Microsoft 發表的最新 Cyber Signal Report 指，截至 2021 年 12 月，只有 22% 使用其雲端身份平台 Azure Active Directory (AAD) 的客戶，採用了強身份驗證（strong identity authentication），包括多因素身份驗證 (MFA)…

密碼管理服務供應商 LastPass 最近向大批用家發現電郵警告，指他們的帳戶出現不尋常的登入記錄，更聲稱已為用家阻截登入，呼籲用家盡快修改密碼及啟用雙重因素驗證 (two-factors authentication) 功能。不過，LastPass 堅稱並未發生數據外洩事件，但就有受影響用家聲稱登入密碼未有共用於其他帳戶，真相到底是？ 為了保障各種帳戶的安全，不少人都會為每個帳戶設定獨一無二的強密碼 (strong password)，即在字元長度、字符組合複雜程度上均達到一定標準的密碼。不過，並非所有人都有超人記憶力，因此要管理所有帳戶的密碼，便必須借助密碼管理器 (password manager) 記錄，而用家日後要取得這些帳戶登入資料，便只須記著一個密碼管理器的登入密碼，上述的強密碼應用才變得可行。 LastPass 便是其中一款最多人使用的密碼管理器，但就在近日內，有 LastPass 用家收到官方發現的電郵警告，稱其帳戶出現可疑登入，雖然對方使用了正確的帳戶登入資料，但由於登入的位置與用家平常有很大出入，系統站於安全立場，已先為用家進行攔截，並建議如登入並非由用家自己執行，便應立即更換密碼及提升安全檢查功能。LastPass 方面堅稱內部未有發生任何數據外洩，相信黑客是從其他數據外洩事件中取得用家的帳戶登入資料。 不過，有 LastPass…

美國網絡及基礎設施安全機構 (CISA) 發出非常危險行為注意目錄，呼籲企業或機構必須特別提防及避免讓員工犯錯，今次小編就帶大家一齊睇睇，當中有邊幾個項目要盡快達標。 近年勒索軟件事故頻頻發生，特別是美國企業及機構就經常受到攻擊。雖然近來勒索軟件集團的氣焰稍為放緩，不過美國的 CISA 未有放下戒心，反而全速製作一份高風險行為手冊，讓企業或機構能按著手冊內的重點，重新審視現時採用的安全措施是否足夠，以減少美國企業或機構遭受攻擊的機會。當中有三項行為被列為超高風險： 單因素驗證：即在登入帳戶時，IT 系統只要求員工使用其用戶名稱及對應密碼登入。由於大部分人為了貪方便，都傾向採甪簡單的密碼組合及與其他帳戶共用同一密碼，因此只要黑客使用暴力破解 (bruteforce) 便能輕易入侵；而後者亦容易因員工其中一個帳戶登入資料被外洩，繼而引發公司帳戶被入侵。研究發現，如採用多重因素驗證 (multi-factors authentication) 已可阻止 99% 帳戶入侵事件，因此企業或機構應盡快採用。 弱密碼：基本上比起採用單因素驗證更高風險，因為員工如自設的密碼夠強，例如採用無意義的英文字串，加插大小楷及數字符號，黑客要暴力破解也不容易。但如員工採用 password、12345678 或偶像英文名作為密碼，黑客便能瞬間破解。解決辦法是鼓勵企業採用多重因素驗證之餘，可讓員工使用密碼管理器，這樣員工才不會因要記住複雜密碼而頭痛，亦可令他們更易接受為每個帳戶採用不同密碼。 過期軟硬件：又一嚴重危險行為，如企業所使用的軟硬件已停止生產，而製造商或開發商亦停止繼續為產品提供支援，屆時如被發現安全漏洞，企業也不會得到任何保護，而黑客便可利用漏洞大舉入侵。企業應盡早做好升級準備方案，如已知悉產品將被停止支援，便應即時跟進。 資料來源：https://zd.net/3jDVvLA

