有網絡安全機構發現，喺暗網出現一則販賣5.38億微博用戶資料嘅廣告，你估開價幾錢呢？當中嘅資料包括： 真實姓名帳戶名稱性別位置電話號碼 而答案係⋯⋯ ⋯⋯ ⋯⋯ ⋯⋯ 大約 1,200 美元咋！點解咁平呢？因為並唔包括帳戶登入密碼丫嘛！ 至於呢堆黑客聲稱喺上年年中獲得嘅用戶資料，點解出現喺網上，微博就曾經發信俾部分中國網站解釋，話 2018 年尾因為要處理網絡實名化規例，可能喺配對用戶同個人電話號碼嘅 API 上出現問題。 不過，呢個解釋即刻俾國內嘅網絡安全專家否定，因為黑客喺廣告上明確表明啲數據係來自 SQL 資料庫，而且如果只係用 API 配對用戶同電話號碼，亦唔會有埋其他好似性別、位置等資料。另外，有關黑客發動登入驗證盜取或暴力破解帳戶攻擊，去蒐集呢啲個人資料嘅說法亦唔成立，因為售賣嘅資料並唔包括密碼。又係喎，如果有埋登入密碼，5.38億帳戶資料又點值咁少錢呢？ 資料來源：https://bit.ly/3aeTTAG…

宜：進修增值忌：求神賜福玄機詩：培訓要給力 釣魚難成功 大量調查報告均指出，九成以上的網絡攻擊均透過電郵發動，要穩守企業網絡安全大門，除了要採用合適的防護工具，員工的安全意識亦要相應提高，才能避免受詐騙，或開啟電郵內的惡意連結或附件，為黑客的攻擊助攻。不過，流於口號式的安全指引，絕對無法幫助員工辨別真偽，必須透過實踐訓練，方能達到預期效果。 Barracuda Phishline 是一款靈活的安全意識培訓服務，提供過百種預設模擬測試，讓企業員工可親身學習何謂電郵攻擊，認清社交工程的真面目。培訓內容可針對不同行業所面對的風險而自主設定，覆蓋範圍更延伸至SMS、Vishing、外置儲存設備等；此外，Phishline的Marketplace更會每日加入新的攻擊內容，確保員工的安全意識可以與時並進，將電郵攻擊風險減至最低！ 下載相關資料：https://bit.ly/33marEw

要保障自己嘅網上帳戶安全，好多時網絡安全專家都會叫大家改個複雜嘅密碼，而且仲要逐個帳戶改，唔可以重複，但大家都知道要做到幾乎係無可能，真係設定咗，都要成日㩒「忘記密碼」，實用性極低。於是專家就會建議大家啟用雙重因素驗證（2FA）提升登入安全性，或安裝密碼管理器去管理所有帳戶嘅密碼，咁樣的確係安全好多嘅，但問題係首先要服務供應商安全先得。可惜嘅係，最近有研究員發現，無論係 2FA app 供應商 Google 或 Microsoft，抑或係密碼管理app 例如 喺雙重因素驗證 app 方面，網絡安全供應商 ThreatFabric 發現，只要黑客成功誘騙 Android 手機用家安裝惡意軟件 Cerberus，就有機會盜取用家經 Google Authenticator 或 Microsoft…

究竟一個黑客係點樣煉成嘅呢？網絡安全公司 Check Point 最近就係網誌上，寫出一個被佢哋追蹤多年嘅尼日利亞黑客 Dton 嘅成魔之路，而且佢仲係連程式都唔識寫嘅黑客嚟添。咁佢點開始做黑客？咪就係上網買信用卡資料囉。 Check Point 研究員係網誌上透露，Dton 一開始係去專門出售信用卡資料嘅暗網，用咗13,000 美元去購買一千張信用卡資料，然後進行網上購物。為咗減少被信用卡公司發現盜用嘅風險，Dton 每次只會用張卡消費 550 美元，結果喺佢試勻呢一千張卡後，研究員話佢至少都攞返十萬美元收入，所以 Dton 之後都有繼續買卡賺錢。不過，Dton 可能唔多賺蠅頭小利，所以好快佢就轉咗玩電郵詐騙，透過買入大量目標群組嘅電郵帳戶，向目標發動社交工程攻擊，增加引誘對方打開惡意程式附件嘅成功率。雖然 Dton 好成功咁呃到唔少錢， 但貪心嘅…

