我哋 Sangfor 應急響應團隊喺 2026 年 3 月處理多宗企業入侵個案時，留意到一個幾值得警惕的趨勢：黑客開始將「AI 工具熱潮」變成釣魚入口，而且手法比以往更加隱蔽、更加貼近用戶行為。 想睇更多專家見解，立即免費訂閱！ 老實講，呢個已經唔單止係技術升級咁簡單。我自己比較在意的一點係——黑客其實係利用緊企業對「新工具」嘅容忍度。好多公司對未知 AI 工具未有清晰管控，但員工又急於試新嘢，結果就形成一個非常理想嘅攻擊面。 今次呢單所謂「OpenClaw AI」事件，我認為幾有代表性。表面睇係下載一個 AI 工具，但實際上係一條設計得相當完整嘅攻擊鏈，由誘導下載到記憶體執行，全程自動化，而且快到你未必察覺。 我想藉住呢個案例，拆解整個攻擊過程，同時分享幾個我自己喺實戰中嘅判斷。 入侵流程解析：由「搵工具」到「記憶體入侵」 根據我哋實際捕捉到嘅數據，整個攻擊由用戶下載，到觸發 EDR…

企業網絡安全防護日益嚴密，黑客的攻擊手法亦進化到更狡猾。近期一種名為「Kratos」的釣魚即服務（Phishing-as-a-Service）工具包在黑客圈子中崛起，其特點是透過極度複雜的「七重跳板」技術，將惡意連結重重收藏在合法服務之中，藉此避過企業重金部署的電郵安全防護系統。早前，瑞典知名漏洞管理及身份安全公司 Outpost24 的一名高層管理人員，便差點成為這場精心策劃的高級釣魚攻擊的受害人。 想知最新科技新聞？立即免費訂閱！ 偽裝成 JP Morgan 減低戒心 這次攻擊事件由 Outpost24 的子公司 Specops Software 揭露，雖然系統及早識別並成功攔截了攻擊，未有造成任何系統破壞或用戶資料外洩，但從 Specops Software 公開的技術細節，卻充分展示了現時黑客在迴避偵測方面的驚人手段。有別於一般粗製濫造的釣魚電郵，這次黑客選擇偽裝成跨國金融巨頭 JP Morgan，並巧妙地將釣魚郵件無縫插入目標人物現有的電郵對話串中，邀請對方「審閱並簽署文件」，極大程度地降低了受害者的戒心。 為了確保這封帶有惡意連結的電郵能夠順利送達目標人物的收件箱，黑客下了一番苦功。首先，黑客為電郵加上了雙重…

近期大埔火災造成重大傷亡，社會各界紛紛捐款以支援救災及援助工作。然而有騙徒竟利用火災名義進行詐騙，包括假冒慈善機構或院方，發放惡意連結及二維碼（QR Code）聲稱籌款，甚至假扮義工意圖收集災民的個人及銀行訊息。此外，HGC 環球全域電訊對事件深表關切，並實行多項支援措施。 想知最新行內動態？立即免費訂閱！ 針對近日有騙徒以不法手段利用居民的個人資料，包括渾水摸魚冒認居民身份領走1萬元應急錢或冒認災民領取援助，香港網絡安全事故協調中心（HKCERT）強烈呼籲市民務必提高警覺，避免善款及個人資料落入不法之徒手中。 詐騙手法包括： 1．假網站及釣魚訊息騙徒冒充慈善機構，例如假冒「香港聖公會福利協會」，發送籌款釣魚短訊或電郵，附上惡意連結，誘使市民進入虛假籌款網站，從而騙取善款。 有網民整合其中一宗假網站網址並發帖警示。（圖片來源：「守網者」專頁） 2．虛假二維碼籌款社交平台亦有流傳「災民急需援助」訊息，同時附上不明來源二維碼，要求即時轉帳。亦有騙徒冒充仁濟醫院籌款，仁濟醫院已澄清，從未授權任何第三方收取善款。 3．假冒義工收集資料可疑人士假扮義工，派發虛假的「大埔宏福苑災民登記表」，要求災民填寫姓名、身分證號碼、住址，甚至銀行帳戶及提款密碼。而社會福利署登記證表格並未要求災民提供銀行及提款密碼等。 可疑人士自製假「災民登記表」騙取災民個人資料。（圖片來源：反詐騙協調中心） HKCERT 防騙建議： ．保護個人資料：切勿隨便填寫任何表格，切勿透露個人敏感資料，例如姓名、身份證號碼、銀行戶口號碼、網上銀行帳戶及密碼。 ．主動核實官方資訊：捐款前，請瀏覽政府新聞網，或向相關機構查證，確認透過官方及可靠途徑進行捐款。如接獲自稱機構職員來電，亦須再三核實來電者身份。 ．拒絕陌生連結及二維碼：切勿點擊不明連結或隨意掃描可疑二維碼及轉賬至來歷不明的戶口。 ．使用反釣魚工具：可利用「CyberDefender 守網者」的「防騙視伏器」，通過檢查網址和IP地址等，來辨識詐騙及網絡陷阱。 ．互相提醒：提醒親朋好友、長者及弱勢群體普及防騙意識，避免他們成為騙徒目標。 如有懷疑，可致電「防騙易…

