黑客成日都鍾意勒索屈錢，假扮或者真係鎖咗你部電腦嘅資料，然後叫你交贖金，呢啲我哋已經報導過無數次，唔係乜嘢新鮮事，但原來唔屈你錢，就算話有錢俾你都會出事，正如警訊都有教便宜莫貪，以下呢個就係假送錢但真呃人個案。 Andy係個兼職設計師，開咗個網站接設計生意，不過一直都未發過市，有一日終於有客搵上門，Dave話想搵人幫手公司設計個logo，唔知Andy幫唔幫到手，咁話晒終於有第一單生意，Andy點會唔接，於是傾好咗用3000蚊做設計費，Andy好快交出初稿，Dave亦讚Andy個設計夠晒正，公司一定收貨。 但係「問題」嚟喇，所有涉及今次設計嘅素材喺晒顧問K先生度，咁啱呢Dave就爭K先生少少錢，銀碼就唔係多，但係因為某些技術問題，搞來搞去佢都過唔到錢俾K先生，就問Andy可唔可以幫個忙：我俾4500蚊你，你幫我過1400蚊俾K先生，餘下嘅3000蚊就係設計費，仲有100蚊小費可以袋，當係多謝Andy幫呢個忙嘅小小酬勞，咁幫到人又有錢收，Andy當然一口應承，咁就出事喇！ 當Andy收晒錢仲過埋1400蚊俾K先生，幾個星期後，先發現Dave俾佢嘅4500蚊被凍結，原因係呢啲錢係嚟自一張被盜信用卡，而Andy又無得取消嗰1400蚊轉帳，眼白白俾人呃咗！ 以上只係其中一個例子，其實仲有好多人遇過類似招數，最常見係有陌生人，無端端話唔小心過多咗錢俾你，可唔可以做好心過返俾佢，大家都估到個結果係點……其實只要無視呢類請求，然後打俾自己間銀行備案，就唔會咁易出事啦！ 資料來源：https://bit.ly/2E4JCcb

美國因為各種政治、經濟問題，先後將多國列入經濟制裁名單，除咗禁止採購對方嘅產品，亦向對方出口美國嘅產品加征關稅。不過，最近美國 FBI 一位網絡安全部門發言人 Richard Jacobs 就指出，制裁令嘅影響就係導致針對勒索或詐騙嘅網絡攻擊大增，目的就係填補因經濟制裁引致嘅損失，再支持黑客提升武器，形成不良嘅惡性循環。 Jacobs指出，調查顯示發動攻擊嘅黑客，大部分同被制裁國家有密切關係，雖然呢啲黑客主要來自四大國家，包括俄羅斯、伊朗、北韓及中國，但情報顯示正有擴大跡象，例如南美、中東及東南亞國家。被制裁國出動國家級黑客向美國企業進行各種攻擊，雖然仲有盜取科技、商業秘密為目的嘅個案，但針對金錢嘅攻擊就特別多，黑客會將所得嘅贖金及詐騙返嚟嘅金錢填補國庫，令被制裁國有錢可用，同時國家亦會支援黑客升級裝備，以發動更精密嘅攻擊。佢以最近一宗 9.5 千萬美元嘅轉帳詐騙為例，雖然大家都會恥笑受害人點可能靠一個電話及電郵，就相信對方真係上司而轉錢，但 Jacobs 話實際情況係呢啲騙案通常經過四個步驟以上，去搏取對方信任，稍為留神都有可能上當。 對於懷疑被騙或勒索嘅公司，Jacobs 話如果可以喺 48 小時內向 FBI 求助，都仲有機會制止轉帳或攞得返啲錢，但一過咗呢個大限，大家就唔使旨意仲可以攞得返。好似上述嘅個案，FBI 就幫受害公司截停咗 7 千萬美元，大大減少到損失。銀行業方面亦對情況表示擔憂，因為每次成功攻擊，造成嘅金錢損失高達一億美元，足以令被制裁國投入更多資源去扶植黑客為國家搵錢。…

