由多個學術研究員組成的研究小組，在上年發現 Apple 旗下使用 A 及 M 系中央處理器的裝置存在安全漏洞，更成功證實可通過 Safari 瀏覽器獲取用家的敏感訊息。這個名為 iLeakage 的旁道攻擊（side-channel attack）由舉報至今，Apple 僅能為 macOS 推出修補檔，而 iOS 及 iPadOS 就依然要等。 想知最新科技新聞？立即免費訂閱…

網絡安全公司 Check Point 發表研究報告，詳細分析一項被稱為 SmugX 的網絡釣魚攻擊，由於從捕獲的病毒樣本中發現，這次攻擊主要針對英國、法國、瑞典、烏克蘭、捷克、匈牙利和斯洛伐克的大使館和外交部門，加上使用的病毒與中國 APT 黑客集團相似，因此研究人員將它歸類為有明確政治目標的間諜活動。 想知最新科技新聞？立即免費訂閱 ！ 從研究人員公開的報告可見，SmugX 間諜攻擊自 2022 年 12 月開始，並持續執行多月，顯示攻擊者有長期目標。 黑客目標清晰　手法複雜 這次攻擊有以下兩個特點，首先是黑客的攻擊目標清晰，主要針對歐洲多國外交官員和部門，並非漁翁撒網。研究員捕獲的釣魚樣本中，有給塞爾維亞駐布達佩斯大使館的信件、闡述瑞典擔任歐盟理事會主席國的優先事項文件，以及兩個中國人權律師的文章，顯然是希望引起目標國家的外交官興趣，繼而打開電郵內的附件，完成整個入侵程序。 其次是 SmugX…

專門盜取信用卡資料的黑客集團 Magecart 再度出擊，一如以往騎劫了多個網購平台的網站，植入惡意程式盜取客戶輸入的信用卡資料。專家指由於這次黑客製作的虛假收費頁面非常用心，甚至比官方的更精美，因而令受害者不虞有詐，大方交出信用卡帳戶及卡面資料。 想知最新科技新聞？立即免費訂閱 ！ 黑客為了神不知鬼不覺盜取網民的信用卡資料，最常見的手法是於網購平台植入稱為 Credit card skimmer 的惡意程式碼，以當中最惡名昭彰的黑客集團 Magecart 為例，他們便曾利用網購平台或第三方服務供應商的漏洞入侵，不少知名網站如 newegg、Forbes 亦曾中招。 網絡安全機構 Malwarebytes 發表調查報告，指在這次攻擊中，Magecart 成員以複雜的手段入侵網站，並於網站安裝名為 Kritec 的…

Apple 及 Google 最近分別公布及修補旗下產品的零日漏洞，報告指出，已偵測到有黑客利用這些漏洞發動攻擊。香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）呼籲用戶立即更新，以堵塞由漏洞所產生的惡意攻擊。 想知最新科技新聞？立即免費訂閱 ！ Apple 所公布的兩個零日漏洞，分別為 CVE-2023-28205 及 CVE-2023-28206，針對蘋果瀏覽器 Safari 內的 WebKit 元件及管理硬體的內部程式。受影響的系統包括 iOS 15.7.5、iOS 16.4.1、iPadOS 15.7.5、iPadOS 16.4.1、macOS…

不少 Microsoft .NET 開發人員使用的開源程式套件倉庫NuGet，被發現混入了多個有毒套件，頭三個最多人下載的套件，加起來差不多有 15 萬次，專家認為是一次非常成功的網絡攻擊，同時亦警告開發人員，必須更小心同類型攻擊手法，在使用開源套件前，必須謹守安全法則。 想知最新科技新聞？立即免費訂閱 ！ 黑客於開源程式套件倉庫落毒，是近年非常熱門的犯案手法，例如 Javascript 及 Python 電腦程式的開源倉庫 NPM 及 PyPl，就是最常被利用的平台。JFrog 網絡安全研究員卻指出，有黑客成功利用針對 .NET 開發框架的開源倉庫 NuGet…