Chanel 成為 Salesforce 攻擊潮中的最新受害者，導致美國地區部分客戶資料外洩。據知，是次攻擊由全球性黑客組織 ShinyHunters 發動，屬近日廣泛社交工程攻勢中的其中一部分，其他受害品牌包括有香港客戶受影響的 Louis Vuitton（LV）、Dior 等。而 Saleforce 則表示其主系統並未被破解，呼籲客戶自身落實基礎網安措施。 想知最新科技新聞？立即免費訂閱！ 客戶數據庫由第三方服務商管理 事件發生在 7 月 25 日，Chanel 偵測到有黑客入侵客戶數據庫，該數據庫是採用 Salesforce…

全球領先網絡安全供應商 Fortinet 宣佈，升級其數據和生產力安全組合，推出 FortiMail Workspace Security 辦公安全防護組合。新功能使 FortiMail 成為全面和具個人化的電郵安全平台，將保護範圍從電郵擴展至瀏覽器和協作安全，以上提升更與 Fortinet 新一代資料外洩防護 (DLP) 和內部人員風險管理解決方案 FortiDLP 新功能結合，提供一個統一、由 AI 驅動的方式來保護用戶和敏感資料，以應對現今變化多端的工作環境。 想知最新科技新聞？立即免費訂閱！ Fortinet 產品與解決方案高級副總裁…

隨著繳税季節的來臨，公眾在準備提交稅務申報的同時，網絡犯罪分子亦可能會利用人為疏忽，通過各種網絡平台發起釣魚攻擊和詐騙活動。黑客可能透過偽造的稅務局網站和欺詐訊息，誘使用戶洩露敏感的個人或財務資料。因此，香港網絡安全事故協調中心（HKCERT）提醒公眾於繳税季節期間應小心注意網絡安全，尤其對透過釣魚網站要求提供個人數據，或要求立即採取行動的通訊應保持警惕。 想知最新科技新聞？立即免費訂閱！ 經電郵或短訊發送偽造通知 在繳税季節，假冒稅務局的釣魚網站成為網絡犯罪分子的常用手段。他們可能會通過電子郵件或短訊發送偽造的通知，聲稱你的稅務資料需要更新或存在問題，並要求你立即回應。這些詐騙訊息可能會包含一個惡意連結，將你引導至一個假冒的稅務局網站，要求你輸入敏感訊息，如身份證號碼、銀行賬戶訊息等。HKCERT 提醒公眾，稅務局不會通過電子郵件或短訊要求提供此類敏感訊息。 以下是假冒稅務局網站和謊稱來自稅務局的電子郵件的例子： 釣魚網站盜取稅務局標誌、eTax名稱和網址hkataxorevenu[.]com[/]hk。（HKCERT 提供圖片） 釣魚電郵同樣盜取稅務局標誌，以及用 Hong Kong SAR 等字樣來增加緊急性。（HKCERT 提供圖片） 如何識別和防範釣魚詐騙 為了保護自己免受這類詐騙的侵害，公眾在收到任何自稱來自稅務局的電子郵件或短訊時，應仔細核實發件人的身份和訊息的真實性。切勿點擊任何可疑的連結或下載附件，尤其是來自不明來源的郵件。若對訊息的真實性有疑問，請直接聯繫稅務局或相關機構進行確認。 保護個人訊息和財務安全至關重要，以下是 HKCERT 的一些建議： 不要查閱被瀏覽器標示為可疑的網站和不應點擊任何不明來歷的連結，例如來自搜尋引擎的廣告等。檢查瀏覽器上所顯示的網址域名有否可疑，惡意的網址域名帶誤導性或與所聲稱機構名稱不符。使用瀏覽器的反釣魚功能來幫助阻止釣魚攻擊，這些功能可以分析網址並在偵測到釣魚網站時彈出警告頁面。當收到可疑的電子郵件或即時訊息時，請務必通過官方渠道核實詳細訊息。切勿在不明來源的網站或向未知發件人提供上個人資料或登入密碼。若網站並非使用…

