以高 CP 值見稱的監控鏡頭品牌 Wyze，上月中突然發生大規模的服務中斷，官方好快作出回應話事件主要同提供網絡服務的 AWS 有關，不過在恢復服務過程中又發現其他網絡安全問題，有不少用家發現竟然可看到其他用家的鏡頭畫面！經過多日調查，Wyze 方面再次作出回應，指問題出在新採用的第三方緩存客戶資料庫無法處理龐大連線，言下之意，似乎只想表示同自己無關…… 想知最新科技新聞？立即免費訂閱！ 官方稱事故與 AWS 有關 Wyze 監控鏡頭集體斷網事件發生在上月中，由於偵測到系統出現異常，導致用家無法使用服務，因此 Wyze 方面在當日早上六點已在官網發出故障通知，並且在一小時內於網誌說明事故與服務供應商 AWS 有關，正與對方的技術人員一起解決問題。 雖然官方持續在網站更新回復進度，但在早上十點左右，突然宣布要暫停產品操作介面的 Event 功能，其後又表示與發現安全問題有關，但就未有再細述詳情。不過，有用家就在網上投訴，驚嚇地說竟能在…

有研究發現，北韓國家級黑客 Lazarus 加大利用 YoMix 加密貨幣混合器，處理從勒索企業得來的贖金，這種洗錢渠道令執法部門更難追蹤贖金去向，變相鼓勵網絡犯罪集團繼續作惡。 加密貨幣近年被認為是增加勒索軟件個案的元兇之一，因為以往勒索軟件集團攻擊企業，以解鎖系統、檔案或銷毁盜取機密數據敲詐得來的贖金，很容易通過追蹤存款帳戶鎖定疑犯，而加密貨幣的匿名性，便大大減少黑客被鎖定身分的機會。 不過，隨著執法部門對加密貨幣的了解加深，發現贖款去向並非完全無跡可尋，例如雖然加密貨幣有匿名特性，但最終黑客仍須將加密貨幣兌換成各種法定貨幣，因此只要一直追蹤贖金的轉移，便可鎖定黑客的真正身分。 事實上，任何人都可以自由查看每宗利用區塊鏈技術記帳的加密貨幣交易，有些加密貨幣的持有者也不願自己的資產可任人查看，因而市場上開始出現加密貨幣混合服務，例如這次被提及的 YoMix Bitcoin 混合器便是其中之一。 加密貨幣混合器可分為集中式及分散式兩種，屬於前者的 YoMix，會將各用家存入的加密貨幣集合及進行重整，然後再將被洗亂的 Bitcoin 重新存入用家戶口，以一個 Bitcoin 為例，經混合後的新 Bitcoin 已非原來的Bitcoin，就算查看其交易地址，也無法顯示它從何處而來。 再加上服務供應商以中間人身分重新將…

現今網絡威脅不斷上升，黑客攻擊經常出現，最近攻擊政府機構的勒索事件成為城中熱話。黑客會使用不同的攻擊工具，以識別系統中存在的漏洞，並利用漏洞獲取受害者伺服器的存取或控制權。許多網站的資料泄露主因，是黑客熟用不同的攻擊工具，成功尋找漏洞，並利用漏洞來竊取資料。 想睇更多專家見解？立即免費訂閱！ 對於一般中小企而言，公司的網頁平台，不論是公司主頁或是內部系統，很多時都會忽略了安全性檢查，繼而成為攻擊事故中的起始點。多了解最新的黑客技術和工具，對保護網站的安全至關重要。在黑客進行攻擊前，找到網站漏洞並加以修復，使黑客難以利用安全漏洞來保護資產的安全。 以下列出五個知名的網站攻擊工具，所有工具都可以公開下載並已被廣泛使用。 Nmap Nmap 是一款備受歡迎的網絡探索工具，用於搜索網絡上的主機，檢測其提供的服務以及運行的操作系統等。對於每位學習黑客攻擊技術的學員來說，這是必學的工具，因為識別攻擊目標中運行的軟件，是發掘漏洞的第一步。 Metasploit Metasploit 是一個擁有眾多攻擊模組的平台，覆蓋不同的攻擊目標，如網站、檔案分享伺服器、基礎建設設備等。透過其提供簡單易用的設定指令，使攻擊者快捷發動攻擊。 Burpsuite Burpsuite 是一款攔截工具，用於攔截網頁（HTTP）用戶和伺服器之間的網絡流量，其功能為掃描網頁漏洞、了解網站運作機制以及執行自動化攻擊。 Nessus Nessus 是一個圖形化界面的漏洞掃描工具，用於檢測各種操作系統、資料庫和網絡應用程序的漏洞，幫助組織辨識潛在安全威脅。其優點為提供直觀操作，並對目標進行全自動化的漏洞掃瞄，操作上對新手來說也較容易上手。 SQLMap SQLMap 專門用於自動化檢測並利用資料庫注入漏洞。它擁有強大的檢測引擎，支援坊間大部分資料庫系統。安全研究人員和黑客可以使用 SQLMap…

