不少企業也有使用的 AWS 無伺服器運算平台 Lambda，最近被發現成為黑客集團專門攻擊的對象，專家估計黑客非法使用企業客戶的 AWS 帳入登入資料，偷偷進入並安裝挖礦程式，運行數星期後，令企業客戶損失 45,000 美元的資源使用費。由於 AWS 僅負責基礎架構及網絡的安全責任，如因客戶自己的安全措施不足而被入侵，損失就貴客自理，企業客戶要清醒喇！ AWS Lambda 是一種無伺服器 (serverless) 運算服務，它的好處是使用者毋須花心機及時間去管理伺服器，例如部署的作業環境、操作指令等，便可以順利執行自己開發的程式，令開發人員可以更專注程式開發工作。採用 AWS Lambda 的案例很多，大家日常也有可能用到而不自知，例如一些可供網民自由轉換圖案、文件格式的網站，便有可能使用了類似的無伺服器運算服務。而對中小企業客戶來說，AWS Lambda 除了可減少管理伺服器成本，由於運算資源的擴展彈性大，即使有突如其來的業務使用需要，亦能即時加購資源，因此對資金不足的中小企尤其重要。…

近年零信任策略 (Zero Trust Strategy) 被奉為阻止網絡入侵的金科玉律，不過要真正做到零信任並不容易，因為企業的基建架構有可能要大執，才能支援零信任解決方案的要求。網絡安全顧問及方案供應商 Optiv 早前完成一份有關企業管理層對零信任策略的問卷調查，結果顯示受訪者 100% 認同可有效減少被襲風險，但要落實執行卻有克服三大挑戰 …… 零信任是指一種對任何網絡活動、用家或裝置保持懷疑的安全模型，以帳戶安全為例，即使登入者使用了正確的名稱及密碼，系統還會要求對方提供額外的驗證方式如指紋、硬體安全鑰匙，以減少帳戶被盜用的風險。即使用家成功登入內部網絡或帳戶，系統還會根據其使用權限，限制對方可接觸到的區域或資料。更先進的人工智能技術更會分析及比對登入者的行為，例如對方的登入時間、位置或裝置與過往有否明顯分別等，換句話說，零信任其中一個重要環節是一套嚴格的登入管制策略。 Optiv 這次共向不同行業如政府部門、金融、醫療機構、科技公司的員工，發出 150 份問卷，當中有 43% 受訪者更是規模達 1,000 至 5,000…

加密貨幣和 NFT 近來成為全球熱話，隨著流通性提高，大家開始關注網絡安全問題，憂心資產被盜，因為攻擊者似乎已對加密貨幣和 NFT 虎視眈眈。Security Week 的專家 Joshua Goldfrab 分享了保護個人加密貨幣和 NFT 資產的五個貼士。 Goldfrab 指出自己雖非加密貨幣的專家，但他注意到，加密貨幣交易過程可能有漏洞讓攻擊者有機可乘，但大多數盜竊或欺詐事年都不是在這裏發生；攻擊者都是投機主義者，因此當他們會選擇針對比加密貨幣本身更薄弱的連結賺錢，他們就會從中入手。 他進一步解釋，為了更好地理解這個概念，我們可從傳統金融世界中吸取教訓：大多數人都是一間或多間信用卡發卡機構的客戶，雖然發卡機構本身不時受到威脅，但絕大多數欺詐損失，仍來自於終端用戶的設備，如銀行木馬的入侵、卡處理器的入侵和/或銷售點終端的入侵。換句話說，攻擊者和詐騙者都知道，他們可以在更短的時間內透過追蹤終端用戶、中介和商家來賺更多的錢，而不是追蹤發卡機構。 轉化為加密貨幣世界，攻擊者和詐騙者並沒有追蹤加密貨幣本身，而是像在傳統金融世界中那樣追蹤終端用戶和中介機構。對於加密貨幣，即是加密錢包（終端用戶存取其加密貨幣的方式）和交易所（買賣加密貨幣的地方）。換句話說，雖然媒介不同，但策略還是一樣的：尋找最薄弱的環節，而不是針對加密貨幣本身。如果我們查看最近發生的加密貨幣盜竊案，我們會發現終端用戶（特別是他們對加密錢包的存取）和中介（交易所），基本上就是攻擊者和欺詐者的目標。 有鑑於此，終端用戶可怎樣保護自己，免受加密貨幣損失？Goldfrab 建議用以下五個步驟來保護自己： 1. 使用…

