Search Results: 社交工程 (65)

    不少人為了提升瀏覽器的使用經驗,都會為瀏覽器安裝延伸工具,例如即時翻譯、屏幕截圖等。不過,黑客亦會利用這途徑竊取目標人物私隱資料,例如北韓黑客集團便透過魚叉式釣魚電郵攻擊鎖定攻擊目標,誘使對方打開惡意附件化身為延伸工具後,便可利用儲存的登入憑證隨意進入 Gmail 帳戶,神不知鬼不覺。 網絡安全公司 Volexity 為客戶提供威脅情報服務及電腦搜證服務,而在提供鑑證服務時,便經常在受感染電腦內發現這款被稱為 SharpTongue 的惡意軟件,安全專家指它與北韓黑客集團 Kimsuky 有關。SharpTongue 入侵工具的詳細分析早於 2021 年出現,這個黑客集團專門針對美國、歐洲及南韓的企業及機構,特別是該機關與調查北韓事務、核技術、國防武器,更會成為頭號入侵對象。 不過,Volexity 在近來的調查發現,背後的黑客集團正開始使用一款專門用來盜取電郵內容的惡意瀏覽器延伸工具 SHARPEXT,相比起 SharpTongue 以盜取帳戶登入資料為目的,SHARPEXT 在安裝到瀏覽器後,便會利用受害者儲存在瀏覽器內的雲端電郵帳戶登入 sessions,進入受害者的電郵信箱內搜集所需資料及下載有用的電郵附件。由於帳戶已在早前經驗證登入,因此電郵服務供應商難以發現帳戶正被入侵,從而增加偵測的難度。…

    加密貨幣波動,投資者經常猜度是否炒底良機。不過,並非所有投資者都熟悉加密貨幣玩法。美國 FBI 便在早前發出警告,指愈來愈多詐騙集團假扮有名氣的投資公司,假借回報率高的投資計劃,誘使目標人物將加密貨幣存入「公司」的加幣貨幣帳戶,單是過去八個月,在美國已有 244 人中招,損失近 4,270 萬美元! 根據 FBI 公布的資料,詐騙集團的欺詐手法並不創新。騙徒會假扮成當地有名投資公司致電或發電郵給目標人物,邀請對方將手上持有的加密貨幣投資到它們的管理服務,換取可觀的回報率。一旦對方感興趣,騙徒便會說服受害者下載及安裝公司的專用手機應用軟件,不過這些軟件其實只是騙徒特製的惡意軟件,只是表面看上來與真實投資公司的軟件一模一樣。受害者其後只要按指示於手機應用軟件內將自己的加密貨幣轉帳,便已深陷騙局之中。FBI 指出由去年 10 月至今年 5 月中,已受到 244 名受害者求助,損失四千多萬美元。 官方援引其中一些個案為例,其中有騙徒假扮成美國金融公司進行詐騙,28 個受害者按指示存入加密貨幣,其後有 13…

    釣魚電郵的詐騙手段經常轉變,大多數網絡釣魚活動,黑客都在電郵中加入了指向虛假登入頁面的連結,藉以竊取登入憑證,或在電郵中包含惡意附件,欺騙受害人安裝惡意軟件。但最近有黑客冒充知名網絡安全公司 CrowdStrike,發送網絡釣魚電子郵件,要求收件人回撥指定電話,並從中獲得對其公司網絡的存取權限。 BleepingComputer 的報道指,在過去一年威脅參與者愈來愈多地採用要求回撥的網絡釣魚活動,透過冒充知名公司,要求收件人撥打電話解決問題、取消續訂或討論其他問題。當目標撥打電話號碼時,威脅參與者透過社交工程方法,說服用戶在他們的設備上安裝遙距訪問軟件,從而提供對公司網絡的初始存取權限,再破壞整個 Windows Domain。 一個最新的回撥網絡釣魚活動中,黑客冒充 CrowdStrike 並警告收件人,惡意網絡入侵者已經破壞了他們的工作站,並需作深入的安全調查。這些回撥網絡釣魚活動專注於社交工程,詳盡解釋為什麼收件人需授權他們存取其設備。其電郵提到:「在日常網絡檢查中,我們發現了與你的工作站所屬的網絡有異常活動。我們已確定管理網絡的特定網域管理員,並懷疑可能會影響該網絡中的所有工作站的潛在危害。我們已與您的資訊安全部門聯繫,但為了解決工作站的潛在危害,他們將我們轉介給這些工作站的個別操作員。」 在電郵的尾聲會要求收件人致電隨附的電話號碼,以安排對其工作站的安全審查。如果收件人真的回撥電話,黑客將指導他們安裝遙距管理工具 (RAT),藉以完全控制其工作站,使他們能夠通過網絡橫向傳播、竊取公司數據,並可能部署勒索軟件以加密設備。 在 CrowdStrike 的一份報告中,該公司認為這些釣魚活動最終會導致勒索軟件攻擊,並警告指,這是第一個識別出的冒充網絡安全實體的回撥活動,鑑於網絡入侵常出現及具危機,致使該活動具有更高的潛在成功率。CrowdStrike 又指出,在 2022 年 3 月,其分析師發現了一次類似的活動,其中威脅參與者使用 AteraRMM…