網絡詐騙日趨嚴重，2023 年上半年，香港更是每 14 分鐘便有一宗網上騙案發生！有見及此， 網絡安全公司 Green Radar 聯同網絡安全資訊平台 wepro180，特意推出網安自學影片系列 ──《網安2分鐘》，免費讓市民大眾「睇片」自學，輕鬆助大家網絡安全意識 Level Up！ 《2分鐘網安攻略》總共包括 8 條自學影片，隨了會講解互聯網普及，如何令詐騙更容易轉到網絡世界，大家又應該如何避免成為網絡詐騙的目標；也會提醒大家使用電郵的常見陷阱，如何識別惡意和釣魚疑電郵， 怎樣識別真假網站，以及如何打造不易被破解的密碼。 想知最新科技新聞？立即免費訂閱 ！ 另外，二維碼近年被廣泛應用，當大家見到廣告著數優惠時，可能當中已潛藏很多風險，到底怎樣避免中招？至於即時通訊軟件，可說是大眾手機內必備工具，但同時也是黑客利用來詐騙大眾的常用工具之一，我們也會教您如何破解當中的常見詐騙手法。 別忘記大家日常都會使用到的信用卡、電子支付及公共…

網絡安全機構 Group-IB 發表調查報告，揭露一個以騙取泰國及越南市民人臉數據及身分證明文件的中國黑客組織 GoldFactory 的詐騙手法。黑客會誘騙目標人安裝 iOS 或 Android 木馬程式，從而暗中盜取這些資料，再利用 deepfake 技術去進行金融詐騙。研究員指現時攻擊仍然持續，香港用家亦要小心防範。 Deepfake 深度造假技術相信大家都耳熟能詳，早前香港就有一間跨國公司的員工受騙，導致公司損失過億港元。而這次被 Group-IB 研究員發現的黑客組織 GoldFactory，過往亦有開發一系列的惡意軟件，如 GoldDigger、GoldKefu 等，但在最新的惡意軟件 GoldPickaxe 中，還加入了盜取目標人物的生物辨識數據的功能。…

IT 界人才短缺問題嚴重，網絡安全服務公司 Sophos 近日發布《亞太地區及日本網絡安全趨勢》調查報告，發現有高達九成網絡安全與 IT 專業人員，正面對壓力過大和工作疲憊等問題，有三成人考慮辭職或轉行，而上述問題甚至會對業務營運構成影響。 想知最新科技新聞？立即免費訂閱！ 近三成受訪者指過去一年更疲憊 根據研究重點數據，受訪者幾乎對所有涉及網絡安全範疇的日常工作均感到疲憊。有 30% 的受訪者指情況於過去一年變得更加嚴重，而當中 41% 的受訪者表示疲憊感令他們難以充分投入工作之中。 研究顯示，在亞太地區和日本（APJ）的受訪者當中：．41% 表示無法充分投入工作．34% 於處理網絡安全漏洞或攻擊時感到更為焦慮．31% 於投入網絡安全工作和界定職責時，對相關工作感到懷疑、疏離及冷漠．30% 表示相關情況令他們考慮辭職或轉行 （而受訪者中有 23%…

