不少人都喜歡用網上設計平台 Canva 來製圖,成品製作過程方便而出品又精美,但是黑客竟然利用 Canva 分享功能,藉以加入釣魚網頁登陸頁面。Canva 允許用家建立 URL,將設計向朋友或同事共享檔案,加入在平台中協作設計,對方只要點擊連結,就會看到整個設計頁面。 而正正就是 Canva 這個功能讓黑客有機可乘!網絡安全公司 Confense 最近公布一份報告指 Canva 面對的威脅因素愈來愈大,指透過 Canva 創建的 HTML 登陸頁面,被利用作將受害者重新導向至虛假登入頁面。報告以一封假裝是 SharePoint eFax…
Search Results: 網絡安全 (1053)
多得網絡安全研究人員的努力,經常對網站及應用服務的潛在漏洞保持好奇心,才可減少用家的損失,好像智能運動產品Fitbit的應用程式市場Fitbit Gallery,竟可讓有心人將惡意app上載,在未獲審批前以官方連結分享出來,用家好易中招。 上年Google宣布收購 Fitbit 大計,令品牌大受市場關注,不過礙於反壟斷法關係,交易暫時仍在美國、歐洲及澳洲等地審核中。Fitbit 的智能連動手錶由於設計精美,上班運動兩相宜,所以在港也有不少捧場客。今次 Immersive Labs 的 Cyber Threat Research 總監 Kev Breen,就對 Fitbit Gallery 的運作感到興趣,深入調查有關第三方 app 開發者在上載新…
網絡攻擊愈趨複雜及精密,加上銀行業又是公認的攻擊對象,面對如此高危的環境,香港金融管理局 (HKMA) 於2016年公布網絡安全防衛計劃 (Cybersecurity Fortification Initiative, CFI),通過三方面提升金融業的網絡攻擊防禦力。其中之一的網路防衛評估架構(Cyber Resilience Assessment Framework, C-RAF)是一套以風險為基礎的評估框架,內裏的評估項目多達400多項,主要分為三個部分。 首先是自身固有風險 (Inherent Risk Level) ,評估標準會根據銀行採用的科技、服務渠道、以往被攻擊的記錄等因素作評級(High、Medium、Low) ;其次會通過審核現有的安全措施,包括監管、偵測機制、保護工具、危機管理及應對政策,以釐定網絡安全成熟度 (Advanced、Intermediate、Baseline) 。如果審核評分未能達到固有風險評估的相對要求,銀行就要按照金管局建議的改善措施提升安全成熟度,直至合符相應的要求。如果金融業的固有風險達到中至高程度,就必須實施網絡攻擊模擬測試iCAST (Intelligence-led…
APT (Advanced Persistent Threat, 先進持續威脅) 是專門形容以情報收集為目標、受國家資助的黑客團隊所發動的攻擊。這些攻擊以隱密性優先,主力入侵其他國家的政府機構或企業,並不會長期存在於受感染的電腦設備內,而且運作時間有限,以減少被網絡安全工具發現的機會。而網絡安全公司 ESET 今次調查的 APT 團隊 XDSpy ,其隱密手段可謂非常高超,不單在首次曝光後瞬即再度消失,在專家追查下,才發現這團隊已運作了整整 9 年!雖然專攻白羅斯、俄羅斯、烏克蘭等國家,但專家也未能斷言其他地區國家未曾受過攻擊,只是沒有留下網絡線索。 XDSpy 的行蹤首次曝光,源於白羅斯 CERT 網絡安全事故協調組織發出的警報。 ESET 專家跟進調查後,顯示 XDSpy…
網絡安全研究人員披露常見防毒解決方案中,所發現的漏洞,竟然提升了黑客特權,令惡意軟件能夠在入侵系統後橫行!CyberArk Labs 一份報告指出,高特權經常與反惡意軟件產品有關聯,使它們更易受檔案攻擊,繼而令惡意軟件在系統上獲得更高權限。這些受影響的防病毒解決方案,來自 Kaspersky、McAfee、Symantec、Fortinet、Check Point、Trend Micro、Avira 和 Microsoft Defende,現時每個解決方案均已由各自的供應商修復。 這些漏洞中最嚴重的是黑客能在隨意在不同位置刪除系統中的檔案,或者造成檔案損毁。根據 CyberArk 研究,這些錯誤是由 Windows 的「C:\ ProgramData」文件夾的默認 DACL(Discretionary Access Control Lists)所造成,令用戶在程序存取數據,無需其他權限。所以當每個用戶都有在基本目錄(Base level…