近日全球各地發生多宗數碼災難，有保險公司旗下牽涉多國的客戶數據資料遭公開，更接連有基建，包括能源公司、醫院、軟件公司等遭受勒索軟件威脅的事故，牽連甚廣，影響民生。面對黑客頻繁出動，企業必須找出現行系統存在的漏洞，加以防範。在疫情之下，遙距辦公或為企業保安系統打開缺口，在員工脫離公司網絡保護下，企業應當如何自保，做好把關呢？ 企業日常營運需使用多個不同的系統，諸如財務系統、公司內聯網、雲端數據庫等，使用愈多的系統，便需要記住愈多的密碼，如果偷懶全部用上同一組密碼，一旦遭黑客盜入等同把不同的夾萬之門打開任人竊取財物。Thales 大中華及韓國雲數據保護與軟件授權區域銷售經理任兆雄（Tommy）指出，無論是數據洩漏，抑或是勒索軟件攻擊，其導致原因都有機會是企業大門把關出現問題，太多進入系統的入口，自然甩漏也會更多，被攻擊的機會亦因此增加。企業要修補漏洞，便需監察好每個入口，「加多把鎖匙」，鎖好每一道門。 Thales 大中華及韓國雲數據保護與軟件授權區域銷售經理任兆雄（Tommy）表示，無論是數據洩漏或勒索軟件攻擊，其導致原因都有機會是企業大門把關出現問題。 免卻記密碼及繁複登入步驟 那麼到底如何為系統加設鎖匙？Tommy 解釋，黑客會假裝是企業的員工，使用其登入資料進入系統，而採用多因素驗證方法（Multi-factor Authentication, MFA），就是最佳方法：在用戶登入系統時，除了需輸入帳戶名稱及密碼，需要再作多一次的驗證，例如輸入傳輸至用戶手機的驗證碼，或是再用如指紋、面部特徵等生物特徵作身份確認。坊間有網站提供免費的 MFA 工具，例如會創建一個獨有的 QR Code，作為身份驗證；不過如果有人從其他途徑獲得相關QR code，就有風險被盜用身份，所以使用 MFA 作為身份驗證保安工具時，應檢查所有「大門」，避免遭黑客有機可乘。Thales IAMaaS 解決方案是作為「鎖匙保管者」的存在，讓企業安心阻擋非員工人士進入機密系統，免卻需要記下多個密碼的煩惱，同時也能擁有嚴密的保安措施。 Tommy 笑稱Thales「鎖匙佬」，「一條龍」做好企業系統的所有把關，包括配合客戶需求、客戶服務、維修等，全方位支援客戶需要。而 Thales IAM 雲端方案是一個管理用戶所有登入憑證的服務，方便 end-user 操作，省卻登入須多次輸入密碼的麻煩，登入只需作一次身份確認，即使稍後要進入其他系統，亦毋須不斷輸入帳戶名稱及密碼。 Thales IAM 雲端服務設有三條防線：第一條防線是在輸入帳戶名稱及密碼後，加設多一個驗證因素，以；第二條防線是 Smart Single Sign-on （SSO），即智能單點登錄功能；第三條防線是以零信任 （zero-trust）的機制。 三條防線 智能分析異常用戶行為 Thales IAM 雲端服務設有三條防線：第一條防線是在輸入帳戶名稱及密碼後，加設多一個驗證因素，以作身份確認；第二條防線是 Smart…

金融機構及其客戶，一直是網絡罪犯的頭號攻擊目標，最常用的攻擊手法便是釣魚電郵（phishing）或更專門的魚叉式電郵（spear phishing），因此金融業界要保護客戶，便必須從電郵安全方面著手，例如準確設定各種電郵驗證技術，防止罪犯冒充銀行發電郵進行詐騙。 正確啟用電郵安全功能，最大好處是只有金融業界發送給客戶的電郵，只能從核實的郵件服務器發出，令犯罪分子只能註冊使用類似的網域發送電郵，只要收件者夠細心，便能從網域上分辨真偽，再者亦容易被電郵防護工具的威脅情報所過濾，減低詐騙電郵的成功率。不過，並非所有金融服務都會引入這些安全措施，其中聯邦信用合作社（Federal Credit Union）便沒有足夠防護。根據 IntelFinder 最近進行的一項研究顯示，在 300 個 FCU 機構中，只得 8% 啟用了強大的電郵安全工具。 IntelFinder 專家特別檢查了FCU 機構中的 SPF 和 DMARC 記錄是否存在，以及…

