以往黑客入侵企業電腦系統，其中一個方法是以釣魚電郵令對方員工打開內藏惡意軟件的檔案，不過網絡安全公司 Palo Alto Networks Unit 42 安全團隊就發現，近來黑客改變策略，轉而以社交工程攻擊，誘使員工安裝合法的遙距登入軟件，成效更顯著。 Unit 42 專家將這波攻擊稱為 Luna Moth，稱這類型攻擊雖然同樣以釣魚電郵作為起點，但卻與早前曾報導的 BazarLoader 木馬軟件陷阱有很大分別，企業必須及早向員工發出警告。 專家說黑客首先會向目標企業員工發出電郵，附件的 PDF 檔案指其公司帳戶有一筆可疑的信用卡簽帳，必須致電客戶服務中心確認。黑客不會將簽帳金額訂高於 1,000 美元以上，避免收件者向上級匯報或令對方產生懷疑，而是直接致電客服解決。此外，黑客會經常改變電郵主題及附件名稱，減低被電郵防護工具攔截的機會。 當員工信以為真，便會致電電郵中的客戶服務部電話，並向客服上報信內的…

經過 FBI 十年通緝，惡名昭彰的網絡犯罪集團 JabberZeus 首腦之一 Vyacheslav Igorevich Penchukov（網名Tank），上月在瑞士日內瓦被捕，正等候被引渡到美國。美國當局指其犯有敲詐勒索、銀行欺詐及身份盜竊等罪名，盜取銀行賬戶中數百萬美元。有指由於 Tank 與烏克蘭前總統亞努科維奇家族關係密切，令他一直能逍遙法外。 身為烏克蘭人、年約 40 歲的 Tank 擁有另一網名「father」，來自烏克蘭東部的頓涅茨克——一個傳統上屬親俄的地區，曾是當地一個著名的 DJ。 Tank 在家鄉時曾以「DJ Slava Rich」之名擔任…

DDoS 攻擊主要價值在於可癱瘓目標企業的業務運作或網上應用服務，美國網絡安全機構 CISA 及執法機關 FBI 聯合發出警告，因應 DDoS 攻擊技術日益提升，呼籲企業應加強防禦力，減少遭受損失。而當中最大的原因，都是跟 IoT（物聯網）裝置的脆弱性有關。 黑客會使用 DDoS 攻擊向企業勒索贖金，否則將向對方的網站或雲端應用服務發動攻擊，令客戶無法訪問網站，員工無法遙距工作，直接打擊企業營運。DDoS 攻擊一般須使用大量殭屍電腦設備，但隨著黑客掌握放大技術，即使只控制較少量 botnet 也能成功，例如今年 6 月 Cloudflare 為客戶攔截的 Mantis，攻擊期間的無效訪問要求便高達…

以色列網絡安全公司KELA發表最新調查報告，指專門出售入侵企業帳戶權限的黑客活動，在 2022 年第三季的數字雖然保持相若，但累計要求的報酬卻大幅上升至 400 萬美元，而且從各種網絡攻擊的數據可見，這些入侵權限最常被利用於勒索軟件攻擊之上，企業管理者應盡快堵塞入侵門路。 無論是勒索軟件或資料盜竊活動，在進行網絡攻擊前，必須先進入企業的內部網絡，例如勒索軟件集團 LockBit，便經常在暗網或地下討論區上刊登廣告，邀請擁有企業帳戶權限的人合作，由對方提供入侵門路，LockBit 則負責入侵、執行勒索軟件、與受害公司商議贖金及收款等工作，事後便會與帳戶權限提供者對分贖金。 出售企業帳戶權限拆家 ( Initial Access Brokers, IAB )，本身也是網絡犯罪世界中其中一門專業，KELA 網絡安全專家指出，他們或許因為缺乏入侵企業內部網絡的技能，又或不願冒上更大被捕風險，因此在取得企業帳戶登入權限，便選擇退居幕後，僅以出售帳戶權限謀利。 而在 KELA 發表的 2022…

