Search Results: SIM (61)

    SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生,但既然愈來愈多港人準備移民,當然要了解一下如何避免成為這種攻擊方法的受害者,特別是去年因 SIM-swapping 導致的損失高達過億美元,當中更有著名 KOL、體壇明星、名人,千萬不能掉以輕心。 所謂 SIM-swapping 攻擊,是一種透過非法手段,從電訊商員工手中騙取其客戶電話號碼使用權的攻擊,例如假扮其客戶訛稱遺失手機,要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼,或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作,不過由於被查出的風險較高,所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響,這類騙案較少在亞洲發生,而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼,可以參考以下社交工程 (social engineering) 攻擊的經典示範。 https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed 騙取到電話號碼使用權後,如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶),而又需要額外 SMS…

    政府明日(1 月 30 日)就引入電話智能卡實名登記制度的安排展開公眾諮詢,徵詢電訊業、相關持份者和市民的意見,指為促進本地電訊服務發展,及有效打擊涉及電話智能卡的犯罪活動。 現時本港流動電話用戶主要透過智能卡服務計劃(服務計劃)和預付儲值電話智能卡(電話儲值卡或俗稱「太空卡」)使用相關服務,其中電話儲值卡用戶無須簽訂固定合約或登記個人資料。 政府指,由於電話儲值卡的匿名性質被不法之徒利用作違法活動,但現時並無法例規定須登記此類儲值卡用戶資料,執法機關難以追查、鎖定這些違法活動的幕後涉事人,又指過去有不少電話騙案,利用電話儲值卡匿名性質犯案。匿名儲值卡經常被用於各式各樣的騙案,包括電話騙案、網上購物騙案、求職騙案、投資騙案等,令受害市民蒙受損失。 商務及經濟發展局局長邱騰華表示,有迫切需要透過引入實名登記制度,堵塞漏洞,防止和協助偵查涉及使用電話儲值卡的罪案,並維持市民對本港電訊服務的信心。保安局副局長區志光則指,涉及本地流動電話犯案的嚴重罪行中,超過七成涉及使用匿名儲值卡,而電話騙案當中的比例更高達九成,匿名儲值卡有利不法之徒逃避身分識別、追蹤和偵查,即使犯案人士被捕,幕後的犯罪集團主腦往往能置身事外,而盡快落實實名登記制度,有助打擊和防範不法之徒利用匿名儲值卡犯案,從而保障市民的人身和財產安全。 政府計劃透過《電訊條例》訂立規例實施電話智能卡實名登記制度,提供所需的法律基礎讓電訊商按規例的要求登記、收集和儲存用戶的登記資料,將涵蓋所有由本地電訊商發出及在香港使用的電話智能卡。 實名登記制度主要規定如下: (一)用戶須提供身分證明文件(香港身份證或其他可接受的身分證明文件如旅客的旅遊證件)內的資料,包括姓名、出生日期和身分證明文件號碼及其副本,以作登記; 若公司或企業要登記成為電話智能卡用戶,則須提供其商業登記資料及指定某人士作為代表或負責人,並提供該名人士的個人資料; (二)16歲以下人士如需登記電話智能卡服務,相關登記必須得到一位「合適成人」的確認; (三)每名用戶只可向每間提供公共流動服務的電訊商登記不多於三張電話儲值卡; (四)電訊商應核對、釐清及核實用戶提供的資料,並在有合理理由認為有關資料屬虛假、誤導或不完整的情況下,取消有關電話智能卡的登記; (五)電訊商需在電話智能卡取消登記後,保存相關登記用戶的紀錄最少12個月; (六)登記的個人資料由相關電訊商保存,不會向他人包括政府或執法部門披露。執法部門在有需要時才可按規例向電訊商索取電話智能卡的登記資料; (七)按規例執法部門只能獲取電話卡的登記資料(即姓名、基本身份證資料),並不包括通話紀錄及內容。在一般情況下,執法部門須得到法庭手令,但在某些迫切或緊急事件的特殊情況下(例如涉及炸彈恐嚇、綁架等嚴重罪案),執法部門可在一名不低於等同警司職級的人員授權下,要求電訊商在沒有法庭手令下提供電話智能卡的登記資料。 為讓電訊商作好準備以遵照登記規定,政府建議登記制度分階段進行,規例生效 120 日後出售的新儲值卡及服務計劃才開始按規例作登記,屆時所有新的電話智能卡須先登記後才可啟用。按目前的建議,所有電話智能卡須於規例生效後的…

