萬眾期待嘅《Star Wars》終章 The Rise of Skywalker 已經上映，相信好多人都迫不及待想入場睇，但撲飛亦唔容易，而且依然有大量人慣咗上網有盜版睇。有咁大需求，黑客又點會放過呢啲機會呢？防毒軟件供應商 Kaspersky 最近就發表報告，指出針對《星戰9》嘅惡意攻擊開始暴升，黑客唔單只會用假網站扮正牌，以假亂真呃星戰迷登記做會員，更會用「搶鮮版」電影引粉絲下載嚟睇，星戰迷要小心防避喇！ 其實利用受歡迎嘅電影作為魚餌，引誘網民上檔，已經唔係乜哩石破天驚嘅攻擊手法，甚至可以話係過晒時嘅招數，好似之前哈利波波或權力遊戲新一集推出前，都一定有呢啲攻擊，但唔知點解咁低級嘅手法點都玩唔爛，仲係有人中招。喺今次 Kaspersky 公布嘅調查結果上，就至少有 30 個以上網站及社交平台帳戶，利用星戰迷焦急嘅心情，話會免費喺新作上映前俾網民睇，但就必須先輸入信用卡資料，話免費但又收卡，極度唔 make sense 但都有人上檔喎。另外，Kaspersky 話截至報告發表前，至少有 83 個網民，由整到極度逼真嘅假官網，下載咗…

黑客成日都鍾意勒索屈錢，假扮或者真係鎖咗你部電腦嘅資料，然後叫你交贖金，呢啲我哋已經報導過無數次，唔係乜嘢新鮮事，但原來唔屈你錢，就算話有錢俾你都會出事，正如警訊都有教便宜莫貪，以下呢個就係假送錢但真呃人個案。 Andy係個兼職設計師，開咗個網站接設計生意，不過一直都未發過市，有一日終於有客搵上門，Dave話想搵人幫手公司設計個logo，唔知Andy幫唔幫到手，咁話晒終於有第一單生意，Andy點會唔接，於是傾好咗用3000蚊做設計費，Andy好快交出初稿，Dave亦讚Andy個設計夠晒正，公司一定收貨。 但係「問題」嚟喇，所有涉及今次設計嘅素材喺晒顧問K先生度，咁啱呢Dave就爭K先生少少錢，銀碼就唔係多，但係因為某些技術問題，搞來搞去佢都過唔到錢俾K先生，就問Andy可唔可以幫個忙：我俾4500蚊你，你幫我過1400蚊俾K先生，餘下嘅3000蚊就係設計費，仲有100蚊小費可以袋，當係多謝Andy幫呢個忙嘅小小酬勞，咁幫到人又有錢收，Andy當然一口應承，咁就出事喇！ 當Andy收晒錢仲過埋1400蚊俾K先生，幾個星期後，先發現Dave俾佢嘅4500蚊被凍結，原因係呢啲錢係嚟自一張被盜信用卡，而Andy又無得取消嗰1400蚊轉帳，眼白白俾人呃咗！ 以上只係其中一個例子，其實仲有好多人遇過類似招數，最常見係有陌生人，無端端話唔小心過多咗錢俾你，可唔可以做好心過返俾佢，大家都估到個結果係點……其實只要無視呢類請求，然後打俾自己間銀行備案，就唔會咁易出事啦！ 資料來源：https://bit.ly/2E4JCcb

