根據 Cybersecurity Ventures 的統計數字，全球現有多達 350 萬個網絡安全職位空缺。隨著各行業對網絡安全技能需求持續增長，全球正面對網絡安全人才短缺的大趨勢。為加強培育新一代網絡安全人才，VTC 柴灣院校的網絡安全中心（CyberSecurity Centre），旨在透過提供專業且全面的網絡安全教育，培育具備專業技能及貼近市場需要的網絡安全人才。另外，中心開辦的資訊安全專業證書課程將於 4 月開課，獲批資助的申請人可獲退還合資格課程六成學費，有興趣人士可於 3 月 10 日前報名。 透過設施助學生累積實戰經驗 為回應市場對網絡安全專才的需求， VTC 柴灣院校設立了網絡安全中心（CyberSecurity Centre），中心提供先進的教學設施，以模擬各種在現實網絡環境中遇到的攻擊。例如使用網絡攻防靶場教授勒索病毒攻擊的補救方法 ，模擬常見網絡漏洞以學習黑客攻擊手法的滲透測試實驗室（Pentesting Lab），各樣工具例如安全資訊和事件管理工具（SIEM…

2022 年快將完結，回顧今年發生的網絡安全事故，可見已與 2021 年與遙距工作模式為主的情況大不同，正式踏入後疫情時代。網絡安全專家就為 2023 年作出 5 大預測，方向包括物聯網、私人裝置工作、國家級黑客、人工智能及安全意識培訓，業內人士不可不知。 物聯網（IoT） 根據市場調查公司 Gartner 預測，2023 年將有 430 億 IoT 裝置連線網絡，專家認為由於大部分 IoT 裝置的用途都不是用於儲存數據，因此生產商普遍低估其產品的網絡安全風險，證據就是不少裝置在出廠時依然採用低強度及統一帳戶登入資料，例如 admin…

以色列網絡安全公司KELA發表最新調查報告，指專門出售入侵企業帳戶權限的黑客活動，在 2022 年第三季的數字雖然保持相若，但累計要求的報酬卻大幅上升至 400 萬美元，而且從各種網絡攻擊的數據可見，這些入侵權限最常被利用於勒索軟件攻擊之上，企業管理者應盡快堵塞入侵門路。 無論是勒索軟件或資料盜竊活動，在進行網絡攻擊前，必須先進入企業的內部網絡，例如勒索軟件集團 LockBit，便經常在暗網或地下討論區上刊登廣告，邀請擁有企業帳戶權限的人合作，由對方提供入侵門路，LockBit 則負責入侵、執行勒索軟件、與受害公司商議贖金及收款等工作，事後便會與帳戶權限提供者對分贖金。 出售企業帳戶權限拆家 ( Initial Access Brokers, IAB )，本身也是網絡犯罪世界中其中一門專業，KELA 網絡安全專家指出，他們或許因為缺乏入侵企業內部網絡的技能，又或不願冒上更大被捕風險，因此在取得企業帳戶登入權限，便選擇退居幕後，僅以出售帳戶權限謀利。 而在 KELA 發表的 2022…

不少人為了提升瀏覽器的使用經驗，都會為瀏覽器安裝延伸工具，例如即時翻譯、屏幕截圖等。不過，黑客亦會利用這途徑竊取目標人物私隱資料，例如北韓黑客集團便透過魚叉式釣魚電郵攻擊鎖定攻擊目標，誘使對方打開惡意附件化身為延伸工具後，便可利用儲存的登入憑證隨意進入 Gmail 帳戶，神不知鬼不覺。 網絡安全公司 Volexity 為客戶提供威脅情報服務及電腦搜證服務，而在提供鑑證服務時，便經常在受感染電腦內發現這款被稱為 SharpTongue 的惡意軟件，安全專家指它與北韓黑客集團 Kimsuky 有關。SharpTongue 入侵工具的詳細分析早於 2021 年出現，這個黑客集團專門針對美國、歐洲及南韓的企業及機構，特別是該機關與調查北韓事務、核技術、國防武器，更會成為頭號入侵對象。 不過，Volexity 在近來的調查發現，背後的黑客集團正開始使用一款專門用來盜取電郵內容的惡意瀏覽器延伸工具 SHARPEXT，相比起 SharpTongue 以盜取帳戶登入資料為目的，SHARPEXT 在安裝到瀏覽器後，便會利用受害者儲存在瀏覽器內的雲端電郵帳戶登入 sessions，進入受害者的電郵信箱內搜集所需資料及下載有用的電郵附件。由於帳戶已在早前經驗證登入，因此電郵服務供應商難以發現帳戶正被入侵，從而增加偵測的難度。…

