Tesla創辦人 Elon Musk 完成收購社交媒體Twitter後即時大舉改革，包括解僱公司管理層、計劃削減 Twitter 一半人手，近日更延伸到用戶認證制度，透過 Twitter 宣布會向藍剔徽章用戶收取每月 8 美金的費用。Elon Musk 此舉引來 Twitter 用戶熱烈討論外，更吸引了騙徒乘機利用 Twitter 藍剔認證之亂，向用戶發出網絡釣魚電郵。 Twitter 藍剔徽章認證一向深受歡迎，因為比例少、關注度高，令不少用戶都想擁有。然而近日許多 Twitter 用戶聲稱收到電郵，包括外國媒體…

一款保持低調的釣魚工具，最近被發現使用了極難被發現的 Browser-in-the-Browser 技術，竊取 Steam 遊戲內進階玩家的帳戶登入資料，由於並非彈出式視窗，因此不會被安全工具攔截，瀏覽器內顯示的訊息亦能製造安全假象，令目標難以察覺。 今年三月，安全研究員 mr.dox 開發了一套高性能釣魚工具，並示範了如何透過這個工具竊取 Steam、Microsoft、Google 帳戶登入資料的可行性。在相隔多月後，網絡安全公司 Group-IB 便發表了新報告，顯示利用這種技術竊取 Steam 玩家帳戶資料的方法正大行其道，而部分被竊取的高階玩家帳戶，其價值更由 10 萬美元至 30 萬美元，可見黑客憑藉這項釣魚工具的收入相當可觀。 Group-IB 專家指出，這款新的釣魚工具未有在暗網或地下討論區大肆宣傳，黑客戶而通過…

有研究指出，現時超過九成網絡攻擊借電子郵件策動。面對愈趨複雜的網絡釣魚攻擊，企業可自設電郵系統的規則以阻截攻擊，然而人為失誤卻難以避免。另外，採用網絡釣魚範本作訓練，亦不足以讓員工在模擬的測試中，得到洞察真實釣魚攻擊的能力。要採取有效而可靠的應對策略，可透過識別釣魚電郵的訓練，以及實時培訓，達到提高用戶在阻截網絡釣魚電郵件的意識，藉以增強端對端的保護。 電郵安全公司 Green Radar 的服務方案，提供以雲為本的電郵保障，其中 grAssessment 採用 Green Radar 自家 SOC 的大型數據合集，其收集數以百萬計來自全球和本地的威脅情報，以貼近真實場景（best real scenario）設計像真度極高的釣魚攻擊訓練，更能為企業提供本地化和定制化的訓練內容，提高員工識別能力。

黑客專業服務例如 RaaS、DDoSaaS 等成為大趨勢，要在同業中搶到生意，必須擁有更全面功能及售後服務。網絡安全公司 Resecurity 發現一款新的 Phishing-as-a-Service 服務 EvilProxy，就聲稱可以繞過 2FA 或 MFA 驗證功能，竊取帳戶登入權限，備受暗網中人關注。 以往的 Phishing-as-a-Service 服務，主要是供應商為客戶提供客製化的釣魚電郵內容或針對不同行業的電郵樣本，又可提供乾淨的電郵伺服器以增加進入電郵信箱的機會，再進一步，甚至可提供像真度極高的釣魚網頁令收件者上當，令電腦技術不高的騙徒也可順利竊取所需的帳戶登入資料或信用卡資料。由於提供服務的供應商眾多，因此業界競爭非常激烈。網絡安全公司 Resecurity 研究員就在最近捕捉到 PHaaS 供應商 EvilProxy（又稱…

Facebook 及 Instagram 的名人帳戶後方都有一個小藍剔，認證其具知名度，並擁有社會影響力的名人，藍剔帳戶是名人本尊正使用的代表，這個小小的藍剔讓人趨之若鶩。但最近有一個新的 Instagram 網絡釣魚活動，被發現試圖以提供藍剔來欺騙該平台的用戶。 這個網絡釣魚活動被發現是以魚叉式電子郵件接觸收件人，聲稱 Instagram 已審查他們的帳戶，並認為他們有資格獲得藍剔徽章，並要求這些用戶立即填寫表格，並在 48 小時內領取他們的驗證徽章。即使該釣魚活動隱約有欺詐味道，但黑客決定「相信」這些 Instagram 用戶在面臨獲的藍剔的機會，會因而粗心地墮入陷阱上當。 以 AI 驅動的電子郵件安全服務 Vade 的威脅分析師，發現了相關的攻擊活動，報告提到第一批向目標發送消息的電郵，在 7 月…