    資源回收甚至升級再做,為環保出一分力,這些概念常被宣揚;但在網絡的世界,勒索軟件的資源也會被重用,甚至升級變成另一款勒索軟件病毒,變得更難抵擋。有研究人員最近發現勒索軟件活動中的一個新變種,並發現到它不斷透過重用公開來源的代碼來變種。面對威脅也重用,企業組織應該要怎樣才能自保? Nokoyawa 今年年初首次被發現,是一種新的 Windows 勒索軟件,由 FortiGuard 研究人員在 2022 年 2 月發現首個樣本,Nokoyawa 含有與 Karma 編碼顯著的相似之處,而 Karma 則是源自有眾多變體的勒索軟件 Nemty。Nemty 勒索軟件系列則在 2019 年時首次被發現。…

    不少企業也有為員工舉辦網絡安全培訓課程,以為做完就安全?可惜事與願違,有調查發現34%員工受訓後依然用紙寫低密碼,60% 員工依然接駁公共 Wi-Fi 工作。其實舉辦培訓都要成本,究竟如何才能有效地運用資源?一齊學習四個要點。 根據 TalentLMS 和 Kenna Security 一項員工網絡安全風險意識調查發現,大部分安全培訓都未能達到預期效果。調查訪問了 1,200 個美國員工,當中 69% 已接受安全培訓,除了上述學完等於無學的例子外,受訪者當中有 61% 未能通過主辦機構提供的基本安全測試。 由此可見,設計網絡安全培訓課程絕不簡單,罐頭式培訓內容未必。網絡安全專家認為安全培訓課程要有成效,不可忽略以下四點。 定期審核:做完培訓班都要有跟進,企業管理者必須安排人手定期進行內部審計,評估員工有否執行課程內容,例如檢查員工電腦有否未經批准使用的軟件、帳戶密碼是否繼續採用易於破解的組合,同時亦可留意員工工作枱上有否隨意擺放敏感度高的文件。如效果未有改善,就有可能要改課程內容或教學方法。 實用淺白:影響網絡安全培訓效率的經典原因是內容大路及充斥大量專業術語。首先如員工未能了解釣魚電郵、社交工程攻擊的意思,根本無法了解自己有可能中招的原因。另外如內容過於大路或理論化,員工亦無法將課程內容應用到實際工作上,因此導師應針對行業實況及公司文化,設計出實用淺白的教程,同時以實例進行分析,確保員工清楚掌握入侵原理。 持續培訓:培訓應定期進行,一次性課程不可能讓員工記住所有內容,最好每次課程有不同主題,加深員工印象。…

    加密貨幣和 NFT 近來成為全球熱話,隨著流通性提高,大家開始關注網絡安全問題,憂心資產被盜,因為攻擊者似乎已對加密貨幣和 NFT 虎視眈眈。Security Week 的專家 Joshua Goldfrab 分享了保護個人加密貨幣和 NFT 資產的五個貼士。 Goldfrab 指出自己雖非加密貨幣的專家,但他注意到,加密貨幣交易過程可能有漏洞讓攻擊者有機可乘,但大多數盜竊或欺詐事年都不是在這裏發生;攻擊者都是投機主義者,因此當他們會選擇針對比加密貨幣本身更薄弱的連結賺錢,他們就會從中入手。 他進一步解釋,為了更好地理解這個概念,我們可從傳統金融世界中吸取教訓:大多數人都是一間或多間信用卡發卡機構的客戶,雖然發卡機構本身不時受到威脅,但絕大多數欺詐損失,仍來自於終端用戶的設備,如銀行木馬的入侵、卡處理器的入侵和/或銷售點終端的入侵。換句話說,攻擊者和詐騙者都知道,他們可以在更短的時間內透過追蹤終端用戶、中介和商家來賺更多的錢,而不是追蹤發卡機構。 轉化為加密貨幣世界,攻擊者和詐騙者並沒有追蹤加密貨幣本身,而是像在傳統金融世界中那樣追蹤終端用戶和中介機構。對於加密貨幣,即是加密錢包(終端用戶存取其加密貨幣的方式)和交易所(買賣加密貨幣的地方)。換句話說,雖然媒介不同,但策略還是一樣的:尋找最薄弱的環節,而不是針對加密貨幣本身。如果我們查看最近發生的加密貨幣盜竊案,我們會發現終端用戶(特別是他們對加密錢包的存取)和中介(交易所),基本上就是攻擊者和欺詐者的目標。 有鑑於此,終端用戶可怎樣保護自己,免受加密貨幣損失?Goldfrab 建議用以下五個步驟來保護自己: 1. 使用…

