勒索軟件集團都會顧及形象，避免因入侵事件導致人命損失而被社會指責，所以都盡量避開醫療機構。不過業界總有害群之馬，一份最新公開的醫療機構問卷調查，就有五分一受訪者指勒索軟件攻擊的確導致死亡個案上升…… 去年九月，德國一間醫院因受到勒索軟件攻擊而陷入癱瘓，一個原本可於醫院接受治療的病人，便必須送往其他醫院接受治療，可惜最後病人在轉移過程中死亡，成為首宗勒索軟件奪命事件。報導刊出後，即惹來社會各方指責，部分勒索軟件集團聞到火藥味，擔心執法機關會因此而重點打擊，因此均宣布將醫療機構劃出攻擊名單，就算在刊登合作人招聘廣告時，也列明不會攻擊醫療機構，企圖明哲保身。 不過，利字當頭，始終有勒索軟件集團會不顧風險。為了解醫療業界實況，The Ponemon Institute think tank 及網絡安全公司 Ceninet 便在早前進行問卷調查，訪問了 597 個於醫療業工作的 IT 及網絡安全專家，查看情況有多嚴重。部分重點歸納如下： 約 36% 受訪者表示患者在接受治療後的併發症機率增加十分之七受訪者表示測試結果及檢查程序因延後而令結果受影響約七成表示病人因勒索軟件攻擊而延長住院時間五分一表示醫院受襲後，病人的死亡個案有所提升 既然勒索軟件或其他網絡攻擊的後果可導致人命損亡，安全專家認為醫療機構應重新審視安全工作，雖然了解資源有限，但也應撥出更多資源去強化防禦力。而一些基本的安全工作如保持軟硬件在最新版本、攔截釣魚電郵攻擊，以及為員工提供安全培訓，更應不可疏忽，因為除了人命之外，醫療機構亦保存大量病人的個人私隱，一旦外洩，有可能導致病人二次受傷。 資料來源：https://zd.net/3FhivsI

設置高強度密碼的提醒「講到口水都乾」，但仍然有很多人不以為然，令自己的帳戶處於危險的狀態，有被入侵的風險。Mozilla 研究在 haveibeenpwned.com 的數據發現，有數十萬人繼續使用自己最喜歡的超級英雄作為密碼，倘因此而遭遇資料外洩，不管是。Batman、Spider-Man 抑或是 Superman 都難以打救。 Mozilla 最新的博客文章提到，以超級英雄作為密碼的情況，在洩露資料數據中出現得愈來愈多。其中 Superman 出現在 368,397 款洩漏資料，Batman 出現在 226,327 項資料中，以及 Spider-Man 被發現出現在 160,030 項資料，另外…

為了令受害者誤以為正在登入或瀏覽官方網站，高質素的黑客會盡力將釣魚網站製作至以假亂真的地步。如果要交由防毒軟件識別當中差誤，現有方法較為費時，準確度亦未算高。由大學研究人員開發的機器學習技術，會自動將官網的程式碼轉變為圖像數據，跟虛假網站進行比對，從而減少所需的運算資源及縮短比對時間，以另類視覺分辦真假。 要分辨是否虛假網站，一般人只能靠肉眼找出可疑之處，以 Office 365 登入頁面為例，網址列、網頁設計、圖像擺位、文字有否文法或串字問題等，都必須小心留意。不過，如果並非專家或老手，單靠肉眼絕不可靠，因而必須借助防毒軟件或網絡安全工具代為分析。然而，大部分安全工具的識別效能除了上述的條件外，主要建基於資料庫上的記錄，例如架設該網頁的伺服器或 IP 位置是否可疑？種種因素令比對工作需要耗用大量資源，因此只能於雲伺服器上進行分析，從而令比對需要一定的時間。 由英國 University of Plymouth 及 University of Portsmouth 研究人員合作研究的人工智能分析技術，便以創新的角度進行分析。研究人員首先將大量官方網站及虛假網站的程式碼轉換成視覺化的圖像數據，歸納出各自的獨特之處，然後再這套數據模型交由人工智能的機器學習進一步自行訓練，自行修正當中的差異，演變成一套更成熟的分析系統。為了加強分析工具的可用性，研究團隊刻意選用了一套名為 MobileNet 的神經元網絡系統，它不似得其他神經元網絡需要龐大的運算資源，因而可以在一般電腦設備上運行。研究員指出，現時系統在分析虛假網頁的準確度已達94%，而且還在每日進化中。 不過，現階段新技術仍未可推出市面，因為研究人員正在改良系統操作，讓它成為一套可被普遍使用的工具。研究員更有信心這套系統最終可達 100%…

社交媒體平台 Clubhouse 洩露的 38 億個電話號碼的數據資料，據報道指，被一名威脅行為者連同在去年 4 月洩露的 5.33 億 Facebook 個人資料結合，並將這批個人身份信息 (Personal Identifiable Information, PII) 出售給地下市場上出價最高的人。 Threatpost 報道指 Clubhouse 洩露的…

