣布即日起陸續推出新的安全功能。其中之一的「About this profile」，可顯示登記用家是否已通過公司電郵或電話驗證，如黑客要假扮為某間企業員工，並在個人資料上顯示目標公司的電郵地址，便要先通過驗證，否則便不會獲得驗證標記。 新加入的人工智能技術，則會無間斷地偵測所有用家的帳戶使用情況，包括帳戶相片、登入平台後的活動內容，如發現可疑行為，便可能會凍結用家帳戶，或對其他用家發出警告。LinkedIn 強調相片辨識上毋須使用生物辨識技術，即用家毋須先通過人臉辨識，系統也可憑人工智能找出虛假相片。 新加設的 「About this profile」 功能。…

雖然近期 Google、Microsoft和Apple都各自在其平台推出了無密碼的驗證密鑰（passkey）功能，但大多數人仍然選擇使用自己的密碼。Google 最近開始透過FIDO 聯盟（Fast Identity Online Alliance）測試 Chrome 和 Android 中的驗證密鑰支援功能，而 FIDO 的密鑰是以智能手機傳感器進行生物識別身份驗證，以完成無密碼登入。Apple 於 6 月宣布 iOS 和 macOS 支援使用…

不論去銀行提款機撳錢，又或使用電腦登入帳戶，很多時也無法避免要使用鍵盤輸入密碼或登入資料。英國格拉斯哥大學研究團隊就指出，只要通過熱能監察鏡頭及AI人工智能系統，就可以憑鍵盤上殘留的熱量還原密碼，就算在一分鐘後偵測熱能，成功率都有 62%。系統甚至能 100% 破解 6 位數字的銀行提款機密碼，非常危險，以後輸入密碼，可能要作狀撳多幾個掣。 在鍵盤上讀取輸入密碼的橋段，曾經在大量電視劇集或電影內出現，不過大部分都是掃描留在輸入裝置上面的指紋，極少會偵測殘餘熱量。英國格拉斯哥大學電腦科學系研究員受到熱能監察鏡頭大跌價啟發，再結合人工智能及機器學習系統，設計出名為 ThermoSecure 的還原密碼方法。 研究員解釋，雖然一般人在鍵盤或 keypad 上輸入密碼，手指尖每次接觸表面材質的時間都很短，但無可避免地會將熱能傳送到表面上，因此只要在極短時間內利用熱能監察鏡頭拍攝鍵盤或 keypad 表面，便能取得曾輸入過的按掣資料及其順序。根據測試，在一分鐘時偵測熱能成功率有 62% ，如在 20 秒內，成功率更飊升至 86%。 研究員說，其實這種技術非常普通，要擷取資料並不困難。但還原密碼的難度在於連續輸入的時間極短，導致熱能變化差距微細，如果單靠人力去分析，除非密碼只得幾個字元，否則便極難做到，因此必須出動人工智能及機器學習，讓系統從大量數據中整理出人類輸入密碼及創建密碼的習慣、常用的密碼字元及組合等，即使是多字元的高強度密碼，也有可能成功還原。從研究員公布的數據可見，系統成功還原…