Search Results: Social Engineering (21)

    Web3 是下一代互聯網而創造的術語,現時網絡已從以內容頁面為主的面貌,轉變為以社交媒體為主軸的世界。現時,去中心化的互聯網模式,正以 Web3 的概念作討論。有研究人員就新興技術面臨的最普遍威脅預計,社交工程攻擊(Social Engineering Attack)或主導 Web3 及 元宇宙(metaverse)的世界。 轉變成 Web3 的其中一個因素是元宇宙的盛行——一個 3D 環境和虛擬世界,能在個人或工作上,促進社交聯繫。用戶在元宇宙中的 ID,也可能會與加密貨幣錢包、NFT 和其他各種智能合約互連。隨著技術供應商致力於實行以上概念,Cisco Talos 的網絡安全研究人員提出了他們對 Web3 和元宇宙將面臨的潛在威脅的看法。…

    各國政府為了防止新冠疫情爆發,或多或少都實施了各種社交限聚令,網民為了安撫自己的寂寞的心,導致網上約會 app 的使用量大增。不過,並非所有人都懂得網上調情之道,有學者就嘗試引入人工智能演算法,測試 AI 是否有能力代替人類,運用語言令對方心如鹿撞。 網上情緣詐騙的成功率,直接取決於騙徒是否擁有高超的社交工程(Social Engineering)技巧。而在相關領域之中,尼日利亞的騙徒一向被公認為詐騙之霸,特別是他們深諳調情之道,令塵世間不少男男女女墮入陷阱,損失大量金錢。美國一個科學家 Janelle Shane 忽發奇想,希望測試人工智能的調情潛力,於是就以四個版本的 GPT-3 人工智能技術包括 DaVinci、Curie、Babbage 及 Ada,測試它們在各自的演算法下,是否能創造出令人心動的深情說話。研究員指出,揀選 GPT-3 的原因,在於它早已被應用於網站設計、寫文等用途上,而其人工智能技術的學習能力來自模仿人類的神經網絡 (neural network),它可以在分析各種語言範例後,自動撰寫出與人類相似的句子,雖然它本身並無法理解句子的含義。 為了令…

    再有調查發現,愈來愈多黑客利用開源 Python 套件倉庫例如 PyPl 作為散播惡意軟件的工具,所使用的手法包括串字錯誤 (typosquatting)、依賴混淆 (dependency confustion) 或社交工程 (social engineering),開發者如果隨便下載有問題的套件使用,廣大客戶將會受牽連! 供應鏈攻擊 (supply chain attack) 是近年黑客愛用的其中一種網絡入侵方法,因為黑客只須入侵開發者的上游服務供應商,之後就可以感染其客戶及用家,性價比極高。供應鏈攻擊可以分兩種類,一種是非法入侵官方伺服器,利用其服務的漏洞發動攻擊,或將惡意軟件替換成官方的更新檔,借助自動更新功能大規模感染下游客戶的電腦設備;另一種則毋須入侵,黑客可以將惡意軟件偽裝成存放於開享資料庫上的共享套件,再靜候獵物上釣,而今次由 JFrog 網絡安全研究員發現的情況就屬於後者。 專家解釋,開源資料庫一般缺乏自動化安全控制功能,未有詳細驗證用家上載的共享檔案是否含有惡意功能,因此如應用服務開發者未有對共享檔案進行安全檢測就使用,便有可能直接將惡意功能引入自家的軟件中,推出後便有很大影響。JFrog 便在知名…

    加密貨幣 (cryptocurrency) 炒風熾熱,愈來愈多人參與其中,而要買賣各種加密貨幣,最簡單方法是使用管理 app。網絡安全服務供應商 Sophos 便發現,有黑客集團製作了 150 個以上虛假交易及管理 apps,通過不同手法吸引投資者安裝,從而盜取他們的電子錢包帳戶登入資料。有女投資者便因貪字得個貧,買樓基金一鋪清袋。 要盜取加密貨幣電子錢包帳戶,方法有很多種,比較困難的手法是入侵受害者的電腦,再於電腦的儲存數據內搜尋有關記錄。而今次 Sophos 留意到的手法就簡單得多,專家指黑客會嘗試通過不同途徑,推廣一些管理加密貨幣的手機應用 apps,例如利用社交平台賣廣告、於即時通訊工具內廣發推廣訊息,甚至發動社交工程 (social engineering) 攻擊,先與目標人物建立關係及信心,才引導對方安裝虛假 apps。 為了令目標人物更易上檔,黑客會倣製一些有名氣的手機應用 apps,由版面設計以至使用圖案,均模彷得極度逼真,然後才通過上述方法散播。Sophos 專家經深入調查後,發現當中有超過…

