宣稱擁有超過 2,000 萬用家的互動情趣用品製造商 Lovense，近日被發現一個嚴重的零日漏洞。攻擊者只須知道用家的公開帳戶名稱，便可輕易獲取其私人電郵地址，令用家面臨被揭露身分及騷擾的風險。今次事件曝光後令平台的安全性受到質疑，相信會對商譽造成極大打擊。 想知最新科技新聞？立即免費訂閱！ Lovenese 的總部位於新加坡，是一間專門推出以應用程式控制情趣用品的品牌，旗下產品有 Lush、Gush 及 Kraken 等。根據外國媒體報道，安全研究員 BobDaHacker 於今年三月首次發現 Lovense 平台的兩個安全漏洞，分別是容許攻擊者透過用家帳戶名稱揭露電郵地址的設計缺陷，以及可用於帳戶騎劫的漏洞。 一秒揭露電郵地址 其中一個漏洞，源於 Lovense 平台的聊天系統與後端伺服器之間的設計缺陷，使攻擊者可以利用一系列操作輕鬆獲取用家的電郵地址。攻擊者只需先用自己的 Lovense…

AI 發展一日千里，攻擊手法更先進複雜。為更快速應對 AI 驅動攻擊，同時具備主動防禦以及快速反應能力，網絡安全供應商 Palo Alto Networks 推出 Cortex XSIAM 3.0，將 SecOps 能力擴展到雲端環境，透過 AI 與自動化技術，結合新推出的 Cortex Exposure Management 與 Advanced…

專家經常提醒網民，黑客的網絡攻擊手法與時並進，不斷以創新技巧逃避網絡防護系統的攔截。最近，一場針對 Coinbase 用家的大規模網絡釣魚攻擊，就可以印證網絡安全專家的勸言絕非危言聳聽，出人意料的做法令到眾多用家一夜清貧。 想知最新科技新聞？立即免費訂閱！ 在這次釣魚攻擊事件中，黑客主要針對加密貨幣交易所 Coinbase 的用家發動攻擊，黑客在電郵主題上聲稱用家必須在 3 月 14 日前完成將數碼資產轉移至 Coinbase 的自我保管電子錢包的手續，理由是公司受到法院的要求，必須讓用家自行保管數碼資產，否則將無法再進行交易，催促用家儘快完成轉移。 由於郵件中還附有下載官方 Coinbase Wallet 的教學，令受害者更容易相信其真實性。不過，這次釣魚詐騙的部署並不簡單，因為黑客為了避開電郵防護系統的技術性攔截，以及攻破受害者的心理防線，明顯下了不少苦功。 與以往釣魚攻擊策略大相逕庭 首先在對付防護系統方面，黑客利用了一個合法的地址發信，這樣的設置使得郵件能順利通過多重電郵防護機制，包括 SPF、DMARC…

隨著電郵防護技術的提升，黑客亦在不斷改變攻擊方法。電郵防護服務供應商 Barracuda Networks 最近發表了一份研究報告，指黑客的 Quishing QR code 釣魚攻擊又滲入了新元素，以迴避一般防護工具的偵測。其中最顯著的情況是將惡意 QR code 隱藏在電郵附件的 PDF 文件內，企業有需要使用更先進的防護工具，同時加強員工的安全意識培訓，以應付數據安全的新挑戰。 想知最新科技新聞？立即免費訂閱！ 三個月內偵測超過 50 萬個攻擊 根據 Barracuda Networks…

2024 年美國總統大選戰局如火如荼，而一場疑似來自中東的網絡攻擊引發新一輪的選舉安全擔憂。前總統特朗普的競選團隊於上星期六（8 日）表示他們遭受黑客攻擊，團隊更將矛頭直指伊朗。據特朗普陣營發言人表示，黑客成功竊取並散播了多份敏感內部文件。雖然團隊未能提供確鑿證據證明伊朗涉案，但這一指控剛巧與 Microsoft 在前一天發布的網絡安全報告不謀而合。 想知最新科技新聞？立即免費訂閱！ 翻看 Microsoft 發表的報告內容，指在今年 6 月期間一個代號為 Mint Sandstorm 的伊朗軍事情報單位向其中一個美國總統競選陣營的高層發送了一封魚叉式釣魚電郵。專家指這封電郵是通過一個前高級顧問的被盜郵箱發出，其優點是電郵從熟悉的人發出，可以減低收件人的警覺性；其次是可以繞過一些基於發件人信譽的電郵過濾系統；最後，即使攻擊被發現，也難以直接追溯到真正的攻擊者。 值得注意的是，特朗普團隊聲稱被盜的文件中包括一份關於副總統候選人萬斯的研究檔案，檔案建立日期為 2 月 23 日，遠早於萬斯正式成為特朗普搭檔的時間。團隊指對方非法獲取的文件旨在製造混亂，干擾選情。伊朗方面則迅速否認了這一指控。伊朗駐聯合國代表團在回應美聯社詢問時表示，他們既無能力也無意圖干預美國大選。不過，Microsoft 研究團隊則認為伊朗在這次干擾美國總統大選的戰情上，其份量與俄羅斯政府不遑多讓。…