無論問哪個老闆或管理層，都一定會大大聲話網絡安全是重中之重！不過一講到錢就傷感情，有調查報告顯示，在英國的科技公司中，只有 1/3 人事部願意在未來 12 個月出一萬英磅去聘請網絡安全員工，或進行安全培訓。相比起被勒索軟件攻擊後動輒數十萬美元起跳的贖金，看來大家聲稱重視網絡安全，純粹只是口號。 有關網絡安全的話題近年愈來愈普及，原因之一在於新冠疫情期間，企業被逼快速引入各種遙距工作工具及雲端服務，不過由於員工要離開公司內部網絡工作，因此企業管理者都會關注網絡安全問題，以保障公司機密不致外洩。 另一方面，勒索軟件集團亦在這段時間冒起，事關不少企業 IT 管理員仍未熟悉遙距工作工具及雲端應用服務的運作，安全設定出錯令公司中門大開，因此不少國際大企業都在這段期間失守，例如美國燃油公司 Colonial Pipeline、IT 服務管理公司 Kaseya 等等，不單影響巨大，黑客勒索的贖金亦高達數以百萬美元。 早前 IBM 一份調查報告顯示，企業一旦遭受勒索軟件攻擊，損失平均約 500 萬美元！由於勒索軟件集團經常向傳媒報料，因此近年有關網絡攻擊事件便常被廣泛報導，照理說，企業管理者應該會盡量避免成為受害者而加強網絡安全防禦力。 不過，多份調查報告均顯示，企業老闆或管理者不願出資去提升網絡安全，除了上述由科技培訓公司…

雖然未必每個人都會去「甜相」網站，不過這次由 Cyble 專家發現的網絡攻擊，就借助了 Microsoft Windows 一種下載檔案時的慣常做法，令用家以為只是下載一張無傷大雅的圖檔，結果卻誤裝勒索軟件，而且被加工的檔案幾乎無法還原，就算無交贖金，受害者都一樣頭痛。 圖檔本身其實都有一定危險程度，例如小編以往就曾報道有信用卡資料盜竊集團 Magecart，將 card skimmer 惡意程式碼隱藏在網站圖標 favicon 內，只要有網站用來裝飾，日後網站的客戶如使用信用卡購物，所有資料都會落入黑客集團手上。而這次由網絡安全公司捕獲的攻擊中，專家發現黑客瞄準這些安全意識較差的網民，利用色情相片引誘對方上當授權下載惡意軟件。 專家解釋，黑客集團首先設立一個色情相片網站，再於不同社交渠道宣傳吸引網民瀏覽。當 Windows 用家一進入網站，瀏覽器便會彈出一個授權下載的提示，專家說 Windows 會預設隱藏延伸檔案名稱，所以黑客便將惡意軟件執行檔命名為 SexyPhotos.JPG.exe，讓Windows下載提示只顯示 .exe…

1999 年開網的虛擬寵物網站 Neopets 尼奧寵物，是不少 90 後的童年回憶，每天需要餵飼，以免虛擬寵物陷入「快要餓死了」的狀態。近日 Neopets 爆出數據洩露事故，導致 source code 和儲有超過 6,900 萬會員的個人資料的數據庫被盜。 Neopets 多年來深受小朋友歡迎，會員可以在該網站上擁有、養育自己的虛擬寵物，並和他們一起玩遊戲。最近 Neopets 更跟上大勢推出 NFT，作線上 Metaverse 遊戲的一部分。…

DDoS 是繼勒索軟件後另一令企業頭痛的網絡攻擊，而在上星期內容傳遞網絡服務供應商 Cloudflare 便發表報告，指在剛過去的六月，一款新的 DDoS 惡意軟件 Mantis 共向其一千過客戶發動攻擊，每秒鐘 HTTP 訪問請求的峰值更高達 2600 萬次，刷新相關 DDoS 攻擊的新紀錄！ 分散式阻斷服務 (DDoS, Distributed Denial of Service)…

