網絡安全公司 Check Point 發表最新釣魚電郵報告，LinkedIn 及 Microsoft 成為最常被冒用品牌，前者差不多佔了全部釣魚電郵的 45%，後者則達 13%，過往被冒用得較多的品牌如 Netflix 已跌出十大，相信跟其訂戶數量大跌有關。 Check Point 上星期發表最新一季釣魚電郵報告，分析最受犯罪集團看好的品牌。釣魚電郵一般不會針對特定對象，主要是用漁翁撒網方式，大規模發出惡意電郵對待收件者上釣。成功與否，取決於所冒認的品牌與收件者是否有關係，因此品牌的用家或客戶愈多，成功率愈高。而在最新一季的統計數字可見，職場社交平台 LinkedIn 明顯最受歡迎，因為在所有釣魚電郵攻擊中，它共佔了 45%，雖然它已從去季的 52% 稍為下降。 事實上，早前另一間網絡安全公司…

一個漏洞足以令整個電腦系統死機，網絡安全專家一早提醒有 patch 快補，切勿讓威脅者有機可乘。網絡安全和基礎設施安全局 (CISA) 提醒所有人都應修補軟件漏洞，並在一周之內將 75 個常遭入侵漏洞增至「必須修補（must-patch）」列表中，當中包括 Microsoft Silverlight plug-in 和 Adob​​e Flash Player 中的一些較舊的程式缺陷。 CISA 在其已知被利用的軟件漏洞列表中，添加三批必須修復的錯誤。第一批涵蓋 21 個漏洞，第二批涵蓋 20…

勒索集團 LAPSUS$ 在今年初開始，多次成功入侵科技巨企如 Nvidia、Microsoft、Samsung，並於網上公開受害企業的領先科技，雖然部分集團成員被捕，但在這一系列事件中，的確曝露出大企業在網絡安全上意想不到的脆弱性，到底有什麼反面教材可成為參考？ LAPSUS$ 雖然同樣以勒索受害企業謀利，但集團與其他勒索軟件有明顯分別，因為它專注於竊取科技企業的機密資料，並不熱衷於加密對方的電腦設備或數據，只會要求對方交付贖金，換取機密資料不被公開。由今年初開始，多間科技企業相繼被 LAPSUS$ 攻陷，當中包括 Microsoft 部分應用服務如搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana、Nvidia 的 LiteHash Rate （LHR）及 DLSS 技術、Samsung…

愈來愈多人加入加密貨幣及非同質化代幣 (NFT) 市場，不過在投資之餘，用家卻未必擁有相關的網絡保安知識，例如未有好好保管電子錢包帳戶的助記詞 (seed phrase)，導致錢包帳戶被清空。其中一個加密貨幣電子錢包供應商 MetaMask 用家最近就成為受害者，供應商因未有知會用家儲存在 app 內的 seed phrase 會自動備份到 iCloud 帳戶上，因此有用家在釣魚攻擊下痛失存款，最慘烈的個案更損失價值 65 萬美元儲存的資產，似乎使用 cold wallet 會較安全。 擁有…

疫情放緩，政府的運動中心也相繼開放，與校友在打高爾夫打球時吹水，在疫情期間健康問題自然成為閒談的熱門話題——年紀大、機器壞是不能避免的。閒談間也講到職業與壽命的關係，校友說他的大學同學剛剛蒙主寵召，死者是一名著名的心臟病醫生，但能醫不自醫，死於心臟病。其實在資訊保安界也是一樣，愈是著名的資訊保安公司，愈是受到黑客的攻擊，應驗一句老話：「不經人黑是庸才！」。 疫情中眾多的資訊保安事件中，FireEyes 的 Solar Strom事件最為人關注，因為黑客利用 SolarWinds 產品的漏洞，對 FireEyes 公司作針對性 APT 攻擊。在 SolarWinds 供應鏈攻擊期間，Microsoft 和 Malwarebytes 兩家公司均遭到黑客的攻擊。網絡保安公司 CrowdStrike 表示，黑客以 SolarWinds 的用戶為目標，但攻擊 Microsoft 和 Malwarebytes 的事件並未成功。 但在 2021 年…

不認不認還須認，上週末網絡犯罪集團 Lapsus$ 聲稱已盜取 Samsung 約 190GB 機密數據，當中包括 Samsung 自家用於 Android 裝置上的 Trusted Applet 原始碼、生物特徵解鎖演算法、驗證 Samsung 用家帳戶的原始碼及 API。Samsung 沉默多日，終於承認這次外洩事故，但就強調當中不涉員工及客戶的個人私隱資料，似乎想淡化事故的嚴重性。 Lapsus$ 網絡犯罪集團專門從事數據盜竊，而在宣布成功入侵…

網絡安全團隊 Project Zero 發表最新統計報告，顯示現時 IT 公司對推出安全更新的速度愈來愈快，在 2021 年經團隊舉報的所有漏洞中，平均只須 52 日便有安全更新推出。而在 90 + 14 日的寬限期政策下，只得 5% 個案未能完成漏洞修補，對企業來說自然是好消息！ Google Project Zero 是…

Apple macOS 用於控制應用軟件存取權限的 TCC 技術再一次被發現漏洞，Microsoft 365 Defender 研究團隊去年六月向 Apple 舉報的 powerdir 漏洞，可讓有心人繞過安全限制，暗中竊取用家的私隱資料。現時漏洞已被堵塞，所以研究員就可以放心公開。但對還未更新 macOS 作業系統至 12.6 或以上的用家來說，被入侵風險就大大提高！ macOS 的 TCC (Transparency,…

美國、英國、新西蘭等多國政府的安全機構，相繼向當地公私營機構發出警告，因為 Apache 一個名為 Log4j 的 Java 日誌管理平台存在的零日安全漏洞，將有可能引發出如 SolarWinds、Kaseya 安全事故的影響。而從不同安全機構捕捉到的攻擊樣本可見，黑客集團正爭相利用漏洞散播挖礦軟件、木馬程式，再加上受影響企業數以萬計，難怪各國政府如此慌張！ Apache Log4j 本身是一個極受歡迎的開源 Java 日誌管理平台，它可以讓企業完整監察及記錄應用軟件的各種使用數據及錯誤數據，因此不少企業也有採用。而就在上星期五，有安全專家發現網上遊戲《Minecraft》所使用的 Apache Log4j 有漏洞，經調查後，專家指黑客可利用該漏洞引導用戶瀏覽一個藏有隱藏惡意代碼的伺服器，於伺服器的日誌中留下一句惡意編碼，其後當 Log4j 收集伺服器的日誌時，錯誤地執行將惡意編碼，被強制到訪黑客的控制中心，進一步下載一個以 Base64…

Google 的威脅分析小組 (Threat Analysis Group, TAG) 透露，有黑客正利用 macOS 中以前未公開的漏洞或零日漏洞，來監視針對香港網站瀏覽者，並捕捉用戶的按鍵和屏幕截圖等動作。Google 未透露攻擊所針對的網站，但指出當中包括香港媒體機構和民主派的勞工和政治團體。 大約在 Google TAG 研究人員發現該漏洞被利用一個月後，Apple 在 9 月的 macOS Catalina 更新並修補了這個漏洞，編號為…