今年的大型體育盛事一浪接一浪，繼歐國盃圓滿結束後，全球觸目的奧運緊接其後，不少黑客都會藉此機會進行網絡詐騙及攻擊，尤其在生成式 AI 興起後，更大幅降低網絡攻擊門檻。網絡安全系統供應商 Palo Alto Networks 香港及大灣區董事總經理馮志剛（Wickie）認為本港無論大小企業，都比以往更關注網絡安全，建議企業可利用「精準 AI」（Precision AI）做好防範工作。 想知最新科技新聞？立即免費訂閱！ 企業須注意商業電郵詐騙 每逢舉行大型體育盛事時，黑客都會更為活躍，Wickie 分析黑客可大致分為兩類，一類以金錢為目的，相對較少「參與」大型盛事的攻擊，「因為呢類通常都係靜雞雞攻擊，唔想畀人知」；另一類則是以政治立場為目的，或會發動大型 DDoS 影響活動，相關機構一般都會預先進行防護。 Wickie 指出，大型體育盛事通常都有很多機構、贊助商參與及推出不同服務，以購票為例，有黑客便會進行釣魚攻擊（Phishing），利用 AI 設立偽冒網站，誘騙受害人購買假票；而企業方面亦要多加注意商業電郵詐騙（Business Email…

網絡釣魚（Phishing）及商業電郵詐騙（BEC）攻擊無日無之，專注電郵安全的本地網絡安全公司Green Radar，發布 2023 電子郵件威脅指數（Green Radar Email Threat Index，下稱 GRETI），年度指數比去年高，反映電郵威脅風險持續上升。報告又揭露黑客頻密的進化手法，包括假冒香港終審法院、將二維碼（QR Code）「搓圓撳扁」等，藉此提高詐騙成功率。 想知最新科技新聞？立即免費訂閱！ 根據 2023 年本地數據分析，GRETI 年度指數為 69.7 分，比去年 66.5 分略為上升，本年度的網絡釣魚（Phishing）及商業電郵詐騙（BEC）攻擊繼續處於「高」風險級別水平，企業及機構應保持警惕。 Green…

早前北京市司法局宣布，成功破解 Apple 的 AirDrop 無線轉送加密技術，可以透過比對自製的彩虹表，識別出由發送訊息或圖像的裝置的個人私隱資料，即用家的電話號碼、登記的 Apple ID 電郵地址，似乎在警告市民不要以為可以匿名散發不實或危害國家的訊息。不過，有網民就質疑這張彩虹表並非解密技術，只是一張大型的國民私隱資料對照表。 想知最新科技新聞？立即免費訂閱 ！ 外界曾估計 AirDrop 受中國政府施壓 AirDrop 是 Apple 在 iOS 7 開始提供的無線訊息及檔案傳輸技術，由於可以由藍牙及…

由多個學術研究員組成的研究小組，在上年發現 Apple 旗下使用 A 及 M 系中央處理器的裝置存在安全漏洞，更成功證實可通過 Safari 瀏覽器獲取用家的敏感訊息。這個名為 iLeakage 的旁道攻擊（side-channel attack）由舉報至今，Apple 僅能為 macOS 推出修補檔，而 iOS 及 iPadOS 就依然要等。 想知最新科技新聞？立即免費訂閱…

今年新出現的勒索軟件組織 Knight，這星期開始正在透過濫發偽裝成 TripAdvisor 投訴信的釣魚電郵，向餐廳發動攻擊，由於 Knight 提供的輕量版勒索軟件即服務可大規模發出釣魚電郵，因此就算內容不夠精準，也總會有小部分收件者一時大意中招！ 想知最新科技新聞？立即免費訂閱 ！ 組織成立兩個月易名　提供輕量版攻擊 為了引誘受害人打開惡意檔案，勒索軟件組織擅於假扮成不同的機構，而攻擊手法大致上可分為兩種，一種是高精準度的魚叉式釣魚電郵，通過詳細分析目標人士的工作背景，打造出令收信人更容易相信的內容；另一種則以廣大網民為對象，通過假扮成一般網民都有機會使用的服務供應商，如 Google、Amazon、Netflix 或 Facebook 等，引誘目標上釣。而作為勒索軟件即服務供應商的 Knight，就同時提供兩類服務。 發現這次新組織的網絡安全機構 Uptycs 解釋，從今年 7 月尾才出現的…