釣魚電郵大家都有收過，而最近網絡安全公司 Sophos 收到的一封垃圾電郵就頗有趣，因為黑客試圖令收件人相信自己管理的社交平台違反版權守則，並恫嚇會在時限後停止帳戶，迫使帳戶管理人於虛假社交平台登入帳戶。安全專家指黑客在電郵及虛假網站上做足功夫，一心急就會上當。 Sophos 安全專家在博客上提到間中會收到來自社交平台的電郵，指有用戶投訴其專頁使用了違反版權的素材，須管理人親自解釋。專家相信投訴事件非常普遍，所以就令黑客有機可乘，發出偽造電郵令帳戶管理人信以為真，心急點擊電郵內的連結登入帳戶了解詳情及解釋。文章中提及，Sophos 在最近真的收到這類恫嚇信，不過作為網絡安全專家又怎會如此容易受騙？專家指由於他檢查了發信人的電郵地址並非來自 Facebook server，而且英文文法差，即時已確認是釣魚電郵。不過，專家再深入研究電郵內容，發現黑客也在多方面下苦功，提升電郵的可信度。 首先電郵內有一個「Continue」字眼的超連結，如以滑鼠浮標移至上面，的確會顯示連結是指向Facebook網站；原來黑客只是登記了一個專頁，並將版面偽裝成 Facebook 的申訴版權頁面，令社交平台帳戶人信以為真，於是點擊頁面上的https://facebook.com/copyright/xxxxx超連結。造假第二步是這條超連結卻使用了常用的 HTML 編碼欺詐手法，顯示出來的超連結卻與實際指向的網站不符。造假第三招是雖然該版面都有取得 HTTPS 認證，但專家指出該認證只是早幾天前才發出，可合理懷疑其造假成份。一旦管理人被以假亂真，便會直接輸入帳戶登入資料，甚至進一步輸入 2FA 雙重因素驗證碼，最終便會被黑客奪去帳戶。 由於黑客造假都夠專業，所以專家勸籲大家在收到電郵時，一定要多方面確認信件真偽，例如要詳細檢查發信人地址、將浮標指向電郵內的超連結，預覽與目標網址是否一致。另外，他警告即時導向網址屬於官方網址，從上例也可見未必一定為官方所開設，所以如果要登入帳戶，最穩陣還是親手於網址列輸入官網，再登入個人版面查看有否相關內容或訊息，就可減少被騙風險。 資料來源：https://bit.ly/2HKQjF6

近日有傳中國受水災影響，部分地區出現糧食危機，政府亦帶頭呼籲民眾不要浪費食物。除了天災之外，人禍也會引發糧食短缺，例如以色列安全專家就發現，由Motorola設計的智能灌溉系統在設計上缺乏安全考慮，竟容許用戶以出廠登入資料長期使用系統，只要黑客有心，隨時可摧毁大量農作物，製造糧食危機！ 為減少人力需求、降低成本，不少農場也會裝設智能灌溉系統，交由電腦自動執行灌溉、施肥、使用農藥等工作。可想而知，如未能及早發現系統損壞或運作異常，農作物的收成將會大受影響。而以色列安全公司Security Joes創辨人Ido Naor，就發現有超過100個Motorola ICC PRO智能灌溉系統的用戶，竟然未有為系統設定密碼，黑客只要使用Motorola預設的帳戶登入名稱如admin，即可遙距登入帳戶，修改智能灌溉系統的設定及執行異常灌溉指令，而且不會驚動Motorola及其用戶。Naor指出Motorola的ICC PRO雖然有安全保護，但由於未有強制用戶在安裝後更改帳戶登入資料，全靠客戶自律，結果情況就如許多IoT物聯網產品的用戶一樣，放任繼續使用原廠設定。 Naor說要找出這些系統並不困難，只要使用IoT裝置掃描器，就能輕易在網絡上搜出Motorola的ICC PRO。他已即時將研究報告通知以色列的網絡安全中心及Motorola，讓對方通知用戶盡快修改密碼，而Naor發現仍未修改密碼的用戶已減少至78個，不過由於研究已經公開，肯定會有黑客嘗試入侵這些用戶。 事實上，各國政府均意識到IoT產品的安全問題，並開始陸續規管生產商，例如美國於2020年1月1日生效的SB-327 Information Privacy：Connected Devices 條文，就限制生產商必須為每部產品設定獨一的出廠登入密碼，即使用戶未有更改，也不致被黑客以同一密碼大規模攻擊其他同廠產品。英國及澳洲政府亦有就IoT產品推出安全生製指引，但距離立法還有一段長時間，用戶現階段必須靠自己，例如定時更改帳戶登入資料、啟用2FA雙重因素驗證、持續更新官方發布的韌體更新等，雖然未必百分百安全，但也可減少大部分危機。 資料來源：https://zd.net/3kDpb9V