網絡安全公司 KrebsOnSecurity 早前收到讀者報料，指收到一封非常高質素的釣魚電郵，黑客假借 PayPal 帳戶發出電郵，同時內附 PayPal 帳單，幸好收件者及早意識到是騙局，無依從指示安裝遙距支援軟件，否則就會拱手送上電腦控制權，後果不堪設想。 俗語說久病成醫，每日都收到大量釣魚電郵，按道理應該可以減低中招風險。不過，如果面對的是高質攻擊就好難講。對於一般人來說，分辨釣魚電郵的方法首先是憑感覺，例如根本沒有Amazon帳戶而又收到對方發來的電郵，代表欺詐成分愈高。其次是留意電郵內容，看看有沒有串錯字、文法不通，又或使用了低像素的公司標誌圖案。更進階的方法會查看發送地址及電郵憑證，如做齊以上步驟，應該已可過濾七至八成釣魚電郵。 而在 KrebsOnSecurity 這次接獲的舉報中，讀者面對著這封由 PayPal 發出的電郵，已經做齊上述各種安全檢查，甚至利用預覽功能檢查電郵內的連結，亦證實全部都指向P官網，就連電郵內聲稱要打開的帳單連結，亦是寄存在 PayPal 網站內。讀者於是先放心點擊連結查看帳單，而帳單內的圖片及格式亦要 PayPal 發出的沒有分別，似乎有一定可信性。由於帳戶內指收件人有一宗 600 美元交易有可疑成分，於是讀者便跟指示打至客戶服務中心。不過，接聽電話的人很快便要求這位讀者安裝遙距控制軟件，讓客服可更快協助他確認是可疑交易，幸好讀者安全意識夠高，當下便拒絕要求，再從官網登入帳戶檢查，結果發現根本沒有收到可疑交易通知，確認差點受騙。 不過，到底問題出在什麼地方？KrebsOnSecurity…

根據 Palo Alto Networks Unit 42 的一份新報告，發現威脅參與者透過合法的軟件即服務 (SaaS) 平台，如 website builder 和個人品牌空間等，創建竊取登入憑證的惡意網絡釣魚網站。研究人員發現這種濫用 SaaS 平台的行為急劇增加，其數據更顯示，從 2021 年 6 月到 2022 年…

隨著疫情的變化，不少國家逐漸放寬入境措施。黑客又蠢蠢欲動，趁酒店業及旅遊業復甦之際發動釣魚活動。一名被追蹤並命名為 TA558 的黑客，今年更見活躍，專門針對酒店和旅遊業界相關的公司發動網絡釣魚活動。TA558 利用一組 15 個不同的惡意軟件系列作攻擊，通常是遠程訪問木馬 (remote access trojans, RAT)，來取得目標系統的存取權限、執行監視、竊取關鍵數據，並最終從客戶竊取資金。 TA558 至少從 2018 年開始就一直活躍，但 Proofpoint 發現，TA558 最近變得更活躍，並與這兩年多因 COVID-19 疫情，而遭限制、最近又開始反彈的旅遊業有關。2022 年，TA558…

網絡安全公司 Check Point 發表最新釣魚電郵報告，LinkedIn 及 Microsoft 成為最常被冒用品牌，前者差不多佔了全部釣魚電郵的 45%，後者則達 13%，過往被冒用得較多的品牌如 Netflix 已跌出十大，相信跟其訂戶數量大跌有關。 Check Point 上星期發表最新一季釣魚電郵報告，分析最受犯罪集團看好的品牌。釣魚電郵一般不會針對特定對象，主要是用漁翁撒網方式，大規模發出惡意電郵對待收件者上釣。成功與否，取決於所冒認的品牌與收件者是否有關係，因此品牌的用家或客戶愈多，成功率愈高。而在最新一季的統計數字可見，職場社交平台 LinkedIn 明顯最受歡迎，因為在所有釣魚電郵攻擊中，它共佔了 45%，雖然它已從去季的 52% 稍為下降。 事實上，早前另一間網絡安全公司…

網絡安全公司 Akamai 最近在自設的 WordPress 蜜壼中，捕捉到一個新的 PayPal 釣魚攻擊，攻擊的目的是於已感染的 WordPress 網站中加入 PayPal 套件，通過不同手法掩飾其惡意行為，最終盜取網民的 PayPal 帳戶及各種個人私隱情報，對網民造成極大危機。 PayPal 網上付款工具在全球擁有 4 億用家，不少網民都會使用它作電子支付，因此不時有黑客瞄準這些用家發動攻擊。網絡安全公司 Akamai 為了監測最新的攻擊，因此特別設置了存在漏洞的 WordPress…