正所謂「道高一尺，魔高一丈」，黑客的招數也是層出不窮。近年，網絡攻擊者已從以往試圖獲取端點控制，轉向獲取使用者憑證與帳戶存取權，即接管帳戶攻擊（Account Takeover）。這令到使用者在機構內的身分，變得比使用者的端點存取權更加重要。 想睇更多專家見解？立即免費訂閱 ！ 目前，接管帳戶攻擊已成為最常見而有效的黑客攻擊手段。攻擊者主要透過商品資訊竊取器，以及企業內部數據進行入侵，並從營運上收集到的資訊，以繞過多種因素認證（MFA）來竊取使用者身分。 而隨着雙重驗證廣泛被使用，MFA 疲勞攻擊（Multifactor Authentication Fatigue）變得更常見，而一次性密碼（OTP）亦更容易受到社交工程攻擊（Social Engineering Attack）。 MFA 疲勞攻擊的手段，是利用使用者的「驗證疲勞」去騙取多重因素驗證碼。例如黑客會假扮成公司的 IT 部門員工，假借要更新系統或重新驗證帳戶為名，向目標員工發訊息要求輸入獲取的驗證碼。由於黑客會鍥而不捨向對方進行訊息轟炸，有員工會不堪受擾而大意地交出驗證碼。 對於 MFA 驗證疲勞，筆者認為很多時候是使用者忽視了驗證帳戶之要求屬真屬假，故一眼看到系統發出要求，便輕易誤信並提交了驗證碼資料。要解決問題的核心，企業機構需要建構一個方案，既可省卻系統以驗證帳戶來核實使用者身分，同時亦可讓機構辨明使用者真偽。 筆者早前研發了名為 Network…

繼撤銷安心出行、疫苗通行證及恢復有限度通關後，特首李家超在農曆新年前宣佈即將撤銷隔離令，並將新冠病毒視為上呼吸道病管理。本港陸續復常，跨境商業活動亦明顯逐漸復甦，為兔年帶來喜慶的新景象。Microsoft 香港揭示兔年三大科技趨勢，相信運用新科技能令業務流程事半功倍，呼籲企業應及早升級轉型，把握復甦機遇。 趨勢一：採用混合雲端模式 雲端已成為企業營運必備架構，而八成半企業更計劃於 2025 年推行雲端優先策略。在應用雲端的過程中，商業領袖需要注意雲端效能和成本日增的議題。Microsoft 與合作夥伴交流時，發現除了公有雲，結合使用內部私有雲、邊緣雲及混合雲亦是提升雲端效能的方法。 趨勢二：整合來自不同供應商的科技 面對日益加劇的通貨膨脹和人才庫收縮等挑戰，許多企業都尋求整合來自不同供應商的科技，在數據分析、人工智能、應用程式創新等範疇使用同一供應商的解決方案，以節省時間及金錢成本，並降低營運的複雜性。Microsoft 一項研究發現，82% 資訊安全總監將以降低成本及縮減網絡安全開支作為他們的首要任務。為應付營運需求及提升數碼能力，企業可考慮零信任解決方案，支援跨雲端及跨平台的操作環境。 以 Microsoft Cloud 解決方案為例，企業統一使用便能推行混合辦公模式、實現可持續發展目標及人工智能創新，締造更多機遇。 趨勢三：賦能團隊創造更多 協助員工提升技能是應對人才短缺更有效的方法，Microsoft 認為不應盲目要求員工投放更多時間及精力於工作，相反應承認資源有限，讓所有團隊成員更聰明而有效率地工作。在新一年，創新不應再局限於科技專才及 IT 部門，低代碼（low-code）及無代碼（no-code）…

