近年全球各國政府積極推動電子化政務及數據集中化,國家數據庫儲存了國民最敏感的財務與身份資料,自然成為黑客眼中的寶庫。法國財政部近日便證實一宗網絡安全事故,部門管理的國家銀行帳戶登記冊(FICOBA)遭受黑客入侵,導致多達 120 萬帳戶資料外洩,讓過百萬市民面臨金融詐騙風險。 想知最新科技新聞?立即免費訂閱! 中招系統為集中式國家數據庫 FICOBA 是法國極為重要的金融基礎設施,由稅務機關 DGFiP 負責營運。該系統為集中式的國家數據庫,依法強制記錄法國境內所有銀行帳戶的開立、修改及取消紀錄。根據法國財政部公告,系統在今年一月遭受入侵,黑客並非利用零日漏洞攻破系統,而是盜取了一名擁有跨部門信息共享平台權限的公務員憑證。 雖然當局在發現異常後已立即切斷黑客的存取權限,但經清點後證實有過百萬帳戶資料被盜,包括帳戶持有人的身份資料、通訊地址及銀行帳戶詳情。部分案例中,連納稅人識別號碼亦一併被盜;雖然當局強調黑客無法直接利用相關數據提款,但受牽連的市民仍面臨後續的詐騙風險。 社交工程攻擊成功率大增 專家解釋,黑客掌握這些資料後,發動社交工程攻擊的成功率將大增。試想當市民收到冒充稅務局或銀行的電郵或 SMS,內容準確列出全名、地址甚至銀行戶口號碼,要求補交稅款或確認交易時,受害者往往較易輕信,並按指示提供更多私隱資料或進行轉帳。此外,黑客亦可利用這些資料偽造轉帳授權,或冒用受害者身份在其他金融機構開設假帳戶進行洗錢,潛在風險極大。當局已承諾在未來數天內通知受影響用戶,並呼籲銀行機構提高警覺。 面對這類國家級數據外洩,市民處境相對被動。專家強烈建議受影響用戶在未來數月保持高度警惕。首先,對於任何要求提供登入憑證、銀行卡號碼或進行轉帳的通訊,無論透過 SMS、電郵還是電話,均應先視為詐騙,並直接致電相關機構的官方熱線核實。法國財政部亦特別發出警告,重申稅務機關絕不會透過訊息索取用戶的登入資料。其次,市民應定期查閱銀行帳單,留意是否有任何未經授權的微額扣款或異常活動。 這次事件亦顯示了全面落實「零信任」(Zero Trust)架構的必要性。對於擁有特權存取權限的公務員或員工,必須強制實施多重身份驗證(MFA),並配合嚴格的行為分析監控,即使憑證被盜用,也能更快偵測異常流量。唯有從源頭加強對「身份」的驗證與管理,才能守護國民的數碼資產與私隱安全。 資料來源:https://www.bleepingcomputer.com/news/security/data-breach-at-french-bank-registry-impacts-12-million-accounts/
Browsing: MFA
本港零售業接連發生兩宗嚴重個人資料外洩事故,分別涉及本地珠寶連鎖企業 My Jewelry 及日本跨國時裝品牌 Adastria,波及近 14 萬客戶及員工。無獨有偶,兩宗事故均涉及高權限帳號管理不善、未能有效監控及偵測異常行為兩大問題,企業應如何透過先進的網絡安全方案自保? 想知最新行內動態?立即免費訂閱! 零售業數碼轉型後的痛點 個人資料私隱專員公署上周公布的兩宗資料外洩事件,涉及分別涉及本地珠寶連鎖企業 My Jewelry(愛飾)與母公司光雅,以及日本跨國時裝企業 Adastria,其旗下品牌包括 niko and…、LOWRYS FARM 等,前者外洩了 7.9 萬名客戶與員工資料,包括身分證部分號碼,後者則外洩了近 6 萬名客戶及訂單資料。 兩宗事件的成因近似,皆涉及高權限帳戶管理不當、未有啟用多重身分驗證。Adastria…
美國證券交易委員會(SEC)本月初宣布有關比特幣(Bitcoin)的消息,但在宣布前一日,其 X 帳戶卻被黑客入侵,並將消息「提前發布」。SEC 公布調查結果,發現黑客透過 SIM 卡交換攻擊(SIM swapping),盜用了該帳戶,更發現帳戶未有採用多因素身分驗證(MFA),令黑客有機可乘。 想知最新科技新聞?立即免費訂閱 ! 「假消息」致比特幣價格飆升 今年 1 月 10 日,SEC 宣布正式批准包括比特幣(Bitcoin)現貨 ETF 在內的交易所交易產品(ETP)的上市與交易,不過其 X 帳戶@SECGov,卻提前一日(1…