    唔好講咁多,即刻掹咗張 SIM 卡出嚟先,因為最新發現嘅呢個漏洞,正影響緊全球 10 億以上流動網絡用家,黑客只要發出一個含有惡意代碼嘅 SMS,就可以發動 SIMjacker 攻擊,喺你部裝置上面執行惡意程式,暗中控制你部裝置,包括打電話、發送假訊息、報告位置、傳輸數據、停用 SIM 卡,甚至執行其他惡意指令。由於漏洞存在喺 SIM 卡上,所以無論你用邊款手機,以及各種可以插 SIM 卡上網嘅裝置,例如平板電腦、IoT 裝置,統統走唔甩,而且暫時係完全無修補方案,你話除咗掹 SIM 卡靠 Wi-Fi 上網之外,仲可以點做呢? 呢個核彈級…

    平常使用手機,都會設置密碼保障個人資料,但如果黑客可以在不輸入正確密碼下成功開啟你的電話,密碼就形同虛設。外國有網絡安全研究人員意外發現可以透過Android手機系統漏洞,繞過密碼鎖屏,直接進入主畫面,令人防不勝防。 繞過鎖屏的方法亦十分簡單,只需一分鐘及幾個步驟:首先輸入錯誤 PIN 碼三次,令手機被鎖上;然後換另一張 SIM 卡,再輸入錯誤的 SIM 卡密碼讓 SIM 卡被鎖;這個時候手機會要求輸入 PUK 碼(個人解鎖碼,即由電訊供應商提供的 SIM 卡代碼)解鎖 SIM 卡;就隨後可以重置 SIM 卡密碼,繞過原本的鎖屏密碼,直接進入主螢幕。 造成漏洞的原因是 Android…

    商務電郵詐騙(Business Email Compromise, BEC)的攻擊對於企業而言難以防範,因為騙徒會冒充大品牌或企業客戶,發出具針對性的攻擊,騙取受害人的信任。最近又有一個名為 Crimson Kingsnake 的 BEC 組織出現,假扮國際知名律師事務所,藉以誘騙收件人就逾期發票付款。 Crimson Kingsnake 透過冒充是律師,向目標發送逾期付款的發票,並聲稱在一年前曾為他們提供服務。這種冒充知名機構發出具針對性攻擊的方法,是典型 BEC 攻擊,並要求目標對象立即付款,倘受害者不虞有詐付款就正中下懷。 Abnormal Security的分析師於 2022 å¹´ 3 月首次發現…

    LinkedIn宣布加強安全功能,阻止近年愈來愈多黑客透過平台詐騙。新加入的帳戶驗證機制,以及持續以先進人工智能技術辨識虛假帳戶,均可提高用家的安全意識及打擊假帳戶,讓用家用得放心。 近年不少黑客都透過職場社交平台 LinkedIn 犯案,原因有多方面。首先,由於用家都會樂於上載詳細資料到平台,以便讓潛在僱主找到自己,因此黑客可簡單地利用搜尋功能找到目標,同時亦可訂立更個人化的社交工程攻擊,讓目標上當。 其次是大部分用家都以尋找新工作機遇為目標,因此對於來自大公司的工作邀請,更易上當。詐騙活動近年經常發生,比較著名的有北韓黑客集團 Lazarus 以虛假的工作職位為名,引誘英國、印度及美國等地從事 IT 及媒體工作的職員,打開假扮成職位資料的文件,實際上卻在對方電腦上安裝木馬程式,以便黑客刺探目標公司的內部機密。其他手法還包括引誘對方到其他通訊軟件聯絡,或到訪釣魚網站,盜竊對方的個人及公司帳戶登入資料。 LinkedIn 為了打擊上述詐騙活動,宣布即日起陸續推出新的安全功能。其中之一的「About this profile」,可顯示登記用家是否已通過公司電郵或電話驗證,如黑客要假扮為某間企業員工,並在個人資料上顯示目標公司的電郵地址,便要先通過驗證,否則便不會獲得驗證標記。 新加入的人工智能技術,則會無間斷地偵測所有用家的帳戶使用情況,包括帳戶相片、登入平台後的活動內容,如發現可疑行為,便可能會凍結用家帳戶,或對其他用家發出警告。LinkedIn 強調相片辨識上毋須使用生物辨識技術,即用家毋須先通過人臉辨識,系統也可憑人工智能找出虛假相片。 新加設的 「About this profile」 功能。…