聽到 Fancy Bear 呢個咁可愛嘅名，唔知仲會以為係迪迪尼之類嘅卡通角色。查實佢係一班來自俄羅斯嘅 APT 黑客組織，而且仲有證據顯示同俄羅斯軍方有千絲萬縷嘅關係，可以話係惡名遠播。 呢排有關佢哋嘅新聞特別多，首先係 Microsoft 揭發佢哋喺 10 月初向全球各地嘅運動組織及反禁藥組織，發動咗多項攻擊，手法包括 spear phishing、利用 IoT 已存漏洞、盜取密碼等等，目的係為咗恐嚇大家唔好禁止俄羅斯運動員出席 2020 東京奧運會。 同時間，又有一班自稱係 Fancy Bear…

上次邀請了網絡安全保險專家盧子頴，講解這類保險的保障範圍，以及哪一類企業應該盡快考慮投保。不過，原來並非想買就可以買到，因為保險公司會先評估投保人有沒有做足安全措施，除了影響投保成功投保率，更會左右保費。 三大因素影響投保 網絡安全保險供應商智咨詢集團執行董事盧子頴指出，雖然遇到的個案不多，但間中也會有投保人以為只要有錢就可投保，但其實保險公司也需要核保，評估投保人受到網絡攻擊的風險。「如果店鋪連門鎖也沒有，試問怎會有保險公司受保？」他指出保險公司首先會檢查企業現有的網絡安全措施，例如有沒有裝設防火牆、防毒軟件、登入權限管理、升級硬件及軟件韌體的政策、個人私隱保管政策、遙距登入管制等等，「如果企業完全沒有做，保險公司會建議對方先做好基本的網絡安全措施，之後才考慮投保，因為即使轉投其他保險公司，相信也不會成功。」盧子頴補充說，其實投保不能賺錢，只能減少損失，所以如果站在預防被攻擊的立場，企業都應先做好防禦工作。 除了檢查安全措施，盧子頴表示保險公司還會考慮企業的業務性質，如屬於高風險行業，例如涉及加密貨幣交易，又或處理的個人私隱數據太多，就並非所有保險公司就會受保。另外，一些規模較細的保險公司，如投保企業每年的生意額太高，也可能因為承受不到風險而無法接單，這些因素就與投保企業無關。 上述的考慮因素，不單只會左右投保成功率，同時也會影響保費，「因為全部同風險有關，簡單來說，風險愈高的生意，保險公司收取的保費就會愈高。」盧子頴解釋跟傳統保險服務一樣，保費高低還要因應保額、墊底費及保障內容計算，如前文提及的增值保障如勒索贖金、外判商失誤等，便會提高投保費用。記者問如企業內擁有考獲 CISSP、CEH 等證書的網絡安全專家，安全度理應較高，是否可成為減保費的因素？他說理論上是，但同時間代表企業的業務複雜性較高，而且亦可能有較多監管要求，所以保費最終也要視乎實際情況而定。 「雖然保險費用很難有參考價格，但視乎選購的保險計劃，保費可低至每年五六千元。」盧子頴建議企業管理者不用想得太多，如認為業務受到攻擊的風險頗高，應邀請保險公司進行評估，之後再考慮是否購買也不遲。