商務電郵詐騙 (BEC) 問題愈來愈嚴重，Palo Alto Networks 最新發表的報告顯示，犯罪集團以 BEC 騙取的金額由最少的 56.7 萬美元，到最高的 600 萬美元。雖然 2020 年美國企業總損失高達18.7億美元，但受害企業因為不想商譽受損，所以才選擇保密。老闆想知道如何防避 BEC？不妨聽聽專家講解。 有別於一般的釣魚電郵攻擊，商務電郵詐騙 (Business Email Compromise, BEC)…

Google 計劃在 2021 年底為 1.5 億用戶推行兩步驗證，並要求 200 萬 YouTube 創作者開啟此功能。因應網絡安全意識月，Google 希望藉以表示他們的產品是默認安全的。 在一篇博客文章中，Google Chrome 產品經理 AbdelKarim Mardini 和 Google 帳戶安全和安全總監 Guemmy…

Google 在剛舉行的 Google I/O 2021 大會上公布，即將為全球 Android 版 Chrome 用家推出新服務，透過人工智能 (AI) 技術 Duplex on the Web，讓用家可以更簡單為各種帳戶更改登入密碼。另外，其密碼管理器亦有新工具，可直接匯入第三方密碼器內儲存的帳戶登入資料。一切鋪排，無非希望提升用家的帳戶安全性。 不少網絡安全事故的肇因，都是因為用家的帳戶登入資料不幸遭受外洩，而用家又未能及時發現。有見及此，Google 早已在 Chrome 的密碼管理器內增值外洩事故通報，當…

要數到本港最多個人用戶的電郵供應商，相信 Google 旗下的 Gmail 必然是頭幾位。Google Account 當然不只電郵這個功能，其 Google Drive 儲存空間等亦大受歡迎，絕對配得起「大神」這個名字。隨著我們把放在 Google 的資料愈放愈多，要避免被入侵帳戶以至私隱盡失，就要必須學懂管理個人 Google Account。一齊來看看科技達人 Ed Bott 的貼士吧。 Ed Bott 認為，使用…

疫情下網購成為新常態，黑客自然會與時並進，利用相關付款工具發動釣魚攻擊。最近手法是透過 SMS 發出 PayPal 帳戶受限制的訊息，假扮官方通知用家的帳戶須重新驗證方可使用。PayPal 用家如收到類似短訊，切記直接刪除！ 釣魚攻擊 (Phishing) 主要是指透過虛假電郵或訊息，引誘收件人點擊內裏的連結，騙取帳戶登入資料。其中一種方式叫作 SMishing，即以 SMS 短訊為攻擊媒介，早前美國電訊商 Verizon 發表的 Mobile Security Index 2020，便指至少有 17% 的釣魚攻擊源自…

要保障自己嘅網上帳戶安全，好多時網絡安全專家都會叫大家改個複雜嘅密碼，而且仲要逐個帳戶改，唔可以重複，但大家都知道要做到幾乎係無可能，真係設定咗，都要成日㩒「忘記密碼」，實用性極低。於是專家就會建議大家啟用雙重因素驗證（2FA）提升登入安全性，或安裝密碼管理器去管理所有帳戶嘅密碼，咁樣的確係安全好多嘅，但問題係首先要服務供應商安全先得。可惜嘅係，最近有研究員發現，無論係 2FA app 供應商 Google 或 Microsoft，抑或係密碼管理app 例如 喺雙重因素驗證 app 方面，網絡安全供應商 ThreatFabric 發現，只要黑客成功誘騙 Android 手機用家安裝惡意軟件 Cerberus，就有機會盜取用家經 Google Authenticator 或 Microsoft…

為咗減少用家帳戶被盜取嘅風險，好多網站或應用程式例如 Facebook、Instagram 都採用咗雙重驗證（Two Factor Authentication, 2FA），用家除咗要輸入登入帳戶名稱、密碼之外，仲需要提供額外嘅驗證碼，例如通過 SMS 將一次性驗證碼發送俾用家，又或好似匯豐等網上理財一樣，要輸入保安編碼器提供嘅登入編碼。視乎所登入帳戶嘅重要性，用家未必每次都需要用到 2FA 嚟登入，例如當網站或應用程式偵測到用家使用另一部裝置登入，又或用家要求重設密碼，先至會觸發 2FA 運作。 暴力破解2FA驗證 Facebook 旗下嘅 Instagram 本身亦設有 2FA 驗證基制，當用家要求重設密碼，Instagram 就會將…