今時今日隨街可見 Quick Response Code (QR code) ，一經掃描便可即時存取網站、聯絡資料等資訊。無論是防疫措施還是電子付款，都能見到 QR Code 的蹤影。Palo Alto Networks 香港及澳門總經理馮志剛就提醒，儘管 QR Code 技術本身是安全的，但隨著人們對它愈加依賴，網絡犯罪分子亦會想方設法利用它犯案。 馮志剛表示，QR Code 可能為潛在的網絡攻擊提供入侵機會，因為它們無法提供背後網頁、應用程式等的可視度。他們會自動將用戶重新定向到網站或應用程式商店去下載應用程式、進行付款等，因此為網絡犯罪分子提供了入侵的機會。 疫情期間，Palo Alto Networks 威脅情報團隊 Unit 42，在地下網上論壇觀察網絡犯罪分子討論如何利用 QR code 和針對消費者的方法，並找到了如何使用 QR code 進行攻擊的開放源代碼工具和影片教程。…

疫情之下，令許多人被迫長期留在家中，家庭娛樂供應商或成為最大贏家。有數據指，在 2020 年底 Netflix 的付費用戶數量突破了 2 億大關，有不法分子推出惡意軟件，承勢利用該串流平台假裝推出免費高級訂閱服務。但世事邊有咁「著數」！這個在 Google Play 可下載的惡意軟件，以冒充 Netflix 繼而入侵受害者 WhatsApp 會話，藉以展開發財大計。 Google Play 早前出現了一個新的 Android 惡意軟件變種，以承諾提供免費訂閱 Netflix…

比特幣近月的爆升潮，令加密貨幣再度成為熱話，不過在藝術圈流行的相關術語，卻是 NFT。NFT 全名 Non-fungible Tokens，它可以是任何形式數碼商品，最易理解的 NFT，是由 NBA Top Shot 推出的 Moment，影片是球員在生涯中最精彩三分球、灌籃、助攻等剪輯而成，由 NBA 授權，並以傳統球星卡包方式發售，買家隨機獲得幾位球星的 Moment。Lebron James 的 Cosmic Dunk Moment，就以超過 20…

由 2 月 18 日起，政府有條件開放食肆晚市堂食、健身室、美容院等處所，要求進出以上處所人士，強制使用「安心出行」應用程式或登記個人資料作出入紀錄，否則將被罰停業。但此項防疫措施引起社會對私隱及監控問題的憂慮，同時亦再次令大眾關注應用程式索取的手機權限會否過量。wepro180 找來跨國資訊安全公司 wizlynx group 資訊安全服務總監盧振宇（Mike），探討安心出行權限注意位及其他應用程式的安全問題，以及使用時的自保方法。 「安心出行」應用程式最令人「不安心」的部分是要求存取的權限是否全部都具必要，根據該應用程式 Andriod 1.1.6 版本所列出的權限所需，包括相機拍攝功能、全面網絡存取權、擷取執行中的應用程式、控制震動、防止手機進入休眠狀態、啟動時執行及接收互聯網資料。雖然創新及科技局長薛永恒曾多次強調，程式沒有追蹤功能，政府亦不會刻意查看市民出行記錄，所有資料會存放在用戶手機，不會存在中央資料庫，但政府的說法仍未釋除市民疑慮，不少人仍對「安心出行」抱有戒心。 擷取執行中的應用程式成爭議點 「安心出行」最受爭議需索取的權限為「擷取執行中的應用程式（Retrieve running apps）」，意即「安心出行」可知道用家的電話同時在運行中的應用程式，由於政府沒有作出相關解說，因此難以推斷需要此權限的真正原因，網上亦引起不少猜測。Mike 估計，此權限或因程式開發人員編寫時用上第三方程式庫，例如需要配合其他應用程式使用，如掃描 QR code 時要用上第三方程式，便需要用到此權限；不過 Mike…

疫情下大家都習慣了網上購物，就算以往不熟悉如何網購，現在亦變成格價及集運高手。有大量金錢流轉的地方，黑客又怎會錯過？有網絡安全研究員便發現，黑客正借助網站頁面上的社交平台分享按掣圖標，隱藏惡意軟件的蹤影。只要你在網站上購物，信用卡資料就會同時送到黑客手上！ Credit card skimmer 是一種專門入侵電商網站，再於結帳頁面植入惡意程式盜取客戶信用卡資料的攻擊手法。近年這種攻擊日益猖獗，當中 Magecart 黑客集團更是當中的表表者，不少知名網站如 newegg、Forbes 都曾中招。最近荷蘭網絡安全公司 Sansec 的研究員又發現，credit card skimmer 的入侵方法再度變招，而今次就向網站版面上的社交平台分享按掣圖標落手，同時將惡意軟件的組件拆散，從而繞過電商網站所採用的網絡安全工具的偵測。 研究員指出，黑客今次將部分惡意程式碼植入 SVG 格式的圖標內，而且亦用上 facebook_full、instagram_full 等指令，令整段編碼變得更加可信。只要網頁被瀏覽，惡意程式碼就會執行，並且繼續於網站伺服器的其他位置讀取剩餘的程式碼。研究員認為這種斬件式擺放方法有可能瞞過安全掃描器的偵測，因為即使偵測到其中一部分，也未必會發現其可疑之處。其實之前我們也曾報導黑客利用網站擺放於瀏覽器分頁的小圖標 (favicon) ，將惡意程式碼植入其中，並且將惡意程式碼轉成混浠碼（obfuscated…