劍達（香港）（Green Radar）公布 2022 年第一季度的電郵威脅指數 Green Radar Email Threat Index（GRETI）。第一季指數顯示為 67.4分（上季為 65.9分），反映電郵威脅風險持續上升並處於高水平。首季的網絡釣魚和商業詐騙電郵活躍，因此風險級別水平保持為「高」。今季報告亦發現，近期備受世界關注的「俄烏戰爭」，和本港第五波疫情，均被黑客利用作釣魚，倘忽略其真確性恐成黑客的目標。 根據今季 GRETI 報告，商業電郵詐騙攻擊比上季大幅增加 16.3% 至 52.5%。Green Radar 電郵安全監控中心（SOC）統計數據顯示，最常被冒充的三大品牌包括：DHL 、LinkedIn…

新冠疫情持續，黑客亦利用機會借疫情作攻擊。早於 2020 年 3 月，與新冠病毒有關的網絡釣魚攻擊躍升 667%，隨疫苗接種計劃推出時，新一波與疫苗有關的電郵威脅亦接踵而來，而 Omicron 變種病毒導致確診個案再度急升，同時亦帶動網絡釣魚攻擊個案激增。 Barracuda 研究人員發現有關新冠病毒測試的網絡釣魚攻擊大幅增加，於 10 月至 1 月期間，相關電郵詐騙增加了 521%。 有關新冠病毒測試的網絡釣魚攻擊次數隨疫情躍升 Barracuda 列出一些最常見的行騙手法，反映騙徒利用不同策略來引起受害者的注意： （1）聲稱提供新冠病毒測試產品及其他醫療用品，例如口罩或手套，其中部分銷售的是 假冒或未經授權的產品。…

研究顯示九成網絡攻擊源自釣魚電郵，員工能否正確分辨，便成為企業防避入侵的重要因素。研究機構 ETH Zurich 一項跨 15 個月的調查發現，即使企業為員工提供安全意識培訓，如員工經常接觸到釣魚電郵，也有可能重複犯錯。要提高員工的辨識率，必須讓他們養成舉報的習慣。 該項調查的結果共收集了 14,733 個企業員工的數據，而且歷時長達15個月，目的是顯示哪類員工最易上當、企業在受測試過程中被入侵的風險有否改變、員工安全培訓的作用，以及員工的參與能否有助偵測釣魚電郵。研究員只向答應參與的企業發出模擬釣魚電郵，而該公司的員工全不知情。而在虛假的釣魚電郵內，研究員同時設置了一個按鈕，讓員工可以輕易向 IT 部門舉報懷疑收到釣魚或垃圾電郵，從而觀察員工會如何處置這類信件。 在過往一些同類調查中，結果曾顯示女性會較易打開釣魚電郵，但在這次測試中，研究員指未有發現性別的中招率存在差異，相反年輕或年長的員工，較傾向會點擊打開電郵內的惡意檔案或連結。而屬於重複犯錯的「repeated clickers」，佔整體調查對象的 30.62%，會授權啟動文件內的 Macros 或於釣魚網站輸入帳戶登入資料的亦 23.91%，另外，對於工作上需要經常接收電郵的員工來說，就算擁有較高安全意識，但有 32.1% 最終也會出現抗毒疲勞，至少墮入陷阱一次。安全意識培訓問題上，調查結果顯示模擬釣魚電郵測試及自發性參與安全培訓，未能有效減少員工的中招率；無論電郵系統內顯示的威脅資訊如何詳細，似乎亦無助降低員工的打開機會。結果顯示企業如想靠員工自行阻止釣魚攻擊，實在未許樂觀，管理者應該認為採購有效的電郵防護服務及安裝反釣魚電郵過濾器。 有趣的是，研究員發現如電郵內提供一鍵舉報按鈕，反而有助企業及早標籤釣魚電郵攻擊。從調查報告中可見，員工的整體舉報釣魚電郵的準確度達…

