疫情下大家都習慣了網上購物,就算以往不熟悉如何網購,現在亦變成格價及集運高手。有大量金錢流轉的地方,黑客又怎會錯過?有網絡安全研究員便發現,黑客正借助網站頁面上的社交平台分享按掣圖標,隱藏惡意軟件的蹤影。只要你在網站上購物,信用卡資料就會同時送到黑客手上! Credit card skimmer 是一種專門入侵電商網站,再於結帳頁面植入惡意程式盜取客戶信用卡資料的攻擊手法。近年這種攻擊日益猖獗,當中 Magecart 黑客集團更是當中的表表者,不少知名網站如 newegg、Forbes 都曾中招。最近荷蘭網絡安全公司 Sansec 的研究員又發現,credit card skimmer 的入侵方法再度變招,而今次就向網站版面上的社交平台分享按掣圖標落手,同時將惡意軟件的組件拆散,從而繞過電商網站所採用的網絡安全工具的偵測。 研究員指出,黑客今次將部分惡意程式碼植入 SVG 格式的圖標內,而且亦用上 facebook_full、instagram_full 等指令,令整段編碼變得更加可信。只要網頁被瀏覽,惡意程式碼就會執行,並且繼續於網站伺服器的其他位置讀取剩餘的程式碼。研究員認為這種斬件式擺放方法有可能瞞過安全掃描器的偵測,因為即使偵測到其中一部分,也未必會發現其可疑之處。其實之前我們也曾報導黑客利用網站擺放於瀏覽器分頁的小圖標 (favicon) ,將惡意程式碼植入其中,並且將惡意程式碼轉成混浠碼(obfuscated…
Search Results: X (1503)
數據洩漏事故現時在香港未有立法規管必須通報,並無一個完善的通報機制,除了會造成大眾關注度不足和輕視問題的嚴重性,同時也意味著很多事故隱藏在黑暗中。不要以為數據資料洩漏與自己無關,因為那些被洩漏的資料,分分鐘就是你的信用卡資料、住址、電話;香港過往也曾發生幾宗震撼全城的洩漏相關事故,包括航空公司洩漏 940 萬乘客私隱,選舉事務處遺失載有約 378 萬地方選區選民的資料的電腦,所引發的潛在資料外洩危機等,全都令人擔心企業或政府部門有沒有足夠措施及防護策略,保護客戶、市民的隱私。如果要妥善保護資料,採用由專業的數據保護方案,便能輕鬆管理資料及為資料加密,並設置資料讀取權限,即使遙距工作,也不怕資料外洩。 數據加密零停機 效率保護性兼備 Thales公司的資料保護平台(CipherTrust Data Security Platform, CDSP),為全球各地政府、跨國企業、金融機構所採用,在香港的用戶就包括政府、金融監管機構、發鈔銀行、公用事業及上市企業。Thales公司是數據保護、加密及安全交易的權威,其提供的數據加密方案,能有效保障用戶的個人私隱及交易資料,不會外洩。 其中CipherTrust Transparent Encryption (CTE)方案的透明加密資料設置,可保護結構化及非結構化資料庫,加密內部系統、雲端環境,甚至在大數據和容器內的資料,同時保持存儲數據的效率,在部署時毋須更改應用程式或工作流程,使對業務及作業程序的影響減至最少。 透過Live Data Transformation (免停機背景加密)方案,能在零停機的情況下加密資料,期間不需中斷應用程式或工作流程,在加密過程中,使用者和處理程序可如常繼續存取資料庫或檔案系統,將加密過程對使用者的影響降到最低。另外,平台亦設最低權限使用者存取規則,保護資料免受外來攻擊,以及遭特權使用者誤用。 不少製造商及電子商貿公司亦採用 Thales…
Silicon Valley 到 Wall Street,本周熱話均圍繞著 Salesforce 270 億美元天價收購 Slack,投資者對軟件業史上第 2 大併購存有懷疑, Salesforce 股價在消息宣佈後下跌近 5%。作為全球最大雲端 CRM 軟件商,Salesforce 的野望是推翻 Microsoft Office 365…
企業的系統應用複雜性日增,被入侵機會亦大增,單是管理網絡安全系統本身也有不少難題,尤其是銀行、金融及保險界別的企業,要符合監管機構的合規要求,對網絡安全更不敢鬆懈。部分企業近年引入安全資訊和事件管理(Security Information Event Management, SIEM)方案應對有關問題,SIEM 會蒐集大量網絡和 IT 訊息,即時分析後,向企業保安營運中心(Security Operation Center, SOC)發出警報並解決危機,不過傳統 SIEM 會將所有警報列出,要花費大量人力物力來處理,新一代 ASOC(Automated Security Operation Center)加入人工智能及機械人等技術,可以將需要即時處理的警報優先列出,而且以 ASOC 即服務(ASOC-as-a-Service)的形式推出,企業能因應自身需求採購合適方案,迎合業務發展。 傳統…
不少網購平台就會採用 Magento 電子商務系統,貪其功能強大,接受的電子支付多樣化。不過,網絡安全公司 RiskIQ 最新發表的報告就指出,超過 2,800 間仍採用舊版本 Magento 的網購平台,正被 Magecart 黑客集團入侵,可盜取客戶輸入的信用卡詳細資料,呼籲用戶立即更新系統! 今次發現的漏洞名為 Cardbleed,早於今年 9 月已被網絡安全公司 Sansec 所發現。當時 Sansec 指出,Magento 1.x…