Microsoft 專家警告，依然採用舊式驗證 (legacy authentication) 技術管理 Exchange Online 的企業，即使啟用多重因素驗證 (MFA) 服務，都有可能被黑客入侵帳戶，最近就有一宗商業電郵詐騙 (BEC) 案例，就是因為上述原因而出事…… 根據 Microsoft 的官方描述，舊式驗證指的是使用基本驗證的通訊協定，而採用相關驗證為基礎的應用程式包括舊版 Microsoft Office 應用程式及使用 POP、IMAP、SMTP 等郵件通訊協定的應用程式。由於舊式驗證無法強制執行多重因素驗證…

愈來愈多人投身 YouTuber 行列，但有否想過，YouTuber 也可能成為黑客的網絡攻擊對象？近日本港便有 YouTuber 懷疑被黑客入侵帳戶，黑容除了利用其頻道進行直播，更將受害人數以百計嘔心瀝血製作的影片，一一變成不公開。受害人推斷，事件可能跟黑客盜取其 Session ID（工作階段識別碼）有關，但亦有網絡安全專家不明白，系統雙重驗證（Two-Factor Authentication, 2FA）為何未能發揮帳戶保護功效。 懷疑受到黑客攻擊的 YouTuber「希比」，在 YouTube 平台經營個人頻道「HEBEFACE」，經常製作及上傳影片，介紹港產片經典場景，頻道獲超過 6.3 萬人訂閱。希比接受本網訪問時表示，大約一星期之前，他收到粉絲通知，懷疑 HEBEFACE 頻道被入侵，他查看後發現，有人正利用 HEBEFACE 頻道進行以太坊相關的直播，「我於是馬上更改登入密碼，但之後對方仍然可以控制到我的帳戶，我更眼白白看著他將我的影片變成不公開。」希比表示，當時自己依然可以控制帳戶，包括將影片設定回公開，可見對方只入侵而沒有奪取其帳戶，情況相當特殊。…

疫情期間，為了讓員工可以在家工作，不少企業都會購入協作平台工具，而在名牌效應下，揀選 Microsoft 365 的企業亦特別多，不過，有調查顯示 Microsoft 365 用家在這段期間發生的電郵外洩事故較其他工具高一倍，15% Microsoft 365 用家更曾發生 500 次數據外洩，遠超其他工具的 4%…… 電郵防護服務供應商 Egress 新發表一份調查報告，旨在分析 Microsoft 365 電郵服務的安全盲點。調查一共訪問了來自美國及英國的 500…

現時有三分之二香港企業有望實施混合工作模式，「零信任保安」( Zero Trust Security ) 成為最近企業網絡保安熱話。Aruba 香港及澳門地區總經理 Fiona Siu 接受 wepro180 獨家專訪，分享 Zero Trust Security 應用的最新市場趨勢，她認為 Zero Trust Security 已成為企業網絡發展核心，企業營運者必須認識及將之應用，長遠方可保護企業網絡。…

SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生，但既然愈來愈多港人準備移民，當然要了解一下如何避免成為這種攻擊方法的受害者，特別是去年因 SIM-swapping 導致的損失高達過億美元，當中更有著名 KOL、體壇明星、名人，千萬不能掉以輕心。 所謂 SIM-swapping 攻擊，是一種透過非法手段，從電訊商員工手中騙取其客戶電話號碼使用權的攻擊，例如假扮其客戶訛稱遺失手機，要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼，或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作，不過由於被查出的風險較高，所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響，這類騙案較少在亞洲發生，而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼，可以參考以下社交工程 (social engineering) 攻擊的經典示範。 https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed 騙取到電話號碼使用權後，如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶)，而又需要額外 SMS…