上星期本欄講到，金融科技（Fintech）應用廣泛，當中媒體比較留意的是區塊鏈應用。區塊鏈火爆是因為比特幣價格的上升，比特幣只是一個區塊鏈，而區塊鏈是一個技術概念的統稱，根據維基百科「區塊鏈是藉由密碼學串接並保護內容的串連文字記錄。」區塊鏈英文是 Blockchain，Blockchain 由 Block 和 Chain 組成，Chain 是指一條文字記錄，記錄所有文字的文字串，而 Block 就是當中 Chain 的一部分，一個 Block 接一個 Block，之後就成了一個 Chain，這亦是為什麼用 Blockchain 來形容這個技術的原因。 比特幣是什麼？其實比特幣最早的概念來自 BitTorrent，BitTorrent…

早兩日，其中一個惡名昭彰的勒索軟件集團 Maze 在自家網站上貼出公告，表示 Maze Team Project 正式退市，打後如有任何以 Maze 品牌，或聲稱與 Maze 有合作關係的惡意攻擊，就必定屬於虛假訊息或詐騙。臨別在即，Maze 稍稍在貼文上解釋為何有 Maze Team Project 出現，合理與否？就要睇過至知。 Maze 勒索集團之所以出名，除了其勒索軟件的破壞力強及難以被破解，更因為他們是雙重勒索 (double extortion)…

美國總統大選在即，Trump 雖然經常抨擊對手 Biden 低智商，但今次 Biden 終於可以盡情恥笑 Trump，事關侵侵的 Twitter 帳戶最近被踢爆無用 2FA(two-factors authentication) 之餘，更有安全專家在5次機會內猜出他的帳戶登入密碼，發圖證明自己成功進入侵侵帳戶，認真無面。 成日用 Twitter 發表自己政見的侵侵，帳戶有八千幾萬人關注，影響力非常大。早前侵侵的帳戶未有成為 Twitter 加密貨幣欺詐事件受害者，等大家以為他及 Twitter 在保護帳戶上做好功夫，不過，四年前曾成功進入侵侵帳戶的荷蘭安全專家 Victor…

近年網絡隱私關注度高，保護用家私隱甚至成為某些瀏覽器製造商的賣點，然而，無所不在的廣告仍能透過不同方法追蹤網民。就以之前 Facebook – Cambridge Analytica (CA) 醜聞為例，透過用戶在性格分析的遊戲答案，收集大量個人資料，令用戶成為更準確的廣告目標。事件更憑藉用戶的朋友網絡，收集了超過 5000 萬份用戶的個人資料去達到不同的廣告目的。 不想自己的瀏覽隱私被廣告商 target？我們介紹了一些方法去提高您的隱私設置，令您冇跡可尋！ 基本設置: 禁止瀏覽器位置跟踪和搜索引擎自動完成功能、關閉密碼自動填充功能、定期刪除瀏覽歷史記錄更改預設搜索引擎，提高隱私。例如 DuckDuckGo 搜索引擎，由於它拒絕對用戶搜索進行追蹤，就算搜索結果未必能及 Google 深入，卻受到不少著重私隱用家的青睞。如果想進一步提高隱私度，可以嘗試使用可信賴的虛擬專用網路 (VPN)。 港人常用瀏覽器私隱設置: 1. Chrome…