影像分享平台 TikTok 被發現存在嚴重的零日漏洞，黑客只須向目標帳戶發出一個惡意私訊，對方只要閱讀訊息都會中招。漏洞更導致多間機構被黑客入侵，當中包括 Sony、CNN 等，由於現階段未有解救方法，高風險帳戶只能停用或刪除帳戶，等待官方修復問題…… 想知最新科技新聞？立即免費訂閱！ 是次連環入侵帳戶事件發生於上星期，最先被黑客入侵的 TikTok 帳戶屬於 CNN 新聞網站，起初外界還懷疑是因為 CNN 有太多職員擁有管理帳戶權限，因而估計是其中一個職員的帳戶被入侵，從而引發這次事件，但經調查後才發現入侵並非來自內部帳戶，而是黑客通過 TikTok 一個零日漏洞而成功取得帳戶控制權。 有網絡安全專家表示，這次漏洞的嚴重性非常高，因為黑客只須向目標帳戶發送一個含有惡意功能的私訊，過程中完全毋須對方點擊訊息內的惡意連結或安裝惡意檔案，便能取得帳戶控制權，令用家難以阻止黑客入侵。 TikTok 方面已承認這個漏洞的存在，表示已採取適當措施阻止事件再次發生，並會協助受影響用家取回帳戶控制權，但至於採用的方法就未有詳情透露。另一方面，官方表示根據初步分析，攻擊者只入侵了少量知名帳戶，但詳細數字亦有待調查。 雖然香港不在 TikTok…

網絡安全解決方案供應商 Check Point 旗下威脅情報部門 Check Point Research 發佈（CPR） 發佈《2023 年第四季品牌網絡釣魚報告》，重點介紹 2023 年 10 月至 12 月期間網絡犯罪分子企圖竊取用戶個人或付款資料時最常冒充的品牌。 想知最新科技新聞？立即免費訂閱 ！ 在上一季，Microsoft 成為最常被冒充的品牌，在所有品牌網絡釣魚攻擊中佔…

近來全城熱玩 AI 聊天機械人，同一時間，黑客亦積極利用 AI 工具生成破解軟件教學影片，然後將影片上載至盜用的人氣 YouTube 帳戶，誘導網民下載及安裝資料盜竊惡意軟件如 Raccoon、RedLine 和 Vidar 等。數字顯示每小時都有 5 至 10 條新影片上載，可見用 AI 生成認真方便又快捷。 想知最新科技新聞？立即免費訂閱 ！ 隨著OpenAI推出…

不少香港人都有儲分換禮品的習慣，近月有網絡不法份子覷中機會，冒充多個會員獎賞平台發送短訊予用戶，包括牛奶公司集團旗下品牌平台 yuu。警方在過去一星期內，已接獲 90 宗關於 yuu 釣魚詐騙案件，合共損失約 97 萬。yuu 隨即宣布在 3 月 8 日晚上 8 時起自動登出所有會員帳戶，用戶需重設帳戶密碼。 想知最新科技新聞？立即免費訂閱 ！ 「你的帳戶 yuu 積分將於今日內到期，請儘快換領獎賞」，表面是溫馨提示，實質內藏陷阱。騙徒的短訊指，用戶的積分即將到期，誘使他們到一個假網站登入資料以兌換積分。黑客可能會利用偷取的個人及信用卡資料，從其他線上平台入手試圖登錄帳戶或瘋狂碌卡，令用戶蒙受損失。…