現時大家所常用和熟悉的 AI 人工智能應用，如 ChatGPT、Copilot、文心一言等，都是「大型語言模型」（LLM, Large Language Model），只能算是 AI 界的「初級選手」。它們在處理文字、語音和平面影像時，尚可以勝任，但距離成為全面化的 AI 人工智能助手，仍然有一段距離。 想睇更多專家見解？立即免費訂閱！ 其中一大問題，是 LLM 對 3D 空間缺乏理解。當我們看到房間內有一張書桌，書桌上擺放了各類的書籍，我們能夠理解物件的大小、形狀、用途，以及它與其他物件的相對位置。但對於 LLM 而言，它對以上種種是無法識別及理解的，因此亦大大限制了其分析與互動能力。 AI…

近年社交平台假帳戶問題日趨嚴重，有 Instagram 用家更被騙徒複製帳戶的相同片，然後開設假帳戶進行詐騙，不過即使真用家向 Instagram 舉報，竟然都不受理，甚至有可能被騙徒反舉報而令帳戶被鎖。點解官方對假帳戶會無反應？外界就猜測可能同錢有關！ 想知最新科技新聞？立即免費訂閱！ 官方先利用 AI 系統處理投訴 如果有用 Facebook、Instagram 等社交平台而又有作出比較嚴格的私隱設定，相信每日都有可能會收到添加朋友或關注請求，只要稍為查閱對方的帳戶內容，多數會發現內容千篇一律，大多是在張貼個人日常生活照之餘，再加插一些名牌錶、袋或豪華酒店套房的相，不過，到底這個人是否實際存在或真是使用這個姓名？相信大家都心裡有數。實際上，不少騙徒都會盜用其他人在社交平台發布的相及影片，然後開設假帳戶以假身分進行詐騙，出來的感覺會較真實，不用擔心 AI 生成出有瑕疵的相片，而且只要真用家經常發表新內容，騙徒就有源源不絕的新材料，認真慳水慳力。 騙徒有時更會盜用知名用家的相片使用，似乎不太擔心會被真用家發現。有專家便指出，騙徒原來都有出力減少被真用家發現，例如當他們獲真用家授權關注，可以看到真用家發表的內容後，騙徒便會第一時間單方面封鎖真用家，令對方無法讀取到自己帳戶的內容，減少發現自己相片被盜用作詐騙的可能性。 另一方面，有知名 Instagram 用家又指出，即使向官方作出投訴，但亦沒有任何幫助，因為官方首先會仰賴 AI 系統處理投訴，而絕大部分情況是會駁回真實用家的舉報，即使有傳媒測試再作出上訴，背後可能再次交由…

勒索軟件由面世至今，依然是企業最怕遇到的網絡攻擊之一，而且隨著勒索軟件集團攻擊策略的轉變，要在第一時間阻截其入侵，亦變得難上加難。有網絡安全分析師便指出，近來相關攻擊又有新趨勢，而要保障企業的數據安全性，加密技術可說是唯一出路。 一開始，勒索軟件攻擊以加密受害者的系統及數據為主，目的是導致對方的業務無法正常運作，然後黑客便會向對方索取解鎖贖金獲利。 想知最新科技新聞？立即免費訂閱！ 不過，隨著企業做好數據備份及恢復工作，肯交贖金的企業已買少見少。後來黑客便改變策略，在鎖死對方的系統及數據前，會先暗中盜取對方的機密檔案，一方面索取解鎖費，另一方面亦要求企業支付掩口費，否則便會將盜取的資料曝光，打擊對方的商譽，這種行之有效的方法，稱為雙重勒索（double extortion）。 勒索軟件集團棄鎖死系統及數據做法 有專家便發現，勒索軟件集團近來似乎有傾向放棄鎖死系統及數據的做法，單純靠索取掩口費獲利。專家解釋，因為勒索軟件集團發現前者的做法成效不大，而且又要投入成本去研發加密系統及檔案的技術，因此開始改變做法，最明顯的例子，是去年由勒索軟件集團 Cl0p 及 BlackCat/ALPHA 針對 MOVEit、GoAnywhere 檔案傳輸服務的客戶及 Western Digital 儲存設備供應商的事件中，兩個勒索軟件集團均只執行盜取數據，因而預計企業必須進一步加強數據的防盜能力。 數據加密後或不用向受影響者通報 專家指出，其中一種有效的做法是企業採用數據加密工具，將重要數據在處理及儲存期間，以高強度演算法加密，之後即使被勒索軟件集團入侵及盜取數據，對方亦無法讀取內容。 這種做法的好處，是受害企業未必需要因遭受入侵而要向受影響者通報，例如根據歐盟的 GDPR…

