為了加強帳戶的安全性,不少雲端應用服務供應商都會強制用家使用雙重因素驗證(2FA)功能,例如通過接收 SMS 或電郵接收額外的驗證碼,才能登入帳戶。雖然有 2FA 保護,不過用家都不能夠掉以輕心,特別是應用服務供應商的管理員,由於擁有極高的帳戶權限,就算要克服極大難關,黑客也會持續挑戰。 想知最新科技新聞?立即免費訂閱! 例如最近安全服務供應商 Cyberhaven 的員工就成為釣魚電郵的受害者,帳戶遭受黑客騎刧,繼而利用帳戶權限發佈暗藏惡意功能的 Chrome 擴充工具更新檔,導致 40 萬企業客戶置身危機之中。 針對 Google Chrome 瀏覽器擴充工具攻擊增加 在剛過去的聖誕節,不少網絡安全機構發現針對 Google Chrome…
Search Results: 2FA (68)
瀏覽器擴展程式經常很多「伏」,所以要用得小心,最好是查清楚是安全的工具方使用。繼早前假 ChatGPT 的擴展程式,又有安全研究人員發現了一種名為 Rilide 的新型惡意瀏覽器擴展程式。它針對如 Google Chrome、Brave、Opera 和 Microsoft Edge 的 Chromium 產品,並以騙取使用者的雙因素認證碼為目的,最終盜走用戶的加密貨幣。 想知最新科技新聞?立即免費訂閱 ! Rilide 惡意軟件的入侵途徑是透過注入網頁 Script,以監控瀏覽器活動,截取屏幕截圖,繼而竊取加密貨幣。Trustwave SpiderLabs 的研究人員發現,Rilide…
啟用雙重(2FA)或多重因素驗證(MFA)技術,是守護企業員工帳戶的其中一種安全做法,不過,黑客近來開始使用新的入侵手法,轉移瞄準員工儲存在電腦瀏覽器內的 Session Token,因為可繞過 2FA 或 MFA 的再一次驗證,剛發生數據外洩事件的 IT 服務供應商 CircleCi,便是這種攻擊的受害者。 以往黑客要入侵企業內部網絡或雲端帳戶,最常做法是,從暗網或地下討論區購買外洩的帳戶登入資料,或以釣魚電郵騙取員工輸入密碼。 2FA 或 MFA 的驗證技術,某程度上可阻止黑客入侵帳戶,因黑客除了要持有帳戶登入資料,還要有額外驗證碼、硬件驗證金鑰或如 Microsoft Authenticator 產生的驗證碼等,故近年網絡安全服務供應商都會建議客戶採用,Microsoft 更指公司啟用 MFA…
黑客專業服務例如 RaaS、DDoSaaS 等成為大趨勢,要在同業中搶到生意,必須擁有更全面功能及售後服務。網絡安全公司 Resecurity 發現一款新的 Phishing-as-a-Service 服務 EvilProxy,就聲稱可以繞過 2FA 或 MFA 驗證功能,竊取帳戶登入權限,備受暗網中人關注。 以往的 Phishing-as-a-Service 服務,主要是供應商為客戶提供客製化的釣魚電郵內容或針對不同行業的電郵樣本,又可提供乾淨的電郵伺服器以增加進入電郵信箱的機會,再進一步,甚至可提供像真度極高的釣魚網頁令收件者上當,令電腦技術不高的騙徒也可順利竊取所需的帳戶登入資料或信用卡資料。由於提供服務的供應商眾多,因此業界競爭非常激烈。網絡安全公司 Resecurity 研究員就在最近捕捉到 PHaaS 供應商 EvilProxy(又稱…
幾時都話,用短訊或電郵做 2FA 雙重驗證唔係絕對安全。雖然 Google 今年初先加強咗 Android 系統嘅 2FA 驗證漏洞,阻止第三方應用軟件開發公司擅自讀取 SMS 或通訊資料。不過最近已經有研究員發現有 Android 惡意軟件可以繞過此防線,繼續盜取一次性密碼 (OTP, One-Time Password)。 研究員 Stefanko 喺早前發現,一款冒充土耳其加密貨幣交易平台 BtcTurk…
