勒索軟件 (Ransomware) 集團恐嚇受害企業交贖金的手段，愈來愈猖狂及無賴，不但開設網站公開部分盜取的資料，最新手法更是入侵無辜人士的社交平台帳戶，再用其帳戶刊登廣告，公開受害企業的私隱外洩詳情；至於廣告費，當然是由後者埋單。 網絡安全網站 KrebsonSecurity 上星期出文，分析最近一宗社交平台帳戶被黑客集團 Ragnar Locker Team 入侵，並盜用帳戶刊登威脅廣告的事件。受害帳戶是一個名為 Hodson Event Entertainment 的 Facebook 專頁，由一位芝加哥的 DJ Chris Hodson 所持有。Ragnar…

釣魚電郵大家都有收過，而最近網絡安全公司 Sophos 收到的一封垃圾電郵就頗有趣，因為黑客試圖令收件人相信自己管理的社交平台違反版權守則，並恫嚇會在時限後停止帳戶，迫使帳戶管理人於虛假社交平台登入帳戶。安全專家指黑客在電郵及虛假網站上做足功夫，一心急就會上當。 Sophos 安全專家在博客上提到間中會收到來自社交平台的電郵，指有用戶投訴其專頁使用了違反版權的素材，須管理人親自解釋。專家相信投訴事件非常普遍，所以就令黑客有機可乘，發出偽造電郵令帳戶管理人信以為真，心急點擊電郵內的連結登入帳戶了解詳情及解釋。文章中提及，Sophos 在最近真的收到這類恫嚇信，不過作為網絡安全專家又怎會如此容易受騙？專家指由於他檢查了發信人的電郵地址並非來自 Facebook server，而且英文文法差，即時已確認是釣魚電郵。不過，專家再深入研究電郵內容，發現黑客也在多方面下苦功，提升電郵的可信度。 首先電郵內有一個「Continue」字眼的超連結，如以滑鼠浮標移至上面，的確會顯示連結是指向Facebook網站；原來黑客只是登記了一個專頁，並將版面偽裝成 Facebook 的申訴版權頁面，令社交平台帳戶人信以為真，於是點擊頁面上的https://facebook.com/copyright/xxxxx超連結。造假第二步是這條超連結卻使用了常用的 HTML 編碼欺詐手法，顯示出來的超連結卻與實際指向的網站不符。造假第三招是雖然該版面都有取得 HTTPS 認證，但專家指出該認證只是早幾天前才發出，可合理懷疑其造假成份。一旦管理人被以假亂真，便會直接輸入帳戶登入資料，甚至進一步輸入 2FA 雙重因素驗證碼，最終便會被黑客奪去帳戶。 由於黑客造假都夠專業，所以專家勸籲大家在收到電郵時，一定要多方面確認信件真偽，例如要詳細檢查發信人地址、將浮標指向電郵內的超連結，預覽與目標網址是否一致。另外，他警告即時導向網址屬於官方網址，從上例也可見未必一定為官方所開設，所以如果要登入帳戶，最穩陣還是親手於網址列輸入官網，再登入個人版面查看有否相關內容或訊息，就可減少被騙風險。 資料來源：https://bit.ly/2HKQjF6

Instagram和Twitter等社交媒體基本上人人都用，就在大家沉醉於網絡世界之際，詐騙集團亦蠢蠢欲動，不斷侍機找機會騙取用戶資料，例如指用戶違反版權，或者向用戶發出身份認證的藍剔等等，Bleeping Computer聯同 MalwareHunterTeam， 披露在以上兩個程式出現的最新詐騙手法，讓大家加以提防： 1. 假認證釣魚網頁 近期最常見的釣魚網頁是要求用戶輸入包括密碼等登入資料，這類型的詐騙在 Instagram、Twitter 及 Tiktok 均有出現，而網頁中多有 “verify” 和 “badge” 等字眼，所以要當心要求身份認證的連結。 2. 虛假違反版權指控網頁 這類網頁多數「指控」Instagram及Twitter的用戶的貼文違反版權問題，並稱24小時內將會鎖定帳戶，要求他們登入指定網址，以提出版權索償異議。這些釣魚網站會展示用戶的個人頭像，令其像真度提高，在網站內要求用戶輸入電郵資料及密碼，藉以取得受害人電郵帳戶控制權及其他聯絡人的資料。 如果不慎誤中釣魚陷阱並曾輸入個人帳戶資料，切記立即登入自己的帳戶並更改密碼，並且開啟多重認證的功能，以防騙徒進一步盜取其他帳戶資料。 資料來源：https://bit.ly/368VdGl

上月多個名人如 Bill Gates、Elon Musk 嘅 Twitter 帳戶被黑客入侵，於平台騙取 Bitcoin，成功騙取約11萬美元 Bitcoin。的而且確，奪取到原帳戶再向受害人身邊嘅親友落手，成功率會較高，但複製帳戶呢種極度簡單嘅方法，都會有人上釣。曾因利用社交工程（Social Engineering）手法進行詐騙而入獄，後來改邪歸正嘅網絡安全專家 Jake Moore 就親身示範，只須複製目標人物嘅帳戶，都可令對方嘅朋友信以為真，乖乖過數！ Jake 原本嘅 Instagram 帳戶有 1,611 個 posts，同時有…

絕大部分人都會用社交平台，所以有時企業喺請人前，都會去求職者嘅帳戶，去了解多啲對方平時嘅行為，再決定係咪聘用。為咗應對呢啲招數，有人會開個假account，但間唔中都要出吓嘢；亦有人會為社交平台大清洗，去打造一個假嘅自己，不過其中港人比較熱愛嘅Facebook，喺刪除舊Posts嗰陣要逐條搞，如果要刪除好舊嘅Posts就更加嘥時間去scroll落底，一個唔好彩㩒錯掣，隨時仲要重新再scroll過添！有時真係成個account刪除仲簡單。 為咗方便用家清洗舊Posts，Facebook新推出 Manage Activity 功能，只要喺個人版面度揀「活動記錄（Activity Log）」，就可以搵到「管理動態（Manage Activity）」選項，之後一次過點選晒所有要處理嘅Posts，跟手就可以決定要封存（archive）定係刪除（delete)佢哋。封存會幫你收埋晒點選咗嘅Posts，日後仲搵得返，而刪除就會打包放晒入垃圾桶，喺30日冷靜期過去後都無救返出嚟，就會永遠消失㗎喇。最窩心嘅功能，係設有Filter俾大家搵返指定時間、用戶嘅Posts，唔使大家撥屏幕撥到手軟。 呢個管理功能暫時只係開放俾手機 app 使用，但 Facebook 方面就話網頁版亦會好快推出，如果有嘢要趕住清，就快啲去更新 Facebook 嘅手機 app 喇。 資料來源：https://bit.ly/2XWxQdn 相關文章：【詐騙風險升溫】1/3港人Facebook帳戶資料外洩

網絡安全公司 Arkose Labs 剛推出 2019 年第三季 《Fraud and Abuse Report》 ，調查結果顯示，有超過一半（53％）社交媒體嘅登入都係機械人製造出嚟；而所有新開嘅帳戶中，亦有 25% 係假嘅，情況愈來愈嚴重。Arkose Labs 指出愈來愈多社交媒體攻擊，如帳戶盜用、假帳戶、垃圾訊息等，唔單只由黑客或騙徒操作，仲有 75% 會靠機械人執行，真係非常誇張。 Arkose Lab 指帳戶盜用問題之所以特別猖獗，皆因門檻不高，而且唔少人會以社交媒體帳戶登入其他服務，奪取到帳戶就可以攞到好多個人資料，成本效益更高。Arkose…