美國著名牛仔褲製造商 Levi’s 成為網絡攻擊的受害者，上星期公司向各州檢察長提交安全事故報告，承認於本月 13 日遭受黑客的憑證填充攻擊，導致超過 72,231 位顧客的私隱資料外洩。不過，官方未有回應會否向受害客戶提供身份監察服務，似乎罔顧了客戶的安全風險。 想知最新科技新聞？立即免費訂閱！ 憑證填充攻擊（Credential Stuffing）的原理是黑客從暗網等地方購買一些外洩事故中的公司帳戶登入資料，利用受害人重複使用相同密碼的習慣，黑客會使用這些被盜取的帳號密碼組合，大規模嘗試登錄同一公司的其他帳戶。為了提升效率，黑客更會操控殭屍網絡（Botnet）大軍實現自動化攻擊。由於入侵難度及所需技術較低，因而廣受黑客歡迎。 根據 Levi’s 提交的報告顯示，黑客便是利用這種方式入侵公司帳戶，並獲取了包括客戶姓名、電郵地址、送貨地址和訂單記錄等私隱資料，而如果客戶在購買時選擇保存支付的信用卡資料，信用卡後四位數字、卡種和有效日期亦有機會被竊取。 雖然官方指目前未有證據顯示這批資料已被濫用，但公司已即時採取措施回應，例如通知受影響客戶須重置密碼，又建議客戶應即時重設其他採用了相同密碼的網上帳戶，以保障不會被黑客使用相同手法入侵。有傳媒向 Levi’s 查詢除了以上補救措施，是否會向受影響客戶提供身份監察服務，不過官方就未有正面回應。 相信不少人都曾聽過身份監察服務（Iidentity Monitoring Service），而事實上大部分人亦正在享用同類型服務而不自知，當中 Google、Microsoft…

專門盜取信用卡資料的黑客集團 Magecart 再度出擊，一如以往騎劫了多個網購平台的網站，植入惡意程式盜取客戶輸入的信用卡資料。專家指由於這次黑客製作的虛假收費頁面非常用心，甚至比官方的更精美，因而令受害者不虞有詐，大方交出信用卡帳戶及卡面資料。 想知最新科技新聞？立即免費訂閱 ！ 黑客為了神不知鬼不覺盜取網民的信用卡資料，最常見的手法是於網購平台植入稱為 Credit card skimmer 的惡意程式碼，以當中最惡名昭彰的黑客集團 Magecart 為例，他們便曾利用網購平台或第三方服務供應商的漏洞入侵，不少知名網站如 newegg、Forbes 亦曾中招。 網絡安全機構 Malwarebytes 發表調查報告，指在這次攻擊中，Magecart 成員以複雜的手段入侵網站，並於網站安裝名為 Kritec 的…

信用卡帳戶一直是騙徒賴以為生的資料，所以網上都有不少專門販賣信用卡資訊的網站。最近意大利網絡安全公司 D3Lab 就發現一個名為 BidenCash 的信用卡資料販賣平台，免費上載一個內含 800 萬條資料的 CSV 檔案，作為吸引潛在客戶幫襯的推廣手段…… 類似的推廣手法並不罕見，例如去年夏季同類平台 All World Cards 便曾有同類推廣手段，當時釋出的 100 萬條信用卡資料全部竊取於 2018 至 2019 年之間。而這次進行推廣的平台…

專家發現，部分採用電子商務系統 Magento 的網購平台再被黑客入侵，新的攻擊手法會將客戶的信用卡資料加密後放入 JPG 圖像，然後才外送至黑客操控的 C&C 中心，令網購平台及網絡安全工具難以發現！ Magento 一向是網購平台喜愛採用的系統，因為它的功能較豐富，但亦同時成為黑客攻擊的目標之一，例如專用盜取信用卡資料的黑客集團 Magecart 就是當中的表表者，曾一度入侵超過 200 萬個使用了 Magento 的網站。此外，Magento 在上年 6 月停止對 1.x 版本作技術支援後，有黑客更在網上公然兜售…

不嬲用慣 WhatsApp 嘅香港人，經過過去一年多嘅洗禮，反而用多咗 Telegram ，特別貪佢保密度高，有限時閱讀等功能，不過呢啲特點亦令 Telegram 成為雙面刃，繼早前韓國「N號房」事件，揭發有犯罪集團利用 Telegram 進行色情活動，有安全軟件研究團隊最近亦都發現，一個叫 Magecart 嘅黑客組織就利用 Telegram 嚟竊取信用卡資料。 黑客集團過往會透過攻擊購物網站，注入惡意程式，然後偷取顧客信用卡資料，因為而家好多網站都會大量使用第三方收費系統，或者一啲擴充功能，又無定期更新呢啲服務，有漏洞都未必可以即時修補，令黑客可以利用呢啲漏洞輕鬆做到 Card Skimming（信用卡側錄）或者 web skimmers（網頁側錄），買家嘅帳戶無意中就會被盜用。 而今次 Magecart…

網絡安全真係一場智力大比併，無論安全專家點樣提升防禦力，黑客都總會搵到漏洞發動攻擊，然後安全專家又會極速修補應戰，攻防無限 loop。而近期網絡安全機構 Malwarebytes Labs 發現嘅 Web Skimmer 盜取信用卡資料方式，攻擊路線極度迂迴同複雜，唔單只利用網頁標籤圖案，仲要將惡意程式碼收埋喺圖像嘅 EXIF metadata 入面，真係睇少一眼都出事！ Malwarebytes 嘅專家發現，今次被埋入 Web Skimmer 嘅網站，原來只係被換咗 favicon 㗎咋，完全無其他地方被做手腳。Favicon 可能唔係人人識，其實佢就係網頁標籤或書籤上嘅圖案。專家話黑客首先開設咗一個專門俾人寄存 Favicon…

