比特幣近月的爆升潮，令加密貨幣再度成為熱話，不過在藝術圈流行的相關術語，卻是 NFT。NFT 全名 Non-fungible Tokens，它可以是任何形式數碼商品，最易理解的 NFT，是由 NBA Top Shot 推出的 Moment，影片是球員在生涯中最精彩三分球、灌籃、助攻等剪輯而成，由 NBA 授權，並以傳統球星卡包方式發售，買家隨機獲得幾位球星的 Moment。Lebron James 的 Cosmic Dunk Moment，就以超過 20…

專家發現，部分採用電子商務系統 Magento 的網購平台再被黑客入侵，新的攻擊手法會將客戶的信用卡資料加密後放入 JPG 圖像，然後才外送至黑客操控的 C&C 中心，令網購平台及網絡安全工具難以發現！ Magento 一向是網購平台喜愛採用的系統，因為它的功能較豐富，但亦同時成為黑客攻擊的目標之一，例如專用盜取信用卡資料的黑客集團 Magecart 就是當中的表表者，曾一度入侵超過 200 萬個使用了 Magento 的網站。此外，Magento 在上年 6 月停止對 1.x 版本作技術支援後，有黑客更在網上公然兜售…

正在使用 Google Chrome 無痕模式（Incognito Mode）的你要注意了，Google因為「假無痕」，暗地裏仍有追蹤用戶數據，而在美國面臨集體訴訟，被要求賠償 50 億美元。據 Bloomberg 報道，加州地區法官裁定 Google 在「未通知用戶的情況下，在他們使用無痕模式瀏覽時，進行數據收集」。 Google Chrome 無痕模式原為讓用戶選擇在使用互聯網時，其網絡活動不被保存在瀏覽器或裝置上。一眾用戶於是上訴，並指 Google 有著「無孔不入的數據追蹤業務」。他們在訴訟中稱，「即使用戶採取措施保護自己的私隱，如在 Chrome 中使用無痕模式，或者在 Safari 和其他瀏覽器中使用私密瀏覽，追蹤仍會持續」。…

在新冠疫情下，可能你都試過通過網上會議見工，但你又有否想過，畫面上雖然只得一個人事部職員同你會面，但背後原來還有一個隱形面試官？無錯，全球各大企業已陸續引入人工智能 (AI) 技術去篩選求職者，不幸求職失敗，分分鐘只是栽在機械人手上。 人工智能招聘 (AI recruitment) 技術，最大的好處是可以減少人事部的工作量，通過精準的大數據 (Big Data) 分析資料庫，從數以千計的求職申請中找出合適的人選，減少因人手不足而走漏人才的風險。專家指出，由於人力資源始終有限，人事部員工往往未能詳細閱讀所有求職者的個人履歷，而且又無法安排所有達標人士接受面試，而可以 7/24 工作的人工智能機械人，便不會受到這方面的影響，而且態度亦較為持平，減少先入為主的偏見，適合用於初選階段。 到底人工智能在篩選時，會用哪些方法去測試求職者的能力？一般來說，現時人工智能招聘會以兩種方法進行評估。 遊戲測試 以美國公司 Pymetrics 為例，其測試手法是讓求職者接受一個為時約 25 分鐘的遊戲，例如計數、配對詞語、限時內完成指定任務等，目的在於測試求職者的個性及危機處理能力。據知目前大企業如 McDonald’s、JP…

一方面，遠程工作、IoTs、網民秒秒遞增；各路黑客的交流平台由 Dark Web 擴展到 Clubhouse 等不同社交平台；裝置網速工具急速演化；雲端、Hybrid Cloud、Edge Platforms 將數據進一步集中，唯獨法規與執法效率追不上時代步伐，國家隊黑客卻諷刺地例外。事實上，企業在資安上一向都靠自己，但在 COVID-19 後擔子史無前例重，2020 年末 Solarwinds 中伏，向其近 2 萬客戶無料放送 Sunburst Malware，幾多人受影響未知，但美國國務院、國防部、軍火供應商、重要電訊商與大學院校均在名單之上，美國政府矛頭指向俄羅斯，是否開打網戰大家不妨買花生，但我們先談談企業資安部署困境。如果這宗事件仍未夠警世，Cybersecutiry Ventures 報告指…

