一款保持低調的釣魚工具,最近被發現使用了極難被發現的 Browser-in-the-Browser 技術,竊取 Steam 遊戲內進階玩家的帳戶登入資料,由於並非彈出式視窗,因此不會被安全工具攔截,瀏覽器內顯示的訊息亦能製造安全假象,令目標難以察覺。 今年三月,安全研究員 mr.dox 開發了一套高性能釣魚工具,並示範了如何透過這個工具竊取 Steam、Microsoft、Google 帳戶登入資料的可行性。在相隔多月後,網絡安全公司 Group-IB 便發表了新報告,顯示利用這種技術竊取 Steam 玩家帳戶資料的方法正大行其道,而部分被竊取的高階玩家帳戶,其價值更由 10 萬美元至 30 萬美元,可見黑客憑藉這項釣魚工具的收入相當可觀。 Group-IB 專家指出,這款新的釣魚工具未有在暗網或地下討論區大肆宣傳,黑客戶而通過…
Search Results: 釣魚工具 (6)
最新消息,暗網上有釣魚工具套件收藏家,一次過將成批釣魚工具拎出嚟賣,計落平均 25 美元就有一款,入面有齊晒偷 Amazon、OneDrive、Apple、Fackbook、Gmail 以及多間銀行等帳戶登入資料嘅專門工具,無論你係 hacker 又好,網絡安全研究員都好,呢個 collections 應該都幾吸引。 呢個總容量高達 3.3GB 嘅釣魚套件 collections,老實講並唔係全部都由販售嘅黑客自己寫出嚟,根據同黑客接觸過嘅 Bank Security 網絡安全專家所講,當中有 9 成係利用惡意程式碼搜尋工具搵出嚟。專家話有咗呢個 collections,已可以向排名頭 500…
近期大埔火災造成重大傷亡,社會各界紛紛捐款以支援救災及援助工作。然而有騙徒竟利用火災名義進行詐騙,包括假冒慈善機構或院方,發放惡意連結及二維碼(QR Code)聲稱籌款,甚至假扮義工意圖收集災民的個人及銀行訊息。此外,HGC 環球全域電訊對事件深表關切,並實行多項支援措施。 想知最新行內動態?立即免費訂閱! 針對近日有騙徒以不法手段利用居民的個人資料,包括渾水摸魚冒認居民身份領走1萬元應急錢或冒認災民領取援助,香港網絡安全事故協調中心(HKCERT)強烈呼籲市民務必提高警覺,避免善款及個人資料落入不法之徒手中。 詐騙手法包括: 1.假網站及釣魚訊息騙徒冒充慈善機構,例如假冒「香港聖公會福利協會」,發送籌款釣魚短訊或電郵,附上惡意連結,誘使市民進入虛假籌款網站,從而騙取善款。 有網民整合其中一宗假網站網址並發帖警示。(圖片來源:「守網者」專頁) 2.虛假二維碼籌款社交平台亦有流傳「災民急需援助」訊息,同時附上不明來源二維碼,要求即時轉帳。亦有騙徒冒充仁濟醫院籌款,仁濟醫院已澄清,從未授權任何第三方收取善款。 3.假冒義工收集資料可疑人士假扮義工,派發虛假的「大埔宏福苑災民登記表」,要求災民填寫姓名、身分證號碼、住址,甚至銀行帳戶及提款密碼。而社會福利署登記證表格並未要求災民提供銀行及提款密碼等。 可疑人士自製假「災民登記表」騙取災民個人資料。(圖片來源:反詐騙協調中心) HKCERT 防騙建議: .保護個人資料:切勿隨便填寫任何表格,切勿透露個人敏感資料,例如姓名、身份證號碼、銀行戶口號碼、網上銀行帳戶及密碼。 .主動核實官方資訊:捐款前,請瀏覽政府新聞網,或向相關機構查證,確認透過官方及可靠途徑進行捐款。如接獲自稱機構職員來電,亦須再三核實來電者身份。 .拒絕陌生連結及二維碼:切勿點擊不明連結或隨意掃描可疑二維碼及轉賬至來歷不明的戶口。 .使用反釣魚工具:可利用「CyberDefender 守網者」的「防騙視伏器」,通過檢查網址和IP地址等,來辨識詐騙及網絡陷阱。 .互相提醒:提醒親朋好友、長者及弱勢群體普及防騙意識,避免他們成為騙徒目標。 如有懷疑,可致電「防騙易…
勒索軟件盛行,成為世界各地機構面臨的最大網絡威脅之一,除了會令數據洩露、盜取外,甚至導致服務中斷。香港生產力促進局引述數據顯示,去年全球勒索軟件攻擊數量按年急升 1.05 倍至 6.2 億次。而根據香港警方數據,今年上半年接獲逾萬宗網絡罪案,較去年升四成,損失金額涉及逾 15 億港元。 而 Microsoft 香港將於其年度「網絡安全研討會」分享網絡安全的趨勢及企業需知的解決方案。 然而,Microsoft 近日公佈第二期網絡威脅季度報告 Cyber Signals,揭示一項新趨勢 — 勒索軟件即服務(ransomware-as-a-service,RaaS),並成一種佔主導地位的攻擊模式。而 RaaS 更令勒索「產業化」,產生多個「專業」角色,如專責販賣網絡流量經紀;即使罪犯並不擁有任何數碼技術專長,均可部署勒索軟件。受到釣魚電子郵件攻擊後,約一小時就能讀取受害者個人資料。 RaaS 產生多個專業角色…
疫情期間催化黑客攻擊,其中國家級黑客的威力更不容小覷。Google 公布目前為止,已向其用戶就有國家資助(State-sponsored)的黑客攻擊發出 50,000 次警告,相比 2020 同期增加 33%。Google 提醒用戶啟用多重因素身份驗證功能,以保護帳戶。 Google 安全工程師和威脅分析組織 (Threat Analysis Group, TAG) 團隊成員 Ajax Bash 在博客指,發出多次警告的原因,是因為阻止了一個名為 APT28 或…
唔少黑客都喺暗網上出售惡意軟件,例如上星期就有黑客打包出售 1300 款釣魚工具收藏。視乎惡意軟件嘅實力,叫價可以輕易破萬美元。好似 Android 銀行木馬軟件 Cerberus,月初因為瞞過 Google Play Store 監測、成功上架而響朵,而最近開發者就喺暗網上準備將呢隻「有實積」嘅軟件全套出售,開出五萬美元底價,話目標係以十萬美元賣出!網絡安全專家就話,今次開發者咁急住賣出呢套軟件,而唔繼續靠佢搵食,原來係因為開發團隊已經拆夥⋯⋯ Cerberus 點解咁出名呢?係因為佢嘅入侵手法非常精密,同埋入侵後可以做到嘅嘢極多。當呢隻軟件喺 Google Play Store 上架嘅時候,佢只係一隻好「清純」嘅匯率兌換 app,不過當下載量過千,Cerberus 先至開始做嘢,透過軟件更新引入惡意程式,之後只要用家喺手機開啟理財或銀行 app,Cerberus 就會用透明畫面記低用家輸入嘅資料,同時截取埋用家收到嘅…