在高度依賴數碼系統儲存敏感資料的年代，網絡罪犯時刻都在尋可乘之機。雖然報道指勒索軟件集團「針對」特定行業，但 Sophos Counter Threat Unit（CTU）研究人員發現，大部分攻擊並非經過精心部署、專門鎖定某一受害者，而是黑客以投機方式見縫插針，利用現成漏洞發動攻擊。香港情況亦相若，有報告指出本地去年數據外洩個案急升 21%，當中仍以黑客入侵為主要原因。 想知最新科技新聞？立即免費訂閱！ 這種投機式攻擊手法，現時亦已蔓延至日常電子商務活動。有本地用戶表示，其網購帳戶曾遭入侵，攻擊者疑似更改帳戶電郵地址，並利用帳戶內已儲存的信用卡資料實際下單。 另有用戶亦反映在旅遊預訂平台出現類似情況，黑客涉更改帳戶資料，並試圖購買機票和餐飲券。與其專注防禦特定黑客組織，機構和個人用戶應優先加強整體網絡防禦能力。 63% 騙案涉假演唱會門票 香港人的網購習慣已與生活密不可分，然而，這同時為新一波網絡犯罪打開新的犯罪途徑。香港警方數據顯示，單在 2025 年 1 月至 11 月，網絡詐騙分子已騙取消費者約 3.5 億港元。…

專業旅運公布，近日發現部分其中一部分伺服器及共享儲存系統，出現未經授權存取的情況。受影響數據需待獨立網絡安全專家調查以確認，當中可能包括客戶訂單及相關營運紀錄、員工檔案及系統數據，但暫未發現信用卡資料外洩風險。 想知最新科技新聞？立即免費訂閱！ 專業旅運目前正安排聘請第三方專業機構恢復數據，並表示，集團信用卡相關運作一直交由第三方支付公司或銀行處理，沒有信用卡資料外洩風險；又稱已即時採取緊急措施，包括成立內部緊急委員會以協調應變工作；委任獨立網絡安全專家進行全面法證調查；向警方及香港個人資料私隱專員公署通報事件；啟動業務連續性計劃，使用雲端協作工具確保新訂單、服務持續性及數據安全不受影響。 集團指初步調查顯示，業務運作未受到重大影響，仍維持穩定，正評估事件對個別內部流程的影響，將密切監察事態發展。集團將繼續加強資訊系統安全措施，致力保護其數據安全，以防日後發生同類事件。

近日有騙徒冒充水務署，以短訊或電郵方式向市民發送訛稱「用水帳戶資料更新提示」通知，並列出所謂 「欠款」，誘使收件人點擊連結進入釣魚網站，並要求輸入個人資料或信用卡資料以繳交費用。近期受害人包括公司董事，輸入信用卡資料後隨即被扣 2.3 萬元。 想知最新科技新聞？立即免費訂閱！ 假冒水務署的詐騙手法，早在兩年前已出現，近日的個案反映此類以政府公共服務名義進行的釣魚攻擊近期又再度活躍起來。在新一批受害人中，包括一名 69 歲公司男董事。該董事如常檢查電郵，發現一封署名「水務署客戶服務」的可疑電郵（地址：[email protected]），內容指欠交 $18.54 水費。他未有懷疑，點擊電郵內的超連結，進入假冒水務署的網站輸入信用卡資料。隨即收到銀行通知，帳戶被扣約 23,000元。他察覺有異，遂即時報警。 反詐騙協調中心呼籲市民保持警惕，就算發送人名稱有「WSD」或「GOV」也未必為真，並緊記以下三點： 1．水務署的短訊發送人名稱必定以「#」號開頭（#WSD及#WSD eWater）； 2．水務署不會通過電郵或短訊內的超連結引領客戶到其他網站或要求客戶提供信用卡資料。 3．水務署致客戶有關電子帳單的電郵，均由 [email protected] 或[email protected] 發出 虛假水費單五大特徵…

電腦周邊設備製造商 Logitech（羅技）正式向美國證券交易委員會（SEC）提交文件，確認公司近期遭遇嚴重網絡安全事件，涉及資料外洩。此次攻擊由臭名昭著的 Clop 勒索集團發動，並相信與今年 7 月針對 Oracle E-Business Suite 的零日漏洞攻擊有關。 想知最新科技新聞？立即免費訂閱！ 敏感資料未有外洩 Logitech 在公告中指出，該事件屬於「資料外洩型網絡攻擊」，但強調產品、業務運作及生產線未受影響。公司表示，一旦發現異常，立即聯同外部網絡安全公司展開調查與應對。根據 Logitech 披露，遭竊資料可能包括員工與消費者的有限資訊，以及客戶與供應商相關資料。該公司認為敏感資訊（如身份證號碼及信用卡資料）未有遭入侵，因為這類數據並未儲存在受影響系統中。 是次攻擊源於第三方軟件的零日漏洞，並在修補程式釋出後立即完成更新，Logitech 雖未公開軟件供應商名稱，但業界普遍認為，此次事件與 Oracle E-Business…