數據洩漏事故現時在香港未有立法規管必須通報，並無一個完善的通報機制，除了會造成大眾關注度不足和輕視問題的嚴重性，同時也意味著很多事故隱藏在黑暗中。不要以為數據資料洩漏與自己無關，因為那些被洩漏的資料，分分鐘就是你的信用卡資料、住址、電話；香港過往也曾發生幾宗震撼全城的洩漏相關事故，包括航空公司洩漏 940 萬乘客私隱，選舉事務處遺失載有約 378 萬地方選區選民的資料的電腦，所引發的潛在資料外洩危機等，全都令人擔心企業或政府部門有沒有足夠措施及防護策略，保護客戶、市民的隱私。如果要妥善保護資料，採用由專業的數據保護方案，便能輕鬆管理資料及為資料加密，並設置資料讀取權限，即使遙距工作，也不怕資料外洩。 數據加密零停機 效率保護性兼備 Thales公司的資料保護平台（CipherTrust Data Security Platform, CDSP），為全球各地政府、跨國企業、金融機構所採用，在香港的用戶就包括政府、金融監管機構、發鈔銀行、公用事業及上市企業。Thales公司是數據保護、加密及安全交易的權威，其提供的數據加密方案，能有效保障用戶的個人私隱及交易資料，不會外洩。 其中CipherTrust Transparent Encryption （CTE）方案的透明加密資料設置，可保護結構化及非結構化資料庫，加密內部系統、雲端環境，甚至在大數據和容器內的資料，同時保持存儲數據的效率，在部署時毋須更改應用程式或工作流程，使對業務及作業程序的影響減至最少。 透過Live Data Transformation （免停機背景加密）方案，能在零停機的情況下加密資料，期間不需中斷應用程式或工作流程，在加密過程中，使用者和處理程序可如常繼續存取資料庫或檔案系統，將加密過程對使用者的影響降到最低。另外，平台亦設最低權限使用者存取規則，保護資料免受外來攻擊，以及遭特權使用者誤用。 不少製造商及電子商貿公司亦採用 Thales…

勒索軟件近期成為傳媒報導焦點，不過，黑客的攻擊手段又豈止一種？如果說勒索軟件是大茶飯，那麼偷用帳戶買點數卡就只算賺零錢。不過，Sophos最近阻止的一宗零錢個案，都睇得出黑客入侵公司網絡，還有更多支線任務。 睇過不少網絡攻擊事故，能否及早阻止黑客入侵，好視乎負責監管網絡活動的人的安全意識，就算安裝了SIEM (Security Information and Event Management) 工具，如果安全專家看不出系統偵測的事件有異常，黑客一樣可以乘虛而入。而今次 Sophos Rapid Response Team 的一個系統管理者在協助客戶監管網絡連線時，就因為發現了該公司其中一些帳戶活動有可疑，突然出現重設帳戶密碼要求，而他並沒有重設密碼後就完事，而是深入追查該重設指示發出的原因，才能識破正有黑客入侵網絡，於是即時隔離被入侵的帳戶，將黑客掃出門外。 入侵事件發生原因，Sophos 專家認為跟 VPN 不設雙重因素驗證 (2FA) 有極大關係，黑客只須取得其中一個員工的帳戶密碼便能順利登入，然後搜尋該員工的電腦上網記錄，查看未有登出哪些帳戶，例如網購平台、電郵等，如網購平台已綑綁了信用卡，黑客便可直接用來購買點數卡；否則亦可查看有使用哪些帳戶，再以未登出的電郵帳戶接收重設密碼通知，奪取使用權。除了攻擊本機電腦，黑客還可透過遙距桌面協議 (RDP)，進入其他員工的電腦重複上述動作，隨時山大斬埋有柴。…

比 Spotify 更具彈性，真係好方便！ 黑客盜取個人資訊後，要甩手套現，以往所需時間以星期為單位。Trend Micro 最近發現黑客將盜取資料雲端化成 Cloud of Log，加快交易流程之餘，更提供先進分析與篩選工具，方便網絡罪犯揀選訊息日後犯案，令人防不勝防。 雲端化為罪犯換來速度。以往黑客盜取資料、轉賣並犯案的過程，以星期為單位。雲端化後大大縮減至以天、甚至小時為單位，研究團隊以 Garage Sale 與 Online Shopping 比喻雲端化的高效率。「黑客的交易時間等於企業的應變時間，以往企業有平均十天去發現資料被竊取、評估損失、擬定對策、通知受影響客戶與執法機構等，黑客將贓物雲端化令防守難度劇增。」 數據化年代，Ransomware、Botnets、Keylogger 等竊取個人資料的攻擊變成主流，黑客每次盜取的訊息量劇增，掌握的個人資訊亦以 TB 計，偷竊資訊內容涵蓋…

勒索軟件 (Ransomware) 集團恐嚇受害企業交贖金的手段，愈來愈猖狂及無賴，不但開設網站公開部分盜取的資料，最新手法更是入侵無辜人士的社交平台帳戶，再用其帳戶刊登廣告，公開受害企業的私隱外洩詳情；至於廣告費，當然是由後者埋單。 網絡安全網站 KrebsonSecurity 上星期出文，分析最近一宗社交平台帳戶被黑客集團 Ragnar Locker Team 入侵，並盜用帳戶刊登威脅廣告的事件。受害帳戶是一個名為 Hodson Event Entertainment 的 Facebook 專頁，由一位芝加哥的 DJ Chris Hodson 所持有。Ragnar…

不少網購平台就會採用 Magento 電子商務系統，貪其功能強大，接受的電子支付多樣化。不過，網絡安全公司 RiskIQ 最新發表的報告就指出，超過 2,800 間仍採用舊版本 Magento 的網購平台，正被 Magecart 黑客集團入侵，可盜取客戶輸入的信用卡詳細資料，呼籲用戶立即更新系統！ 今次發現的漏洞名為 Cardbleed，早於今年 9 月已被網絡安全公司 Sansec 所發現。當時 Sansec 指出，Magento 1.x…