Browsing: socialengineering

    Web3 是下一代互聯網而創造的術語,現時網絡已從以內容頁面為主的面貌,轉變為以社交媒體為主軸的世界。現時,去中心化的互聯網模式,正以 Web3 的概念作討論。有研究人員就新興技術面臨的最普遍威脅預計,社交工程攻擊(Social Engineering Attack)或主導 Web3 及 元宇宙(metaverse)的世界。 轉變成 Web3 的其中一個因素是元宇宙的盛行——一個 3D 環境和虛擬世界,能在個人或工作上,促進社交聯繫。用戶在元宇宙中的 ID,也可能會與加密貨幣錢包、NFT 和其他各種智能合約互連。隨著技術供應商致力於實行以上概念,Cisco Talos 的網絡安全研究人員提出了他們對 Web3 和元宇宙將面臨的潛在威脅的看法。…

    再有調查發現,愈來愈多黑客利用開源 Python 套件倉庫例如 PyPl 作為散播惡意軟件的工具,所使用的手法包括串字錯誤 (typosquatting)、依賴混淆 (dependency confustion) 或社交工程 (social engineering),開發者如果隨便下載有問題的套件使用,廣大客戶將會受牽連! 供應鏈攻擊 (supply chain attack) 是近年黑客愛用的其中一種網絡入侵方法,因為黑客只須入侵開發者的上游服務供應商,之後就可以感染其客戶及用家,性價比極高。供應鏈攻擊可以分兩種類,一種是非法入侵官方伺服器,利用其服務的漏洞發動攻擊,或將惡意軟件替換成官方的更新檔,借助自動更新功能大規模感染下游客戶的電腦設備;另一種則毋須入侵,黑客可以將惡意軟件偽裝成存放於開享資料庫上的共享套件,再靜候獵物上釣,而今次由 JFrog 網絡安全研究員發現的情況就屬於後者。 專家解釋,開源資料庫一般缺乏自動化安全控制功能,未有詳細驗證用家上載的共享檔案是否含有惡意功能,因此如應用服務開發者未有對共享檔案進行安全檢測就使用,便有可能直接將惡意功能引入自家的軟件中,推出後便有很大影響。JFrog 便在知名…

    科技與人為因素的交錯造成的安全問題,是令企業和組織最為頭痛的挑戰。即使對漏洞的偵測技術有所提升,網絡罪犯的手法與策略亦與時並進,令到他們的攻擊亦難以抵擋。 是次 Webinar 由全球最大的「安全意識培訓平台」供應商 KnowBe4 的 Technical Evangelist Jelle Wieringa 及 SoftwareONE Hong Kong 網絡安全專員 Antonio Chan 主講,拆解應用科技構建安全操作環境時,如何更好地了解人性、模式的成功實例,分享如何讓安全措施和科技結合人性,提高日常運作的安全性和彈性。 Webinar 將涉獵以下主題:…

    為求保障,網絡安全產品服務不可或缺。然而,所有網絡安全背後的 final boss,始終是背後操控一切的人類。KnowBe4 與 SoftwareOne 聯合主辦的網絡研討會,將探討社會工程師及騙徒如何設局,或以不同手段誘使受害人順從吩咐,讓你識破詭計,掌握 OODA (Observe, Orient, Decide, Act)循環方法,免墮陷阱! 是次 Webinar 由全球最大的「安全意識培訓平台」供應商 KnowBe4 亞太區網絡安全意識倡導者 Jacqueline Jayne 及 SoftwareONE…

    雖說現時Apple的iOS 14及Google的Android 11作業系統,已大大增加應用軟件取用手機功能的權限透明度,甚至可讓用家逐次授予使用權。不過,面對著一些合理地取用全球定位功能、卻不合理地使用資訊的app,如用家未有留意細則或用法,便有可能洩露自己的行蹤。最新的例子是不少港人都有使用的運動記錄app Strava,預設功能可讓擦身而過的用家閱覽你的個人資料及經常出沒的運動地點,遇著立心不良的匪徒,隨時有人身安全危機! 作為一隻運動記錄應用軟件,Strava在安裝時,要求取得定位權限,合理至極;而且相信絕大部分用家,為免每次使用app時都要重新授權,都會選擇長期開放取用位置權限,減少麻煩。不過,其中一位Strava用家Seward在Twitter上透露,當他完成一次跑步記錄後,竟發現記錄內tag了一位當日曾與他擦身而過的女跑手,Seward甚至可以細閱這位女跑手的Strava帳戶資料及運動記錄。經深入調查後,Seward發現原來Strava app預設的私隱分享功能非常「無私」,個人資料、運動記錄、團體活動等都設定為可供任何人查閱,而當中Flyby功能便是今次事件的元兇,因為開啟後,系統便會與附近的用家分享運動及位置記錄。雖然這功能用在正途上,或可組織該區的運動愛好者一起訓練,但卻同時洩露了過多個人資訊,包括經常出沒位置及所使用的運動手錶等,匪徒便有可能在路上埋伏,又或借助詳細的個人資料,發動社交工程(Social Engineering)攻擊。 事件經報導後,Strava即時出面澄清,並表示會通知所有用家有關修改這項私隱設定的方法。用家如希望關閉這項功能,可登入Strava官網,在設定中點選Privacy Control,於Flyby點選「No One」便可。用家亦可同時修改其他私隱設定,例如只跟朋友分享資訊或運動記錄,減少不必要的危險。 資料來源:https://bit.ly/3361ZL2

