DEF CON ’18 邀請了一班小朋友參加比賽：攻進一個複製的選舉結果網站，最後由一位 11 歲小朋友於 10 分鐘內成功攻入。除了顯示今日的網絡安全問題，亦提醒大家，別小看小朋友的能力。曾經有個 List 大數著名的兒童黑客，今日大家重溫一下： Reuben Paul 網絡安全界神童 Reuben Paul 現年 13 歲，是一位白帽黑客，其身份包括網絡保安大使、兒童黑客、最年輕少林功夫黑帶、體操運動員、Video-gamer、網絡忍者及 CyberShaolin 創辦人。Reuben…

美國國家反情報與安全中心（National Counterintelligence and Security Center，NCSC）表示，美國企業一向是國家級黑客的目標，NCSC 日前推出一系列宣傳品教導企業對抗網絡攻擊。 美國企業被黑攻擊頻繁，資料外洩、供應鏈遭滲透、情報遭截取等事故屢見不鮮，代價沈重，甚至危及國家安全。而且不少攻擊模型屬「國家級」的，NCSC 舉例去年 3 月來自伊朗的大規模網絡攻擊，竊取美國企業及超過 144 間美國大學的研究成果、3 月 發現由俄羅斯政府主導，偵測美國的能源部網路，還有 9 月北韓的 WannaCry 2.0 攻擊。因此，NCSC 推出網絡安全宣傳活動，以提高國民及企業意識。最新推廣活動名為「Know…

12 歲的黑客小天才 黑客界鼻祖 Kevin Mitnick，充滿爭議性的傳奇人物，看完他的經歷，會發覺「第一黑客」稱號，當之無愧。有人形容 Kevin 的上半生猶如電影《Catch me if you can》的男主角 Frank Abagnale。Kevin 於 1963 年生於美國加洲的一個猶太家庭，小時候已發揮黑客本色：12 歲時，利用Social Engineering 及 Dumpster…

相信大家都收過欺詐電話，要用電話呃人，要花時間與對方溝通，但現今生活節奏急速，很多人都會 cut 你線，要成功得手，絕對唔容易。欺詐電郵就唔同，騙徒首先會對目標人物的背景有所掌握，也會精心製作電郵內容，並以冒充的身份把電郵發出，一般用戶收到這些電郵，都難以判斷真假。 傳統安全方案束手無策 事實上，電郵仍然是現今最大安全攻擊途徑。原因很簡單，發動攻擊成本不大，因為你是不能拒絕攻擊者發送電郵給你。況且傳統的電郵安全方案也好一段時間沒有技術革新，依然側重於防病毒、防垃圾電郵等功能，把懷疑有問題的 Email 隔離就了當。面對更新型的欺詐電郵攻擊，傳統的電郵安全方案缺乏技術及能力處理，可以說是有點手束手無策。 BEC 個案平均損失近百萬港元 Business Email Compromise（BEC）是近年出現的名詞，指利用欺詐電郵手法（或附有網絡釣魚攻擊）的新型威脅。 BEC攻擊者大多數會冒充公司外國供應商、老闆、公司高層、公司員工、公司律師（會計師）等… 欺詐目標大多數是公司的財務或高級管理人員，最終目的是以不同的藉口要求匯款，令公司蒙受重大金錢損失。據統計，每個案平均損失近百萬港元，這絕對是大茶飯。 期待最新技術杜絕 BEC BEC 之所以難以防止，因為它利用大眾的疏於防範的心理，讓受害者掉入社交工程（Social Engineering）陷阱。在今天高度透明的商業社會，要找出財務部門（或公司高層）的電郵地址並非難事，這也意味著一個一個精心炮製的欺詐，隨時可以用電郵發動。在「道高一尺魔高一丈」的網絡安全環境中，我們總不能單單每日叫員工提高安全意識。新一代的電郵安全系統，終於包含了BEC 防護功能，期待最新技術能把這類超級大殺傷力的欺詐電郵威脅徹底清除。

以往黑客入侵企業電腦系統，其中一個方法是以釣魚電郵令對方員工打開內藏惡意軟件的檔案，不過網絡安全公司 Palo Alto Networks Unit 42 安全團隊就發現，近來黑客改變策略，轉而以社交工程攻擊，誘使員工安裝合法的遙距登入軟件，成效更顯著。 Unit 42 專家將這波攻擊稱為 Luna Moth，稱這類型攻擊雖然同樣以釣魚電郵作為起點，但卻與早前曾報導的 BazarLoader 木馬軟件陷阱有很大分別，企業必須及早向員工發出警告。 專家說黑客首先會向目標企業員工發出電郵，附件的 PDF 檔案指其公司帳戶有一筆可疑的信用卡簽帳，必須致電客戶服務中心確認。黑客不會將簽帳金額訂高於 1,000 美元以上，避免收件者向上級匯報或令對方產生懷疑，而是直接致電客服解決。此外，黑客會經常改變電郵主題及附件名稱，減低被電郵防護工具攔截的機會。 當員工信以為真，便會致電電郵中的客戶服務部電話，並向客服上報信內的…

約 4.87 億 WhatsApp 帳戶的登記號碼，上星期六被黑客放上暗網發售，數據中更列明包含約 300 萬香港用家電話號碼，用家除了要留意是否 WhatsApp 被入侵之外，更重要是提高警覺，同時加強帳戶安全功能！ 網絡安全網站 Cybernews 上星期六發現，有黑客公然於暗網出售 WhatsApp 帳戶資料，數量更多達 4.87 億，雖然有關資料只得登記的電話號碼，但安全專家強調不容忽視，因為過往曾多次發生黑客僅使用電話號碼，便能奪取 WhatsApp 帳戶的成功個案，主要方法有二。 第一種方法是透過 SIM…

不少專家均建議企業啟用多重因素驗證 ( MFA )，以保障員工帳戶的安全。不過，MFA 並非萬能，因為決策權始終握在用家手上。有黑客集團就將釣魚攻擊結合疲勞轟炸手段，令用家自動確認可疑的 MFA 驗證，例如 Uber 被入侵事件就是其中一個案例。 Call 車 app Uber 的員工帳戶早前被入侵，導致內部應用服務被塗改內容，以及發生數據外洩。事後黑客集團 Lapsus$ 其中一位聲稱 18 歲的成員承認責任，指入侵 Uber 只因對方的網絡安全措施非常弱。經調查後，網絡安全專家說這次事件相信是對方從暗網取得相關員工的帳戶登入資料，然後再利用釣魚攻擊，假扮成…