服務供應商如果有為用家推出 2FA (雙重因素驗證) 或 MFA (多重因素驗證),理論上都會覺得較安全。不過,網絡安全公司 Varonis Threat Labs 去年就發現,有實施 2FA 或 MFA 登入政策的雲端儲存服務供應商 Box,原來在驗證機制上出現漏洞,如果用家只登記使用 SMS 收額外驗證碼,黑客是可以完全避過驗證登入受害者的帳戶,不過漏洞現時已被堵塞,各位可以繼續使用。 雙重或多重因素安全驗證,是指用家除了要使用帳戶名稱及密碼登入外,還需配合其他因素如額外驗證碼、生物特徵等。額外安全編碼現時仍是主流驗證技術,視乎需要,它可透過電郵或 SMS 短訊接收,另外亦可使用如…
Search Results: 帳戶安全 (18)
近期,雲服務供應商 Wiz 的調查團隊捕獲一個專門針對 AWS 帳戶的釣魚攻擊活動,目的是盜取用家的帳戶登入憑證。攻擊始於一封僅包含 PNG 圖片的釣魚電郵,並利用一連串的連接轉換及隱藏身份手段,繞過網絡安全工具的檢測。 想知最新科技新聞?立即免費訂閱! 利用多重導向盜取用家憑證 黑客首先盜用了一個 AWS 帳戶發送釣魚郵件,並將發送的電郵地址偽裝成 [email protected]。當受害者點擊電郵中的圖片時,便會被重新定向至一個惡意網站,並引導受害者至一個 PDF 閱讀器。 PDF 中包含了一個 Invoice 連接,只要受害者點擊打開,便會觸發另一次重新導向,進入一個由黑客控制、偽裝成 AWS…
影像分享平台 TikTok 被發現存在嚴重的零日漏洞,黑客只須向目標帳戶發出一個惡意私訊,對方只要閱讀訊息都會中招。漏洞更導致多間機構被黑客入侵,當中包括 Sony、CNN 等,由於現階段未有解救方法,高風險帳戶只能停用或刪除帳戶,等待官方修復問題…… 想知最新科技新聞?立即免費訂閱! 是次連環入侵帳戶事件發生於上星期,最先被黑客入侵的 TikTok 帳戶屬於 CNN 新聞網站,起初外界還懷疑是因為 CNN 有太多職員擁有管理帳戶權限,因而估計是其中一個職員的帳戶被入侵,從而引發這次事件,但經調查後才發現入侵並非來自內部帳戶,而是黑客通過 TikTok 一個零日漏洞而成功取得帳戶控制權。 有網絡安全專家表示,這次漏洞的嚴重性非常高,因為黑客只須向目標帳戶發送一個含有惡意功能的私訊,過程中完全毋須對方點擊訊息內的惡意連結或安裝惡意檔案,便能取得帳戶控制權,令用家難以阻止黑客入侵。 TikTok 方面已承認這個漏洞的存在,表示已採取適當措施阻止事件再次發生,並會協助受影響用家取回帳戶控制權,但至於採用的方法就未有詳情透露。另一方面,官方表示根據初步分析,攻擊者只入侵了少量知名帳戶,但詳細數字亦有待調查。 雖然香港不在 TikTok…
雖則全球每日都在發生入侵企業事故,不過,其實很多時黑客並非通過搜尋 IT 漏洞達成任務,而是用更簡單的方法,例如花點時間騙取目標企業員工的帳戶登入資料,或索性用暴力破解(brute force)或密碼噴灑(password spraying)猜測帳戶密碼。 想知最新科技新聞?立即免費訂閱 ! 根據《2023 年 Verizon 數據洩漏調查報告》提及,在 2021 年 11 月至 2022 年 10 月期間發生的數據外洩事件中,有 83%…
在香港也有不少用家的 TP-Link 智能燈泡及其所使用的 Tapo 手機應用程式,被網絡安全研究員發現存在四項安全漏洞,黑客可以通過假扮成 Tapo L530E 智能燈泡,反過來取得用家的 Tapo 帳戶名稱及密碼,從而取得用家所有 Tapo 裝置的使用權限,到時用家日常生活就會變成真人騷,諗起都驚。 想知最新科技新聞?立即免費訂閱 ! TP-Link 智能燈泡受歡迎 應用程式近千萬下載量 由英國及意大利兩間大學組成的網絡安全研究團隊,為了撰寫針對智能物聯網設備的安全風險,因而在市場上搜尋最多人使用的產品進行分析,以查看其產品在數據傳輸及身份驗證上有否存在安全漏洞。 研究團隊發現,TP-Link 推出的智能燈泡 Tapo…
啟用雙重(2FA)或多重因素驗證(MFA)技術,是守護企業員工帳戶的其中一種安全做法,不過,黑客近來開始使用新的入侵手法,轉移瞄準員工儲存在電腦瀏覽器內的 Session Token,因為可繞過 2FA 或 MFA 的再一次驗證,剛發生數據外洩事件的 IT 服務供應商 CircleCi,便是這種攻擊的受害者。 以往黑客要入侵企業內部網絡或雲端帳戶,最常做法是,從暗網或地下討論區購買外洩的帳戶登入資料,或以釣魚電郵騙取員工輸入密碼。 2FA 或 MFA 的驗證技術,某程度上可阻止黑客入侵帳戶,因黑客除了要持有帳戶登入資料,還要有額外驗證碼、硬件驗證金鑰或如 Microsoft Authenticator 產生的驗證碼等,故近年網絡安全服務供應商都會建議客戶採用,Microsoft 更指公司啟用 MFA…
