在數碼化的年代，企業面臨的網絡威脅日益增加，然而不少企業卻沒有充分認識網絡安全的重要性，缺乏防範和應對網絡威脅的知識及經驗。「網絡安全資訊共享夥伴計劃」（Cybersec Infohub）正是為促進各行業互相交流網絡安全資訊而成立，讓企業掌握最新形勢，了解其網絡安全需要。早前 Cybersec Infohub 舉辦了周年專業工作坊，表揚過去一年表現積極的成員，並邀得網絡安全專家和成員分享真知灼見。有成員稱，夥伴計劃有助中小企學習如何在經營業務的同時保障數據安全；更有成員積極解答其他機構代表提出的網絡安全疑難，互相幫助，形成共贏社群，共同防禦網絡攻擊。 企業需要提高網絡安全意識 工作坊上的座談會嘉賓之一，雲新國際（香港）有限公司創辦人兼董事江卓謙（Char）（圖右一），亦是 BNIT 資訊科技群組的創始人。他稱部分本地企業，特別是中小企，缺乏網絡安全意識，「唔知近期有咩新嘅網絡威脅、唔知點預防，出咗事亦唔知點處理」，甚或至誤以為大企業才會成為黑客攻擊目標。 Cybersec Infohub 的 Cybersechub.hk，除了鼓勵成員共享網絡安全資訊，建立跨行業的互信協作網絡外，成員間更會互相幫助解決資訊保安問題，達致共贏。Char 表示，夥伴計劃令他的網絡安全知識增進不少，例如他從中得知不同行業的網絡安全風險及需要，所以其公司為客人提供解決方案時，亦加入相應的網絡保安元素，令整體服務水平提升，勝過同行之餘，客戶對公司的信心亦有所提升，亦令客戶意識到自己有需要部署網絡安全方案，直接或間接有利業務發展。 首個共享協作平台　整合本地威脅情報 另一成員機構代表，達訊電腦工程顧問有限公司高級產品經理李家泓（Taylor） （圖左一） 則稱，公司是一站式企業管理方案供應商，加入 Cybersec Infohub…

Meta 早前控告中國公司如 HeyWhatsApp、Highlight Mobi 推出 Android 特製版 WhatsApp，暗中卻以盜取用家帳戶為目標，且最少已有過百萬用家受騙。黑客可從中獲取帳戶的驗證金鑰，帳戶被盜事小，黑客可利用帳戶詐騙受害者的聯絡人事大，Android 用家切勿以身犯險。 俄羅斯防毒軟件公司 Kaspersky 發表安全報告，指有黑客通過一些影片播放平台如 SnapTube，推廣聲稱擁有特別功能的特製版 WhatsApp。其實特製版 WhatsApp 已不是新鮮的詐騙手段，因為 WhatsApp 功能經常落後於其他即時通訊 apps，以時至今日仍為人垢病的限時銷毁訊息功能為例，時限選擇少，例外情況又多，因此用家在與特定群組互傳訊息時，或會使用 Snapchat 或…

在後疫情時代，企業加快數碼轉型步伐，混合辦公、雲端服務應用已逐漸成為新常態，但隨之而來的網絡攻擊風險亦相應增加。 第一線DYXnet（互聯科技 NEOLINK 成員）作為大中華區領先的電信中立網絡服務供應商之一，具有多年企業網絡及雲端服務解決方案經驗，深得客戶信賴。現時勒索病毒即服務（RaaS）危機肆虐，環球經濟不穩、入侵技術「即買即用」，皆令各行各業威脅日益加劇。有見及此，第一線結合 Secure Access Service Edge （安全存取服務邊緣，SASE）全球領先運營者Zscaler 的雲端運算安全技術，推出最新 SASE 合作方案，其方案四大核心，進一步保障用戶安全使用雲端應用。 RaaS 相關個案按年升幅達八成 Zscaler 大中華區總經理袁蔚豪就提到，公司調查發現，過去十二個月網絡釣魚及勒索軟件為兩大最常見的網絡威脅。以網絡釣魚為例，單單經 Zscaler 的雲端安全監測系統，在同一時期內就發現 8.7 億次網絡釣魚攻擊，按年增幅達…