曾幾何時，OnePlus 手機喺香港都有唔少人玩，貪佢性價比高，Android 系統接近原生，運作速度同流暢度都夠高。不過，後來新機價錢愈賣愈貴，而且亦俾人舉報系統有後門，搞到好多人即時卻步。最近 OnePlus 又再出事，有用家收到佢哋寄嚟嘅電郵，話公司發現內部系統有匿名登入，而且仲接觸過客戶嘅資料添，收到信就代表係受影響人士，作為用家或曾經係用家嘅你，又收唔收到通知呢？記得檢查埋垃圾郵件信箱呀！ 就喺上星期，有 OnePlus 用家收到官方發出嘅電郵，表示佢哋最近偵測到有匿名人士闖入佢哋嘅內部系統，而且仲嘗試讀取用家嘅購買紀錄資料。不過，OnePlus 方面已第一時間話俾受影響嘅用家知，洩露嘅資料包括姓名、聯絡電話、電郵同郵寄地址，其他好似信用卡、登入密碼就安全。OnePlus 方面雖然無清楚講明匿名人士利用乜嘢方法進入內部系統，但就話已經堵塞咗呢個漏洞，同時亦檢查埋系統仲有無相同漏洞存在，保證會持續提高網絡安全強度。 單係咁講，真係可以挽回用家信心咩？尤其係年初先俾人入侵網上購買平台喎，答案當然唔得啦，所以 OnePlus 亦公布喺嚟緊 12 月，將會委托一個知名嘅網絡安全平台，推出賞金獵人計劃，邀請全球黑客去發掘 OnePlus 嘅漏洞，去提升品牌嘅安全性。雖然暫時未知會同邊個平台合作，但相信都可以令粉絲比較安全嘅，至於其他未用過又想試用嘅客戶，最後會唔會都係「不了」呢？講到尾，都係抵下部機夠唔夠抵買啫，好多人都好善忘嘅！ 資料來源：https://bit.ly/2KTSfKl

寫關於網絡安全事故嘅新聞，每日都要面對一個心理關口：想篇文多人like多人share，當然要單料夠爆先得，但見到發生嘅災難規模以幾何級數咁膨脹，又真係唔想佢發生，好矛盾！ 點解突然間咁感觸？係因為今次呢單事故真係好恐怖，有成 12 億人嘅資料外洩，其實而家全世界人口都只係得 70 幾億，即係話差唔多每 6 個人就有 1 個人嘅資料，喺今次事件中外洩，聽落都幾得人驚！咁到底洩漏咗乜嘢呢？原來總共外洩咗 4TB 嘅資料，有齊晒受害人嘅電郵地址、Facebook、Twitter 同埋 LinkedIn 戶口，不幸中之大幸，係入面完全冇密碼同埋信用卡等敏感資料，否則就更加冇眼睇！ 發現呢件事嘅，係網絡安全專家 Bob Diachenko 同埋 Vinny…

香港的電子支付服務起步較遲，不過，近年在Alipay、WeChat Pay、PayMe、Tap&GO 等支付系統大舉推廣下，已有不少人習慣電子付費。今年六月 Visa 曾發表調查報告，指 53% 港人曾嘗試只靠電子支付過日常生活，71% 港人首選非現金支付方式。作為消費者，選擇電子支付只須克服信心問題；但作為收款的中小企業卻要諗過度過，因為安裝電子支付系統時，服務供應商會收取租金或於每宗交易收取費用，以及各式各樣的安裝費及保養費，再加上如要安裝多於一種收費方式，成本無疑會為中小企帶來不少壓力。 降低電子支付申請門檻 香港電子支付系統開發商 Yedpay 交易寶聯合創辦人兼技術總監黃韋皓解釋：「SME 要引入電子支付服務，門檻很高，申請手續又費時，而且又未必達到安裝要求，例如一些街邊檔沒有網絡連線，Yedpay 的一站式無線收款系統，便可以解決這些問題。」他說收款系統可插 SIM 卡，即使店鋪沒有寬頻服務，也一樣可以使用，而且一部機已有齊 Visa、Master、Alipay 、Apple Pay、Samsung Pay、Google Pay 及…