一場疫症,令工作模式、生態來個大變身,很多常規的訓練或技術都因時改變;而網絡安全相關的訓練,也需重新啟動接軌,以增強效率。有研究指出,針對釣魚郵件的應對訓練減少,辨識能力會隨時間下降,一個不留神就大件事。USENIX SOUPS上個月舉行的安全會議上,建議讓員工在釣魚行為的安全意識方面的訓練,每半年一次。 由於德國公共行政部門下的組織機構員工,需要進行強制性網絡釣魚意識培訓,當地多間大學因利成便,向409名隸屬國家地理信息及狀況部門 (State Office for Geoinformation and State Survey, SOGSS) 人員進行研究,以了解他們的訓練成效,以及他們的辨識能力會否隨時間而下降。這班受訪人員分成5個組別,並按他們接受釣魚意識訓練後4個月、6個月、8個月、10個月及12個月作測試。 研究人員發現接受測試的員工中,在接受訓練課程4個月後,仍能準確辨別釣魚電郵,但在接受訓練課程6個月或以上的群組,就需要重新再接受訓練。與此同時,研究小組亦設置四種形式「補習班」,包括文本、影片、互動例子、短文,為這班受訪者在受訓後6個月後及12個月後,補充防釣魚知識。四種補習班的內容中,以影片及互動例子效果最顯著,影響力能維持至少6個月。 學者總結出持續讓員工接受釣魚辨識訓練,能有效地協助其所屬部門阻擋部分攻擊,只要定期每6個月進行重複的訓練,並交替以不同的方式如影片及互動例子等,便能持之有效。 資料來源:https://zd.net/3mPZmog
為求保障,網絡安全產品服務不可或缺。然而,所有網絡安全背後的 final boss,始終是背後操控一切的人類。KnowBe4 與 SoftwareOne 聯合主辦的網絡研討會,將探討社會工程師及騙徒如何設局,或以不同手段誘使受害人順從吩咐,讓你識破詭計,掌握 OODA (Observe, Orient, Decide, Act)循環方法,免墮陷阱! 是次 Webinar 由全球最大的「安全意識培訓平台」供應商 KnowBe4 亞太區網絡安全意識倡導者 Jacqueline Jayne 及 SoftwareONE…
遙距工作可謂推動將工作文件放在雲端,是疫情下的新常態。除了方便工作之外,網絡安全技術公司Centrify 早前訪問英國200名企業決策者,當中有過半受訪企業在疫情爆發初期,因採用雲端系統,而令公司不至於倒閉,能維持正常運作。受訪的決策者中,有6成人更指將會在雲端科技基建中,大大地投放資金發展。 英國三月時因應疫情推出封鎖措施,要求企業關閉辦公室以及准許員工在家工作。為防公司停擺,許多企業即轉用雲端服務,讓員工可以輕鬆登入公司系統及使用日常辦公資源。不過,當所有東西放上雲端,意味著網絡危機亦會隨之而增,39%受訪者表示疫情暴露了公司網絡安全的巨大漏洞,更有超過一半人認為在家工作難以判斷冒充員工的黑客。 Centify 的副總裁Andy Heather 表示,要解決使用雲端系統工作的安全問題,應將雲端使用權限縮到最小,並只准許員工以剛剛好的權限取用企業在雲端上的資源並完成工作。現時對訪問權限的控制,讓企業能夠在雲端環境中進行遠程操作,同時可標記內部威脅,再加以阻止和消除。 資料來源:https://bit.ly/30dqaW1
DDoS攻擊(分散式阻斷服務攻擊)攻擊屢見不鮮,威脅企業網絡安全,並勒索巨額贖金,根據《Nexusguard Q2 2020 Threat Report》,逐點攻擊(bit-and-piece attack)較去年同期增加570% ,攻擊者明顯改變了攻擊策略,發起大型而且更精細的攻擊,向目標網絡注入流量,以癱瘓目標,使其服務受影響甚至中止。Nexusguard 的分析師曾目睹以超過51%小於30Mbps的逐點攻擊所發動的小規模攻擊,去迫使網絡服務供應商降低整個流量網絡以降低風險。 在科技和資源的愈見發達下,為殭屍網絡增加彈性,使其更易避過檢測,輕鬆奪得目標系統的指令權和控制權。攻擊愈見精細,意味著網絡服務供應商需要在其他合法的大流量中,檢測出更小、更複雜的攻擊,難度更高。 Nexusguard分析師建議,服務供應商應改用以深度學習為主的預測模型,以便在發生捐失前,快速識別惡意模式,並立即實施緩解措施。 Nexusguard 總技術主任 Juniman Kasman指出,遙距工作和學習需求增加,意味著線上服務需求較以往任何時候都更重要。他又指,網絡攻擊者擁有更完備的資源,以便他們可以作更持久的攻擊,因此企業必須深入研究其攻擊方式,並制定相應措施,以應對這些更複雜的威脅。 資料來源:https://bit.ly/3685ClA、https://bit.ly/2S3dIn4
思科(Cisco)分析上半年最常見嚴重網絡安全威脅遙測數據,發現以無檔案惡意攻擊 (fileless malware) 為最多。所謂無檔案惡意攻擊,即是惡意代碼在裝置記憶體運行,而不是以檔案模式存在於硬盤中。思科將Kovter、Poweliks、Divergent 以及LemonDuck 標示為最常見的無檔案惡意攻擊。 思科指出對端點第二類威脅是常在開發任務和開發後任務 (exploitation and post-exploitation tasks) 中所利用的雙重用途工具,例子包括 PowerShell Empire、Cobalt Strike、Powersploit和Metasploit。思科的研究人員表示,這類型的工具雖然能好好地用在如滲透測試 (penetration test) 的非惡意攻擊活動,但卻常被黑客利用作攻擊用途。而第三類威脅則是如 Mimikatz 的身份驗證和憑據管理系統,惡意攻擊者多數藉這類工具竊取受害者登入資訊。…