當企業開始適應勒索軟件集團的慣用脅逼手法，對手又再變招，其中兩個集團開始在自己的外洩資料網站上新增搜尋器，讓有可能受該企業數據外洩影響的員工及客戶，搜尋自己有否在清單上。新招務求令受影響人士起訴中招企業，變相逼受害企業支付贖金刪除數據，息事寧人。 勒索軟件最令企業頭痛的地方，是他們的脅逼手段層出不窮。以往集團只會要求受害企業支付為數據及電腦設備解鎖的贖金，後來企業做好備份及回復工作，令支付贖金的比率大幅下跌，勒索集團於是變招，在加密數據前將企業的機密資料偷走，以將資料曝光作雙重勒索，企業為怕聲譽受損，傾向以錢解決問題。其後部分受害企業又開始變得不願支付贖金，勒索軟件集團唯有不停變招，例如致電受害企業的合作夥伴，通知對方被連累的消息，又或直接將部分外洩資料上存自家建立的數據外洩網站，吸引傳媒報導等，務求將事件小事化大，不過隨著不少企業習慣了同類事故頻生，了解到風波很快過去，又變得不願付款。 就在上月中，網絡安全公司 Emsisoft 發現勒索軟件集團 AlphV 在互聯網上設立了一個數據外洩網站，它的特點是設有搜尋器，聲稱可供懷疑受企業數據外洩事件影響的員工及客戶，搜尋自己是否榜上有名，以增加外洩事件的透明度，不會輕易讓受害企業隱瞞事件。由於這新招的確可讓受影響的人知道實際狀況，不用等受害企業通知，因此專家認為涉事者有可能會控告受害企業因疏忽連累自己，令受害企業的損失更難以估計，逼使對方乖乖支付刪除資料的贖金。同一時間，AlphV 更聲稱此舉有助其他犯罪集團更易找到心目中所需的企業帳戶登入資料，而且可按需要及目標行業搜尋及購買，增加集團收入來源。 一石擊起千重浪，繼 AlphV 後，再有其他勒索軟件集團參照相關做法，例如惡名昭彰的 LockBit 亦倣效設立搜尋網站，另外還有一個只以外洩數據進行勒索的集團 Karakurt 開始加入搜尋功能，但現階段卻未能正常運作。專家估計將有愈來愈多勒索軟件集團或犯罪集團引入這種新的勒索手法，呼籲企業不應再心存僥倖或坐視不理，是時候提升網絡安全防禦能力。 資料來源：https://bit.ly/3P7lJn4 相關文章：【病毒變變變】勒索軟件都資源重用？ 企業自保有方https://www.wepro180.com/recycle220712/

Zero Trust 零信任的安全策略，近年已廣泛被企業組織應用，但仍有不少企業並未看到該網絡安排策略的作用；Gartner 的預測就指，圍繞勒索軟件組織的法例規管將會擴大，而企業的在營運上遇到的攻擊，更可能會觸發更多在現實生活上後果。Gartner 呼籲，企業領導者應該將以下網絡安全策略，納入未來兩年的規劃中。 Gartner 高級總監分析師 Richard Addiscott 提醒，企業組織不能以舊有習慣，去試圖以過去的模式處理所有攻擊；大多數安全和風險的主管都意識到這些攻擊會引起更大危機。雖然企業無法控制危機的出現，但可以演化網絡安全上的思維、理念、計劃和架構。 1. 消費者隱私權將得到擴展 私隱相關的法規範圍繼續擴大，技術分析師預測，法例將擴大至覆蓋全球 50 億人，佔全球 GDP 的 70% 以上。並表示組織應追蹤權利請求指標，包括每個請求的成本和完成時間，以識別低效率的事項，並證明加速自動化的合理性。 2.…