不少人都喜歡用網上設計平台 Canva 來製圖，成品製作過程方便而出品又精美，但是黑客竟然利用 Canva 分享功能，藉以加入釣魚網頁登陸頁面。Canva 允許用家建立 URL，將設計向朋友或同事共享檔案，加入在平台中協作設計，對方只要點擊連結，就會看到整個設計頁面。 而正正就是 Canva 這個功能讓黑客有機可乘！網絡安全公司 Confense 最近公布一份報告指 Canva 面對的威脅因素愈來愈大，指透過 Canva 創建的 HTML 登陸頁面，被利用作將受害者重新導向至虛假登入頁面。報告以一封假裝是 SharePoint eFax…

CT Scan（電腦掃描）除咗可以用嚟確診癌腫瘤，亦可以用嚟檢查空心器官如心臟、肺嘅健康狀況。由於檢查過程要精準控制輻射照射劑量，減少對人體傷害，如果檢查系統被黑客入侵，分分鐘搞出人命。有研究團體就開發出一種 AI 技術，可以防止黑客喺輻射劑量上做手腳，準確度仲高達八成以上添！ 新冠疫情期間，外國唔少醫療機構都受到網絡攻擊，大部分個案都係中咗勒索軟件，俾黑客偷走病人嘅私隱及加密系統檔案，唔算死得人。不過，如果 CT Scan 嘅輻射劑量被竄改就大件事喇，唔單只會誘發癌症，嚴重更有死亡風險。以色列 Ben-Gurion University 研究團隊最新發表報告，公開佢哋用 AI 打假嘅成果。團隊首先搵咗間 CT Scan 儀器供應商合作，輸入 1,991 宗檢查案例俾 AI，等佢分析喺檢查唔同年齡對象、位置及病例嘅情況下所需使用嘅輻射劑量，然後再喺一間醫院入面做測試。分析按兩方面進行，一個專門用嚟分析可疑嘅劑量指令，另一個就比較相同病例嘅使用設定，一旦發現檢查內容有問題，就會即時通報醫護人員，結果發現兩者嘅攔截成功率高達 82%…

日本攝影器材巨商 Canon 被爆遭知名勒索軟件 Maze 襲擊，導致 Canon email、Microsoft Team、美國官網等內部應用程式紛紛受影響，傳聞更指超 10TB 用戶資料被竊取。 直至截稿時間，Canon 美國官網仍無法進入 據 Bleeping Computer 爆料，Canon 美國分公司一員工昨日收到公司 IT 部通知，指公司多個內部系統及 20…

一句到尾，釣魚攻擊嘅方法雖然萬變不離其中，不過，引人上吊嘅餌就好有彈性，而且仲好貼市況添。例如早排新冠疫情爆發，黑客就利用疫情資訊增加收件人開附件或點擊連結嘅機會；WFH 令視像會議使用量大增，釣魚電郵嘅主題就變成 Zoom 之類嘅會議邀請。而最新嘅釣魚電郵主題，就輪到視像娛樂服務供應商 Netflix 喇。 Armorblox 網絡安全研究員指出，最近利用 Netflix 為主題嘅釣魚電郵數量大增，黑客企圖令 Netflix 用家相信付款系統出咗問題，要更新信用卡資料。為咗避開傳統電郵防護工具，黑客今次就利用 Captcha 嚟增加可信度，令防護工具誤以為電郵內附連結只係跳去一個合法嘅 Captcha 反機械人驗證版面，而唔將電郵歸類為惡意電郵。但事實上，經過驗證後再跳轉嘅網站，先至係假嘅 Netflix 登入頁面。呃完防護工具，黑客亦精心打造咗一個同 Netflix 一模一樣嘅頁面，雖然專家話頁面上所有連結最終都係跳去信用卡資料更新版面，但用家可能無咁細心，結果就親手將信用卡資料交俾黑客。…

COVID-19 持續蔓延，遙距工作日益成為大趨勢，電子郵件作爲最常見嘅企業通訊工具就更加危險。根據香港企業網路保安準備指數(HKPC SSH) 報告顯示，83% 嘅網絡攻擊都由一封網絡釣魚電郵開始，一旦失守就會導致數據洩漏，造成經濟損失，更可能損害公司聲譽。 最弊嘅係，魚叉式網路釣魚 (Spear Phishing) 同零時差攻擊 (Zero-Day Attacks) 一日比一日先進，愈來愈難用傳統嘅 IP 或者黑名單發現。係時候用新科技對付呢種威脅喇！ 我地誠意邀請你參與 Green Radar 舉辦嘅網絡研討會，了解更多最新網絡釣魚攻擊手法，同新一代電子郵件保護解決方案。立即報名參加，仲有機會喺問答環節嬴取 $200 HKTV…

登入 IG 或Google 帳戶時，如果有設定雙重因素認證(2FA）嘅話，相信對 Google Authenticator 一啲都唔陌生。呢個 app 可以為已連結嘅網上帳戶產生一個驗證碼，通常係一組六位數字，用戶登入帳戶時要喺限時內輸入驗證碼，否則驗證碼就會失效，需要重新再產生一組數字。 不過同類嘅 app 好似 Authy 或 Microsoft Authenticator，都容許多部裝置共用同一個帳戶，即係如果你要登入一個啟用咗雙重因素驗證嘅網上帳戶，都唔會限定你用死一部手機，只要喺女相關裝置上安裝呢啲 app 再登入返你個帳戶就得。不過，舊版嘅 Google Authenticator…