網絡釣魚（Phishing）攻擊手法層出不窮，有黑客緊貼市場動向，把握蘋果發佈新品及 NFT 買賣活躍的機會，作出針對性部署。電郵安全公司 Green Radar 劍達（香港）有限公司公布的 2022 年第三季度電郵威脅指數（GRETI）中，季度指數為 68.1 分，比上季 66.5 分為高，反映電郵威脅風險比上季有所提升。網絡釣魚及商業電郵詐騙（BEC）攻擊非常活躍，處於「高」風險級別水平，其中商業電郵詐騙攻擊比上季增長42.2%。 根據 Green Radar 電郵安全監控中心（SOC）統計數據顯示，LinkedIn、DHL和HSBC三大品牌最常被冒充，當中 LinkedIn 超越 DHL 成首位。Green…

不少專家均建議企業啟用多重因素驗證 ( MFA )，以保障員工帳戶的安全。不過，MFA 並非萬能，因為決策權始終握在用家手上。有黑客集團就將釣魚攻擊結合疲勞轟炸手段，令用家自動確認可疑的 MFA 驗證，例如 Uber 被入侵事件就是其中一個案例。 Call 車 app Uber 的員工帳戶早前被入侵，導致內部應用服務被塗改內容，以及發生數據外洩。事後黑客集團 Lapsus$ 其中一位聲稱 18 歲的成員承認責任，指入侵 Uber 只因對方的網絡安全措施非常弱。經調查後，網絡安全專家說這次事件相信是對方從暗網取得相關員工的帳戶登入資料，然後再利用釣魚攻擊，假扮成…

因為電郵所用的SMTP協議有不需確認身份的先天缺陷，所以要假冒成任何身份寄送電子郵件其實不難，而這個缺陷往往就被黑客利用及進行詐騙。 BEC 三大類 近年十分猖獗的變臉詐騙攻擊（Business Email Compromise，簡稱 BEC）所帶來的威脅實在不能低估，而攻擊手法大致分為三類： 寄件人偽裝 – 透過假冒而獲取收件人的信任，用不同的藉口來騙取企業相關資料或匯款。連結偽裝 – 以假冒寄件人的身份發出電郵，誘使收件人點擊連結。這亦稱為釣魚信件，讓收件人點選之後即會連結到外部的惡意連結，藉此取得收件人相關資料。附件偽裝 – 也是以假冒寄件人的身份發出電郵，再搭配有病毒的附件。一旦附件被下載及執行，便進行勒索或各式各樣的攻擊，來取得所需利益。 抵禦 BEC 的安全方案 除了一般的電郵安全培訓、員工意識測試、定期更換電郵帳號密碼之外；在選擇電郵安全方案時，除了防病毒、防垃圾電郵功能外， 針對以下一些抵禦 BEC…

勒索軟件盛行，成為世界各地機構面臨的最大網絡威脅之一，除了會令數據洩露、盜取外，甚至導致服務中斷。香港生產力促進局引述數據顯示，去年全球勒索軟件攻擊數量按年急升 1.05 倍至 6.2 億次。而根據香港警方數據，今年上半年接獲逾萬宗網絡罪案，較去年升四成，損失金額涉及逾 15 億港元。 而 Microsoft 香港將於其年度「網絡安全研討會」分享網絡安全的趨勢及企業需知的解決方案。 然而，Microsoft 近日公佈第二期網絡威脅季度報告 Cyber Signals，揭示一項新趨勢 — 勒索軟件即服務（ransomware-as-a-service，RaaS），並成一種佔主導地位的攻擊模式。而 RaaS 更令勒索「產業化」，產生多個「專業」角色，如專責販賣網絡流量經紀；即使罪犯並不擁有任何數碼技術專長，均可部署勒索軟件。受到釣魚電子郵件攻擊後，約一小時就能讀取受害者個人資料。 RaaS 產生多個專業角色…

