在新冠疫情下，可能你都試過通過網上會議見工，但你又有否想過，畫面上雖然只得一個人事部職員同你會面，但背後原來還有一個隱形面試官？無錯，全球各大企業已陸續引入人工智能 (AI) 技術去篩選求職者，不幸求職失敗，分分鐘只是栽在機械人手上。 人工智能招聘 (AI recruitment) 技術，最大的好處是可以減少人事部的工作量，通過精準的大數據 (Big Data) 分析資料庫，從數以千計的求職申請中找出合適的人選，減少因人手不足而走漏人才的風險。專家指出，由於人力資源始終有限，人事部員工往往未能詳細閱讀所有求職者的個人履歷，而且又無法安排所有達標人士接受面試，而可以 7/24 工作的人工智能機械人，便不會受到這方面的影響，而且態度亦較為持平，減少先入為主的偏見，適合用於初選階段。 到底人工智能在篩選時，會用哪些方法去測試求職者的能力？一般來說，現時人工智能招聘會以兩種方法進行評估。 遊戲測試 以美國公司 Pymetrics 為例，其測試手法是讓求職者接受一個為時約 25 分鐘的遊戲，例如計數、配對詞語、限時內完成指定任務等，目的在於測試求職者的個性及危機處理能力。據知目前大企業如 McDonald’s、JP…

一方面，遠程工作、IoTs、網民秒秒遞增；各路黑客的交流平台由 Dark Web 擴展到 Clubhouse 等不同社交平台；裝置網速工具急速演化；雲端、Hybrid Cloud、Edge Platforms 將數據進一步集中，唯獨法規與執法效率追不上時代步伐，國家隊黑客卻諷刺地例外。事實上，企業在資安上一向都靠自己，但在 COVID-19 後擔子史無前例重，2020 年末 Solarwinds 中伏，向其近 2 萬客戶無料放送 Sunburst Malware，幾多人受影響未知，但美國國務院、國防部、軍火供應商、重要電訊商與大學院校均在名單之上，美國政府矛頭指向俄羅斯，是否開打網戰大家不妨買花生，但我們先談談企業資安部署困境。如果這宗事件仍未夠警世，Cybersecutiry Ventures 報告指…

為了避開電郵防護工具攔截，黑客可謂奇招盡出，安全專家警告，有10,000個Microsoft電腦服務帳戶，被新一輪仿真度極高的釣魚電郵襲擊。黑客除了冒充FedEX、DHL等速遞公司發出電郵，更避開使用容易被防護工具判斷為釣魚電郵的發信伺服器、電郵主題及內容，更利用Google Firebase及Quip等免費服務，令電郵變得身家清白，極容易受騙。 電郵防護服務供應商Armorblox最新報告顯示，黑客看準市民在疫情下經常使用FedEX、DHL等速遞服務，於是便冒充有關公司大量發出釣魚電郵，企圖提升收件人打開電郵內連結或PDF檔案的成功率，進而騙取收件人的Microsoft帳戶或公司帳戶的登入資料。雖然攻擊手法看似跟以往的釣魚釣擊相似，不過專家指出無論在電郵內容的仿真度上以至其他配套，就較以往的釣魚電郵更精密，以及會使用更多免費的合法工具去逃避電郵防護工具的偵測。 先說說電郵防護工具的運作原理，傳統工具的系統除了會比對電郵內有否已知的惡意元素，例如發信方的電郵地址、伺服器、電郵主題及內容等之外，還會掃描附件或內裏的連結有否可疑之處，如發現有問題便會攔截下來，再交由收件人去決定如何處理郵件。新的電郵防護工具或會提供沙盒(sandbox)功能，讓用家在有需要時於完全隔離環境打開郵件，以免電腦設備在過程中受到感染。 黑客由於熟知上述防護原理，因此在製作釣魚電郵時，便會避開可疑元素，例如避免在電郵內使用Urgent等字眼，減少被系統攔截的機會。而今次Armorblox發現的新釣魚電郵，更將經連結跳轉的虛假帳戶登入頁面，寄存在合法的免費服務上，例如Google Firebase及Quip等，由於寄存位置可信，再加上偽造的頁面逼真得沒有漏洞，於是便能獲電郵防護工具放行。 安全專家指出，有證據顯示愈來愈多釣魚攻擊會將跳轉連結的虛假頁面或惡意附件檔，寄存在合法的免費服務上，警告電郵用家要進步提高警覺，不要誤以為電郵防護工具能夠百分之百攔截釣魚電郵或其他攻擊，最重要是要細閱電郵內容，如有任何可疑之處便絕不能打開附件或點擊任何連結。 資料來源：http://bit.ly/3pNuOUt

