Google 宣佈將推出一項重大的安全政策，新政策要求所有在 Android 平台上發布應用程式的開發者，無論是經由官方 Play Store 抑或第三方渠道發佈，都必須進行身分驗證。新規定將於 2025 年 10 月起分階段邀請開發者參與，並計劃於 2026 年 9 月率先在巴西、印尼、新加坡及泰國正式實施。 換言之，到時在這些地區的 Android 裝置用家，所安裝的任何應用程式必須由已驗證身分的開發者註冊，否則用家將無法安裝程式使用。 想知最新科技新聞？立即免費訂閱！ 不少國家仍流行經…

Sangfor 應急響應工程師近期在處理多宗應急響應（Incident Response）個案時，發現一個值得企業高度重視的趨勢：黑客的入侵手法，正由傳統電郵釣魚，逐步轉向更具欺騙性、也更貼近日常工作流程的協作平台攻擊。 想睇更多專家見解，立即免費訂閱！ 作為 Sangfor IR Team 的其中一員，在筆者看來，這不是一次簡單的攻擊手法升級，而是黑客對企業防守習慣的一次精準利用。很多企業已經在郵件安全、防毒、連結檢測上投入大量資源，但對 Microsoft Teams 這類日常協作工具的警覺性，仍然明顯不足。黑客正是看準了這個心理落差，繞過傳統郵件安全過濾系統，直接把攻擊送到員工最習慣、也最容易放下戒心的地方。 本文希望拆解這條從「會議邀約」到「財務詐騙」的完整攻擊鏈，同時分享對這類事件的幾點實務判斷，提醒企業管理層、資訊保安負責人，以及前線員工，不要再把協作平台視為天然可信的內部空間。 入侵流程解析：從線上會議到帳戶劫持 從近期觀察到的個案來看，黑客的攻擊路徑已經相當成熟，而且每一步都圍繞一個核心原則：不急於破壞，而是先取得信任，再利用信任變現。 1. 突破常規：Teams 會議邀約釣魚 黑客先註冊合法的微軟帳號，成為 Teams…

一項最新研究顯示，資訊竊取程式在全球迅速蔓延，相關惡意軟件紀錄已接近 5 億筆，反映此類攻擊正成為日常網絡生活的一大隱憂。調查指出，受威脅最高的三大族群為「生活型」一般網民、遊戲玩家及 IT 專業人員，其中近 99% 受害者為日常使用 Windows 的用戶，顯示攻擊者正瞄準主流系統與日常上網行為。 研究團隊分析了資訊竊取程式紀錄最常出現的一萬個網域後發現，風險最高的三類用戶，分別為習慣使用各類線上服務的一般「生活型」網絡使用者、經常接觸遊戲平台與相關資源的遊戲玩家，以及擁有系統與開發權限的 IT 專業人員。 想知最新科技新聞？立即免費訂閱！ 在該近 5 億筆紀錄中，約 99% 受害者使用 Windows 系統，反映攻擊者持續利用其龐大用戶基數與應用生態，針對瀏覽器及常用軟件發動攻擊。…

LexisNexis Risk Solutions 發布最新報告，深入剖析網絡罪犯如何利用暗網運作。研究發現，暗網助長犯罪規模化，令任何具備資訊技能的人士，都能輕易獲取欺詐所需知識及工具，降低欺詐門檻，對個人及企業構成風險。儘管監管機構與執法單位不斷查封暗網上非法市場，但新平台仍迅速出現，以滿足地下犯罪持續不減的需求。  想知最新科技新聞？立即免費訂閱！ 是次報告為《欺詐商品化：解構暗網生態》（Fraud for Sale: Untangling the Dark Web ），屬年度《全球欺詐現狀報告》的一部分，研究數據源自 2025 年委託的專項暗網研究。報告重點包括： 欺詐即服務「超級市場」持續擴張，以滿足犯罪分子的龐大需求，提供突破現代反詐系統的工具 服務包括已完成了解你的客戶（KYC）審核的銀行帳戶、「新手欺詐教學」指南，以及即用欺詐型工具包 犯罪分子之間的攻擊推動暗網市場變化，欺詐分子同時應對 AI 挑戰 犯罪分子追求便利性，促使社交媒體平台成為暗網的新威脅  LexisNexis Risk…

相信不少人每日都會用到 ChatGPT、Gemini 等 AI 工具，而為了更方便使用，越來越多用家依賴瀏覽器擴充功能來提升工作或學習效率，不過方便背後卻危機四伏。網絡安全公司 OX Security 近日揭露有兩款惡意 Chrome 擴充功能偽裝成知名 AI 工具，已累積超過 90 萬次下載，黑客會在用家不知情的情況下，大規模竊取瀏覽數據以及與 ChatGPT、DeepSeek 等 AI 模型的完整對話內容，對個人隱私和企業機密構成嚴重威脅。 想知最新科技新聞？立即免費訂閱！ 兩款惡意擴充功能已下架…

