企業依賴不同網絡安全服務供應商維護，但黑客攻擊一樣都有服務提供！犯罪即服務 (Crime-as-a-Service, CaaS) 是有經驗的網絡犯罪分子，出售對執行網絡犯罪所需的工具和知識，並多見於發動網絡釣魚攻擊。CaaS 可謂是令人人都可以成為攻擊者的途徑！ 對於黑客來說，利用網絡釣魚手法，是竊取組織的數據最簡單方法之一，但一般而言，成功發起網絡釣魚活動的網絡攻擊者，需具備技術和社交工程知識相關經驗。但隨 CaaS 的出現，幾乎任何人都可以通過支付些微費用，搖身一變成為網絡釣魚高手。 CaaS 服務供應商會向業餘攻擊者，提供讓他們能自己成功發動網絡釣魚攻擊所需的一切，包括詳盡的攻擊目標列表、電郵模板等。攻擊者甚至可以支付存取已被入侵的伺服器，以更容易隱藏痕迹，在入侵時的障礙減少，將令網絡釣魚攻擊變得更易，對被針對的目標組織來說將會是很大的難題。CaaS 令網絡釣魚成為一種對網絡犯罪分子而言，更具吸引力的攻擊方法，因為它更易存取資料，兼且勞動力低。當攻擊者可使用現成的網絡釣魚攻擊，來攻擊目標機構的安全漏洞時，就不需花費數月時間尋找漏洞，更可令網絡釣魚活動更容易擴展，換言之犯罪分子執行攻擊所需的時間和精力將減少。 CaaS 具有可下載的模板，令缺乏相關知識的攻擊者同樣可發動攻擊，提升釣魚電郵成功進入企業員工的電郵信箱的機會，例如內容加密、隱藏附件中的 URL 來逃避檢測。由於攻擊者能夠執行大量技術複雜的攻擊，因此對組織的威脅是顯而易見的。最令人企業擔憂的是，這些釣魚活動易於執行且非常有效。 由於使用 CaaS 工具執行的網絡釣魚攻擊大多針對員工，付企業及組織更難解決問題。他們使用社交工程策略來欺騙終端用戶，大多是透過欺騙信任和緊迫性的手段。他們可以使用公開的情報，例如從公司網站、社交媒體資料和過去的數據洩露中收集數據，以製作可信的魚叉式網絡釣魚活動。 在 CaaS…

數據分析在企業數碼轉型旅程的重要性，已經不用多解釋，不過採集及管理數據，卻同時為企業帶來極大挑戰。早前由 ICT 服務供應商中信國際電訊 CPC（以下簡稱 CPC）及網絡安全服務供應商 Fortinet 合辦的午餐會，便跟與會人士分享了各自的心得，讓企業管理者能夠有效及安全利用數據創造真正的商業價值之餘，同時又能合規地管理數據，享受數碼轉型帶來的營運效益。 數據應用潛力無限 擬定法例防數據外洩 在企業數碼轉型的旅程中，不同種類的數據都可提升各行各業的市場洞察力。經濟學人首席貿易分析師 Nick Marro 舉例汽車業可利用數據分析為汽車加入自動導航、多媒體娛樂甚至無人駕駛功能，金融業可持續提供新的流動理財、程式盤買賣等服務。大數據分析讓企業能夠預視市場走向，靈活地修正營運方針，享受增加生產力、減少成本等成果，最終達到改善客戶體驗的終極轉型目標。 隨著全球不同國家開始立法管制數據採集， Nick 認為儲存數據及數據跨境問題將會變得非常重要，導致 ICT 服務供應商或客戶不能只採用單一數據管理政策，打後必須「因地制宜」。 不過，Nick 指出收集及管理數據的難度正在與日俱增，其中一個原因是不少國家正全力就數據管理訂立法例。他以中國為例，2017 年…

黑客為了避過電郵防護系統攔截，花招百出。最新方法是以多個壓縮檔及混淆化 (obfuscated) 含有下載惡意負載功能的 JavaScript，令防護系統誤會是正常電郵而放行，最終在電腦內安裝 BazarBackdoor 後門程式，企業一旦受感染，黑客就可在內部網絡為所欲為。 網絡安全公司 Cofense 警告，木馬程式 Trickbot 開發者又再利用新方法，提高 BazarBackdoor 惡意軟件避開電郵防護軟件攔截的成功率，而且手法更非常迂迴及複雜。Cofense 專家指出，他們是於今年 6 月 5 日世界環境日捕獲這次新攻擊。黑客在當時向不同企業發出有關世界環境日的釣魚電郵，內裡含有兩個分別為 ZIP 及…