曾經盛極一時嘅挖礦劫持攻擊（Cryptojacking），由於賺錢效率極低，喺上年中開始已無乜黑客使用。不過，Symantec 指出喺今年第二季，偵測到嘅 Cryptojacking 竟然比上季勁升163%！唔通有新方法搵錢？ 隨住加密貨幣（Cryptocurrency）嘅興起，唔少人都添置咗強勁電腦喺屋企挖礦賺錢。不過，有黑客就唔想買電腦同俾電費，於是就透過 Cryptojacking，偷偷喺人哋嘅電腦或網站上置入挖礦程式，用人哋嘅資源嚟搵錢，手法可謂極度卑劣。當中一間德國公司 Coinhive 就專門提供門羅幣（Monero）挖礦程式服務，只要喺網站程式碼內嵌入佢哋嘅程式，當有網民瀏覽呢個網站，電腦運算資源就會被利用嚟挖礦，網站所得收入就會同 Coinhive 分成。另一方面，亦有黑客偷偷哋入侵人哋嘅網站，再嵌入 Coinhive 程式碼，借人哋嘅網站賺錢。據調查統計，高峰時期至少有 4200 間英美網站被植入挖礦程式碼。 不過，自從各大瀏覽器開發商開始攔截呢啲植入挖礦程式碼嘅網站，再加上門羅幣價值暴瀉八成，Coinhive 亦再搵唔到錢，結果喺上年 3 月宣布停止服務，順帶令到 Cryptojacking 步向衰落。而最大嘅原因係，利用網站嚟挖礦所得費用，居然仲低過正正經經刊登廣告，所以點解喺今季又突然多咗人用呢？…

就喺啱啱，一場大規模網絡騙案震驚全 Twitter。Kanye West﹑Bill Gates﹑Elon Musk﹑ 奧巴馬……一個又一個名人帳號陸續發出「想回饋社會，你畀錢我我雙倍奉還﹗」之類嘅 Post。直到呢一刻，已經有多個帳號以 Bitcoin 方式，將總值十二萬美金以上嘅加密貨幣送畀幕後黑手。 連 Apple 官方 Twitter 帳號都中招 為阻止呢場風波繼續影響更多用家，Twitter 即刻限制大量功能，包括 Direct messaging，用家想改帶有 “Elon”、 “Bill…

「N號房」事件相信大家聽過，呢單喺韓國轟動一時嘅性犯罪案件，背後嘅犯罪集團正正係透過通訊軟件Telegram以加密方式營運，令好多人關注通訊軟件會唔會變罪犯溫床。最近英國國家刑事局（NCA）就聯同埋歐洲國家執法機構，破解咗不法之徒利用一種叫「EncroChat」嘅秘密通訊軟件，成為英國歷黎最大規模同最尖端嘅執法行動。 喺今次行動入面，單單英國國家刑事局人員就拘捕咗746人，起出咗5400萬英鎊（多過5.1億港元）贓款、77件武器、超過2噸毒品，成功搗破不法份子用嚟販毒同走私軍火嘅高度機密通訊網絡。喺被搜出嘅武器之中，包括半自動機槍、手槍、4嚿手榴彈、1支 AK47 步槍同埋超過1800發子彈，同時充公咗55架名車同73隻名貴手錶，可想而知，涉及嘅案件規模有幾大型。 根據消息，被捕者之中更加包括一啲犯罪組織大佬，如果屬實，今次真係直搗黃龍。除咗喺英國落網嘅個700幾人之外，其餘涉案者喺歐洲其他地區被捕，一共拉咗超過800人，法國、荷蘭警方同歐洲刑警都有份參與，成個調查行動用咗超過三個月。 「EncroChat」呢隻App係源自法國，可以喺Android 手機下載同安裝，估計全球有6萬個用家，喺英國就大概有1萬人用緊，但係而家已經下咗架兼停用。英國國家刑事局形容隻App已經淪為罪犯嘅「犯罪市場」，佢吔會專門利用呢個加密平台黎聯絡溝通，籌劃各種非法勾當，例如販賣違禁品、洗黑錢、買兇殺人等罪行。 根據「EncroChat」嘅網站介紹，用家除咗可以加密通訊之外，仲可以自已set 指定時間，令收發訊息自動毀滅。除咗提供加密通訊軟件之外，「EncroChat」仲會賣加密手機，每部賣900英鎊（即係大約8600港元），而且要另外俾使用費，六個月費用就係1350英鎊（即係大約1.2萬港元），咩人先會用到呢啲電話？你懂的。 資料來源：https://zd.net/31X6Aii 相關文章：【Telegram都出事？】北韓黑客偷加密貨幣開發核武