約 4.87 億 WhatsApp 帳戶的登記號碼,上星期六被黑客放上暗網發售,數據中更列明包含約 300 萬香港用家電話號碼,用家除了要留意是否 WhatsApp 被入侵之外,更重要是提高警覺,同時加強帳戶安全功能! 網絡安全網站 Cybernews 上星期六發現,有黑客公然於暗網出售 WhatsApp 帳戶資料,數量更多達 4.87 億,雖然有關資料只得登記的電話號碼,但安全專家強調不容忽視,因為過往曾多次發生黑客僅使用電話號碼,便能奪取 WhatsApp 帳戶的成功個案,主要方法有二。 第一種方法是透過 SIM…
雖然近年即時通訊 app 的選擇增多,不過,Meta 旗下的 WhatsApp 在用家數量方面始終佔有優勢,因此自然有較多騙徒利用來犯案。網絡安全公司 Cygenta 專家早前便列舉三種熱門詐騙手法,大家不妨同朋友分享,減少被騙機會。 扮熟陷阱:騙徒會假扮成目標的家人或愛人,聲稱因為遺失了電話而暫時用新號碼開設帳戶,經過一輪溝通搏取目標信任後,就會慌稱自己有金錢需要,說服目標轉帳金錢。雖然聽落好似好離譜,不過實際上並不罕有,例如假扮成目標的上司要求買點數卡的案例,就經常發生。 雙重驗證陷阱:為了保障帳戶安全,不少 WhatsApp 用家都啟動了 2FA 雙重驗證功能,登入時必須額外輸入經 SMS 發送的驗證碼,才能登入帳戶。不過,有騙徒在奪取了其中一個 WhatsApp 帳戶後,便會讀取受害者的聯絡人清單資料尋找下一目標,然後利用對方顯示的手提號碼重新登記帳戶,並以「朋友」身份向目標發送訊息,指錯誤將2FA驗證碼發送到對方帳戶,騙取目標提供驗證碼,從而奪取帳戶並重複犯案手法。 限時陷阱:騙徒會向特定目標或漁翁撒網式發出訊息,利用不同藉口引誘對方點擊連結或通過連結安裝惡意軟件。視乎當時社會熱門話題,魚餌或有差別,例如早兩年新冠疫情剛爆發,騙徒會發出感染 COVID-19…
不少企業也有使用的 AWS 無伺服器運算平台 Lambda,最近被發現成為黑客集團專門攻擊的對象,專家估計黑客非法使用企業客戶的 AWS 帳入登入資料,偷偷進入並安裝挖礦程式,運行數星期後,令企業客戶損失 45,000 美元的資源使用費。由於 AWS 僅負責基礎架構及網絡的安全責任,如因客戶自己的安全措施不足而被入侵,損失就貴客自理,企業客戶要清醒喇! AWS Lambda 是一種無伺服器 (serverless) 運算服務,它的好處是使用者毋須花心機及時間去管理伺服器,例如部署的作業環境、操作指令等,便可以順利執行自己開發的程式,令開發人員可以更專注程式開發工作。採用 AWS Lambda 的案例很多,大家日常也有可能用到而不自知,例如一些可供網民自由轉換圖案、文件格式的網站,便有可能使用了類似的無伺服器運算服務。而對中小企業客戶來說,AWS Lambda 除了可減少管理伺服器成本,由於運算資源的擴展彈性大,即使有突如其來的業務使用需要,亦能即時加購資源,因此對資金不足的中小企尤其重要。…
近年零信任策略 (Zero Trust Strategy) 被奉為阻止網絡入侵的金科玉律,不過要真正做到零信任並不容易,因為企業的基建架構有可能要大執,才能支援零信任解決方案的要求。網絡安全顧問及方案供應商 Optiv 早前完成一份有關企業管理層對零信任策略的問卷調查,結果顯示受訪者 100% 認同可有效減少被襲風險,但要落實執行卻有克服三大挑戰 …… 零信任是指一種對任何網絡活動、用家或裝置保持懷疑的安全模型,以帳戶安全為例,即使登入者使用了正確的名稱及密碼,系統還會要求對方提供額外的驗證方式如指紋、硬體安全鑰匙,以減少帳戶被盜用的風險。即使用家成功登入內部網絡或帳戶,系統還會根據其使用權限,限制對方可接觸到的區域或資料。更先進的人工智能技術更會分析及比對登入者的行為,例如對方的登入時間、位置或裝置與過往有否明顯分別等,換句話說,零信任其中一個重要環節是一套嚴格的登入管制策略。 Optiv 這次共向不同行業如政府部門、金融、醫療機構、科技公司的員工,發出 150 份問卷,當中有 43% 受訪者更是規模達 1,000 至 5,000…