SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生，但既然愈來愈多港人準備移民，當然要了解一下如何避免成為這種攻擊方法的受害者，特別是去年因 SIM-swapping 導致的損失高達過億美元，當中更有著名 KOL、體壇明星、名人，千萬不能掉以輕心。 所謂 SIM-swapping 攻擊，是一種透過非法手段，從電訊商員工手中騙取其客戶電話號碼使用權的攻擊，例如假扮其客戶訛稱遺失手機，要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼，或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作，不過由於被查出的風險較高，所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響，這類騙案較少在亞洲發生，而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼，可以參考以下社交工程 (social engineering) 攻擊的經典示範。 https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed 騙取到電話號碼使用權後，如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶)，而又需要額外 SMS…

通訊軟件 WhatsApp 近排因有新用戶條款，要求用家與 Facebook 共享資料，爆發私隱危機。鬧得熱烘烘之際，有印度媒體揭發，Google 再次將 WhatsApp 群組聊天連結編入索引，此舉意味著任何人都能以簡單搜尋發現有關連結，繼而進入私人群組！ WhatsApp 今次所面臨的安全危機，是因為 Google 一共為 4,000 多個邀請加入私人聊天群組的連結作索引。WhatsApp 發言人 Alison Bonny 表示，（群組聊天連結）就如在可搜索的公共渠道中，能搜尋得到的所有內容一樣，因此在互聯網上公開發布的 WhatsApp 邀請連結，也會在搜尋頁面中找得到。Bonny…

企業開展數碼轉型 (Digital Transformation) 旅程，最重要是認清自己的長遠目標。而轉型旅程的第一步，自然是整理好手上的數據準備移雲，同時打造系統性管理數據之道。在這方面，數據管理服務供應商 NetApp 及資訊科技解決方案供應商 Xenus，便可憑著豐富經驗，為不同行業客戶度身打造最佳的轉型方案。 Xenus產品顧問陳華昇 (Eric) 認為必須協助企業客戶釐清轉型目標和長遠發展，才能提供合適的建議。 開拓海外業務 數據管理重中之重 Xenus產品顧問陳華昇 (Eric) 認為協助企業客戶釐清轉型目標和長遠發展，才能提供合適的建議。「以一間大型地產發展商為例，公司的長遠目標是發展海外業務，需要一個數據集中管理方案以應付跨境傳送，而且未來還要使用大數據作業務分析。」在檢視了這位客戶的 IT 架構後，Eric 發現原有數據及應用程式被分散儲存於不同的伺服器內，令管理非常困難及增加成本，而現有架構亦不足以支援現時的新系統和 API 應用。因此，Xenus便為客戶特別選擇了 NetApp 的 AFF…

好多香港人用的 WhatsApp 有新功能，之前開始供部分用家測試的訊息自毁功能，現在已開放讓所有用家使用。不過，建議大家熟讀六大使用條款，否則訊息將不會在 7 天後消失，絕對無保密功能可言。 不少即時通訊軟件已經有訊息限時毁滅功能，而 WhatsApp 為了留住用家，早於今年三月已推出 Android 試用版。公開版現正陸續推出，無論是個人或群組都可使用。啟動方法很簡單，只要在對話版面點選對方或群組名稱便能進入設定畫面，再點選限時訊息功能便可啟動。留意這項功能只有開或關兩個選項，不設時間選擇，所以所有訊息將需 7 天才會消失。而使用限時訊息前，用家必須了解當中存在很多變數…… 群組只得管理員可啟用，否則訊息不會消失即使已啟動限時訊息，如接收者啟動了作業系統的訊息預覽功能，而在 7 天內又未有打開該訊息，則訊息內容仍會被保留在接收者的訊息預覽內如回覆時引用了訊息，該訊息有可能在7天後繼續存在當訊息被轉發至其他沒有啟用限時訊息的個人或群組對話，該訊息將不會消失當圖片、檔案或影像被發送至啟動了自動下載功能的用家，該檔案將會繼續保留在接收者的手機內 由於限制甚多，所以如不確定使用規則，建議大家還是不要隨便使用，或只抱著「總好過無」的心態，否則到時後悔就太遲。 資料來源：https://bit.ly/3nRzCYm、https://bit.ly/3nRRpyE

朋友在通訊 App 分享連結時，若果有 Preview，感覺比一條普通連結實在，可以衡量登陸網頁的必要。不過看似窩心的 Feature，原來潛藏資安漏洞，隨時出賣用戶 IP，甚至破壞 End-to-End Encryption（E2EE）加密原則以及用戶對平台的信任。 網頁預覽顯示的初心，絕對方便用家，故大部分通訊 App 都備有此功能，像 Tiktok 與 WeChat 般不設預覽的 App 僅佔少數，向用戶提供預覽選擇的 Signal 與 Wire…

