香港金融管理局 (HKMA) 於去年 11 月推出的加強版網路防衛評估架構「C-RAF 2.0」，特別在產品開發周期上提升了合規要求。全球第七大軟件公司 Micro Focus 夥拍香港系統整合商 Resolve Technology，推出 Fortify 解決方案，可確保金融業將安全性在開發流程中的位置「左移」(shift left)，貫通整個流程，金融業就可放心推出新服務，提升競爭力。 新服務成金融業致勝關鍵 作為亞洲金融中心，香港的金融業均積極引入各種金融科技，同時致力縮短產品開發周期回應市場的需求。不過，企業安全產品代理商 B & Data 總經理…

勒索軟件一向令企業頭痕，面對犯罪組織開天殺價，在別無他法下，為了救回資料，都只能乖乖付款。但最近願意交付贖金嘅受害企業愈來愈少，原因竟然是犯罪組織「袋袋平安」之後，未依承諾刪除所竊的數據資料，可以說是「自斷財路」。 根據 Coveware 最新報告指出，許多犯罪分子收到贖金後，並沒有刪除盜取的數據，導致更少企業願意付錢解決問題。鑑於勒索軟件犯罪組織收到的款項減少，Coveware 認為整個趨勢向好，由其是在第四季更明顯。勒索軟件平均贖金為 154,108 美元，比上一季度下降了 34％。而在今年，勒索軟件的平均付款額為 45,450 美元，與去年同期相比下降了一半以上（55％）。 不過 Coveware 亦指出，勒索軟件的利潤率仍然處於高水平，而被捕風險亦相對低。Coveware 建議受害企業或組織不要支付贖金，因為不能保證付款就能解決問題，即使犯罪分子收錢後確實有刪除數據，也無法保證這些數據資料會被正確處理，或者不能證明他們是唯一持有數據的人。Coveware 表示，勒索軟件多數針對中小型企業，因為這類企業未必有強大的 IT 部門應對入侵。 資料來源：http://bit.ly/3aAmFxd

投資是科學，講求利潤與回報率；投資也是美學，講求投資的感觀情緒及心理判斷。 在全球發展新常態下，創新科技的技術應用及需求有了爆炸性的增長。獅昂環球（Axion Global）作為本地集風險投資及企業孵化於一身的新星，希望在金融科技領域上培育具潛力的初創解決方案，因此作為支持機構首次參加由香港科技園舉辦的「銀行、金融服務及保險業（BFSI）加速器2021」（BFSI Accelerator 2021），為整個計劃注入結合了科學與美學的風投及企業孵化智慧。 甚麼是BFSI 加速器2021？ 「銀行、金融服務及保險業（BFSI） 加速器2021」是香港科技園推出的創新平台計劃，旨在透過聯繫企業夥伴和科技公司，共同在金融科技領域上帶來突破，協助銀行、金融服務及保險業界實現龐大商機。參與的企業夥伴包括滙豐、恒生銀行、中銀香港、平安科技、英國保誠、渣打創投、WeChat Pay HK、WeLab Bank等等。 資金以外　網絡安全領域資源 有調查指出，超過9成初創公司會在創業五年內倒閉，除了資金外，缺少合適的合作夥伴也是主因之一。 獅昂環球為本地上市公司安領國際（1410.HK）旗下的投資及培育公司，是初創公司的風險增長合作夥伴。有別於一般風投企業，獅昂環球採取積極主動的方式支持具潛力的初創企業將創新業務推向市場。公司以強大的網絡安全領域資源，集中培育尤其在金融科技板塊具有市場潛力的項目。 有興趣了解更多獅昂環球，可瀏覽www.axionglobal.com或聯絡 [email protected]。 BFSI 加速器 2021 時間表及更多有關計劃的背景資料，請參閱其網站。

由 2 月 18 日起，政府有條件開放食肆晚市堂食、健身室、美容院等處所，要求進出以上處所人士，強制使用「安心出行」應用程式或登記個人資料作出入紀錄，否則將被罰停業。但此項防疫措施引起社會對私隱及監控問題的憂慮，同時亦再次令大眾關注應用程式索取的手機權限會否過量。wepro180 找來跨國資訊安全公司 wizlynx group 資訊安全服務總監盧振宇（Mike），探討安心出行權限注意位及其他應用程式的安全問題，以及使用時的自保方法。 「安心出行」應用程式最令人「不安心」的部分是要求存取的權限是否全部都具必要，根據該應用程式 Andriod 1.1.6 版本所列出的權限所需，包括相機拍攝功能、全面網絡存取權、擷取執行中的應用程式、控制震動、防止手機進入休眠狀態、啟動時執行及接收互聯網資料。雖然創新及科技局長薛永恒曾多次強調，程式沒有追蹤功能，政府亦不會刻意查看市民出行記錄，所有資料會存放在用戶手機，不會存在中央資料庫，但政府的說法仍未釋除市民疑慮，不少人仍對「安心出行」抱有戒心。 擷取執行中的應用程式成爭議點 「安心出行」最受爭議需索取的權限為「擷取執行中的應用程式（Retrieve running apps）」，意即「安心出行」可知道用家的電話同時在運行中的應用程式，由於政府沒有作出相關解說，因此難以推斷需要此權限的真正原因，網上亦引起不少猜測。Mike 估計，此權限或因程式開發人員編寫時用上第三方程式庫，例如需要配合其他應用程式使用，如掃描 QR code 時要用上第三方程式，便需要用到此權限；不過 Mike…