網絡安全事故頻頻發生，香港企業當然不可能獨善其身，特別是雲技術興起，重要數據或敏感資料未必會只儲存在內部伺服器，被攻擊的層面自然大增。為了減低風險，現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過，面對層出不窮的攻擊手法及難以防備的人為疏忽，企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說，這類保險概念在香港屬起步階段，但在歐洲地區卻歷史悠久，遠在上世紀七十年代已有相關保險，因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟，不單只保障企業，個人一樣受保，例如經常拿著電腦到不同地方工作的自由工作者，保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險，主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇，但網絡安全保險就相對陌生。盧子頴解析，網絡安全保障範疇不難理解，當發生黑客入侵或資料外洩，善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障，主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後，企業必須聘請專家去證明這是否一宗網絡安全事故，進行調查及鑑證，分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報，便有可能需向法律顧問諮詢意。除此之外，為免外洩的客戶資料被黑客用作申請信用卡或借貸，企業或有需要採用信貸監控服務，而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業，這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額，例如過往的交易紀錄等，但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞，又或受到勒索軟件攻擊，待專家取證後，企業便可以修復系統及復原數據，涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱，導致客戶在名譽或金錢上出現損失，對方便有可能入禀追討賠償。 除了上述四項保障，盧子頴說因應市場需求，部分保險公司還會提供一些額外的保障，例如贖金索償，當企業遭受勒索軟件攻擊，有需要繳付贖金以取回解鎖方法，這些贖金便會獲得賠償。「另外，近年因外判商失誤造成損失的個案大增，所以亦有保險公司提供這類保障，例如一些業務涉及電子交易的企業，會委托外判商提供及管理網上交易平台，如證實導致資料外洩的失誤是出在對方身上，投保人便可獲得保障，而保險公司則保留向外判商追討損失的權利。」 事實上，網絡安全保險的保障範圍可以很全面，不過，盧子頴強調與其他保險產品一樣，投保的概念並非為了賺錢，而是減少損失。不過，是否所有企業也需要投保？他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information（PII），而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料？如需管有這些敏感資料，受黑客攻擊的風險便會增加，企業管理者應認真考慮投保，特別是全球各地都開始為保障個人私隱立法，歐盟通過的 GDPR…

如果大家好記性，都記得舊年香港爆過單遺失選民登記冊嘅新聞，最精采 係上個月選委會開記招提返呢件事，竟然話調查完都判斷唔到點解會遺失……any肥，我只係想講，香港地方咁細，唔見咗選民登記冊都牽連甚廣，換轉係美國，當然就更大件事，而且分分鐘影響埋選舉結果！ 路透社最近就出咗篇獨家文章，話原來美國政府內部已經做緊嘢，一個月前推出咗新計劃，希望可以喺 2020 年總統大選前，提升選舉系統嘅防禦能力。上屆選舉時，已經有俄羅斯黑客入侵選民驗證系統，從中偷走資料，但大家擔心嘅係上次只係試驗，今次大選行動會升級，黑客唔滿足於拎資料咁簡單，而係透過操控及竄改資料嚟決定選舉結果，咁就更加大件事！ 華府網絡安全和基礎設施安全局（CISA）局長 Christopher Krebs 接受訪問時就話，近幾個月各州縣政府部門先後被勒索軟件攻陷，部分檔案被鎖住唔能夠打開，要用虛擬貨幣交贖金先開得返，而好有可能下年大選都有機會中招，俾黑客用同樣招數鎖住選民資料。 目前 CISA 已經同所有州政府聯繫，一方面提供教材，等佢哋知點樣應對呢類攻擊，另一方面就落手落腳幫佢哋做齊晒各方面嘅測試，睇下有冇乜嘢漏洞，及早作出修補。雖然目前仲未有指引，如果州政府中招後應唔應該俾贖金，但 CISA 就強調做好預防及備份措施，就係希望唔會出現要俾贖金嘅呢一日。 當然啦，唔想俾黑客勒索，最有效方法就係定時備份，有州政府選舉工作人員就話，自從 2016 年開始，已明顯加強咗網絡保安，而且不時都會備份選民資料以防萬一，但係到底要幾耐備份一次先妥當？暫時都未有清晰指引喇！ 資料來源：https://reut.rs/2ZwpYxK

