比 Spotify 更具彈性，真係好方便！ 黑客盜取個人資訊後，要甩手套現，以往所需時間以星期為單位。Trend Micro 最近發現黑客將盜取資料雲端化成 Cloud of Log，加快交易流程之餘，更提供先進分析與篩選工具，方便網絡罪犯揀選訊息日後犯案，令人防不勝防。 雲端化為罪犯換來速度。以往黑客盜取資料、轉賣並犯案的過程，以星期為單位。雲端化後大大縮減至以天、甚至小時為單位，研究團隊以 Garage Sale 與 Online Shopping 比喻雲端化的高效率。「黑客的交易時間等於企業的應變時間，以往企業有平均十天去發現資料被竊取、評估損失、擬定對策、通知受影響客戶與執法機構等，黑客將贓物雲端化令防守難度劇增。」 數據化年代，Ransomware、Botnets、Keylogger 等竊取個人資料的攻擊變成主流，黑客每次盜取的訊息量劇增，掌握的個人資訊亦以 TB 計，偷竊資訊內容涵蓋…

早兩日，其中一個惡名昭彰的勒索軟件集團 Maze 在自家網站上貼出公告，表示 Maze Team Project 正式退市，打後如有任何以 Maze 品牌，或聲稱與 Maze 有合作關係的惡意攻擊，就必定屬於虛假訊息或詐騙。臨別在即，Maze 稍稍在貼文上解釋為何有 Maze Team Project 出現，合理與否？就要睇過至知。 Maze 勒索集團之所以出名，除了其勒索軟件的破壞力強及難以被破解，更因為他們是雙重勒索 (double extortion)…

Instagram和Twitter等社交媒體基本上人人都用，就在大家沉醉於網絡世界之際，詐騙集團亦蠢蠢欲動，不斷侍機找機會騙取用戶資料，例如指用戶違反版權，或者向用戶發出身份認證的藍剔等等，Bleeping Computer聯同 MalwareHunterTeam， 披露在以上兩個程式出現的最新詐騙手法，讓大家加以提防： 1. 假認證釣魚網頁 近期最常見的釣魚網頁是要求用戶輸入包括密碼等登入資料，這類型的詐騙在 Instagram、Twitter 及 Tiktok 均有出現，而網頁中多有 “verify” 和 “badge” 等字眼，所以要當心要求身份認證的連結。 2. 虛假違反版權指控網頁 這類網頁多數「指控」Instagram及Twitter的用戶的貼文違反版權問題，並稱24小時內將會鎖定帳戶，要求他們登入指定網址，以提出版權索償異議。這些釣魚網站會展示用戶的個人頭像，令其像真度提高，在網站內要求用戶輸入電郵資料及密碼，藉以取得受害人電郵帳戶控制權及其他聯絡人的資料。 如果不慎誤中釣魚陷阱並曾輸入個人帳戶資料，切記立即登入自己的帳戶並更改密碼，並且開啟多重認證的功能，以防騙徒進一步盜取其他帳戶資料。 資料來源：https://bit.ly/368VdGl

為咗唔使上堂，你可以去到幾盡呢？美國佛羅里達州一間社區高校，喺新學年開始無耐，遭受廿幾次網絡攻擊，當中至少有 8 次，竟然出自同校一位學生之手，呢個攻擊名為低軌道離子炮，淨係聽個名都俾佢嚇親啦！ 低軌道離子炮 (Low Orbit Ion Cannon, LOIC) 聽落好似好勁，但其實真身只係一款開源網絡測試工具，不過由於可以製造大量隨機網站訪問，所以確實係 DDoS 攻擊好幫手。好似大名鼎鼎嘅黑客集團 Anonymous 就係十幾年前利用 LOIC 攻擊 Visa、Master 及 PayPal 等金融機構。…

釣魚攻擊（Phishing attack），絕對係成本低、回報高嘅熱門網絡攻擊。雖然釣魚攻擊仲可以分為魚叉式（Spear Phishing）及商業詐騙（Business Email Compromise）等，但由於係針對指定對象攻擊，黑客要投入更多時間去理解偽裝角色同受害人的關係，所以無釣魚攻擊咁普遍。一般嚟講，無差別攻擊主要係用作盜取帳戶登入資料，例如 Microsoft Office、PayPal 等等，黑客首先會偽造相關網站登入版面，再用電郵將連結漁翁撒網式寄出去，等待獵物上釣。一旦收件人誤信連結內容為真，就可能到偽造網站親手輸入自己嘅登入資料，黑客就可以入侵相關帳戶。受害人不單止可能遭受信用卡盜用損失，如果係公司帳戶資料，更會連累公司機密資料外洩添！ 為咗研究釣魚攻擊喺今年頭半年嘅特色，網絡安全公司 IRONSCALES 研究員就對相關嘅偽造登入網頁進行調查，結果發現頭半年有超過 5 萬個假網站，冒充超過 200 個全球知名品牌。其中被冒認得最多嘅 5 個品牌，分別係 PayPal、Microsoft、Facebook、eBay 同埋 Amazon，而…

