商務電郵詐騙（Business Email Compromise, BEC）的攻擊對於企業而言難以防範，因為騙徒會冒充大品牌或企業客戶，發出具針對性的攻擊，騙取受害人的信任。最近又有一個名為 Crimson Kingsnake 的 BEC 組織出現，假扮國際知名律師事務所，藉以誘騙收件人就逾期發票付款。 Crimson Kingsnake 透過冒充是律師，向目標發送逾期付款的發票，並聲稱在一年前曾為他們提供服務。這種冒充知名機構發出具針對性攻擊的方法，是典型 BEC 攻擊，並要求目標對象立即付款，倘受害者不虞有詐付款就正中下懷。 Abnormal Security的分析師於 2022 年 3 月首次發現…

有時在活動中留下電郵地址之後，便會後續收到各式各樣的宣傳信件，感到很困擾的時刻萌生退訂（unsubscribe）念頭，豈料竟然收到更多垃圾郵件？！這種新型的欺詐電郵是怎麼一回事？謎題解開！原來電郵詐騙者以虛假的「取消訂閱」垃圾郵件，來確認網絡釣魚和垃圾郵件，能有效傳送至有人使用的電子郵件帳戶，以便後續行動。 欺詐者會在一段時間，不斷發送垃圾郵件滋擾受害人，並詢問是要退訂還是要繼續訂閱。這些電子郵件並未有說明訂閱或退訂的內容為何，旨在驗證收件人的電子郵件是否有效，以及是否容易受到網絡釣魚詐騙和其他惡意電郵活動的影響。 電郵的主題會以「Confirmation（確認）」為題，例如 「We need your confirmation asap（我們需要您盡快確認）」、「Request, please confirm your unsubscription（請求確認取消訂閱）」。這些電郵設計簡單，只有色框包著「退訂」及「訂閱」的連結。如果點擊訂閱或取消訂閱的連結，便會直接創建一封新的回覆電子郵件，其發送對象將是由詐騙者所操控的不同電子郵件地址。 因此，當受害者發送上述電子郵件時，本來是希望取消訂閱，但實際上卻是為垃圾郵件發送者，驗證他們的電子郵件地址是否有效，繼而受到監控。 Bleeping Computer 為測試這個取消訂閱電郵的目的，特地創建一個從未在任何網站或服務上使用過的新電子郵件地址，並使用此電郵回覆由另一電子郵件帳戶收到的退訂電郵。結果新帳戶發送相關訊息後數天，新帳戶就被垃圾郵件轟炸。測試進一步證實垃圾郵件發送者，正在使用這些訂閱 / 取消訂閱電子郵件，來驗證容易受到此類詐騙和網絡釣魚攻擊的電子郵件地址用戶。 Bleeping Computer…

歐洲兩間生產設備公司被勒索軟件 Cring 入侵，導致生產線被迫停止運作，雖然今次利用了新的攻擊技術，不過入侵之門卻是一個已被修復兩年的 VPN 漏洞，怪得邊個呢？ 涉事 FortiGate VPN 漏洞早於 2018 年已被發現，而研究員在 2019 年發出警告，該漏洞似乎正被黑客利用，呼籲用戶立即更新 Fortinet 提供的修復檔，據知當時亦有大量用戶未曾更新系統。該漏洞 (CVE-2018-13379) 可讓黑客從系統中取出儲存了帳戶登入名稱及明文 (plaintext) 密碼的檔案，用於日後再次入侵。 來到今年一月，便有網絡安全研究員發現，一款新的勒索軟件…

很多人、事、計劃因疫情而流逝，但又有少數事強勢回歸，QR Code 就係好例子。廿年歷史以上的進取企業，相信 Archive 都有至少一份 QR Code Proposal，不過當年瞬間被社交平台與各種無線傳輸技術淹沒，淪為倉管，直到社交距離成為 New Normal，QR Code 重出江湖，擔當企業 Digitization 的一環，讓消費者 Access 餐廳 Menu 或購物 Coupon。眼見 QR…

《保護關鍵基礎設施（電腦系統）條例》即將於明年生效，本地資訊科技及網絡安全諮詢機構 Syber Couture，今天於會展四樓舊翼展覽廳舉行「CYBER SECURITY EXPrO」，活動吸引超過 300 位網絡安全業界精英報名參與，逾 100 位來賓包括來自本港關鍵基礎設施及大型機構的網絡安全管理層及工程師，透過共 11 場的專家演講、專題討論及多個供應商展位，共同探討應對《條例》的解決方案。 想知最新科技新聞？立即免費訂閱！ 活動由 Syber Couture 創辦人兼 CEO 黃迪奇（Dicky Wong）致歡迎辭揭開序幕，他指主辦這個活動目的希望協助業界準備即將生效的關鍵基礎設施條例，期望來賓能在活動中「拎走好多嘢」，啟發他們如何將《條例》落地，盡早計劃「套拳可以點打」，包括如何設計安全政策、識別關鍵電腦系統（Critical Computer…