電競熱潮直捲全球，唔少後生仔都夢想成為電競選手，可以靠打機搵食。不過，真正嘅電競手一啲都唔易做，日日都要打十個鐘頭機，仲要操體能，所以連香港跳高隊代表楊文蔚都話：「電競同田徑一樣咁難行，跨得過你就係運動員。」 啱㗎，所以大部分人打機其實志在 kill time，邊會覺得可以靠佢搵食。之不過，有啲無 game 品嘅人明明唔夠人打，但又唔肯認輸，於是就想靠邪道威威，上網搜尋有無秘技或程式可以修改遊戲，情況就等於運動員食禁藥一樣。 最識得利用人性弱點嘅黑客又點會放過機會？早前網絡安全公司 Cyren 專家就發現，網上有一個連線射擊遊戲《Fortinite》嘅遊戲修改程式 Syrk，聲稱只要下載及執行 SydneyFortniteHacks.exe，就可以提升玩家嘅開槍準繩度，但實際上 Syrk 係一隻勒索軟件。當用家執行檔案後，就會發現電腦內的圖像、影片、文件同埋音樂檔案全部被上鎖，同時畫面會顯示一段「你已經被綁架」嘅訊息及聯絡電郵地址，要中招者用電郵聯絡，商討俾幾多同點樣俾贖金。為咗加強真實感，黑客仲喺畫面上加咗個計時器，指兩個鐘內唔採取行動，所有檔案就會被刪除。 專家指出 Syrk 其實係以一隻開源勒索軟件 Hidden-Cry 為基礎修改而成，佢嘅源碼喺上年放咗喺 GitHub 俾人下載使用，所以話呢個世界真係乜都會有人分享，只要有心機喺網上面搵就得。幸運地，專家發現用嚟解鎖嘅工具同時放埋喺受害者嘅電腦入面，只要打開一個叫做…

勒索軟件肆虐，美國唔少行政機關都飽受困擾，中招者糾纏於是否交付贖金嘅決定之中，正宗俾又死唔俾又死。而勒索軟件對於黑客嚟講，絕對係一件成本低、回報大嘅攻擊，加上暗網有大量勒索軟件發售，只要略懂電腦技術就可以買嚟用，然後坐喺度等收錢。 以往勒索軟件主要發生於電腦作業系統之上，好似 Windows、Linux 系統等等，不過網絡安全公司 Check Point 研究員就發現，Canon 相機嘅 PTP （Picture Transfer Protocol）數碼圖片傳輸協定存在 6 個漏洞，其中 5 個係關於 Buffer Overflow，最後一個就係暗中升級韌體。通過呢幾個漏洞，黑客可以透過 USB 或…

NotPetya 原本要攻擊的目標是烏克蘭，但過程中卻將全球最大運輸集團馬士基拖下水，而透過馬士基又再波及其他人，它造成的總損失估計達到 100 億美元。 Oleksii Yasinsky 原先以為，周二那天辦公室應該沒有甚麼特別事會發生。那是烏克蘭法定假日憲法日的前一天，大部分同事不是興高采烈計劃度假，就是已經安心去了度假。不過，Yasinsky 卻沒有這樣的心情。過去一年，他一直是 Information Systems Security Partners（ISSP）的網絡實驗室負責人，這崗位的職責是不允許有死機出現。實際上，自從 2015 年底俄羅斯發動第一波網絡攻擊以來，他休假的時間加起來才只有一個星期。 因此，那天早上當 Yasinsky 接到一通電話後，他並沒有感到特別慌張。電話是由 ISSP 總監打過來的，說烏克蘭第二大銀行 Oschadbank…

NotPetya 的名字，源自於勒索軟件 Petya 而來，它是 2016 年初浮出水面的一段惡意程式代碼，被感染的受害者必須交出贖金，才能拿到解鎖檔案的密鑰。不過，NotPetya 的勒索要求只是幌子：它的目標，純粹是搞破壞。 雖然發動網絡攻擊的目標是烏克蘭，但其影響範圍卻是全世界。前美國國土安全部顧問 Tom Bossert 說：「這就好比用原子彈來取得一次小型的戰術勝利。」 無論按照哪一種定義方式，NotPetya 的釋放都是一種網絡戰爭行為，其爆炸性之大，甚至可能超出創建者的意圖。在起初出現的數小時內，蠕蟲就擴散到烏克蘭以外，受重創的公司包括馬士基、製藥巨頭默克、聯邦快遞歐洲分支公司 TNT Express、法國建築公司 Saint-Gobain、食品製造商Mondelēz 以及製造商 Reckitt Benckiser 等，每間公司都遭受…