Clickjacking 攻擊技術，以往大多用喺呃廣告點擊方面，黑客會喺受害者嘅電腦或手機上安裝惡意軟件，暗中點擊網站上嘅廣告嚟賺取廣告費。不過，而家呃人已經唔似以前咁容易，因為互聯網廣告供應商都開發咗一啲偵測系統嚟捉鬼，只要點擊廣告嘅行為有可疑，例如重複點擊同一個廣告，又或瀏覽網頁時唔轉頁淨係 click 廣告等等，都會被視為無效點擊，令到黑客無咁易呃到廣告費及點擊率。 不過，正所謂「路不轉人轉」，呢個方法唔可行，黑客咪研究新方法囉，最新技術就係騎劫網民嘅點擊，即係明明你點呢個位，實際上就點咗其他地方，又或者係你開啟嘅連結同字面表述不符等。 Microsoft Research 最近就聯同香港中文大學、首爾國立大學等學術機構發表研究報告，透過開發出一款名為「Observer」嘅工具，去檢查 Alexa 頭 25 萬最多人瀏覽嘅網站，睇下當中有幾多個被黑客植入惡意騎劫程式碼。最後發現，當中有 613 個網站中招，每日總瀏覽量高達 4300 萬。研究人員又指出，喺被發現中招嘅網站中，有接近 36% 嘅點擊騎劫係用嚟賺取廣告費，其餘騎劫就用喺將網民轉去一啲詐騙網站。而為咗避免令網民起疑，黑客仲識得限制騎劫頻率添。 問題就搵咗出嚟，但點樣防範呢？答案係都要靠網站或瀏覽器製造商時刻偵測網站有無俾黑客植入惡意程式碼，同時間，亦可以喺網民真正點擊連結前，提供多啲連結資料俾網民，等佢哋更容易知道條 link…

睇子華嘅最鍾意嗌「回水」，不過冇一次得到正面回應。而最近有黑客被補之後，起返之前呃落嘅 110 萬 Bitcoin 贓款，當局決定將贓款歸還苦主，實現真正嘅回水！ 是咁的，英國警方花咗兩年時間調查，終於响 2017 年 9 月成功捉到 Grant West（aka Courvoisier），行動外號叫「Operation Draba」。 Grant West 被判監 10 年零 8…

欺詐之神話而家呃人，容易過 50 年前 4000 倍，唔好問點解，信就得。 《Catch Me if You Can》（港譯《捉智雙雄》）呢套經典犯罪電影相信好多人都睇過，喺戲內由里安納度狄卡比奧（Leonardo DiCaprio）飾演嘅欺詐犯 Frank Abagnale，的確真有其人，多次利用人類心理漏洞扮成法語教師、醫生、律師、機師，又涉及偽造支票，被 FBI 逮捕及服役後，轉而為 FBI 服務及開設安全顧問公司，以自己嘅豐富詐騙經驗為企業進行培訓。 資訊發達「商機」處處 Frank 最近接受傳媒訪問時首先就話，造成資料外洩嘅唔係黑客，製造漏洞嘅永遠係受害者自己或公司員工，例如唔轉密碼、將唔應該拎走嘅工作帶返屋企做、無及時更新系統檔案、無做清楚身份核對就信以為真……各式各樣嘅前設令到人類掉以輕心，以為黑客唔會攻擊自己。Frank…

Facebook 日前宣佈，已經向兩個應用程式開發者提出控告，指控佢哋用惡意軟件感染用家手機，然後假冒用家點擊廣告，同時瞞住用家以詐騙方式產生廣告點擊、騙取收入。而喺兩個開發者當中，有一個係來自香港。 兩個被 Facebook 控告嘅應用程式開發者分別係香港嘅 LionMobi 及新加坡嘅 JediMobi，Facebook 喺發布嘅新聞稿指兩個開發者喺 Google Play 提供含有惡意軟件嘅應用程式，以便於 Facebook 廣告上產生虛假點擊（click injection fraud），賺取收入。LionMobi 更於 Facebook 上刊登服務廣告，嚴重違反 Facebook…

香港電腦保安事故協調中心（HKCERT）剛啱發表咗香港第二季《香港保安觀察報告》，統計數字顯示釣魚電郵嘅個案，數字由第一季嘅 289 宗飊升至第二季嘅 1,306 宗，升幅高達三倍，其中有四成更係假冒 apple.com 及 icloud.com 嚟發送電郵。釣魚電郵之所以能夠歷久常新、講極都有人中招，都係因為黑客用咗唔少有創意嘅方法，去減低目標人物嘅警覺性。 最近網絡安全公司 ReversingLabs 又發現咗一個新趨勢，研究員指出以往釣魚電郵嘅欺詐方法，主要係透過引誘收件人點擊電郵入面嘅連結，然後去到一個冒牌網站例如 Apple、Amazon 或各大銀行等等，部分冒牌網站會整到同官網一樣提升可信性，務求令收件人輸入登入資料，黑客就可以盜用帳戶嚟購物或攞到信用卡資料。 千方百計呃人Login 不過，最近有黑客就改為喺附件到放置一個 PDF 檔案，電郵內容係提醒收件人嘅 Amazon 帳戶有一啲稅務費用，講明唔係收費通知，只係要求用戶登入檢查。由於喺美國…