University of Texas 與 University of Oklahoma 最近聯合發表論文 “Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Inference Attacks.”,團隊運用自行研發程式,可以透過 Zoom…
在疫情影響下,不少企業推行在家工作政策,雲端服務供應商Superhub早前就「雲端應用」作問卷調查,探討香港企業採取在家工作安排的情況,以及其雲端技術應用。調查發現,近九成(88%)受訪者表示曾於今年二月至四月進行在家工作,而最多人採用的雲端技術,如雲端應用程式、雲端文件伺服器和 SSLVPN,疫情前採用率達 50% 至 55%,而疫情後,這些工具的採用率再增加 7% 至 11%。 Superhub於今年 7 月至 9 月以電話、電郵和社交媒體方式,向逾 300 家本港企業進行訪問,受訪者涵蓋了市場營銷、金融、資訊科技、製造及物流等不同行業。調查顯示,不少企業都曾採取在家工作/彈性流動工作安排,88% 受訪者拍曾於今年二月至四月進行在家工作,但有受訪者表示,在家工作有其困難和憂慮,36% 的受訪者表示,安全地瀏覽公司網絡和伺服器為在家工作期間的主要困難。65% 的受訪者認為,企業採用雲端技術,能提高在家工作的安全性,但亦有 62% 受訪者擔心,雲端應用在數據保護和合規性方面的問題。…
釣魚手法層出不窮!近日網絡安全公司 WMC Global 的研究人員發現,Office 365 出現新式釣魚方法,以反轉圖作為登陸頁面背景,避過被網絡安全監控標籤為惡意釣魚網站,真係要小心提防! WMC Global 的研究人員指出,這個釣魚套件技術,是為盜取儲存在 Office 365 的機密資料而寫成,並已被運用在多個網站中;而這個套件自動以 CSS (Cascading Style Sheets)方式,轉換成只是反轉了顏色、貌似正規 Office 365 登陸頁面的背景圖,企圖逃過監控。WMC Global…
中國一年一度的黑客破解大賽「天府杯」剛於上星期六、日舉行,15 支參賽隊伍合共破解 13 款知名電腦產品及應用服務,包括 iOS 14、Samsung Galaxy S20、Windows 10、Chrome、VMWare EXSi、TP-Link 及 ASUS router 等等。冠軍由奇虎 360 政企安全漏洞研究院奪得,共取得大賽的 2/3 獎金,即約 74 萬美元,連續三年稱霸賽事!…
疫情期間,人人Work From Home,但是否所有人的家居網絡保安設備,都能夠抵禦黑客入侵?一個漏洞足以洩露公司機密,隨時成為千古罪人!更何況全家人都留在家使用網絡時,其中一人「中伏」就會累全家,自己分身不瑕,又如何睇實阿仔阿囡?!但在短時間內難以提升家中網絡保安級別,有咩法寶可以即刻幫到手呢?香港寬頻(HKBN)與全球網絡資訊保 安方案領導廠商 Trend Micro 聯手打造的 Home Gateway,絕對是你「看門口」之選,一個裝置集封鎖網絡攻擊、攔截危險網站及檔案、限制遠程存取入侵等功能,配合 HKBN HomeGuard 流動應用程式使用,更能管理子女使用網絡時間,一次解決在家工作的網絡保安問題! Home Gateway保障家用網絡 無懼WFH挑戰 黑客攻擊家居網絡是全球各地均有受害案件,HKBN 持股管理人及科技總裁李友忠(Danny Li)表示,一般企業、公司有防火牆阻擋攻擊,但一般家用網絡缺乏保障,變相易受惡意攻擊。在屋企這種不會有專責 IT 部門的工作環境,所需要的是操作簡單、功能齊備、保護力強的多功能防禦系統。Danny 指出,Home Gateway 使用時相當 Layman,全部防護措施自動運作,用家毋須操心,倘遇攻擊便會立即收到警示,而所有連接到 Home Gateway Wi-Fi 或LAN的裝置,立即受保護,如果遇到技術問題,可以隨時聯繫 7 x 24 全天候技術支援熱線,即時獲得HKBN專業團隊解難。另一方面,Home Gateway 亦包含家居電話功能,在家中開電話會議亦無問題。 HomeGuard 流動應用程式 隔絕不良資訊 結合 HomeGuard 流動應用程式使用,能封鎖外來入侵,阻擋到訪釣魚網站,而且具有家長監護功能,可以設定子女上網時段限制,避免他們過度沉迷上網,並能阻擋他們接觸不良資訊,即使工作中也不怕難以控制子女接觸網上資訊。疫情期間,不少公司在2、3月時突然決定實行在家工作措施,Danny 形容有公司因為「夾硬」推行政策而中招,「(公司網絡保安)開道門讓家用用家執行系統就有漏洞,因此要強化基礎架構(enhance infrastructure),不少公司需要購買解決方案(solution)和 產品(product),而遙距方案(remote solution)、設備、軟件的需求亦增加」,他指 HKBN 當時甚至為客戶提供免費的設備臨時使用,「幫助他們先熬過這幾個月」。同時,他們亦鼓勵依賴紙本的行業數碼轉型(digital…