新冠病毒出現之前，大部分企業都採用在辦公室工作的上班模式，由於員工都在公司內部網絡工作，受到企業級防火牆及其他安全工具保護，因此遭受網絡攻擊的風險較低。不過，在家工作模式下企業急於採用各種 VPN 及雲端應用服務，如因安全設定不足，便為犯罪分子提供入侵機會，通過釣魚電郵及暴力破解用戶名稱及密碼，長時間潛伏在網絡上進行更大的破壞，例如竊取企業機密資料，或使用勒索軟件加密電腦設備或檔案。要防止黑客入侵，企業必須制定完整的網絡安全政策。 採用多重身份驗證（MFA）：無論是登入虛擬專用網絡（VPN）、遠程桌面協議（RDP）服務或其他雲端應用服務，員工必須使用帳戶名稱及密碼以外的驗證方法，例如驗證應用軟件或 USB 硬件密鑰，不僅可以阻止黑客入侵，還能在對方嘗試登入時接收警報，讓企業知道自己有可能已成為黑客攻擊的目標。 加密數據：對數據進行加密（encryption），便可防止未經授權者讀取檔案的內容，無論檔案存在於內部網絡、雲端儲存庫或員工的電腦，又或在傳輸過程被截取，黑客也無法讀取或修改內容。 及早更新安全檔：與其他應用程式一樣，及早安裝更新檔可以更好地運行雲端應用服務，同時還可堵塞安全漏洞，減少被網絡攻擊的風險。而且愈早更新，愈能阻止黑客入侵。 採用雲安全狀態管理（CSPM）：企業使用的雲端服務愈來愈多，獨立管理或會出現漏洞。使用CSPM工具可以自動地識別和修復圍繞雲中錯誤配置和合規性的潛在安全問題，保護雲基礎設施免受潛在攻擊和數據外洩的影響。 準確設定帳戶權限：雲端服務可能很複雜，但也必須為每個帳戶設定使用權限，令每個員工因應其工作職能，只可接觸指定的檔案或應用服務，可減少其中一個帳戶被竊取所帶來的損失。 持續備份作為應急計劃：一個好的雲安全策略應該包括存儲數據備份和離線存儲，如果發生意外或入侵事故，企業也能使用備份資料恢復運作。 方便員工：企業應該為員工提供最安全的企業雲端服務套件，因為如果它太難用，員工有可能偷偷轉而其他公共雲工具。此問題可能導致公司數據儲存在個人帳戶中，從而產生更大的外洩風險，尤其是在員工的個人帳戶缺乏多重身份驗證或權限控制等安全設定。 企業在享用雲端服務的好處時，亦必須確保擁有安全的雲安全策略，不僅應該使用多重因素身份驗證、加密數據和妥善備份及保護數據等工作，還要考慮員工感受，挑選易於使用及安全的雲端服務，才能吸引員工使用，讓企業上下始終在統一的安全政策下運作。 資料來源：https://zd.net/2VgJPEI

數據備份儲存公司 Cloudian 最近公布一項調查指，即使曾接受反網絡釣魚培訓課程，但仍有 65% 的勒索軟件受害者，因為網絡釣魚而深受其害，反映勒索軟件組織仍以網絡釣魚，作為攻擊公司的主要方式。 有關調查的訪問對象為過去兩年曾遭遇勒索軟件攻擊的 200 名 IT 決策者，超過一半的受訪者表示，曾安排員工接受了反網絡釣魚培訓，有 49% 的受訪者表示，在受到攻擊時，已採取防禦措施。近 25% 的受訪者表示，他們的勒索軟件攻擊是透過網絡釣魚展開，而在這些受害者中，有 65% 曾接受反網絡釣魚培訓課程。對於員工人數少於 500 人的企業，41% 的企業表示他們的攻擊因網絡釣魚而中招；大約三分之一的受害者表示，他們的公共雲是受攻擊的切入點。 報告指出，調查結果反映網絡釣魚陷阱日益複雜，攻擊者會模仿為受害者的信任的人如同事或上司，發送釣魚電郵，這種攻擊又稱為…