企業將系統及數據搬上雲端已是常態，但當中的管理及分析、網絡及數據隱私安全，亦成為「系統搬家」的一大難題。市場上的雲端管理方案一般以「買斷」的形式出售，且產品功能單一；如若尋得解決方案，亦未必能聘用到適合的專業人才去管理；即使有人才，亦未能作24小時監察，無法將解決方案效益最大化。 有見及此，Resolve提供了 ASOC（ASOC-as-a-Service）方案，方案結合管理網絡安全的 FortiSIEM（Security Information and Event Management）安全資訊和事件管理方案、控制應用程式及管理容器（Container）的 CWP（Cloud Workload Protection），並配合 RPA（Robotic Process Automation）機器人流程自動化的商業影響分析系統，集三大功能加上 7/24 團隊，讓客戶可以一站式處理雲端的管理、安全及分析問題，一次過解決系統遷移的痛點，盡情享受使用雲端的好處。 ASOC Overview Resolve 的創辦人兼 Consultant Leo Wong 表示：「現在很多銀行及金融業都考慮將系統搬到雲端，但不知從何入手。我們的…

最近冒起一種由網絡犯罪分子提供的惡意軟件即服務（Malware-as-a-Service），專攻 PC 遊戲玩家賬戶和銀行資料。該惡意軟件被稱為 BloodyStealer，在俄語地下黑客論壇搵食。服務價格每月約 10 美元，但犯罪分子稱繳付 40 美元，即可獲得該服務的終身許可使用，令罪案危機提升。 BloodyStealer 這款惡意軟件服務，可以從包括 Steam、Origin、Epic Games 和 Bethesda 在內的所有主要 PC 遊戲平台，獲取帳戶和對話訊息。該惡意軟件服務瞄準遊戲玩家，是因為他們的帳戶和遊戲中獲得的戰利品都可以出售，並獲得可觀的利潤。 Securelist 的研究人員發現，一名賣家在各遊戲平台收集了 280,000…

防毒軟件公司 ESET 最新發現，一班被稱為 FamousSparrow 的 APT 網絡犯罪集團正在大肆利用已知漏洞，入侵全球各地政府部門、國際機構、酒店、工程公司及法律事務處。所利用的已知漏洞包括 SharePoint、Oracle Opera、Microsoft Exchange 等伺服器服務。唯一解決方法，就是盡快安裝系統更新檔。 APT 全名為 Advanced Persistent Threat，是一種專門以收集情報為目標的網絡犯罪組織，這些組織大都有國家支援，因此賺錢並非他們的主要目標。為減少被受害企業或機構發現的機會，APT 攻擊一向以隱密性為優先，因此經常瞄準目標對象 IT 系統上存在的已知漏洞發動攻擊，以避過網絡防護工具的偵測。另外，他們亦不會長期存在於受感染的電腦設備內，只會於運作期間靜靜地將機密資料斬件外傳，或將資料藏在圖像內外傳，盡量不會出現可疑的網絡活動。 今次被…

Microsoft 表示，經常被用作散播勒索軟件、名為 Zloader 的惡意軟件，現時在 Google Ads 中傳播。這種散播勒索軟件的惡意軟件，使用以加密簽名偽造的 Java 應用程式來避過檢測，將網絡釣魚活動以新型隱密的攻擊方法傳開。該惡意軟件是網絡犯罪界的重要部分，並在最近突然引起 Microsoft 和美國網路安全與基礎安全署（CISA）的注意。 CISA 早前警告，ZLoader 被用作散播 Conti 勒索軟件服務，而 Conti 主要用於向勒索軟件散播者支付工資，而不是作出新感染。ZLoader 是一種銀行木馬，會被用作在網絡中竊取 cookie、密碼和其他敏感資料。但據安全公司…

勒索軟件集團 REvil 在 7 月高調宣布成功攻擊 IT 管理公司後，突然一日消失得無影無蹤，當外界以為他們已被執法機關搗破後，近日 REvil 又再度出現，而且破解 REvil 的工具亦在近日釋出，究竟背後發生何事？ 如果有跟進勒索軟件集團 REvil 的動向，相信近來都會感到謎團重重，因為 REvil 在 7 月中曾神秘消失，當時外界均估計與他們高調宣布成功入侵 IT 管理工具公司…

美國一間數碼身份公司早前進行一項研究，了解受訪者對創建密碼的策略及線上安全意識行為。研究竟發現，超過三分之一的人曾嘗試猜測別人的密碼，而當中更有四分之三的人成功登入；而有十分之一的人相信，有人可以從瀏覽他們的社交媒體，來猜出他們的密碼。所以密碼的設定絕不能掉以輕心，以免被人入侵帳戶而不自知！ 總部位於紐約的 Beyond Identity 早前與在美國與 1,015 人進行了訪談，發現無論是密碼共享，抑或是隨便馬虎的密碼設定習慣，都會讓許多人的個人或專業帳戶易受攻擊，這對公司和家庭用戶來說隱藏了巨大的風險。 研究揭示，很多人習慣共享了帳戶密碼，超過一半的人 (50.1%) 分享自己的影片串流媒體帳戶，也有接近半數人分享個人音樂串流媒體帳戶 (44.9%)。甚至有四分之一 (25.7%) 的人會連網上銀行密碼也「共享」。而平均而言，一眾受訪者會與其他人共享三個密碼。 研究表明，許多人曾試圖猜測別人的密碼，部分甚至成功猜對，超過 73% 的人設法猜到了他人的密碼。超過一半 (51.6%) 的人試圖猜測他們另一半的密碼，接近四分之一 (24.6%) 的人曾試圖猜測他們孩子的密碼，更有超過五分之一…