    QR code 的應用愈來愈廣泛,商戶會用作推廣或方便客人 scan 一 scan 立即取得資訊。有不法分子也乘機利用 QR code,將受害人導向至偷取他們憑證和財務資料的網頁,最近 FBI 就警告,網絡不法分子正在使用惡意 QR code 偷資料,所以還是不要胡亂掃描來歷不明的 QR code。 FBI 早前發布了公共服務公告 (PSA),警告有網絡犯罪分子利用 QR…

    Palo Alto Networks 網絡安全團隊 Unit42 最新發現一個供應鏈攻擊 (supply chain attack),有黑客利用一個雲端影像寄存平台的自定播放器漏洞,將被混淆化 (obfuscated) 的惡意編碼混入其中。不知情的用家如使用了這個播放器,便會將專門用於竊取信用卡資料的 card skimmer 惡意功能帶進網站,令客戶曝露於被盜用信用卡消費的風險之中。現時已有過百個物業網站已中招,可說是一次成功的供應鏈攻擊案例。 Card skimmer 是一種專門入侵網購網站,再於結帳頁面植入惡意編碼以盜取客戶信用卡資料的攻擊手法。多年來網絡犯罪集團一直使用不同手法將這種惡意功能混入各種網站之中,只要該網站的客戶填入個人私隱及信用卡資料,就會同時將這些資料送交黑客的 C&C 控制中心,由於中招網站在外貌上並無異樣,因此用家可說無法防備,只能靠店商能否阻止惡意功能入侵。 而最近…

    在全球疫情持續未見放緩的情況下,實行遙距工作模式亦令網絡攻擊大增,其中電郵安全發生了巨大的變化。Cyber Security News 指出,疫情下網絡釣魚攻擊增加,重新令普通企業關注,應如何在不影響其日常工作流程的情況下,保護自己免受網絡犯罪分子侵害,並分享了在 2022 年需要關注的五個電子郵件安全趨勢。 (1)錯誤配置攻擊 錯誤配置攻擊呈上升趨勢,並已導致重大數據洩漏。錯誤配置的伺服器或應用程式會在安全檢查漏洞中,將自己暴露給第三方攻擊者。而使用錯誤配置的伺服器發送電郵,可能會出現延遲,甚至導致郵件炸彈。因此在檢查電子郵件安全時,應確保對實時伺服器作檢查,以減少錯誤配置。 (2)附件攻擊呈上升趨勢 2022 年預計惡意附件電郵將繼續呈增長趨勢。網絡犯罪分子已瞄準每天收到數以千計電郵附件的人力資源部門及各種顧問公司,而這些附件通常是惡意軟件,並會根據網絡安全級別破壞設備,甚至會影響整個辦公室的運作。Cyber Security News 建議,應使用電子郵件安全工具,以及受信任的防毒軟件,對附件作實時掃描。如果企業收到大量文件,請確保不要點擊從錯誤地址或垃圾郵件地址所發送的附件。 (3)假扮受信任來源的網絡釣魚電子郵件 過去幾個月與電子郵件相關的攻擊,反映犯罪分子的作案手法複雜。有攻擊者使用社交工程方法,冒充大公司、供應商甚至受害者同事作攻擊。要防犯這裏攻擊,可留意電子郵件副本、文字、格式,甚至圖像等,和之前不一致之處;亦應使用諸如發件人策略框架 (Sender Policy Framework) 之類的進階電子郵件標準,以控制網域授權。…

    各國政府為了防止新冠疫情爆發,或多或少都實施了各種社交限聚令,網民為了安撫自己的寂寞的心,導致網上約會 app 的使用量大增。不過,並非所有人都懂得網上調情之道,有學者就嘗試引入人工智能演算法,測試 AI 是否有能力代替人類,運用語言令對方心如鹿撞。 網上情緣詐騙的成功率,直接取決於騙徒是否擁有高超的社交工程(Social Engineering)技巧。而在相關領域之中,尼日利亞的騙徒一向被公認為詐騙之霸,特別是他們深諳調情之道,令塵世間不少男男女女墮入陷阱,損失大量金錢。美國一個科學家 Janelle Shane 忽發奇想,希望測試人工智能的調情潛力,於是就以四個版本的 GPT-3 人工智能技術包括 DaVinci、Curie、Babbage 及 Ada,測試它們在各自的演算法下,是否能創造出令人心動的深情說話。研究員指出,揀選 GPT-3 的原因,在於它早已被應用於網站設計、寫文等用途上,而其人工智能技術的學習能力來自模仿人類的神經網絡 (neural network),它可以在分析各種語言範例後,自動撰寫出與人類相似的句子,雖然它本身並無法理解句子的含義。 為了令…