毋須爭拗，新冠狀病毒疫情喺全球各地升溫，同時間，各大網絡安全機構亦發現黑客正加大力度利用 Covid-19 恐慌，發動各種網絡攻擊。企業喺財政上已因經濟下行飽受壓力，實在再抵受唔起網絡攻擊引發嘅損失。不過，網絡安全唔係可以旨意晒老闆或員工去做，正所謂唇亡齒寒，防毒必須上下同心，員工同老闆都要盡力做好以下錦囊，先可以共度時艱，待疫情退卻重新起飛。 員工 1.保持衛生：公司嘅電腦設備、軟硬件都要保持更新韌體，堵塞已知漏洞。 2.提高警戒：黑客普遍利用釣魚電郵攻擊，員工時刻戒備電郵以及內裡嘅檔案、連結。另外，如使用嘅電郵服務支援雙重或多重登入驗證就要啟用，減少帳戶被盜用風險。 3.安全連線：避免使用公共Wi-Fi 網絡，因為黑客可假扮流動熱點截取數據傳輸。 4.即時報失：如遺失手機、電腦，就要通知公司IT部門，監察有無人利用你嘅裝置登入公司或電腦系統。 老闆 1.管理登入：即時安裝遙距登入安全系統，採用SD-WAN等工具保障員工連接公司內部系統嘅安全性，以免數據被截取。 2.訂定守則：制訂安全守則，例如禁止員工使用個人電郵與客戶溝通，機密文件嘅處理方法，同時要區分不同職級員工登入系統嘅權限。另外，亦要編制緊急聯絡清單，員工如接收到上司或同事嘅轉帳、提供登入資料等指示，必須以另一種途徑向同事確認，舉例如經電郵接收，就要以電話確認，減少冒認風險。 3.安全設備：向員工提供已安裝安全工具嘅電腦設備，同時限制不能以個人電腦處理公司事務。如因經濟問題未能向全員提供，亦應評估各員工嘅職能及面對嘅風險，選擇性提供電腦設備。 4.徵詢意見：現時不少IT公司如Microsoft、Adobe、Cisco均有支援企業遙距工作計劃，讓企業免費使用部分收費應用服務。老闆必須先向IT員工徵詢意見，評估哪種服務較適合公司使用，切忌一言堂，避免因軟硬件衝突衍生漏洞。 資料來源：https://bit.ly/3dhpUu4 相關文章：【全民抗疫】貢獻電腦資源 計出新冠病毒弱點

雖然 Google Play Store 嘅 app 都唔係百分百安全，但起碼叫做有人把關，而第三方 app store 甚至來源不明嘅 apk，危險程度就非常之高，所以一直都呼籲 Android 用家唔好安裝 Play Store 以外嘅 app。不過，黑客總係可以利用人心漏洞，例如最近好多人想好容易咁掌握最新肺炎疫情資訊，所以黑客就整咗隻 CovidLock 手機app 出嚟，話保證睇到最新情報，結果有…

今次微軟認真叻叻豬！佢哋啱啱宣佈，成功同多國警方以及來自 35 個國家嘅私營機構，夾手夾腳消滅咗全球最大殭屍網路 Necurs。Necurs 呢隻嘢近年好紅，佢厲害嘅地方係一旦電腦被感染，就會不停傳送垃圾電郵俾人，2017 年就試過以每小時 500 萬封電郵嘅速度，係咁將 Dridex 同埋 Locky 兩隻勒索程式傳送出去，一炮而紅！ 多年嚟資安界對 Necurs 可以話係冇晒符，由2016 到 2019 年期間，9 成由電郵傳送嘅病毒程式都係透過 Necurs…