    今朝一早老編打來催稿,仲鬧 Neo 寫 D 嘢,一岩一忽,九唔答八,點同讀者交代;我話,趕住搵食,一個鐘要出稿,你期望 D 乜呢?老編話,我唔理,總之今次要寫 D 嘢出黎。我話,吓? 好啦,要寫 D 嘢,所以去左個「香港內地網絡安全論壇」,冇報名惟有靜雞雞捐入去聽。一聽,水平又幾高,因為唔係賣藥,而係討論未來 Smart City 的問題,講困難多過講答案,好。Neo 從中吸左唔少,頗有 insight。 Related Posts 【專家主場】略評…

    一個黑客組織入侵了安全防護系統初創公司 Verkada 的大約 15 萬個聯網內的監控鏡頭,使他們能夠取得多個組織的實時和存檔影片信號,包括生產設施、醫院、學校、警察部門和監獄,更包括 Tesla。據報道指,黑客主義者 Tillie Kottmann 宣稱是事件負責人之一,向 Bloomberg 披露這次資料入侵行動是一間國際黑客團體所為,目的是為了展示無處不在的視訊監控,以及攻入這些系統輕而易舉。此說法引起爭議,專家正權衡如果安全錄像洩露落入不法分子手中,受害組織可能遭遇的潛在後果。 影片資料洩露可能會導致知識產權盜竊、人身安全威脅、侵犯隱私、敲詐勒索,或許還會受到監管部門的懲罰。更糟糕的是,這些攝像頭採用了面部識別技術,導致了以下問題:攻擊者是否可以真正識別被攝像頭捕捉到的個人,然後將他們作為社交工程(social engineering schemes)或更恐怖計劃的目標。 Bloomberg 查看被盜的 Verkada 影片,包括據指是上海 Tesla 倉庫的裝配線上的工人圖像。不過,Tesla 後來告訴路透社,這段影片實際上是來自供應商在河南省的生產基地,其上海工廠及展示廳未受影響。不過,Kottmann 表示,他們仍能獲取安裝在 Tesla 工廠和倉庫中的 222 個攝錄影像。根據報道,網絡性能公司 Cloudflare 和身份權限管理服務提供商 Okta,被指也在工作場所使用 Verkada 的服務。…

    SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生,但既然愈來愈多港人準備移民,當然要了解一下如何避免成為這種攻擊方法的受害者,特別是去年因 SIM-swapping 導致的損失高達過億美元,當中更有著名 KOL、體壇明星、名人,千萬不能掉以輕心。 所謂 SIM-swapping 攻擊,是一種透過非法手段,從電訊商員工手中騙取其客戶電話號碼使用權的攻擊,例如假扮其客戶訛稱遺失手機,要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼,或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作,不過由於被查出的風險較高,所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響,這類騙案較少在亞洲發生,而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼,可以參考以下社交工程 (social engineering) 攻擊的經典示範。 https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed 騙取到電話號碼使用權後,如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶),而又需要額外 SMS…

    騙子發疫症財不是新鮮事,但是疫情一日未完,只怕不法分子仍然會利用群眾的恐慌,繼續製造謠言呃錢。最近承著疫苗推出,英國出現不少與疫苗有關的電郵,誘騙民眾輸入個人資料,身在香港的我們,也要留神會否有相同情況出現,下文將介紹各種隨疫症而出現的虛假訊息。 早於去年 12 月,國際刑警組織已發出警告指,未來幾個月內將出現大量與 COVID-19 相關的欺詐和網絡罪案,呼籲執法機構作好準備,該組織秘書長 Jürgen Stock 提到,這些不法分子會利用虛假網站和虛假療法,瞄準毫無戒心的民眾,結果或對他們的健康、甚至生命造成重大威脅。而發出警告後的四星期,民眾與及疫苗供應鏈首當其衝成為罪犯的目標。 假冒產品 有假冒疫苗正在網上發售,令人最為擔憂。Check Point研究人員發現與 Dark Web 相連的論壇帖文中,包含「冠狀病毒疫苗」和「冠狀病毒療法」字眼,內有供應商聲稱可以使用未標明品牌的 COVID-19 疫苗,索價達 300 美元的加密貨幣。Check Point…

    為求保障,網絡安全產品服務不可或缺。然而,所有網絡安全背後的 final boss,始終是背後操控一切的人類。KnowBe4 與 SoftwareOne 聯合主辦的網絡研討會,將探討社會工程師及騙徒如何設局,或以不同手段誘使受害人順從吩咐,讓你識破詭計,掌握 OODA (Observe, Orient, Decide, Act)循環方法,免墮陷阱! 是次 Webinar 由全球最大的「安全意識培訓平台」供應商 KnowBe4 亞太區網絡安全意識倡導者 Jacqueline Jayne 及 SoftwareONE…