Black Friday 將至，相信不少網民已磨拳擦掌，準備大舉掃平貨。黑客同樣準備好過肥年，英國網絡安全中心 NCSC 正加緊巡查國內的電子商貿平台，特別是由中小企所成立的網購網站，由於缺乏安全意識，以至 NCSC 已先後向 4,151 個零售網站發出安全警告，指網站已被黑客入侵，客戶私隱正處於高風險。 不少購平台都會採用電子商務系統 Magento，因為它的功能豐富，但亦同時成為黑客攻擊的頭號目標。例如在今年初，網絡安全專家已指出有犯罪集團正利用 Magento 的已知漏洞，向仍未安裝安全更新的客戶發動攻擊。事隔半年有多，情況似乎未有改善，因此 NCSC 便趕在傳統購物旺季前，加緊於網上巡邏，搜尋國內仍存在漏洞的網購網站，以趕在旺季來臨前堵塞漏露，保護網站及潛在顧客。 一般來說，針對電子商貿平台的攻擊都是以盜取信用卡資料為主，犯罪集團會利用各種方法達成目標，例如於目標網站留言區注入惡意編碼的跨平台腳本 (Cross-Site Scripting) 攻擊，或暗中入侵網站的付款頁面，記錄客戶每一筆消費資料，而盜取的信用卡資料便可讓黑客冒名使用。雖然現時不少 Web…

內部威脅 (insider threat) 一向是企業最頭痛的問題，因為員工雖然未必一定有心將公司機密外洩，但卻會因網絡安全意識不足，如開啟釣魚電郵、可疑檔案，親手為黑客打開入侵公司的大門。Microsoft 帶來好消息，旗下 Microsoft 365 將會客戶推出新服務，令 IT 部門更易發現可疑行為，及早制止慘劇發生！ 顧名思義，內部威脅指的是企業員工帶來的威脅，它可以是將機密資料外洩，又或「協助」黑客於內部網絡安裝惡意軟件如後門等，不過，員工未必有心做，很可能只是墮入釣魚電郵陷阱，或使用了一些未被允許的影子IT工具，因而令公司蒙受損失。要避免內部威脅降臨到自己身上，企業管理者除了要引入足夠的防護工具外，更需注重員工的安全意識培訓。美國網絡安全機構 CISA 早前亦推出新工具，協助美國私人或公營企業評估自家網絡安全性，由此可見內部威脅情況的確相當嚴重。 最近 Microsoft 就為客戶帶來 Insider Risk Management 新服務，提升…

安全意識培訓真係有用㗎！根據 IT 安全公司 F-Secure 最新發表的研究報告，有1/3由員工舉報的可疑電郵，的確內藏惡意行為，例如包含虛假網站連結、帶有惡意功能的附件。萬一有惡意電郵可以繞過防護系統進入收件箱，員工就是一條重要的防線，所以老闆們一定要做好培訓工作呀！ 不少調查顯示，九成企業入侵事件是通過釣魚電郵達成，例如員工誤信電郵內容打開帶有病毒的附件，又或被引導至虛假網頁然後輸入公司帳戶資料，另外亦有員工墮入商業電郵詐騙 (BEC) 陷阱，將鉅款匯入犯罪集團的銀行帳戶，令公司帶來難以估計的損失。而 F-Secure 最新發表的報告，便著眼於員工舉報可疑電郵的準確度。 研究團隊一共分析了 20 萬封由企業員工於今年上半年舉報的可疑電郵，結果確認 33% 電郵的確帶有惡意行為。最多員工認為電郵有可疑的原因，有 60% 認為當中含有可疑的連結，其次為電郵由可疑或不明人士發送，其他如電郵內有可疑附件或疑似垃圾訊息，都是員工決定舉報的主要元素。另外，研究員又指出，如有「Warning」、「Your funds has」或「Message is…