如果失驚無神有日收到其中一個網站發出電郵叫你重設密碼，作為登記用戶，你第一時間會諗啲乜呢？到底呢封係釣魚電郵，定係網站洩漏咗用戶嘅帳戶資料至要重設呀？ 釣魚電郵係近年黑客最常利用嘅攻擊手段，所以一般人都對呢啲電郵提高警惕，唔會隨便點擊入面嘅連結。雖然網絡專家叫用家只要檢查清楚發信人嘅電郵地址係咪真確，又無暗中擺入假 link，就可以避免俾黑客暗算，但始終大家只係區區一介網民，有得揀都唔會亂 click 啦，何況仲要叫用家㩒掣重設密碼？ 講緊嘅係外國一個專門售賣二手鞋同古著嘅網站 StockX，因為犯咗一個輕微錯誤，搞到喺 Twitter 上俾網站會員瘋狂查詢。事緣最近網站升級，唔知係咪提升咗登入密碼嘅要求定係其他原因，所有登記會員都要重新設定密碼。StockX 為咗提醒用家呢件事，於是就發出電郵啦，但內容只係幾隻字交代網站升級，叫網民㩒掣重設密碼，然後就無其他資訊，試問網民又點會第一時間點擊？梗係要檢查下發出電郵嘅網絡、附帶嘅連結按掣有無古怪先啦。不過就算檢查完發現無錯，今時今日都要再做多次 fact check ，所以有網民就喺瀏覽器輸入官網網址，嘗試唔㩒個掣去睇下乜事，跟住就發現無法登入，一定要改密碼先。 謹慎嘅會員就懷疑到底點解要改密碼呢？係咪網站俾黑客入侵搞到會員資料外洩？所以就走去 Twitter 上 StockX 發生乜事，搞到 StockX 方面突然要回應好多人嘅查詢，澄清並無發生資料外洩，令到原本只係一件通知會員更新密碼嘅小事，升級成為關公事件。…

WhatsApp 固然多香港人用，但 Telegram 憑住各種私隱功能，近來亦大受用家歡迎。不過，大家要小心，事關近日接連出現關於 Telegram 及 WhatsApp 嘅負皮新聞，唔係講笑，睇吓係乜事先。 Android 版 Telegram 缺陷 日前網絡安全公司 Symantec 研究員指出，黑客可以利用 Media File Jacking 漏洞，於用戶開啟媒體檔案如相、錄音檔前，進行攔截。 受影響嘅…

呢個方法唔得，咪試下另一個方法囉！呢句說話大家都講過唔少，同時間亦係黑客高手嘅處世態度，所以先可以創造咁多攻擊方法出嚟。最近有網絡安全研究員發現，黑客又喺釣魚電郵攻擊手法上加多重掩飾方法，通過 QR Code 將目標人物帶離公司嘅防禦系統，再利用心理盲點令對方輸入公司帳戶登入資料，雖然唔係百分百成功，但都係果句，試下無壞丫。 今次被研究員發現嘅 QRishing 攻擊手法，針對嘅攻擊對象係法國公司 Cofense 嘅僱客。攻擊首先由一般嘅釣魚電郵開始，目標人物會收到一封標題為 Review Important Document 嘅電郵，叫佢哋利用附件嘅 QR Code 去讀取一份重要嘅文件。如果目標人物用手機 scanner 跟住照做，黑客就會引導佢哋去到一個虛假嘅 SharePoint 登入網站，由於呢個網站係企業常用嘅內部管理系統，所以好易有目標上當，跟手輸入埋…

具備 NFC 功能嘅 Android 手機要小心喇，日本早稻田大學研究員成功研發出 Tap’n Ghost 攻擊，瞄準 NFC 漏洞再結合電容干擾技術造成雙重攻擊，奪取手機嘅控制權，咁樣攻擊真係好難防避喎！ NFC 無線近場交流技術已經有好多種應用方法，例如用嚟電子付款、交換檔案等等，所以好多人都習慣長期啟動呢個功能。不過，早稻田大學嘅研究員喺 5 月舉辦嘅 2019 IEEE Symposium on Security and…

一般大眾已經能夠輕鬆應付詐騙電郵及短訊，但係唔知點解，响 Google Calendar 見到 Spam 竟然又會「鬼掩眼」，立亂打開嚟睇，傻更更中招。 Kaspersky 最近發表文章，指有不法份子利用 Google 工具如 Calendar、Photos、Drive 等嚟發動攻擊，當中以 Calendar 最多人用，因此亦最多人中招。 黑客採用嘅方法非常簡單，就係利用 Google Calendar 預設嘅默認功能，識得自動添加日曆邀請和通知，如是者，只要黑客擁有對方嘅電郵地址，就可以向目標發送包含網絡釣魚嘅惡意連結。由於 Calendar 預設值係自動添加，所以就會喺用家嘅日曆上出現呢個邀請通知。可能用家較少遇過呢種攻擊，所以會戇居居開咗，之後又傻更更送上信用卡及個人資料。…