    多款聲稱可加強瀏覽器自訂功能的 Chrome 及 Edge 延伸工具,原來藏有惡意廣告軟件,據知這些軟件在最近大量出現,且錄得數以百萬計下載量。除了顯示廣告賺錢,黑客更可騎劫搜尋結果,顯示可獲利的廣告內容,甚至可賺取網民上網購物的佣金。 網絡安全公司Guardio Labs研究員在十月中發表調查報告,指出有 30 多個變種惡意廣告軟件繞過安全偵測,成功在 Chrome 及 Edge 的網上商店上架。研究員解釋,這些被歸類為 Dormant Colors 的瀏覽器延伸工具,均聲稱可為用家提供更多瀏覽器自訂色彩的功能,而且由於軟件內並無惡意編碼存在,所以可以順利通過官方商店的安全審查。 黑客首先會在一些受感染的網站上加入惡意編碼,以免費睇片或下載影片作招徠,並通過廣告提升觸及率,讓更多人發現這些網站。當有網民嘗試播放或下載影片,畫面會跳轉到另一個網站,並要求網民必須先安裝一個瀏覽器延伸工具才能播放。 如網民按照指示安裝,網站內的惡意編碼便會將網民引導至更多網站,而 Dormant Colors…

    網絡安全公司Aqua Security最新發現,GitHub旗下的 npm 開源軟體註冊中心服務存在時差缺陷,黑客可利用搜尋時差得悉套件名稱是否已被私人註冊,從而在公開資料庫中上載名稱幾乎一樣的惡意套件,令軟件開發者被誤導下載使用。GitHub 已表明無法修正缺陷,開發者只能自保。 npm ( Node Package Manager ) 是跟 NodeJS 一起安裝的管理工具,它可讓軟件或網站開發者借用其他開源軟件時,更容易解決 NodeJS 編碼的部署問題。由於在現時開發軟件或網站時,為加速開發流程及減少不必要的開發過程,幾乎所有軟件開發者都會引用開源軟件,因此 npm 亦成為黑客目標,通過上載藏有惡意功能的軟件,感染其他開發者的軟件或網站,替黑客進行公司機密或信用卡資料盜竊的行為。要達成這種供應鏈攻擊 ( supply chain…

    雖然近期 Google、Microsoft和Apple都各自在其平台推出了無密碼的驗證密鑰(passkey)功能,但大多數人仍然選擇使用自己的密碼。Google 最近開始透過FIDO 聯盟(Fast Identity Online Alliance)測試 Chrome 和 Android 中的驗證密鑰支援功能,而 FIDO 的密鑰是以智能手機傳感器進行生物識別身份驗證,以完成無密碼登入。Apple 於 6 月宣布 iOS 和 macOS 支援使用…

    國際刑警組織開新戰線,新設專責保衛元宇宙和平的特別調查團隊 Interpol Metaverse,讓探員化身為 avatars 穿梭元宇宙世界,還會有沉浸式搜證調查及相關的世界觀知識培訓,不過最重要的法例,似乎就未有聲氣。 自從 Facebook 改名 Meta,表示要全情投入發展元宇宙業務,Metaverse 概念才正式被炒起,市場調查公司 Gartner 早前發表報告,估計在 2027 年全球將有 40% 大企業會借助 web3 及 AR 擴充實景技術為員工或客戶提供元宇宙服務。而現時有港資背景的…