一場影響全球多年的疫情，對人們的工作模式帶來了許多改變。在家工作（Work From Home）的新趨勢，令不少企業開始增加應用雲端計算，同時也要為員工提供高速網絡、自動化和遠程訪問工具。正正因為企業對網絡更加倚賴，網絡安全成為了相當重要的課題。 據網絡安全供應商Check Point指出，香港中小企近年所面對的網絡攻擊威脅日趨嚴重，香港公司過去半年平均每周遭受 789 次攻擊，而當中有 9 成惡意檔案，乃是透過電郵發送。雖然網絡安全風險大增，但許多中小企卻未有加強防護意識。據電訊營辦商於 2022 上半年的調查顯示，超過 8 成中小企客戶為節省成本，沒有定期更新網絡防護軟件，這會令公司資料被入侵和盜取的危機大增加，隨時會損失慘重。 筆者曾經聽客戶提及，其團購公司因網絡防護做得不好，被黑客攻擊，整個網站即時停運。而媒體亦不時有報道，指有黑客入侵和盜取公司郵箱，假冒商業夥伴或公司高層要求轉款；2022 年 9 月就有一宗本地肉類批發商公司被黑客盜取資料，損失達 2 千萬港元匯款的案件。 來自黑客的網絡攻擊，大多是勒索軟件、釣魚攻擊，或是系統漏洞攻擊，以破壞防禦系統並偷取資料。而最常見的是木馬程式、代碼注入，它們會攻擊企業的內聯網及電子郵箱。針對這些攻擊風險，筆者建議企業在網絡安全防禦方面要執行以下措施：…

Microsoft一批 Microsoft hardware developer 帳戶的驅動程式，被發現遭注入惡意編碼，由於驅動程式擁有最高 kernel 權限，因此有權停止電腦內的安全工具運行及刪除受保護檔案，部分攻擊更涉及 Cuba 及 Hive 勒索軟件。雖然 Microsoft 已刪除相關帳戶，但對於問題的根源，卻仍然保持沉默。 發現這波攻擊的網絡安全公司分別為 Mandiant、Sophos 及 SentinelOne，雖然三間公司捕獲的攻擊，都不是由同一黑客組織發動，但採用的開發者證書，卻屬於同一批，而且亦使用同一種取得 Microsoft 安全驗證的工具包。 這次攻擊的嚴重性在於，黑客使用了經驗證的帳戶證書。專家解釋，由…

持續幾年的疫情，令全港市民紛紛走向「科技化」，過往在現實世界進行的活動，例如會議、購物、銀行戶口的開立等，都已轉移至網上世界。即使以往不熟悉智能手機操作的長者，現時亦已得心應手。正好這幾年，數碼銀行興起，據環球科技和管理顧問公司發表的亞太區「未來銀行」系列調查報告，顯示過去兩年，香港用戶對數碼銀行信心大增，6 成人願意提供私隱數據，以獲得個人化產品及服務。 誠然，科技發展徹底改變市民的生活，但同時引發私隱保護的疑慮，當中一不留神，便會衍生出種種個人資料洩漏或被盜用問題。筆者在軟件系統的應用開發方面，經常會涉及用戶私隱資料及位置分享與追蹤功能，故在數據私隱保護問題上一直遇到不少挑戰。 綜合多年開發經驗及實際客戶方案後，已掌握保護數據私隱的開發思維及技術準則。要防止數據外洩 ，作為開發商應考慮：1. 數據不應離開數據源頭 2. 要把數據資料上傳或發送，只抽取有限度的重要資料並予以加密，同時開發商要確保資料離開數據源後，即使外洩至第三方，對方亦無法解密或從資料推斷到源頭的所有私隱數據。 何謂數據不離開源頭？舉個最簡明的例子，筆者曾處理過澳門賭場的大型項目，賭場的出入人次、會員、客戶個人資料、兌換籌票金額等資料數據，只存於賭場內的伺服器，並不會傳輸或上載到任何地方。 至於如何只抽取有限度的重要資料並予以加密？又一例子說明。 筆者亦有參與開發「居安抗疫」App，當中的數據私隱保護問題亦引起不少關注。當中「Network Signal」最能體現。要知道用戶的實時位置，最直接方法就是安裝軟件，直接從其手機取得用戶的資料。但要保障用戶私隱，在開發過程中，我們花了大量時間，棄用直接方法，研發出「Network Signal」功能。 「Network Signal」，當「居安抗疫」App 需要監測某人的所在位置，App 系統後台並不會取得該人的姓名、性別、身份證號碼、電話號碼或住址；換言之，系統後台人員不會知道該人士的身份，只知道一個編號，而透過 Network Signal（Wifi Pattern）知悉其有沒離開所在範圍。這是一項間接而又能取得所需資訊的方法，令使用者的個人資料只會存於其手機中，App…