為了避開電郵防護工具攔截，黑客可謂奇招盡出，安全專家警告，有10,000個Microsoft電腦服務帳戶，被新一輪仿真度極高的釣魚電郵襲擊。黑客除了冒充FedEX、DHL等速遞公司發出電郵，更避開使用容易被防護工具判斷為釣魚電郵的發信伺服器、電郵主題及內容，更利用Google Firebase及Quip等免費服務，令電郵變得身家清白，極容易受騙。 電郵防護服務供應商Armorblox最新報告顯示，黑客看準市民在疫情下經常使用FedEX、DHL等速遞服務，於是便冒充有關公司大量發出釣魚電郵，企圖提升收件人打開電郵內連結或PDF檔案的成功率，進而騙取收件人的Microsoft帳戶或公司帳戶的登入資料。雖然攻擊手法看似跟以往的釣魚釣擊相似，不過專家指出無論在電郵內容的仿真度上以至其他配套，就較以往的釣魚電郵更精密，以及會使用更多免費的合法工具去逃避電郵防護工具的偵測。 先說說電郵防護工具的運作原理，傳統工具的系統除了會比對電郵內有否已知的惡意元素，例如發信方的電郵地址、伺服器、電郵主題及內容等之外，還會掃描附件或內裏的連結有否可疑之處，如發現有問題便會攔截下來，再交由收件人去決定如何處理郵件。新的電郵防護工具或會提供沙盒(sandbox)功能，讓用家在有需要時於完全隔離環境打開郵件，以免電腦設備在過程中受到感染。 黑客由於熟知上述防護原理，因此在製作釣魚電郵時，便會避開可疑元素，例如避免在電郵內使用Urgent等字眼，減少被系統攔截的機會。而今次Armorblox發現的新釣魚電郵，更將經連結跳轉的虛假帳戶登入頁面，寄存在合法的免費服務上，例如Google Firebase及Quip等，由於寄存位置可信，再加上偽造的頁面逼真得沒有漏洞，於是便能獲電郵防護工具放行。 安全專家指出，有證據顯示愈來愈多釣魚攻擊會將跳轉連結的虛假頁面或惡意附件檔，寄存在合法的免費服務上，警告電郵用家要進步提高警覺，不要誤以為電郵防護工具能夠百分之百攔截釣魚電郵或其他攻擊，最重要是要細閱電郵內容，如有任何可疑之處便絕不能打開附件或點擊任何連結。 資料來源：http://bit.ly/3pNuOUt

COVID19 推動 Work From Anywhere，打工仔覺得更有效率，但管理層覺得屏幕濾走積極與熱情，畢竟值班行山這類例子並不罕見，特別疫下百業蕭條，中層更加需要證據證明大家盡忠職守，每日最早與早夜的電郵收發時間已不能成為勤力指標，遠程工作下應有另一套管理規範，但員工老闆們暫時未必有共識。 新一代「提升效率工具」，讓僱主可以全方位洞察員工如何運用工作時間，包括瀏覽歷史、App Screen Time、甚至微管理至 Keystrokes Logging 與 Desktop Session，換句話可說是「攞正牌的黑客」。Skillcast 與 YouGov 2020 年 12 月調查顯示，20％ 僱主正在或有意引入監察員工線上活動工具；英國的…

Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight…

有跨作業系統「AirDrop」之稱的手機應用軟件SHAREit，由於可以供用家自由於 Android、iOS 及 Windows 上交換檔案，所以深受 Android 用家歡迎，至今已有 100 億用家下載使用。不過，現時一項已知漏洞已被 Trend Micro 專家公開，而且至今仍未被修復，有可能被黑客利用來盜取手機內的檔案或作中間人攻擊 (man-in-the-middle)，用家必須即時停用。 Trend Micro 手機威脅分析專家 Echo Duan 早在三個月前，已發現由新加坡公司 Smart…

BleepingComputer 披露，在本月初發現一款新型釣魚電郵活動，其附件含有以摩斯密碼掩藏的惡意 URL，繞過電郵安全過濾，由於過去未有同類以摩斯密碼作案的例子，因此事件被視為新型的混淆技術。這究竟是甚麼一回事呢？ BleepingComputer 2 月 2 日在外國知名論壇 Reddit，發現首則關於使用摩斯密碼的釣魚電郵，並發現大量上傳到 VirusTotal 的攻擊樣本。這次網絡釣魚攻擊，以冒充受害公司發票的電子郵件，並以 “Revenue_payment_invoice February_Wednesday 02/03/2021” 為題；電郵中含有一個 HTML 附件，其命名方式模彷受害公司的 Excel 檔發票，命名為 “[company_name]…