啟用雙重(2FA)或多重因素驗證(MFA)技術,是守護企業員工帳戶的其中一種安全做法,不過,黑客近來開始使用新的入侵手法,轉移瞄準員工儲存在電腦瀏覽器內的 Session Token,因為可繞過 2FA 或 MFA 的再一次驗證,剛發生數據外洩事件的 IT 服務供應商 CircleCi,便是這種攻擊的受害者。 以往黑客要入侵企業內部網絡或雲端帳戶,最常做法是,從暗網或地下討論區購買外洩的帳戶登入資料,或以釣魚電郵騙取員工輸入密碼。 2FA 或 MFA 的驗證技術,某程度上可阻止黑客入侵帳戶,因黑客除了要持有帳戶登入資料,還要有額外驗證碼、硬件驗證金鑰或如 Microsoft Authenticator 產生的驗證碼等,故近年網絡安全服務供應商都會建議客戶採用,Microsoft 更指公司啟用 MFA…
不少專家均建議企業啟用多重因素驗證 ( MFA ),以保障員工帳戶的安全。不過,MFA 並非萬能,因為決策權始終握在用家手上。有黑客集團就將釣魚攻擊結合疲勞轟炸手段,令用家自動確認可疑的 MFA 驗證,例如 Uber 被入侵事件就是其中一個案例。 Call 車 app Uber 的員工帳戶早前被入侵,導致內部應用服務被塗改內容,以及發生數據外洩。事後黑客集團 Lapsus$ 其中一位聲稱 18 歲的成員承認責任,指入侵 Uber 只因對方的網絡安全措施非常弱。經調查後,網絡安全專家說這次事件相信是對方從暗網取得相關員工的帳戶登入資料,然後再利用釣魚攻擊,假扮成…
密碼管理服務供應商 LastPass 上月承認公司遭受黑客入侵,不過,事故調查報告要到九月中才發表。官方聲稱黑客並未接觸到客戶資料及加密密碼引擎的詳情,換言之客戶可以放下心頭大石。LastPass 如果對這次事故的調查屬實,就可說是其中一個網絡安全案例正確示範,企業管理者不妨參考一下。 為了保障帳戶的安全性,不少用家都會聽專家之言,起碼會為帳戶採用強密碼,即密碼結合大細楷英文字串、符號、數字,以及密碼至少有 8 個位長度。不過,有調查指現時一般人至少擁有過百過網上服務帳戶,如果密碼要夠長及複雜,而且又要為每個帳戶設立不同密碼組合,相信很少人有能力做到,於是網絡安全專家會建議網民使用密碼管理服務,例如 LastPass、1Password 便是較出名的服務供應商。 雖然這個方法可解決用家無法記住太多密碼的煩惱,但如果密碼管理服務供應商遭受入侵,用家儲存的帳戶資料便有機會一次過被盜取,所以當 LastPass 上月爆出遭入侵事故時,不少用家都相當憂慮,因為隨時會為所有帳戶重設密碼。還好 LastPass 管理層終於發表調查報告,指出這次黑客雖然成功入侵公司的開發環境,假扮成公司其中一個開發人員並為帳戶通過多重因素驗證,不過,公司卻未有太大損失,原因主要有兩點。 首先,官方指 LastPass 有嚴格控制產品推出流程,即使黑客在這次事件中能假扮 Development Team 員工,但由於產品必須經過…
多重因素驗證 (MFA) 原本是用來加強登入帳戶的安全性,減少因帳戶名稱及密碼外洩,導致黑客可以直接登入帳戶的風險。不過,網絡安全公司 Mandiant 最近一份調查報告便發現,俄羅斯國家級黑客集團 Cozy Bear (又稱為 APT29) 就利用了 Microsoft 帳戶容許用家自行登記 MFA 驗證裝置的漏洞,暗中將「休眠」帳戶據為己用,然後進入企業的內部網絡刺探機密。 專家解釋,企業 IT 管理員會因為各種原因,預先開設一些帳戶供日後使用。不過,Cozy Bear不知道由什麼渠道得知這些休眠帳戶,或可能從地下討論區買到休眠帳戶,而且又以預設密碼或暴力破解密碼方式,順利登入帳戶,讓他們可以進行下一步的惡意活動。專家說黑客首先為帳戶申請 Microsoft Azure…