作為一名 CISO（Chief Information Security Officer），亦即係資訊科技安全主管，有住同 CEO、CFO 睇齊舉足輕重嘅地位，就知一啲都唔嘢少，近年網絡危機層出不窮，要保障企業網絡安全，作為阿頭就必須要與時並進，有專家就提醒一班 CISO，未來要更加謹慎防範廣告欺詐，呢種將會愈趨普遍嘅網絡罪行。 隨住數碼營銷日漸興起，企業紛紛將廣告由實體轉移到網上，喺新冠肺炎疫情之下就更加明顯，以致到廣告欺詐呢類網絡罪行被帶動，有估計直到 2023 年，企業用嚟應對廣告欺詐嘅成本，可能達到 1 億美金，好得人驚呢。 廣告欺詐（Ad fraud）亦都叫做無效流量（Invalid Traffic），唔同點擊欺詐，廣告欺詐係指黑客透過開設虛假網站廣告，藉住曝光、點擊、轉換率等嘅指標嚟賺錢。通常就個啲社交媒體或者網站上面嘅橫幅廣告、或者應用程式見到嘅廣告，呃啲假流量嚟賺錢。 而佢最令資訊科技安全主管頭痕嘅地方，係廣告欺詐可以話係最容易，而且最好搵嘅網絡詐騙方法，仲好搵過信用卡、比特幣同埋銀行詐騙。根據一份有關 2020 年全球 CIO…

香港人而家已經習慣電子支付，尤其係疫情下大家為咗避免用實體貨幣購物，更加速咗呢種付費方式。就算用信用卡俾錢，都傾向非接觸式付款，呢種方法嘅好處係設有金額上限，用嚟買啲幾百蚊貨仔嘅嘢，完全唔需要簽名認證，非常方便。不過，一班瑞士學者就發現呢種方法存在漏洞，可以突破金額限制進行交易，對卡主毫無保障！ 正常嘅非接觸式支付過程，係 POS 收費系統發出收費指示後，卡主人拍卡進行付費，如果金額超過上限，就有需要額外輸入密碼去確認，不過專家就喺交換訊息過程中做手腳，將毋須額外密碼驗證嘅訊息傳返俾 POS 系統，成功突破盲腸。不過，要達成呢種攻擊手段，專家話要預備四種材料，首先要有兩部 Android 手機，開發小組研製嘅應用程式同埋一張非接觸式 VISA 信用卡。兩部智能手機要分別安裝 Android 特製程式，令佢哋分別模擬 POS 收費系統及信用卡，而呢兩個特製應用程式係唔需要破解手機先至可以安裝，專家話佢哋已成功喺 Google Pixel 及華為手機上試驗過，同埋亦喺真實店鋪內成功通過測試添！ 至於運作過程又係點呢？首先扮演 POS 系統嘅…

上月多個名人如 Bill Gates、Elon Musk 嘅 Twitter 帳戶被黑客入侵，於平台騙取 Bitcoin，成功騙取約11萬美元 Bitcoin。的而且確，奪取到原帳戶再向受害人身邊嘅親友落手，成功率會較高，但複製帳戶呢種極度簡單嘅方法，都會有人上釣。曾因利用社交工程（Social Engineering）手法進行詐騙而入獄，後來改邪歸正嘅網絡安全專家 Jake Moore 就親身示範，只須複製目標人物嘅帳戶，都可令對方嘅朋友信以為真，乖乖過數！ Jake 原本嘅 Instagram 帳戶有 1,611 個 posts，同時有…

Norsk Hydro ASA，全球最大既鋁金屬生產商，市值高於 550 億美元，業務與廠房遍及全球 50 個國家，員工數目超過 35,000。2019 年 3 月 19 日奧斯陸零晨，這家挪威企業被黑客入侵，匈牙利營運中心職員察覺後，馬上按照保安程序將整個企業斷網， 但黑客係短短兩個鐘，已經「綁架」咗 Hydro 500 個 Server 加 2,700…

日本攝影器材巨商 Canon 被爆遭知名勒索軟件 Maze 襲擊，導致 Canon email、Microsoft Team、美國官網等內部應用程式紛紛受影響，傳聞更指超 10TB 用戶資料被竊取。 直至截稿時間，Canon 美國官網仍無法進入 據 Bleeping Computer 爆料，Canon 美國分公司一員工昨日收到公司 IT 部通知，指公司多個內部系統及 20…