而家乜都講智能，手機如是、家居如是，所以又點少得車呢？而最容易令座駕變得智能嘅做法，就係幫架車出隻 app，用嚟管理行程、汽油零件損耗，甚至當作車匙用嚟開閂門同撻車，好似 Tesla、Mercedes-Benz 都有為車主推出專用 app。而今次車主資料外洩事故，就發生喺後者身上嘞。 美國西雅圖一位 Mercedes-Benz 車主，早前喺打開自己手機內嘅專用 app 時，發現除咗佢嘅個人帳戶資料之外，竟然仲睇到其他 Mercedes-Benz 車主嘅帳戶資料，而且呢啲個人資料包含車主嘅姓名、電話、地址、電郵、保險幾時到期等等，當然仲有架車嘅位置都睇到啦！另一位車主亦發現相同情況，佢仲嘗試用上面嘅電話聯絡另一位車主，發現佢都有呢個問題。呢次真係提供咗一個好好嘅途徑俾 Mercedes-Benz 車主聯誼，甚至組織車會都得啦！講笑啫，其實呢班車主當然陷入恐慌，因為呢隻專用 app 唔單只包含個人私隱，仲可以用嚟遙距解門鎖以及當 Keyless Go 車匙，不過好在經車主測試過後，解鎖同撻車呢兩項功能都應用唔到喺其他車主嘅車上，叫做唔怕俾人偷走架車。 刪app不如刪帳戶…

好多人都會用打機嚟減壓或 kill time，雖然只係娛樂嚟，但大家都唔好忽視佢嘅安全性。Cyware 網絡安全分析師就近發表一篇文章就指出，無論係玩家抑或遊戲開發商，都要改變一下大家嘅想法，否則好易造成個人私隱外洩，後果可以好嚴重咁話。 其實大家間唔中都會聽到玩家帳戶被搶嘅消息，除咗因為廠方管理玩家嘅私隱不善導致外洩，例如上個月手機遊戲開發商 Zynga就洩露咗兩億玩家帳戶資料，另外亦可能同玩家設定嘅密碼太過簡單有關。專家 Ryan Stewart 解釋，唔少玩家覺得打機只係娛樂，認為無乜特別風險，為咗快速登入帳戶，所以傾向選擇簡單嘅密碼組合，就算廠方提供雙重認證登入方法，都唔會特別選用。Ryan 亦指出加上大部分玩家都係青少年，佢哋亦唔認為個人私隱有幾重要，所以對守護帳戶疏於防範。 Ryan 話如提升打機嘅安全性，無論玩家或開發商都要有所提升。首先係玩家方面，其實資深玩家嘅帳戶係地下市場有市有價，而且有時帳戶入面仲會有玩家嘅信用卡資料，所以絕對會成為黑客攻擊嘅目標，所以玩家一定要設定複雜嘅密碼，同時唔好同其他帳戶共用密碼，絕對唔好貪方便直接用Facebook 或 Google 帳戶嚟登入，萬一私隱外洩就有可能令呢啲帳戶同時失守。如果打機嘅裝置有防毒軟件，玩家亦應該考慮安裝。 至於遊戲開發商方面，Ryan 話應該主動提醒玩家安全事項同提供實際做法俾玩家參考，自己亦要做好防禦工作，以免將玩家資料外洩。仲有一點較為特別，就係開發商應引入行為分析工具，當發現玩家嘅行為出現異常，例如短時間內登入位置過遠、登入時間大幅度改變，都有可能係帳戶被黑客攻擊嘅徵兆，咁就可以為玩家提供多一重保障。簡單哋講句，即係玩都要玩得專業啦。 資料來源：https://bit.ly/2OPkoF1

號稱保安性極高嘅 Apple Card，推出無耐，已經出現咗首個被盜用簽帳嘅個案喇。受害人 David 打去 Apple 尋求協助，但獲得嘅回應竟然係話佢哋都唔知點解可以發生，而且一張卡同時出現喺兩個地方實在太奇怪。可能你會問，複製咗就得啦好難咩？咁我哋就首先回一回帶，睇吓 Apple Card 有乜咁巴閉先。 Apple Card 分為實體及虛擬卡，鈦金屬製嘅實體 Apple Card ，卡身只係得晶片同埋帳戶名稱，信用卡號碼、CVV保安號碼、到期日以及簽名位完全被消失，所以就算想複製張卡都唔係易事，而且就算俾人執到呢張卡，想用嚟網上購物都唔得。至於虛擬 Apple Card 就收喺 iPhone…

