經電郵發動嘅攻擊與日俱增，黑客透過假冒發信人地址，或修改信件內容，繞過電郵驗證系統嘅攔截。雖然電郵系統設有 DMARC 驗證機制，但由於設定上比較麻煩，所以採用率偏低。Google 為咗吸引電郵用戶採用 DMARC 技術，而家喺 G Suite 新推出先導計劃，經驗證後嘅用戶可以喺電郵上顯示公司嘅標誌，唔知又有幾多公司會參與呢？ 為咗解決電郵造假問題，電郵驗證系統一般都設有 SPF（Sender Policy Framework）以及 DKIM（Domain Keys Identified Mail）兩種方法。SPF 主要用喺防止電郵造假，因為系統會先驗證發送者嘅電郵地址，睇下究竟有無喺寄件伺服器上存在，如果來源伺服器根本無呢個電郵，就好大機會證明係假電郵。DKIM 就用喺驗證電郵內容嘅完整性上，以攔截有可能喺發送過程中被修改嘅電郵。雖然有呢兩個系統把關，但由於有啲舊電郵系統唔支援呢兩種技術，所以有時都焗住要收入信箱。 DMARC（Domain-based…

見到手機系統更新提示，諗都唔諗就即刻跟住裝嘅人，都好難唔話你蠢，因為有經驗嘅人都知隨時會「跟車太貼」，新版本反而會有新嘅 bug，睇埋坊間實測先更新都未遲，而家仲多個理由添。網路安全公司 Threat Fabric 就發現，新型木馬病毒 BlackRock 會扮成 Android 系統更新通知，呃用家啟動程式然後入侵手機，最嚴重可以令手機入面多達 337 款 App 嘅資料外洩，當中包括 Gmail 、 Facebook 、 Instagram，甚至好多都係銀行 App 。…

最新消息，暗網上有釣魚工具套件收藏家，一次過將成批釣魚工具拎出嚟賣，計落平均 25 美元就有一款，入面有齊晒偷 Amazon、OneDrive、Apple、Fackbook、Gmail 以及多間銀行等帳戶登入資料嘅專門工具，無論你係 hacker 又好，網絡安全研究員都好，呢個 collections 應該都幾吸引。 呢個總容量高達 3.3GB 嘅釣魚套件 collections，老實講並唔係全部都由販售嘅黑客自己寫出嚟，根據同黑客接觸過嘅 Bank Security 網絡安全專家所講，當中有 9 成係利用惡意程式碼搜尋工具搵出嚟。專家話有咗呢個 collections，已可以向排名頭 500…

國安法生效，要求全宇宙社群媒體平台配合，提供香港使用者資料，Google、Facebook、Twitter 隨即宣佈暫停向香港政府提供香港用戶數據。不過 Google 同 Facebook 有香港分部，若果中國嚴正執法，到底佢哋選擇撤出香法市場定配合法例跪低？而其實不論前者定後者，係人都知科企免費提供服務換取你的資訊，但實質掌握咗幾多會點樣用，你又知唔知？ 的確 Google 6 月宣佈替用戶自動刪除個人數據，但只限政策公佈後的新登記用戶，並預設儲存 18 個月後才刪，宣佈前經已係 Gmail 15 億用戶與 Android 25 億用戶嘅話，除非你主動更改設定，否則 Google 會永久儲存你的個人數據。CNET…

而家要網購或登記使用免費應用服務，九成網站都需要用家登記成為會員，以提供更個人化資訊，同埋最緊要喺搜集你嘅私隱資料。雖然好多人都會喺 Gmail 或其他免費電郵平台開一個帳戶，專門用嚟接收帳戶確認電郵或其他資訊電郵，但管理上嚟就比較麻煩，成日要喺帳戶之間切嚟切去。識得玩嘅話，可能會喺「假帳戶」度 set 返自動轉寄電郵去常用帳戶，不過大前提係電郵服務供應商支援呢種功能，就算支援，用家都要額外做設定，所以唔係咁多人會搞。 較著重協助用家網上隱身嘅 Mozilla，而家就測試緊一項轉寄服務 Firefox Private Relay，只要安裝喺 Firefox 瀏覽器上，然後填返自己常用電郵等資料，系統就會自動幫用家製作一個統一嘅假電郵地址，當下次要開戶或訂閱某啲服務，用家就可以用呢個假電郵嚟登記，一旦 Private Relay 收到開戶確認信或其他推廣電郵，會自動轉寄去你個真地址，如果你覺得唔想再收到對方嘅垃圾電郵，一 click 就可以取消，方便至極！ 其實唔用個人電郵嚟開戶，最大好處係減少私隱外洩，只要睇返而家幾乎日日都有服務供應商洩漏客戶資料嘅新聞，就知私隱外洩好多時都唔關當事人事，而係出喺服務供應商上，所以唔用真電郵地址登記，就減少到私隱被利用嘅風險。最重要係，相信唔少人喺處理唔同帳戶時，都傾向用返相同密碼，而 Firefox Private…