情人節剛過去，不知一眾寂寞的心有否得到慰藉。望著街裏愛人一對對，就算孤獨，也要小心提防情騙埋身，分分鐘失心又失金。月初警方公布去年詐騙案數字高達 15,553 宗，其中網上購物騙案、電話騙案和網上情緣騙案升幅較顯著，網上購物騙案 6,678 宗，增加 4,484 宗。假冒官員和「猜猜我是誰」電話騙案以及網上情緣騙案，則分別上升八成半和五成，損失金額合共 7 億 8,000 多萬元，增加約一倍。 這次想說說網上情緣騙案，騙徒透過社交平台尋找目標，藉藉投其所好而獲得好感，繼而與受害人發展網上情人關係，再以不同藉口騙取金錢，整個過程甚至雙方從未見面。根據警方 2019 年數字，一共接獲 594 宗網上情緣相關舉報，損失總數高達 2.18 億港元，平均每宗損失為 37 萬港元。…

Philip Hue、Amazon Kindle、Apple Watch、Google Home Voice Controller、August Smart Lock、Kuri Mobile Robot、Dyson Pure Cool Link Air Purifer、NEST T3021US Learning Thermostat、WeMo Insight…

有跨作業系統「AirDrop」之稱的手機應用軟件SHAREit，由於可以供用家自由於 Android、iOS 及 Windows 上交換檔案，所以深受 Android 用家歡迎，至今已有 100 億用家下載使用。不過，現時一項已知漏洞已被 Trend Micro 專家公開，而且至今仍未被修復，有可能被黑客利用來盜取手機內的檔案或作中間人攻擊 (man-in-the-middle)，用家必須即時停用。 Trend Micro 手機威脅分析專家 Echo Duan 早在三個月前，已發現由新加坡公司 Smart…

BleepingComputer 披露，在本月初發現一款新型釣魚電郵活動，其附件含有以摩斯密碼掩藏的惡意 URL，繞過電郵安全過濾，由於過去未有同類以摩斯密碼作案的例子，因此事件被視為新型的混淆技術。這究竟是甚麼一回事呢？ BleepingComputer 2 月 2 日在外國知名論壇 Reddit，發現首則關於使用摩斯密碼的釣魚電郵，並發現大量上傳到 VirusTotal 的攻擊樣本。這次網絡釣魚攻擊，以冒充受害公司發票的電子郵件，並以 “Revenue_payment_invoice February_Wednesday 02/03/2021” 為題；電郵中含有一個 HTML 附件，其命名方式模彷受害公司的 Excel 檔發票，命名為 “[company_name]…

英國國家網絡安全中心最近分享一個警世故事，有企業被勒索軟件攻擊後選擇交付數百萬美元贖金換取解密金鑰，修復後但未有檢討根本問題，結果兩星期後，又再被同一黑客組織以相同招數入侵。雖然故事主角的遭遇非常悲慘，但的確好難忍笑…… 根據區塊鏈分析公司 Chainalysis 最新公布的一份調查顯示，2020 年勒索軟件 (ransomware) 黑客組織至少賺取了 3.5 億美元贖金，較 2019 年大增 311%。雖然不少企業管理已認清勒索軟件問題的嚴重性，但仍然心存僥倖，以為自己未必會成為目標，結果中招後只能乖乖交付贖金。英國國家網絡安全中心最近一篇貼文就顯示，即使企業不幸中招，都不會痛定思痛找出被入侵的根本問題。 安全專家指出，受害企業在第一次被勒索軟件攻擊後，由於未有做好數據備份及修復工作，結果決定交付約 650 萬美元贖金，冒險從黑客組織手上換取解密金鑰。幸好黑客組織提供的金鑰有效，否則企業便會白交贖金。不過，專家說該企業解鎖系統及檔案後卻未有認真找出漏洞所在，似乎認為業務營運已回復正常，結果同一黑客組織再度上門，以相同手法將企業的系統及檔案再度上鎖，而由於該企業未有汲取教訓，所以專家相信對方只能再次交付贖金。 相信這次事件不單只花生友覺得不可思議，就連該勒索軟件黑客組織應該都有相同感覺，因為錢實在太過易賺喇！而英國國家網絡安全中心專家就呼籲受害企業如不想再被同一招數打垮，必須盡快找出漏洞所在，並將各種作業系統、軟硬件的韌體保持在最新版本，同時引入雙重 (2FA) 或多重身份驗證 (MFA) 工具，便可第一時間堵塞漏洞，而且被取得帳戶登入資料時亦不易成功登入系統。另外亦要加密儲存的數據，做好數據備份及回復準備，即使被黑客盜取數據及加密系統，也不用考慮再交贖金，因為對方無法以公開數據進行二次勒索，自己亦可完全復原數據，便毋須屈服於對於的淫威之下！…

後疫情催生無限危與機，資安界都有無數「不容錯過」Buzzword，當中 Secure Access Service Edge（SASE）獲 Gartner 等資安權威平台加持，原因同企業雲端化熱潮息息相關。科技資訊分析機構 Canalys 統計，雲端化企業數目在 2019 年增長 30％，資安平台 IDG 則大膽預測相關增幅在 2021 超過達 50％。 雲端化優點相信大家相當清楚，但於企業與雲服務平台間、資安責任誰屬上，暫時難以統一區分，黑客間接有機可趁，尤其企業發展猛迅的情況下，情況越兇險。幸而，在客戶資料外洩、非授權登入、介面漏洞等問題上，SASE 能夠靈活應對，有 SASE…