有追開我哋嘅報導，應該仲記得 Magecart 呢個黑客集團。根據網絡安全專家嘅調查，Magecart 旗下至少有 12 個小團體，功力不一，但佢哋嘅犯案目的就好一致，就係專門盜取信用卡資料。死喺佢哋手上嘅大企業有好多，包括英國航空、TicketMaster、Newegg、Forbes 等等。Magecart 比較令人印象深刻嘅攻擊手法，係佢哋會攻入上述企業嘅第三方服務供應商嘅 web server，喺 Javascript Library 內加入惡意代碼，將幫襯網站嘅客戶引導去另一個像真度極高嘅仿製網站，呃取佢哋嘅信用卡資料。 不過，IBM X-Force IRIS 嘅研究員就發現，近月 Magecart 最活躍嘅第 5…

網絡安全事故頻頻發生，香港企業當然不可能獨善其身，特別是雲技術興起，重要數據或敏感資料未必會只儲存在內部伺服器，被攻擊的層面自然大增。為了減低風險，現時企業管理者已較以往願意將資源投放在「看不到實際回報」的網絡安全產品之上。不過，面對層出不窮的攻擊手法及難以防備的人為疏忽，企業仍有可能因而受損。 專為企業提供網絡安全保險服務的智咨詢集團執行董事盧子頴說，這類保險概念在香港屬起步階段，但在歐洲地區卻歷史悠久，遠在上世紀七十年代已有相關保險，因為當時大企業的電腦系統也會被黑客盜取數據。「美國的網絡安全保險亦發展成熟，不單只保障企業，個人一樣受保，例如經常拿著電腦到不同地方工作的自由工作者，保險選擇較有彈性。」 處理安全事故費用可索償 現時香港可供投保的網絡安全保險，主要的對象為企業。可能大家對人壽、醫療、意外、旅遊等保險會比較容易聯想到其保障範疇，但網絡安全保險就相對陌生。盧子頴解析，網絡安全保障範疇不難理解，當發生黑客入侵或資料外洩，善後過程中牽涉到的費用大都在保障範圍內。現時香港的保險公司提供的保障，主要分為四個層面。 1.因個人資料外洩引致的費用 「事故發生後，企業必須聘請專家去證明這是否一宗網絡安全事故，進行調查及鑑證，分析對企業有多大影響。」盧子頴指出如果經營的業務需向監管機構如證監會、金管局通報，便有可能需向法律顧問諮詢意。除此之外，為免外洩的客戶資料被黑客用作申請信用卡或借貸，企業或有需要採用信貸監控服務，而這些費用都可索償。 2.業務中斷 因黑客入侵事件導致暫停營業，這段期間的損失可向保險公司索償。盧子頴說企業須提供合理證據證明損失的金額，例如過往的交易紀錄等，但一般都不難核保。 3.復原系統費用 系統受到黑客入侵破壞，又或受到勒索軟件攻擊，待專家取證後，企業便可以修復系統及復原數據，涉及的費用亦在受保範圍。 4.第三者私隱外洩所引起的損失 當企業洩漏的客戶私隱，導致客戶在名譽或金錢上出現損失，對方便有可能入禀追討賠償。 除了上述四項保障，盧子頴說因應市場需求，部分保險公司還會提供一些額外的保障，例如贖金索償，當企業遭受勒索軟件攻擊，有需要繳付贖金以取回解鎖方法，這些贖金便會獲得賠償。「另外，近年因外判商失誤造成損失的個案大增，所以亦有保險公司提供這類保障，例如一些業務涉及電子交易的企業，會委托外判商提供及管理網上交易平台，如證實導致資料外洩的失誤是出在對方身上，投保人便可獲得保障，而保險公司則保留向外判商追討損失的權利。」 事實上，網絡安全保險的保障範圍可以很全面，不過，盧子頴強調與其他保險產品一樣，投保的概念並非為了賺錢，而是減少損失。不過，是否所有企業也需要投保？他認為企業管理者應考慮三個元素。 高風險行業投保減損失 首先是企業的業務是否有需要儲存或使用客戶的 Personal Identification Information（PII），而這些資料包括客戶的姓名、電話、住址、身份證明文件號碼或信用卡資料？如需管有這些敏感資料，受黑客攻擊的風險便會增加，企業管理者應認真考慮投保，特別是全球各地都開始為保障個人私隱立法，歐盟通過的 GDPR…