多得網絡安全研究人員的努力，經常對網站及應用服務的潛在漏洞保持好奇心，才可減少用家的損失，好像智能運動產品Fitbit的應用程式市場Fitbit Gallery，竟可讓有心人將惡意app上載，在未獲審批前以官方連結分享出來，用家好易中招。 上年Google宣布收購 Fitbit 大計，令品牌大受市場關注，不過礙於反壟斷法關係，交易暫時仍在美國、歐洲及澳洲等地審核中。Fitbit 的智能連動手錶由於設計精美，上班運動兩相宜，所以在港也有不少捧場客。今次 Immersive Labs 的 Cyber Threat Research 總監 Kev Breen，就對 Fitbit Gallery 的運作感到興趣，深入調查有關第三方 app 開發者在上載新…

新冠疫情持續半年有多，好多人嘅生活習慣都改變晒，例如家居工作嘅時間多咗，上網使錢密集咗，玩手機 game 或睇網上娛樂亦挑剔咗⋯⋯消費者嘅日常生活轉晒型，作為提供應用服務嘅企業，都要跟車轉型，將重要工作或 IT 架構移雲。不過，移雲一啲都唔簡單，一旦無守穩整個服務流程，更有可能運作唔到、增加管理成本，最壞情況更加會造成機密外洩，隨時一鋪清盤！ 獨立運作 訪問行為難分善惡 無論邊個行業，老闆而家都面對住同一問題，就係點樣做好遙距工作（Remote Work）同埋網上服務嘅安全保護，因為當企業進行數碼轉型後，員工、客戶主要透過各種網絡應用（Web Application）服務，經 API（Application Programming Interface）介面去存取公司資料庫入面嘅數據，任何一個位置出事，損失都難以估計。 Imperva 亞太區資深技術顧問張瑞宏（Kelvin）指出，必須做好由網絡應用以至數據庫各關卡嘅防禦，先夠穩陣，而關鍵就係網絡流量嘅透明度。「數據庫入面嘅資料就好似珠寶首飾，如果連邊個人入過去、由邊度入嚟、入去做過啲乜都唔清楚，就完全無安全性可言。」要睇通睇透，自然要由一開始睇起，佢話有企業雖然採用咗唔同嘅防禦工具，但工具同工具之間無法溝通，都分唔到入嚟嘅網絡行為有無古惑。舉個例，大門守衛做咗身份認證就放行，但嚟到保險室，如果無溝通，個護衛又點知呢位來賓入嚟做乜呢？佢嘅行為會唔會顯示到佢越權或係冒充呢？所以唔係賣花讚花香，現時市面上可以打通呢三個關卡嘅安全工具，就只得 Imperva 做得到。 天生外向 WAAP 防護至重要…

係人都知，黑客嘅釣魚攻擊不嬲都會用時令嘢嚟做主題，引多啲人跌入陷阱，所以收到嘅釣魚攻擊嘅主題都會有季節性。而 Apple 由於長期有新產品推出，所以經常排喺被利用榜嘅首位。不過 Check Point 最新嘅 2020 年 Q2 被釣魚攻擊利用品牌排行榜，就發現 Apple 由上季第一位插水式跌到落第七位，得返 2% 使用率⋯⋯ 雖然係例牌調查報告，不過從中都有啲啟示，上一季報告入面，電郵只係最常見渠道嘅第三位，今季就升上第二位，同手機渠道換咗位。專家認為上季手機被利用得多，主要因為 COVID-19 改變咗大家嘅日常生活，喺無得返工嘅情況下多咗用手機上網；而隨住各國嘅禁足令解封，啲人開始返公司做嘢，經電郵發動攻擊嘅數量亦因而上升。 而喺十大被利用品牌方面，Apple 就由上季第一位跌落第七位，同 Netflix…

俗語有云，野可以亂食，說話唔可以亂講。喺港區國安法成立之後，大家對於網上通訊嘅保障都開始有所要求。始終，網上即時對話實在太方便，現代人冇咗呢 D APPS 嘅話，就連日常生活都會大受影響。之不過，即時通訊軟件款式琳瑯滿目，邊一隻先可以真正保障我地嘅私隱呢？ 喺今次嘅對比入面，我地嘅參賽者包括：WhatsApp、Facebook Messenger、Telegram 同近期大熱嘅 Signal。從多個方面比較，等大家可以全面瞭解我地嘅參賽者。對比項目包括：有冇點對點加密呢？ 是否 Open-Source code？ Server 會唔會 Backup 我地嘅資料？ 有冇身份認證？ 有冇自動通知金鑰變更嘅機制？總公司係邊間？同埋佢會提供咩資料俾政府等等。 唔講咁多，即刻開始分個高下啦﹗ 1. 點對點加密？…

見到手機系統更新提示，諗都唔諗就即刻跟住裝嘅人，都好難唔話你蠢，因為有經驗嘅人都知隨時會「跟車太貼」，新版本反而會有新嘅 bug，睇埋坊間實測先更新都未遲，而家仲多個理由添。網路安全公司 Threat Fabric 就發現，新型木馬病毒 BlackRock 會扮成 Android 系統更新通知，呃用家啟動程式然後入侵手機，最嚴重可以令手機入面多達 337 款 App 嘅資料外洩，當中包括 Gmail 、 Facebook 、 Instagram，甚至好多都係銀行 App 。…