加密貨幣市場近來波幅雖大，但仍吸引不少投資者將它視為黃金以外的避險工具，甚至吸引許多從未參與過的人試圖入場。不過，網絡安全公司 Group-IB 的最新研究指出，黑客組織亦緊隨潮流，進一步進化詐騙手段，不僅變得更規模化，更透過跨境的複雜基建和工具，持續騙取全球受害者的金錢，對毫無防備的投資者構成重大威脅。 想知最新科技新聞？立即免費訂閱！ 詐騙具專業分工 Group-IB 的研究顯示，假冒加密貨幣及外匯交易平台已成為以金錢為目標的黑客組織詐騙的主要手段。他們會採用高級的社交工程策略，誘使受害者將資金轉入由黑客控制的系統，而這些系統會偽裝成合法的交易平台。 研究員表示，詐騙模式已從過去零散的行為，升級為具有明確層級結構與專業分工的跨國行動，不再局限於單一地區。以 2025 年 8 月越南警方破獲的 Paynet Coin 詐騙案為例，這次事件涉及高達數十億美元的資金，警方逮捕了 20 名相關嫌疑人，反映出新一代投資詐騙的金融破壞力。 研究員透露這些詐騙行動背後存在精密的受害者操控框架，黑客組織利用多階段方式誘導受害者，從初步接觸到資金提取，整個過程環環相扣。他們通常透過 Zalo、Facebook、TikTok 等社交媒體或…

隨著身分驗證系統已成為流動網絡裝置如手提電腦、智能手機上的必然配置，黑客要成功入侵目標人物的裝置變得日漸困難。不過，最近 iProov 的威脅情報團隊就揭露了一款專門針對已越獄（jailbroken）iOS 設備的新型攻擊工具，這款可能源自中國黑客的工具專門針對 iOS 15 及以上版本且已越獄的 iPhone，透過影片注入攻擊（Video Injection Attacks）繞過被弱化的生物驗證系統，讓黑客可以順利開啟手機。 對高風險用家如政治家、記者、金融行業人士來說，一旦手機被盜竊，對方便可取得內裡儲存的機密資料，隨時引發國家安全危機。 想知最新科技新聞？立即免費訂閱！ 利用 Deepfake 影片突破防線 簡單來說，這次攻擊的流程是黑客將假冒為機主的深偽（deepfake）影片，通過精密的手法替換成手機鏡頭攝錄的影像，令 iOS 安全系統誤以為正以鏡頭驗證解鎖人的人臉特徵，從而授權讓他解鎖手機，突破 FaceID 的驗證。…

本港零售業接連發生兩宗嚴重個人資料外洩事故，分別涉及本地珠寶連鎖企業 My Jewelry 及日本跨國時裝品牌 Adastria，波及近 14 萬客戶及員工。無獨有偶，兩宗事故均涉及高權限帳號管理不善、未能有效監控及偵測異常行為兩大問題，企業應如何透過先進的網絡安全方案自保？ 想知最新行內動態？立即免費訂閱！ 零售業數碼轉型後的痛點 個人資料私隱專員公署上周公布的兩宗資料外洩事件，涉及分別涉及本地珠寶連鎖企業 My Jewelry（愛飾）與母公司光雅，以及日本跨國時裝企業 Adastria，其旗下品牌包括 niko and…、LOWRYS FARM 等，前者外洩了 7.9 萬名客戶與員工資料，包括身分證部分號碼，後者則外洩了近 6 萬名客戶及訂單資料。 兩宗事件的成因近似，皆涉及高權限帳戶管理不當、未有啟用多重身分驗證。Adastria…

Cisco 最新發表安全通告，指旗下的 Secure Firewall Management Center（FMC）防火牆管理軟件存在一個遠端代碼執行（Remote Code Execution, RCE）漏洞，該漏洞（CVE-2025-20265）的嚴重性獲得了 CVSS 最高風險的 10 分評分，若遭受黑客利用，將可能對企業及政府機構的網絡安全造成嚴重威脅，Cisco 客戶有需要立即採取緩解措施。 想知最新科技新聞？立即免費訂閱！ 未有對輸入的內容進行適當審查 Cisco Secure FMC 是一款專為管理旗下…

宣稱擁有超過 2,000 萬用家的互動情趣用品製造商 Lovense，近日被發現一個嚴重的零日漏洞。攻擊者只須知道用家的公開帳戶名稱，便可輕易獲取其私人電郵地址，令用家面臨被揭露身分及騷擾的風險。今次事件曝光後令平台的安全性受到質疑，相信會對商譽造成極大打擊。 想知最新科技新聞？立即免費訂閱！ Lovenese 的總部位於新加坡，是一間專門推出以應用程式控制情趣用品的品牌，旗下產品有 Lush、Gush 及 Kraken 等。根據外國媒體報道，安全研究員 BobDaHacker 於今年三月首次發現 Lovense 平台的兩個安全漏洞，分別是容許攻擊者透過用家帳戶名稱揭露電郵地址的設計缺陷，以及可用於帳戶騎劫的漏洞。 一秒揭露電郵地址 其中一個漏洞，源於 Lovense 平台的聊天系統與後端伺服器之間的設計缺陷，使攻擊者可以利用一系列操作輕鬆獲取用家的電郵地址。攻擊者只需先用自己的 Lovense…