隨著 5G 及 Wi-Fi 6 新一代流動通訊及無線網絡制式上馬，突破了從前的傳輸速度及頻寬的限制；更被視為推動第四代工業革命開展的核心一環，有利於物聯網（Internet of Things, IoT）技術應用及發展，使利益隨時獲利倍翻。現時對IoT裝置缺乏統一的規格及監管，部分生產商為了搶銷量降成本，退而求其次地犧牲網絡安全性，卻令 IoT裝置安全漏洞百出。企業要借助IoT拓展業務就不能過於大意，否則便有如大開中門，「邀請」黑客隨意出入。 物聯網普及 提升自動化及數據分析 IoT的應用層面非常廣泛，例如網絡監控鏡頭、溫度及濕度感應器、防漏水感應器、智能門鎖、電力監測系統、智能燈光系統等，最大優點是可讓作業自動化完成，減少人力成本。此外，IoT 應用亦逐漸與傳統的 IT 系統結合，包括操作型科技系統 (Operation Technology, OT）、工業控制系統（Industrial Control…

PayPal 作為電子支付平台，自然吸引唔少罪犯、黑客搵食，最常見嘅手法莫過於大包圍式向網民發出釣魚電郵，用唔同主題例如重設密碼、懷疑洗黑錢等，呃人點擊虛假連結去登入帳戶，盜取登入資料再去轉走啲錢。不過，CyberNews 網絡安全研究團隊就發現，黑客正利用盜取返嚟嘅 Facebook 帳戶，向原有人嘅朋友發送要求代收 PayPal 款項嘅訊息，從而達到呃錢嘅目的。 或者好多人會懷疑，今時今日喺 Facebook Messenger 收到朋友要求轉錢，點會咁易中招呀？但今次嘅詐騙方法有啲唔同，首先罪犯唔會直接叫你幫手買點數卡或過數，而係會話你知佢有筆錢要經過 PayPal 收，而咁啱佢又無帳戶，所以想借你個帳戶用，等你收到錢先再過數入佢銀行。由於唔需要你俾錢先，對方亦無話有錢齊齊賺，成件事純粹係搵你幫手，如果咁啱罪犯用嘅係你好朋友嘅帳戶，相信好多人嘅戒心都會大減。 而今次呢個詐騙手法嘅盲點，就係罪犯利用咗 PayPal 允許支付者可以退款政策，當受害人以為自己收到錢再轉帳俾罪犯後，對方就可以即時申請退款，彈弓手攞返轉俾受害人 PayPal 帳戶嘅錢。而更高一級嘅方法，係罪犯根本唔需要申請退款，因為佢可以連 PayPal 帳戶都係偷返嚟，由得原有人發現後自己跟進，罪犯同樣毫無損失，而且亦更難追蹤。…

唔少人去餐廳或 cafe 嗰陣，都習慣將手機放喺枱面，方便隨時檢查下有無短訊或接聽來電。而為咗私隱問題，通常都會將屏幕朝下，咁就唔怕其他人（特別係另一半）睇到自己同邊個傳緊短訊，甚至係訊息內容啦！不過，有網絡安全專家指出如果手機啟動咗語音助手功能，放喺枱面呢個行為已足夠俾有心人奪取你部手機嘅控制權，暗中讀取你嘅私隱，最驚係可以用你部電話打俾其他人傾偈，而你係完全唔會發現㗎！ 發現呢個漏洞嘅研究員，係來自華盛頓大學電腦科學及工程嘅 Ning Zhang，佢稱為 Surfing Attack 所利用嘅方法，其實只係人耳聽唔到，但手機收音咪就接收到嘅高頻音效，於是就可以暗中向手機嘅語音助手發出指令，例如讀取剛收到內有雙重因素認證（2FA）碼嘅訊息、甚至係用你部手機打電話同人傾偈添。研究員試用過市面上 17 部智能電話，包括 iOS 陣營嘅 iPhone，以及 Android 陣營嘅 Samsung Galaxy 等等，佢話只要將手機放喺枱面，無論將枱用金屬、玻璃、木作為材料，甚至喺 30呎外，都一樣可以通過枱作為媒介，將高頻音效傳送過去，而且正面或反面咁擺，都完全無問題，不過屏幕朝下就更難察覺手機運作緊咁解。…