美國 IT 管理服務供應商 Kaseya 被勒索軟件 REvil 入侵，背後全因其管理工具 VSA 存在致命漏洞。未出事的客戶為求盡快修補漏洞，都急於安裝系統更新檔。網絡安全公司 Malwarebytes 就發現，有黑客利用人性弱點推出惡意軟件，假扮為官方更新檔發出釣魚電郵，幕後黑手，可能同銀行木馬軟件 Dridex 有關…… Kaseya 的 VSA 漏洞事故，受影響企業多達 1,500 間，當中更有不少公司採用了 VSA…

金融機構及其客戶，一直是網絡罪犯的頭號攻擊目標，最常用的攻擊手法便是釣魚電郵（phishing）或更專門的魚叉式電郵（spear phishing），因此金融業界要保護客戶，便必須從電郵安全方面著手，例如準確設定各種電郵驗證技術，防止罪犯冒充銀行發電郵進行詐騙。 正確啟用電郵安全功能，最大好處是只有金融業界發送給客戶的電郵，只能從核實的郵件服務器發出，令犯罪分子只能註冊使用類似的網域發送電郵，只要收件者夠細心，便能從網域上分辨真偽，再者亦容易被電郵防護工具的威脅情報所過濾，減低詐騙電郵的成功率。不過，並非所有金融服務都會引入這些安全措施，其中聯邦信用合作社（Federal Credit Union）便沒有足夠防護。根據 IntelFinder 最近進行的一項研究顯示，在 300 個 FCU 機構中，只得 8% 啟用了強大的電郵安全工具。 IntelFinder 專家特別檢查了FCU 機構中的 SPF 和 DMARC 記錄是否存在，以及…

Microsoft 專家警告，依然採用舊式驗證 (legacy authentication) 技術管理 Exchange Online 的企業，即使啟用多重因素驗證 (MFA) 服務，都有可能被黑客入侵帳戶，最近就有一宗商業電郵詐騙 (BEC) 案例，就是因為上述原因而出事…… 根據 Microsoft 的官方描述，舊式驗證指的是使用基本驗證的通訊協定，而採用相關驗證為基礎的應用程式包括舊版 Microsoft Office 應用程式及使用 POP、IMAP、SMTP 等郵件通訊協定的應用程式。由於舊式驗證無法強制執行多重因素驗證…

「重賞之下必有勇夫」這句說話可謂世界通行，有黑客組織早前就在俄羅斯一個地下討論區，以 11.5 萬美元獎金，邀請有才之士提供針對加密貨幣 (cryptocurrency) 及攻擊相關技術的可行方法，包括挖礦工具、智能合約及非同質化代幣 (NFT) 等等。比賽將於 9 月 1 日結束，不過主辦方現時已收到不少「學術」研究。 集思廣益是其中一個搵出漏洞的最佳方法，白帽黑客界亦有採用這種方式，當中以 HackerOne 賞金獵人 (bug bounty hunter) 平台最有名氣，旗下擁有約 60 萬會員，成員更來自全球 170 個地區。上年其中一個會員…

愈來愈多人投身 YouTuber 行列，但有否想過，YouTuber 也可能成為黑客的網絡攻擊對象？近日本港便有 YouTuber 懷疑被黑客入侵帳戶，黑容除了利用其頻道進行直播，更將受害人數以百計嘔心瀝血製作的影片，一一變成不公開。受害人推斷，事件可能跟黑客盜取其 Session ID（工作階段識別碼）有關，但亦有網絡安全專家不明白，系統雙重驗證（Two-Factor Authentication, 2FA）為何未能發揮帳戶保護功效。 懷疑受到黑客攻擊的 YouTuber「希比」，在 YouTube 平台經營個人頻道「HEBEFACE」，經常製作及上傳影片，介紹港產片經典場景，頻道獲超過 6.3 萬人訂閱。希比接受本網訪問時表示，大約一星期之前，他收到粉絲通知，懷疑 HEBEFACE 頻道被入侵，他查看後發現，有人正利用 HEBEFACE 頻道進行以太坊相關的直播，「我於是馬上更改登入密碼，但之後對方仍然可以控制到我的帳戶，我更眼白白看著他將我的影片變成不公開。」希比表示，當時自己依然可以控制帳戶，包括將影片設定回公開，可見對方只入侵而沒有奪取其帳戶，情況相當特殊。…