COVID19 推動 Work From Anywhere，打工仔覺得更有效率，但管理層覺得屏幕濾走積極與熱情，畢竟值班行山這類例子並不罕見，特別疫下百業蕭條，中層更加需要證據證明大家盡忠職守，每日最早與早夜的電郵收發時間已不能成為勤力指標，遠程工作下應有另一套管理規範，但員工老闆們暫時未必有共識。 新一代「提升效率工具」，讓僱主可以全方位洞察員工如何運用工作時間，包括瀏覽歷史、App Screen Time、甚至微管理至 Keystrokes Logging 與 Desktop Session，換句話可說是「攞正牌的黑客」。Skillcast 與 YouGov 2020 年 12 月調查顯示，20％ 僱主正在或有意引入監察員工線上活動工具；英國的…

Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight…

有跨作業系統「AirDrop」之稱的手機應用軟件SHAREit，由於可以供用家自由於 Android、iOS 及 Windows 上交換檔案，所以深受 Android 用家歡迎，至今已有 100 億用家下載使用。不過，現時一項已知漏洞已被 Trend Micro 專家公開，而且至今仍未被修復，有可能被黑客利用來盜取手機內的檔案或作中間人攻擊 (man-in-the-middle)，用家必須即時停用。 Trend Micro 手機威脅分析專家 Echo Duan 早在三個月前，已發現由新加坡公司 Smart…

BleepingComputer 披露，在本月初發現一款新型釣魚電郵活動，其附件含有以摩斯密碼掩藏的惡意 URL，繞過電郵安全過濾，由於過去未有同類以摩斯密碼作案的例子，因此事件被視為新型的混淆技術。這究竟是甚麼一回事呢？ BleepingComputer 2 月 2 日在外國知名論壇 Reddit，發現首則關於使用摩斯密碼的釣魚電郵，並發現大量上傳到 VirusTotal 的攻擊樣本。這次網絡釣魚攻擊，以冒充受害公司發票的電子郵件，並以 “Revenue_payment_invoice February_Wednesday 02/03/2021” 為題；電郵中含有一個 HTML 附件，其命名方式模彷受害公司的 Excel 檔發票，命名為 “[company_name]…

最近網絡安全公司頻頻失事，繼 Solarwind 事件後，今次主角輪到法國防火牆龍頭安全公司 StormShield，公司發言人指工單處理系統 (ticket system) 被入侵，同時黑客亦盜取了旗下網絡防火牆工具 Stormshield Network Security Firewall 的原始碼！系統潛在漏洞隨時被發現，引爆另一場供應鏈攻擊災難。 Solarwind 被黑客入侵後釀成大災難，不少全球知名科技公司、政府機構、醫療企業，全部因 Solarwind 本身的漏洞而被入侵，令供應鏈攻擊 (supply chain attack) 這種攻擊手法再度被重視。StormShield…

後疫情催生無限危與機，資安界都有無數「不容錯過」Buzzword，當中 Secure Access Service Edge（SASE）獲 Gartner 等資安權威平台加持，原因同企業雲端化熱潮息息相關。科技資訊分析機構 Canalys 統計，雲端化企業數目在 2019 年增長 30％，資安平台 IDG 則大膽預測相關增幅在 2021 超過達 50％。 雲端化優點相信大家相當清楚，但於企業與雲服務平台間、資安責任誰屬上，暫時難以統一區分，黑客間接有機可趁，尤其企業發展猛迅的情況下，情況越兇險。幸而，在客戶資料外洩、非授權登入、介面漏洞等問題上，SASE 能夠靈活應對，有 SASE…

「有無Wi-Fi密碼？」 如果舊時代的世界末日是沒有電視看，那麼現代級的災難，肯定是無法上網。 家居、辦公室、商場，有線／無線網絡的應用無處不在，幾乎成為生活必需品之一。當我們對網絡的需求愈來愈高，例如用戶連接的穩定度，還有更高層次的用戶體驗等，作為供應鏈的上遊企業，注定要面對更多的維護成本問題。 Juniper Networks 作為 AI 驅動網絡的先驅，一直希望透過各種數據科學及機器學習技術來分析數據並提供可行的解決方案，其中Juniper Mist AI 正是當中的技術結晶。Juniper Networks 大中華區銷售工程師梁丰表示：「Juniper Mist AI 是第一個具有嵌入式人工智能引擎的網絡平台，能在大幅節省成本的前提下，解決當前，甚至下一個十年的網絡服務問題。」 節省高達 60% 維護成本 梁丰續稱，在自動化流程未出現之前，企業要偵錯解難，往往需要動用大量人力物力，當你有…