隨著企業踏上數據轉型之路,陸續採用更多雲端服務及遙距工作工具,遭受網絡攻擊的層面亦大增。非牟利雲端安全機構 Cloud Security Alliance 早前完成一項相關調查,發現大部分企業都受身份驗證、帳戶權限及密鑰管理等問題困擾,除了引來黑客攻擊,內部員工亦可乘機作反。 新冠疫情開始至今已兩年多,期間不少企業為了讓員工工作,倉卒購入各種雲端遙距工作工具。雖然隨著疫情減褪,大部分企業已安排員工重回辦公室上班,但網絡安全專家指出,在數碼轉型的需求下,企業仍難以避免要採用更多雲端應用服務,因此被入侵的危機仍然會愈來愈高。Cloud Security Alliance 早前完成的一份調查報告一共訪問了安全業界 700 位專家,結果發現業界一致認為要建立一個安全的雲端運算環境,必須解決身份驗證、帳戶權限及密鑰管理等挑戰。 報告內歸結了四個常見的雲安全漏洞,包括:不安全的接口和 API、雲端服務設定錯誤、缺乏雲安全架構和策略、軟件開發環境欠缺安全策略。在不安全的接口和 API 方面,專家指可讓黑客有機會接觸到機密的資料庫,甚至可透過 API 獲取帳戶 token,從而控制帳戶。雲端服務設定錯誤,例如將數據庫資料設定成公開,有可能發生數據外洩問題。此外,缺乏雲安全架構及軟件開發環境欠缺安全策略上,前者可令黑客在取得一個普通帳戶權限下,通過漏洞提升至最高權限及隨意橫向移動,後者則有可能在開發過程取了藏有惡意程式的開源軟件使用。 網絡安全專家建議企業引入零信任 (Zero…
千祈唔好以為黑客只針對大型企業,無論是甚麼規模的企業,一樣要做好網絡安全的措施,即使是小型企業,一樣有方法避免中伏。 網絡攻擊對於小型企業來說,可能並非首要考慮的事情,網絡犯罪分子貌似多數只針對具規模、有利可圖的目標;然而事實是小型企業同樣會成為黑客和網絡犯罪分子的目標,因為小型企業同樣手握各種機密數據,例如個人資料、信用卡資料、密碼等,黑客一樣會虎視眈眈。但相對中型企業或大型企業,小型企業的資訊安全意識及保護措施相對較弱,尤其是在沒有專業網絡安全員工的情況下,致使危險度也增加。 小型企業成為供應鏈攻擊的一部分,主要是黑客能透過他們獲得大公司的存取權:從入侵可能是大型機構供應商的小型企業,攻擊者可以利用存取權滲透網絡,攻擊其商業夥伴。 小型企業遭遇無論是網絡釣魚、勒索軟件、惡意軟件,還是攻擊者擁有存取權和篡改數據權限的任何其他類型的惡意活動,其所導致的結果都可以是極具毀滅性,甚至有網絡攻擊受害者因此而永久關閉。 以下是 ZDNet 提供的自保招式,提醒小型企業如何避免墮入一些基本網絡安全陷阱。 1.不要使用弱密碼來保護線上帳戶 網絡犯罪分子並不一定具備超強技能,才能入侵企業電子郵件帳戶和其他應用程式,因為很多時他們能夠進入企業系統,純粹是因為帳戶擁有者使用弱密碼或容易猜測的密碼;同時使用雲端辦公應用程式和遙距工作模式的轉變,也為網絡犯罪分子提供了更多攻擊機會。 記住許多不同的密碼可能很困難,因此不少人在多個帳戶中使用簡單的密碼,導致帳戶和企業易受網絡攻擊,特別是如果網絡犯罪分子使用暴力攻擊以常用或簡單密碼列表作嘗試。另外,也不應該將密碼設定為易於發現的訊息,例如最喜歡的球隊或寵物名字,因為社交媒體上的資料,或成為密碼線索。 國家網絡安全中心 (NCSC) 建議使用由三個隨機單詞組成的密碼,並指這個策略能令密碼難以猜測。另外,應該使用不同的密碼來保護每個帳戶,使用密碼管理器可以幫助用戶消除記住每個密碼的煩惱。 2.不要忽略使用多因素身份驗證(MFA) 即使已採用強密碼,密碼仍有可能落入壞人手中。網絡犯罪分子可以使用網絡釣魚攻擊等方式,來竊取用戶的登入資料。多因素身份驗證會要求用戶響應警報,來確認是他們本人嘗試登入帳戶,讓入侵帳戶增添障礙:即使網絡犯罪分子擁有正確的密碼,他們也無法在沒有帳戶擁有者批准之下,使用該帳戶。如果用戶收到意外警報,提示有人正嘗試登入其帳戶,他們應向其 IT 或安全團隊報告,並立即重置密碼,避免網絡犯罪分子繼續嘗試利用被盜密碼。 儘管使用多因素身份驗證或雙因素身份驗證 (2FA),已是最常建議採用的網絡安全措施之一,但許多企業仍沒使用,令人憂心。 3.…
加密貨幣的相關投資盛行,騙子亦趁機出動,以美國為例, 根據美國聯邦貿易委員會 (FTC) 公布在 2021 年 1 月至 2022 年 3 月期間,有超過 46,000 名美國人報稱受詐騙,加起來共損失了價值逾 10 億美元的加密貨幣,身在香港的我們也應引以為鑑,採取安全措施保護虛擬資產。 FTC 去年收到的事故回報約有 7,000 份報告,加密貨幣投資騙局損失了大約…