隨著企業在數碼轉型和雲端遷移上不斷加速，網絡攻擊手法日新月異，傳統防護已愈發無法應對新型、多變的網絡威脅。瀏覽器早已成為企業數據和應用系統的主要入口，亦成為攻擊者的重點目標。面對水坑攻擊（Watering hole）、複雜釣魚手法和零日漏洞的威脅，香港企業必須尋找一套既能「預防優先」亦可「快速合規」的現代化保安方案。 新法規環境下的挑戰與新常態 隨著《保護關鍵基礎設施（電腦系統）條例》於 6 月份刊憲，全港關鍵基礎設施營運者的網絡保安踏入全新里程碑。關基營運者需要採取適當措施保護其電腦系統，減低因網絡攻擊導致必要服務受到干擾或破壞的風險，確保香港社會的正常運作和市民的日常生活。在此變革下，瀏覽器成為網絡保安的最前線，企業必須重新制訂保安策略，將瀏覽器保安作為維護基礎設施抗禦能力的核心。 全球認可 本地適應能力卓越 憑藉 110% 客戶續約率，Menlo Security 成為全球超過 1,000 家金融機構與政府部門的首選方案。近年積極拓展亞太區業務，在香港、新加坡、印度均設有團隊，為本地企業提供度身訂造方案及即時技術支援，讓 Menlo Security 能更迅速回應香港及大灣區市場對新法規、新威脅的特殊需求。 零信任瀏覽器保安新典範 Menlo…

《保護關鍵基礎設施（電腦系統）條例》上月獲三讀通過，目標於來年正式生效，尚有僅八個月時間，相信營運者（Critical Infrastructure Operator, CIO）正密鑼緊鼓為條例做足準備。到底 CIO 在準備階段時， 最關注的問題是甚麼？應如何解決？香港電訊（HKT）一一為你解答。 受《保護關鍵基礎設施（電腦系統）條例》（下稱條例）監管的營運者覆蓋八大範疇，包括能源、交通、通訊等行業。《條例》分為三大類責任，當中以「事故通報及應對」——尤其是通報時間、電腦系統安全演習及制定應急計劃，最受 CIO 們關注。 通報時間爭分奪秒　CIO 需加強應變能力 根據警方數字，過去數年本港的科技罪案一直有增無減，至去年終放緩，反映企業投放了一定資源，致力保障網絡安全。在即將來臨的新法例下，企業（尤其是 CIO）所投放的資源或需更多。例如《條例》下關鍵電腦系統嚴重事故的通報時間為 12 小時內，而其他事故通報時間則為 48 小時內，通報時間絕對是爭分奪秒，到底 IT 部門「應對」是否夠快，便成為一大關鍵。…

網絡安全供應商 Akamai，承載全世界高達 30% 網絡流量，支援數十億人的網上活動，香港及大中華區都是其關注重點。今次就由 Akamai 副總裁暨大中華區總經理 Sean Li 及區域經理 Eric Lai，為大家介紹 2025 年的網絡安全趨勢、Akamai 最新技術發展，以及在香港的重點發展方向。 Akamai 副總裁暨大中華區總經理 Sean Li 指出，作為 CDN…

一個據稱曾入侵超過 618 個機構的網絡犯罪組織 EncryptHub，近日竟被揭發曾以網絡安全研究員的身份，向 Microsoft 提交兩個 Windows 零日漏洞報告，沒有選擇用來入侵更多機構。而在專家追查下，更發現這個犯罪組織對前路搖擺不定，甚至向 AI 聊天機械人請教安全的成名方法，行為非常搞笑。 想知最新科技新聞？立即免費訂閱！ 向 Microsoft 提交兩個安全漏洞 據資料顯示，早前 EncryptHub 曾以網絡安全研究員 SkorikARI 的身份，向 Microsoft…

早前紐約檢察院披露一宗同網上購票平台 StubHub 有關的重大盜竊案，兩個在外判公司 Sutherland Global Services 工作的員工涉嫌利用系統漏洞，盜取顧客購買的高人氣節目門票，當中包括 Taylor Swift Eras 巡迴演唱會等，並在網上轉售後非法獲利近 63.5 萬美元，零成本賺到盡。 想知最新科技新聞？立即免費訂閱！ 講到黃牛飛，香港人應該再熟悉不過，但凡知名歌手開演唱會，歌迷往往敵不過炒家的「高科技」訂購手法，最終只可以上網捱炒價。不過，這次案件的犯人就完全毋須同人爭，坐定定等收飛。 根據紐約檢察部門公佈的資料可見，主要被告 Tyrone Rose 及 Shamara…