    上月多個名人如 Bill Gates、Elon Musk 嘅 Twitter 帳戶被黑客入侵,於平台騙取 Bitcoin,成功騙取約11萬美元 Bitcoin。的而且確,奪取到原帳戶再向受害人身邊嘅親友落手,成功率會較高,但複製帳戶呢種極度簡單嘅方法,都會有人上釣。曾因利用社交工程(Social Engineering)手法進行詐騙而入獄,後來改邪歸正嘅網絡安全專家 Jake Moore 就親身示範,只須複製目標人物嘅帳戶,都可令對方嘅朋友信以為真,乖乖過數! Jake 原本嘅 Instagram 帳戶有 1,611 個 posts,同時有…

    網絡安全資訊平台 HackRead 表示,上月有黑客喺暗網上出售 2.67 億 Facebook 用戶個人資料,但今個月突然激增至 5 億,由於出售嘅資料唔包括登入密碼,所以售價整體嚟講唔貴,三個套餐分別係每十萬個帳戶收450美元、每100萬個帳戶收1,500美元,以及3萬美元一筆過買晒。而喺 5 億帳戶當中,有 290 萬屬於香港用戶,約佔 1/3 港人用戶,大家真係要提高警覺性,防犯嚟緊會有罪犯透過社交工程(social engineering)嚟偷呃拐騙喇! 今次出售嘅Facebook用家個人資料包括:用戶名稱、姓氏、性別、位置、城市名稱、職業、結婚狀況、電話號碼、電郵地址及帳戶連結,內容非常廣泛,對精於社交工程詐騙嘅罪犯嚟講,已經攞到太多資料,可以假扮成對你有關嘅機構如電訊公司、政府部門、銀行等等,向你發動唔同渠道嘅攻擊,例如釣魚電郵、SMS,甚至盜取你嘅身份作非法用途。 專家透露,相信今次私隱外洩嘅源頭唔係 Facebook,應該係第三方服務供應商或市場推廣公司,由於儲存喺雲端嘅資料庫無做好安全設定,先至會俾罪犯攞到。但專家指出,黑客亦可以透過機械人進行網上爬行,去收集你喺社交平台公開嘅資料,所以勸籲大家千祈唔好公開太多個人資料。HackRead 專家話暫時未知有無人買咗呢啲帳戶資料,但都要小心防範。而除咗香港之外,鄰近地區如澳門、台灣、新加坡,亦分別有41萬、73萬及300萬個帳戶記錄。…

    不少企業已開展數碼轉型歷程,將大部分重要工作遷移雲端,以增加營運的靈活性,以及更有效運用資源。而在數碼轉型的過程中,由於種種原因,導致網絡安全問題日趨嚴重,特別是亞太區市場,雖然過去數十年在科技上急速發展,但網絡安全意識及措施卻未能跟上,如未能快速武裝起來,絕對有可能成為下一個黑客攻擊的受害者。雲端安全方案供應商 Barracuda 就在這個水深火熱之時,決定在香港增兵,協助亞太區企業提高防禦力。 精準電郵攻擊劇增 近年不少大企業都出現私隱洩漏事故,酒店業有 Marriot,航空業則有 Cathay Pacific 及 British Airline,上榜的電商平台更是多不勝數,嚴重影響營運商譽。當然,受攻擊的不限於大企業,作為進攻大企業的跳板,中小企亦難逃黑客魔掌。而在眾多攻擊方式之中,電訊服務供應商 Verizon 指出估計有 93% 都與電郵攻擊有關,而單單在 2019 年第三季,香港便錄得 849 宗網絡釣魚攻擊個案,可見電郵系統安全的重要性。一向在電郵保護及病毒防火牆服務上獲高度評價的 Barracuda, 其亞太及日本地區銷售副總裁 James…