近來釣魚攻擊愈玩愈刁鑽，斯洛伐克資安平台 ESET 最近公布嘅 In(ter)ception 行動報告書，就披露咗喺 2019 年 9 月至 12 月期間，一批歐洲及中東嘅航天軍事企業同時遭受攻擊，對象集中主管 Level。之所以能夠瞄準管理層出撃，因為黑客透過打工仔必備嘅 Linkedin 落手，用 Linkedin 內建通訊 DM 對象，直接播毒。根據 ESET 掌握嘅證據，推斷落手嘅組織係惡名昭彰嘅北韓人民勞動黨黑客集團…

今年 4 月初，中國國內出現一隻勒索軟件 WannaRen，中招者不單自己部電腦出事，就連同一內聯網嘅電腦都會受感染。由於個名同著名勒索軟件 WannaCry 相似，所以就有人懷疑係咪同一黑客所為？不過，經過內地網絡安全公司調查後，發現隻勒索軟件係用「易語言」嚟寫，所以相信絕對有可能係中國人所為。奇就奇在，製造呢隻惡意軟件嘅黑客喺幾日後，自動上載解密器俾人解密，完全唔使俾之前話要收嘅贖金，到底搞邊科？點解又同北韓金仔有關呢？ 其實今次金仔都好無辜，因為同佢又無直接關係，只係黑客將金仔嘅漫畫黑客造型放咗喺 WannaRen 勒索軟件嘅主介面咋。對於 WannaRen 事件，國內安全服務公司火絨安全有詳細來源去脈報導。簡單嚟講，就係 WannaRen 喺知乎、貼吧、微博上突然成為熱門討論話題，以及出現好多受害者後，火絨就開始對呢隻勒索軟件進行源頭追蹤。發現原來黑客係利用 Windows 系統嘅 EternalBlue 漏洞嚟發動攻擊，只要中咗毒，WannaRen 就會由 C&C 伺服器下載及安裝挖礦軟件同勒索軟件，同時感染其他電腦。而且編寫代碼係用中文嘅易語言，所以否定咗同…

除咗銀行，賭場都稱得上係另一個收埋好多錢嘅地方，如果話你知有黑客成功入侵賭場，第一個反應通常都以為係為咗偷錢。不過，竟然有黑客係為咗偷賭客資料而入侵，唔通嫌錢腥？ 根據網絡安全公司 Talent-Jump 及 Trend Micro 剛啱公布嘅調查報告，指出由上年夏季開始，已發現有一班由中國政府支援嘅黑客組織，開始向一啲網上賭博或投注網站發動攻擊，佢哋嘅目標主要係針對東南亞賭博公司；而入侵目標係瞄準資料庫及程式源碼。專家指出，呢班黑客入侵嘅手法並唔特別，只係透過魚叉式釣魚電郵（spear-phishing），引誘賭場員工開啟電郵內嘅附件，喺網站上植入後門，之後就陸續安裝各種惡意軟件，包括暴力破解工具、掃瞄 NETBIOS 伺服器工具、提升權限工具、盜取密碼或 Clipboard 資料工具等等，令佢哋可以喺內部網絡搵到想要嘅嘢。由於呢班黑客係利用 Dropbox 嚟儲存惡意軟件及 C&C 工具，所以安全專家將佢哋稱之為 DRBControl（DRopBox Control）。 以往國家支援嘅黑客組織，主要係為咗政府服務，例如有專門針對竊取高端技術嘅黑客，亦有以癱瘓目標網絡活動嘅黑客軍團，不過，專家指出今次入侵賭博網站嘅行為似乎同國家無關，好可能只係黑客嘅個人行為。事實上，網絡安全公司 FireEye 喺上年亦指出有中國支援嘅黑客組織喺工餘時間，為興趣或個人利益去發動私人攻擊。至於入侵賭博網站係咪真係同政府無關呢？我個人就有好多聯想嘞，例如係咪搜集緊某啲「賭客」嘅投注記錄，作為洗黑錢或收受利益嘅證據？無論係為國家或個人利益，攞住呢啲痛腳，回報同風險隨時好過直接偷錢多多聲㗎。…