可能你未必留意到 reCaptcha 係啲乜嚟，但你絕對有用過呢項人類驗證功能。當你去到某啲網站嘅時候，為咗證明你唔係機械人，就首先要通過點選 reCaptcha 驗證 box 入面嘅圖案，例如有幾多格有交通燈、貓，答中咗先可以去到指定網站或開始網購。而雲端安全解決方案供應商 Barracuda 最近就發表報告，多咗黑客利用真嘅 reCaptcha API 嚟提升釣魚攻擊嘅可信性，特別係搏取安全防護系統嘅信任添！ 先交代下 reCaptcha 呢項功能先，其實佢早喺 2003 年已被提出，不過當時只係叫 Captcha。後來團隊諗到用呢項功能行善，就係借助網民力量提升 OCR 光學掃描技術嘅準確度，於是計劃先變成…

網購已經成為咗唔少人嘅習慣，不過，由 Magecart 黑客組織發動嘅 card skimming 攻擊又的確幾令人擔心，因為唔少購物網站都中過招，更有網絡安全組織發現高峰時間中咗 Magecart 嘅網站接近 200 萬個，我想買嘢啫，做乜搞到咁危險先得㗎？而為咗對付聞風喪膽嘅 Magecart，VISA 會喺今年推出採用代碼化（Tokenization）技術嘅網上付款方式，到底係咪真係咁保險呢？ 亂數助去識別化 首先回一回帶，交代下 Magecart 係啲乜嚟先，其實佢係透過喺購物平台嵌入 obfuscated Javascript惡意程式，神不知鬼不覺咁偷取客戶「濕平」時輸入嘅資料，黑客既可以向提供付款服務嘅供應商度造手腳，亦可以直接喺購物平台入手。而中咗招嘅網站，喺表面上絕對無任何破綻！ VISA 為咗對付呢種攻擊，其實上年已經喺…

本周初，香港電腦保安事故協調中心（HKCERT）公佈了第三季保安觀察報告，相比起去年頭三季，數據顯示今年頭三季安全事故數字上升 213%，再加上物聯網（IoT）的普及必將帶來更多安全問題。為了提升企業的網絡安全意識，香港生產力促進局聯同本地十個資訊保安專業組織，舉辦一連兩天的「資訊保安高峰會2019」（Information Security Summit 2019）。 於今早揭幕的高峰會，以「使用新技術保護數據 應對網絡安全新威脅」為主題，生產力局總裁畢堅文在致辭時已指出，物聯網設備在智能製造和智慧城市上的應用普及化存在不少問題，面對網絡上愈趨猖獗及複雜的黑客挑戰，以及世界各地引入更嚴謹的個人私隱政策規管，企業必須更迫切提升自身的網絡防禦水平。 充當企業安全顧問 他續說生產力局剛推出全新顧問服務「Security-as-a-Business」（SECABiz），便是為了協助企業和軟件開發商做好系統保安；針對物聯網安全性，亦正與德國弗勞恩霍夫生產技術研究所（Fraunhofer IPT）合作制定的「工業4.0推行策略評估服務」，加入網絡保安元素。 政府資訊科技總監林偉喬先生（前排右二）、生產力局總裁畢堅文先生（前排左二）、生產力局首席數碼總監黎少斌先生（前排左一）和資訊保安高峰會2019籌委會主席Dale Johnstone先生在「資訊保安高峰會2019」開幕禮上與一眾主辦機構代表合照。 大會開幕禮今天由香港特別行政區政府資訊科技總監林偉喬先生主禮，兩天會議雲集多位來自美國、加拿大、英國、日本和本港等地的資訊保安專家，以及多家國際知名企業代表，分享資訊保安技術在物聯網、人工智能、5G等領域的應用和潛在的網絡安全威脅。生產力局亦會由十月至明年一月期間，舉辦多場工作坊，介紹雲端及流動環境的數據保安、大數據分析等範疇的最新技巧和方案。 詳情請瀏覽生產力局網站 https://www.hkpc.org/

睇開我哋嘅報導，應該知道而家喺盜用信用卡資料嚟講，邊個黑客集團最離譜。無錯，就係 Magecart 嘞。呢個慣犯好棘手，佢最叻就係喺網購網站加入一段好短嘅惡意程式碼，靜靜雞偷走用戶去網站買嘢時輸入嘅信用卡資料，英國航空、TicketMaster、Newegg、Forbes 等等好多大企業都中過佢哋招，有網絡專家調查後發現，Magecart 由2010年到而家，已經發展成超過十個小組，每個小組所採用嘅手法都唔一樣，而且愈後期出現嘅團隊，手法就愈複雜，增加偵查難度，真係搞到人人自危。 最近網絡安全專家 RiskIQ 又發表咗份報告，話 Magecart 攻陷嘅網站愈嚟愈多，而家已經超過 200 萬個網站中招，其中好多大企業都採用嘅網購平台 Magento 同埋 Opencart，更加係重災區。RiskIQ 專家話單係用 Magento 網購平台嘅已有 9,688 個網站存有…