如果你收到一封電郵，抬頭係嚟自 xxx.gov 嘅，我諗你多數會傾向相信封電郵係嚟自政府部門，可惜呢個世界真真假假好難分，有人最近就試過，原來要申請 .gov，唔係想像中咁難。 有研究人員最近就做咗個實驗，試下一個普通人，到底申唔申請到 .gov 域名。佢先上網填咗份官方申請表，份表要求佢填行政、資訊科技同埋會計部嘅負責人資料，於是研究人員就用假嘅 Gmail 戶口同埋 Google Voice 號碼蒙混過去，跟住仲要求佢用部門信紙嚟打印張表格，佢又走上網是但搵咗個羅德島小鎮Exeter嘅政府信，剪貼個信紙抬頭嚟用，仲冒充埋自己係小鎮嘅市長，結果成功過關，幾日後就開通咗個 .gov 域名，易過借火！ 研究人員話，其實成個申請過程，除咗市長個名係真嘅，其他全部造假。起初佢諗至少域名審查部門點都會打個電話 check 一 check，佢填嘅幾位負責人係唔係真有其人，點知結果係連電話都冇收過。由於研究人員喺美國境內做呢個測試，係觸犯咗美國法例，所以佢一直都冇開名，只係將有關資料俾咗網絡安全網站 KrebsOnSecurity，等佢公開俾大家知，但研究人員就好擔心，如果有國家級黑客知道呢個方法，喺境外做呢件事，可以話係完全零成本，到時佢哋申請埋一堆域名，就可以為所欲為，甚至有機會擾亂埋下年大選結果。 就呢件事，KrebsOnSecurity…

大約四年前，Google Chrome 推出桌面通知功能，可以讓 Google 服務如 Gmail、日曆等向用戶彈出通知，讓用戶更快得知有新電郵或約會通知。後來呢項功能開放予網站所使用， 只要網站提供呢項功能，瀏覽時就會彈出通知叫網民訂閱，一日唔訂，每次瀏覽都會彈出嚟，而且有啲係你又㩒走，就連其他操作都做唔到，可以話係極度煩人。 好消息嚟喇，Mozilla 同 Google 都計劃喺下一版本 Firefox 及 Chrome 上，逐步隱藏呢啲彈出式訂閱通知。Mozilla 嘅理由好簡單，佢哋做咗一個月調查，透過分析 Firefox 63 用戶嘅行為，發現約 99%…

NotPetya 一經發動，即時透過網絡進擊全球。馬士基能夠從絕望中復活，原來一切都多得斷電事件，但其後的拯救工作，卻變成一場跨國接力賽。 馬士基哥本哈根分部辦公室嘅電腦死機後數天，一個早上，IT 員工 Henrik Jensen（假名）正待在家中享受著荷包蛋、果醬多士，突然間，他的手機響了起來。 接通來電後，他才知道這是一次多人電話會議，另一邊還有 3 個人，他們都是馬士基梅登黑德辦事處的員工，說極需 Jensen 的幫忙。梅登黑德是倫敦西部一個小鎮，是馬士基馬士基集團基礎設施服務所在地，他們均要求 Jensen 放下一切立即去到那裡幫忙。 兩小時後，Jensen 已在一架飛往倫敦的飛機上，抵達梅登黑德後匆匆換了一輛車駛到目的地大樓。這時大樓的 4、5 層樓已經被改造為 24/7 應急指揮中心。該中心的目的只有一個：立即重建馬士基全球網絡。 不計代價全力搶修…

馬士基遭受 NotPetya 襲擊，就是一場大悲劇。 新澤西伊利莎伯海洋轉運站，屬於馬士基 76 個港口運營部門之一，作業場所延伸至紐華克灣一個方圓一平方英里的人工半島上。成千上萬五顏六色的貨櫃，猶如俄羅斯方塊般疊積在整幅柏油地面上，200 英尺高的藍色吊機在港灣若隱若現。 天氣好的時候，每天大概有 3,000 輛貨車來到轉運站，每一輛都有分配好的任務，要裝載或卸載上萬磅的東西，從紙尿片到牛油果或者拖拉機零件都有。這些貨車就像飛機乘客一樣，要經過重重通關的流程，例如排隊進入轉運站入口、掃描貨櫃條碼，再依次序將貨櫃搬至置櫃場等待上船。 6 月 27 日早上，其中一個貨運代理 Pablo Fernández 來到轉運站，為客戶監管貨櫃如期上船，他預計當日會有幾十輛貨車裝載量的貨物，要離開伊利莎伯港駛向中東一個港口。 大約 9 時左右，Fernández…

雖然 iOS 系統比較封閉，安全性一直較 Android 為高，但始終唔可能百分百安全，好似最近又被網絡安全專家發現，黑客可以利用一種名為 URL Scheme 嘅漏洞，透過惡意應用程式去盜取用戶登入其他應用程式，例如 WeChat 嘅個人資料，如果用戶一個唔留神，仲有可能幫黑客嘅消費找埋數添！ URL Scheme 基制提升客戶體驗 為咗防止應用程式暗中讀取其他應用程式嘅執行數據，Apple 喺 iOS 作業系統上利用咗沙盒（Sandbox）功能，將每個應用程式放置喺隔離空間執行，咁就可以防止互相讀取資料嘅行為。不過，為咗方便用戶喺用緊一個應用程式時，點擊一個功能鍵或網址連結就可以打開另一應用程式，或透過 Facebook、Gmail、WeChat 帳戶作為登入其他應用程式嘅認證，Apple 就喺…