Meta 早前控告中國公司如 HeyWhatsApp、Highlight Mobi 推出 Android 特製版 WhatsApp，暗中卻以盜取用家帳戶為目標，且最少已有過百萬用家受騙。黑客可從中獲取帳戶的驗證金鑰，帳戶被盜事小，黑客可利用帳戶詐騙受害者的聯絡人事大，Android 用家切勿以身犯險。 俄羅斯防毒軟件公司 Kaspersky 發表安全報告，指有黑客通過一些影片播放平台如 SnapTube，推廣聲稱擁有特別功能的特製版 WhatsApp。其實特製版 WhatsApp 已不是新鮮的詐騙手段，因為 WhatsApp 功能經常落後於其他即時通訊 apps，以時至今日仍為人垢病的限時銷毁訊息功能為例，時限選擇少，例外情況又多，因此用家在與特定群組互傳訊息時，或會使用 Snapchat 或…

勒索軟件盛行，成為世界各地機構面臨的最大網絡威脅之一，除了會令數據洩露、盜取外，甚至導致服務中斷。香港生產力促進局引述數據顯示，去年全球勒索軟件攻擊數量按年急升 1.05 倍至 6.2 億次。而根據香港警方數據，今年上半年接獲逾萬宗網絡罪案，較去年升四成，損失金額涉及逾 15 億港元。 而 Microsoft 香港將於其年度「網絡安全研討會」分享網絡安全的趨勢及企業需知的解決方案。 然而，Microsoft 近日公佈第二期網絡威脅季度報告 Cyber Signals，揭示一項新趨勢 — 勒索軟件即服務（ransomware-as-a-service，RaaS），並成一種佔主導地位的攻擊模式。而 RaaS 更令勒索「產業化」，產生多個「專業」角色，如專責販賣網絡流量經紀；即使罪犯並不擁有任何數碼技術專長，均可部署勒索軟件。受到釣魚電子郵件攻擊後，約一小時就能讀取受害者個人資料。 RaaS 產生多個專業角色…

Microsoft 發表的最新 Cyber Signal Report 指，截至 2021 年 12 月，只有 22% 使用其雲端身份平台 Azure Active Directory (AAD) 的客戶，採用了強身份驗證（strong identity authentication），包括多因素身份驗證 (MFA)…

流動通訊程式是日常溝通的一部分，但瑞士軍方早前宣布，禁止人員在執勤期間使用 WhatsApp、Signal 及 Telegram 等同類型通訊應用程式，全面改用一種由當地開發、被指在數據保護方面更安全的應用程式 Threema。 於去年 12 月底，瑞士指揮官和參謀長收到寄自軍方總部的電子郵件，建議部隊統統改用瑞士的應用程式 Threema，作為平時通訊的工具。軍方發言人 Daniel Reist 向法新社透露，這項建議適用於「所有人」，包括正服兵役的人士和返回參與進修課程的人。Reist 稱，在瑞士控制新冠肺炎疫情的時候，在支援醫院和疫苗接種計劃的運作期間，出現了軍人在當值期間使用流動通訊應用程式的問題。 瑞士軍方會有這項措施的背後原因，可能是 WhatsApp 等其他通訊服務應用程式正受美國雲端法案（Cloud Act）的約束。該法案允許美國當局存取由美國營運商持有的數據，即使這些數據保存在國外的服務器上，都能有權取得。 而這次強制使用的應用程式 Threema，是一個收費應用程式，瑞士軍隊將會承擔下載…

WhatsApp 上周宣布，將在今年稍後為用戶提供點對點加密備份，用戶將可選擇使用加密密鑰作為儲存備份的方式。WhatsApp 將提供隨機創建的 64 位數的密鑰，用戶可自行保留這個密鑰作記錄。做法類似於 Signal 處理備份的方式，只需重新輸入密鑰就能恢復備份。 另一種儲存備份的方法是將隨機密鑰儲存在 WhatsApp 的基建內，即是被稱為以硬件為本的安全模塊 (Hardware Security Module-based, HSM) 的備份密鑰庫，用戶可用自行創建的密碼，存取在內的備份。 WhatsApp 在白皮書上列明，WhatsApp、用戶流動裝置連結的雲端服務，或者任何第三方都不知道密碼。密鑰存儲在 HSM 備份密鑰庫中，以便用戶裝置丟失或被盜時，都能恢復密鑰。另外，HSM 備份密鑰庫具備強制執行的密碼驗證，如果猜測密碼至一定次數次失敗後，該密鑰將會永久無法存取內容，WhatsApp…