今時今日的商業環境緊密互連，企業有迫切需要採納數碼轉型。隨着數碼世界持續演變，企業必須適應不斷改變的環境，才能夠保持競爭力，同時提高營運效率。 數碼轉型能夠為企業帶來多種優勢，包括提升生產力、擴展觸及的市場範圍和增強與客戶的互動度等。若企業能好好善用先進科技和以數據為本的策略，更可以為業務開創新機遇，發展競爭優勢。然而，在這場數碼改革之中，數碼生態系統緊密互連的特性亦同時增加企業面對的安全風險。因此，企業需確保自身擁有強大的身分安全，這是決定他們的數碼轉型能否成功的關鍵因素。 想睇更多專家見解？立即免費訂閱！ 現時，在一個企業的工作空間內，員工已不再是唯一的參與者。隨着自動化技術、人工智能和物聯網的出現，機械人、虛擬助理、智能設備等非人類身分已成為數碼勞動力中不可或缺的一部分。與員工一樣，這些非人類身分能夠存取企業的存取點，並與重要的系統和敏感數據互動，成為網絡威脅的潛在目標。 身分攻擊形式多變 企業必須正視並應對非人類身分所引起的新安全漏洞和風險，尤其因惡意攻擊者會時刻積極尋找安全漏洞、冒充身分或偽造憑證，來詐取未經授權的企業網絡存取權。 就香港而言，根據香港電腦保安事故協調中心（HKCERT）發表的最新報告，針對身分的攻擊非常普遍，在可預見的未來將繼續是網絡安全的主要威脅。舉例，於 2022 年第四季度，本地網絡釣魚攻擊首破 10,000 宗，按季大增 90%，按年更飆升逾 11 倍。身分攻擊的形式多樣難測，因此香港企業有必要建構嚴密的身分安全系統。 若未能採取適當的身分安全措施，可能會引致難以修復的嚴重後果，例如資料外洩、營運受阻、違反監管合規、商譽嚴重受損等，故企業必須優先部署身分安全，以有效緩解相關風險。 傳統方案不足以應對現代數碼環境 即使企業本來已有一套身分安全策略，但鑑於身分數目急劇增加，單單依賴傳統的身分安全人手程序，再不足以對付現時的網絡安全威脅。以人手管理存取權的程序既耗時又容易出錯，而且需要耗費大量工夫來處理用戶配置、存取權要求、允許及撤銷權限。這種做法亦經常引起各種問題，包括授予或撤銷存取權時出現延遞、安全策略執行不一致的情況，以及未能充分掌握用戶活動。 傳統身分安全系統的設計並未能應對現今數碼環境不斷擴張所涉及的規模、多樣性和變化速度，而且還會產生「技術債」，即專用硬件、許可授權和支援等所產生的成本。再者，企業所擁的身分數目持續增加，以人手來處理這類工作變得越來越不切實際。 正因如此，我們建議採用以人工智能（AI）為基礎的身分安全解決方案來應對上述種種挑戰。配備 AI…