Kaspersky 網絡安全專家發現新的網絡攻擊手法，它主要通過在受害者的 YouTube 頻道上載遊戲推廣短片，引誘對方的粉絲下載多合一功能惡意檔案。有別於其他同類型攻擊，這款全新惡意軟件有自動擴散能力，相信 YouTube 將會愈來愈多這類假宣傳片出現。 防毒軟件公司 Kaspersky 最新捕捉到一種全新的惡意攻擊手法，它的攻擊流程可以分為兩部分。專家指黑客第一步會攻擊 YouTuber，暗中取得其帳戶後，便會借用受害者的身份在其頻道上傳短片，內容主要是推廣連線遊戲如 FIFA、Final Fantasy、Forza Horizon 等遊戲的破解版或作弊程式，引誘頻道的追隨者下載及安裝檔案。事實上，專家指這個檔案卻有如病毒雞尾酒，除了有最有人氣的資料盜竊軟件 RedLine，還有一個挖礦程式，暗中借受害者的電腦賺錢。而為了減少被察覺的風險，專家指黑客利用 Nirsoft NirCmd 工具，隱藏所有執行檔及涉及的彈出式視窗，而且亦不會在桌面或 Taskbar 上留下有任何存在證明。…

雖然近年即時通訊 app 的選擇增多，不過，Meta 旗下的 WhatsApp 在用家數量方面始終佔有優勢，因此自然有較多騙徒利用來犯案。網絡安全公司 Cygenta 專家早前便列舉三種熱門詐騙手法，大家不妨同朋友分享，減少被騙機會。 扮熟陷阱：騙徒會假扮成目標的家人或愛人，聲稱因為遺失了電話而暫時用新號碼開設帳戶，經過一輪溝通搏取目標信任後，就會慌稱自己有金錢需要，說服目標轉帳金錢。雖然聽落好似好離譜，不過實際上並不罕有，例如假扮成目標的上司要求買點數卡的案例，就經常發生。 雙重驗證陷阱：為了保障帳戶安全，不少 WhatsApp 用家都啟動了 2FA 雙重驗證功能，登入時必須額外輸入經 SMS 發送的驗證碼，才能登入帳戶。不過，有騙徒在奪取了其中一個 WhatsApp 帳戶後，便會讀取受害者的聯絡人清單資料尋找下一目標，然後利用對方顯示的手提號碼重新登記帳戶，並以「朋友」身份向目標發送訊息，指錯誤將2FA驗證碼發送到對方帳戶，騙取目標提供驗證碼，從而奪取帳戶並重複犯案手法。 限時陷阱：騙徒會向特定目標或漁翁撒網式發出訊息，利用不同藉口引誘對方點擊連結或通過連結安裝惡意軟件。視乎當時社會熱門話題，魚餌或有差別，例如早兩年新冠疫情剛爆發，騙徒會發出感染 COVID-19…

元宇宙（Metaverse）世界無邊無際，企業要開拓商機，一時之間可能亦無從入手。人工智能（A.I.）是支撐元宇宙應用的重要技術，但知易行難，很多企業在實行上都只能摸著石頭過河。DICT 數智通訊服務供應商中信國際電訊 CPC（以下簡稱 CPC）及電郵安全服務公司 Green Radar 早前便合辦了一場午餐研討會，邀請了香港應用科技研究院（ASTRI）的行政總裁，一同分享了多個「已落地」的人工智能實用個案，以及在網絡安全中擔當的重要位置。 打破專利觀念 公開技術以回饋社會 現時有關元宇宙的應用，均離不開沉浸式（immersive）體驗，以及進入 Sandbox 等虛擬遊戲世界去開拓商機。不過，香港應用科技研究院行政總裁 Dr. Denis Yip 則認為發展多年的虛擬實境（Virtual Reality）及增強實境（Augmented Reality）技術，其實早已嘗試將現實與虛擬世界結合。而且遊戲式應用只流於表面，企業應該想得更深入，才能探索到元宇宙的新應用場景。「以買賣非同質化代幣（Non-Fungible Token）為例，由於現時沒有身份驗證系統，根本無法知道實際擁有權誰屬，當持有人的個人背景模糊，這些交易數據便無法應用於數碼市場推廣。」Denis 坦言這些問題會影響到企業在元宇宙內的推廣策略，例如元宇宙內的地產商便無法將相關廣告推送給目標受眾。因此應科院現正研究一項身份驗證服務，在平衡私隱元素的情況下，讓人工智能技術標籤特定用家的背景資料，這些數據對服務供應商來說便非常寶貴。…