又多一個黑客集團利用Microsoft OneNote 附加文件去散播惡意軟件，新加入的集團並非新手，而是犯罪往績纍纍的 Emotet。專家指集團螫伏三個月後，再度回歸時的開局雖然不太理想，只感染到極少量企業帳戶，但經調整策略、跟隨大趨勢使用 OneNote 附件，感染率即大增。到底 Microsoft 要等到幾時先出手堵塞安全漏洞？ 想知最新科技新聞？立即免費訂閱 ！ Emotet 黑客集團主要靠木馬軟件起家，當成功引誘企業員工打開檔案，內藏的木馬軟件就會植入電腦，除了會用於竊取企業機密資料，還會引入其他惡意軟件包括勒索軟件、殭屍網絡等。 在 2021 年，Emotet 曾被歐洲刑警利用集團自己的伺服器，暗中向受感染設備自動發送剷除指令，連根拔起整個集團，但在 2021 年末，Emotet 已開始利用 TrickBot…

香港地行行「搶人才」，尤其以資訊科技界人才最為短缺，無論大家最熟悉的 IT 支援，還是寫網站寫 Apps、數據分析、雲端工程，通通也是 IT 界人才。到底 IT 界有何熱門職位？新手入行應該如何選擇？哪類職位有前景又有錢景？一文立即看清！ 根據香港人力資源管理學會去年底公佈的「2022 年薪酬趨勢調查」，IT 行業加薪幅度最大，平均幅度達9.8%，跑贏大市。而 IT 界「最大路」工種分別為軟件開發（Software Development）、數據工程（Data Engineering）、網絡安全（Cyber Security）、雲端工程（Cloud）和項目管理。 兩大熱門範疇多空缺　新手易Pick Up IT 獵頭公司…

在今年 6 月，Microsoft 宣布不再支援 Internet Explorer，並讓 Microsoft Edge 推出兼容 IE 的版本。但最近竟發現黑客仍在尋找 IE 的漏洞，並將之利用作入侵。方法是透過電子郵件發送的 Office 檔案中，藏了一個 IE 漏洞，即使不是使用 IE 作默認瀏覽器，但仍會在 IE…

近年，利用「加密電郵附件」來發動惡意攻擊有趨升之勢，一般都會以 DOC、XLS、PDF 文件等形式發出，並會在電郵正文告知你附件的密碼。當你收到這類電郵時，請注意，因為它很可能是惡意電郵！ 如果只看電郵原文內容，一般是看不出有任何不妥，附件也是收據、發票、逾期欠款、財務報告、簡歷等，但當你輸入密碼、打開附件，你的軟件（例如 DOC 文件則為 Microsoft Word）將詢問您是否要 Enable Editing。如果你容許及啟動 Macros，就可能中招了。 為何黑客會使用這種方式去散播惡意軟件？ 1. 容易避開電郵過濾檢測 從罪犯角度看，使用受密碼保護的電郵附件，是有效避開電郵過濾檢測的方法。雖然電郵網關安全掃描能夠檢測和刪除惡意附件，但如果附件是加密文件，大部份的電郵過濾器是束手無策的。 2. 易於發動 導致電郵附件惡意程式普及的另一個原因，是創建這些附件相對容易。惡意 Macros 可以使用 Microsoft Visual Basic 或 JavaScript 編寫，技術門檻較低。 3. 利用人性弱點 惡意程式通過令人信服的附件進行發放，這些附件看起來像業務相關的文檔。更重要的是，添加密碼保護會產生安全感和真實性，令用戶放下戒心，打開文件。…

Windows、Mac 及 Linux 版 Microsoft Team App 被發現存在安全漏洞，一旦電腦被黑客入侵，又或接觸到電腦的人都可盜取相關帳戶登入資料，甚至繞過多重因素驗證 （MFA）登入受害者的 Microsoft Team 帳戶，如受害者是公司高層，黑客便可欺騙其下屬執行轉帳金錢指示，損失難以估計。 意外發現這個 Microsoft Team 漏洞的是網絡安全機構 VECTRA 的安全專家，專家在報告中指出，由於收到客戶投訴，指無法在桌面電腦版 Microsoft Team…