為咗減少用家帳戶被盜取嘅風險,好多網站或應用程式例如 Facebook、Instagram 都採用咗雙重驗證(Two Factor Authentication, 2FA),用家除咗要輸入登入帳戶名稱、密碼之外,仲需要提供額外嘅驗證碼,例如通過 SMS 將一次性驗證碼發送俾用家,又或好似匯豐等網上理財一樣,要輸入保安編碼器提供嘅登入編碼。視乎所登入帳戶嘅重要性,用家未必每次都需要用到 2FA 嚟登入,例如當網站或應用程式偵測到用家使用另一部裝置登入,又或用家要求重設密碼,先至會觸發 2FA 運作。 暴力破解2FA驗證 Facebook 旗下嘅 Instagram 本身亦設有 2FA 驗證基制,當用家要求重設密碼,Instagram 就會將…
AI 可能是前所未有最鋒利的雙面刃——一邊廂它大幅提升工作效率,重新定義工作流程,另一邊廂,由 AI 驅動的威脅亦如洪水猛獸,鑽進企業網絡的弱點及漏洞發動攻擊。DYXnet 第一線作為「雲網安 +AI」服務供應商,夥拍全球頂尖網絡安全解決方案供應商 Fortinet,提倡從網絡架構做好防守,配合「主動狩獵」與「智能防禦」雙管齊下,透過 Secure SD-WAN、ZTNA 及 WAF 打造堅實防線,結合 Recon 等 AI 驅動的偵測工具實現威脅預警,為企業建立全方位的網絡安全生態系統。 網絡安全監控三大策略 達到高效安全管理 隨著生成式 AI 技術普及,網絡犯罪的門檻大幅降低,攻擊數量與複雜度皆呈指數級增長,企業若未能及時升級防禦體系,不僅有機會面臨重大財務損失,更有可能危及品牌信譽。第一線的方案經理曾昭儒(Alfred)指出,現代企業面臨的最大挑戰在於分散式工作模式所帶來的管理難題——員工使用各類裝置及雲端服務工作,使網絡邊界變得模糊,攻擊面大增,令…
Valve 宣布,由 10 月 24 日開始,遊戲開發者必須提供電話號碼接受安全驗證訊息,否則將無法在 Steam 遊戲平台上發布遊戲或更新檔。這次收緊帳戶驗證條款,原來全因有開發者被黑客盜取帳戶登入資訊,再將含惡意功能的遊戲更新檔發送給玩家,令數百名玩家的電腦遭受病毒感染。雖然 Valve 提升帳戶驗證是好事,不過,有被入侵的開發者就指新措施的實際作用不大…… 想知最新科技新聞?立即免費訂閱 ! 通過 Steamworks 發送遊戲更新檔 有玩連線電腦遊戲,應該都知道 Steam 的用途,它具備數碼版權管理(DRM)、多人連線遊戲、配對系統、成就系統、收款、遊戲內語音聊天及社區創作內容共享等功能,所以不少遊戲開發者都會選擇於 Steam 發布新遊戲,例如包含大帽山賽道的港人開發賽車遊戲…
網絡安全公司 Obsidian 發現首個公開記錄的自動化 SaaS 勒索軟件事件!有黑客組織入侵 Microsoft Global SaaS admin 的帳戶,對 SharePoint Online(Microsoft 365)進行勒索軟件攻擊,而毋需從用戶终端入手。換言之,即使不經電腦,黑客也可以植入勒索軟件。 想知最新科技新聞?立即免費訂閱 ! Obsidian 相信,今次攻擊由一個名為 Omega 的黑客組織發起。採用雙重勒索(勒索軟件及盜取數據)的 Omega,最早於 2022 年…
疫情過後,多數企業已做到數碼轉型,隨著工作流程產生的資料數碼化,資料儲存需求也與日俱增,然而,在儲存需求增長的同時,企業也面臨資料儲存成本提升、安全性等問題,對此,Synology 以近年來協助全球數十萬家企業 IT 轉型的實作經驗,集結三大儲存趨勢的解決方案,助企業應對現代化儲存挑戰。 大容量儲存需求增 儲存單位成本受重視 近年來,許多企業湧現了數百 TB 甚至是 PB 量級的儲存需求,舉凡資料備份、影像監控、大數據採集與分析服務,都需要將大量資料保存於企業伺服器,這些資料需佔據大量儲存空間,迫使企業不得不開始關注儲存單位成本。 Synology香港區負責人楊喆勝分享,企業的大容量儲存,主要分作兩種,一種是一次到位,像在港澳地區,不少研究機構需要機器學習,背後的資料庫就必須是一次到位的大容量儲存;另一種則是逐年成長,企業每年有大量的備份、監控、或是資料寫入, 導致總儲存每年等比增加,而這兩種需求,Synology 分別都有對應的產品線可以滿足。 針對一次到位的需求,Synology 提供一次可插入 60 顆硬碟的高密度機種HD6500,空間僅佔 4U 卻可直接做到 PB…