今時今日，絕大部分人上網都是用智能手機，但網絡安全公司Rapid 7研究員就發現，Safari、Opera等7款手機版瀏覽器存在極大漏洞，可讓黑客在網址列偽造網頁連結，令用家誤以為自己正在訪問官方網站，實情卻被引導至釣魚網站上，不自覺地親手將帳戶登入資料雙手奉上…… 為確保用家可以安全地瀏覽不同網站，瀏覽器服務供應商如Google、Mozilla、Apple等都會為產品加入各種反偽造網站的識別技術，例如在網址列加入鎖頭圖標，讓用家可以一眼辨識自己有否跌入釣魚網站圈套。不過，Rapid7研究員指這些安全技術卻有可能因為手機屏幕較細，而被部分瀏覽器取消，從而讓黑客有可乘之機。研究員於是檢視了市面上各種手機瀏覽器，最終發現Safari、OperaTouch、Opera Mini、UC Browser、RITS、Yandex及Bolt等7 款瀏覽器，均存有JavaScript詭計漏洞，因本身設計的問題，令黑客可操控網址列上出現的網址，但實際上卻將用家引導了偽造網站，而由於沒有鎖頭安全圖標輔助，用家便無法得知已跌入陷阱，成功達到網址列欺詐(Address Bar Spoofing)攻擊。 研究員以手機版Safari為例，由於在設計上系統會保留任意port上呼叫的網址在網址列上，只要黑客在網頁JavaScript程式碼內將setInterval時間改為每2毫秒便載入新的網頁內容，便可透過時間差，在網址列仍顯示原網址的情況下，極速將用家引導至其他偽造網站，以時間差令用家上當。研究員指出如偽造網站製作得跟官方網站一模一樣，用家便會傾向相信自己正在訪問官方網站一樣，從而輸入自己的帳戶登入資料。 除了Safari，其他6款瀏覽器亦存在類似問題，Rapid7研究員在今年8月發現這漏洞後，已去信通知受影響的瀏覽器供應商，不過，除了Apple已修補了Safari的漏洞，Opera承諾會在11月推出修補檔外，其他4款瀏覽器供應商卻未有回覆，相信未必會在短時間內修補上述問題。現階段用家就要小心使用這些瀏覽器，建議用家最好避免使用。 資料來源：https://bit.ly/2TfyS22

在新冠肺炎肺炎疫情下，僱員在家工作是遙距營商的主要安排，遙距工作成為新常態「New Normal」。而視像會議已變成工作和生活的一部分，上班要參加或主持視像會議，而下班後又要教子女用視像會議上課，連老婆上的烹飪班，都話要用視像會議學餸。突然，原是 IT 從業員的你同我，都變成視像會議從業員，好像升了「呢」。 市場上視像會議軟件多不勝數，如老牌子 LogMeIn 的 Goto Meeting、CISCO 的 WebEx，新來的有微軟的 Teams、Google的 Hangout Meeting、Amazon 的 Chime等，也有其他人用專用的企業級視像會議系統，亦有人用 Facebook 的 Message及微信 (WeChat) 來做視像會議或電話會議，五花八門，各適其適。我個人比較喜歡用 Zoom (https://www.zoom.us/)， 因為其免費版本功能已經非常強大，即使是收費版本也很便宜，只需美元 14.99 一個月，購買一年的費用是美元 149.9，性價比相當高。因為可以月付，很多企業在「遙距營商計劃」中，都是用 Zoom 作為「網上會議工具」為其主要的申請項目。下一篇 Zoom の 謎思，將會詳細探討這間在 2019…

隨著雲端儲存技術發展，企業存檔由過往文本模式轉移上雲，但雲端存取有洩漏的風險，不論是黑客的入侵，抑或是內部人為閃失等，都令企業怕怕。在遙距工作的趨勢下，你需要的是結合能保障數據可得性（availability）、誠信（integrity），與及保密程度高兼能掌控多雲環境下的數據保護服務！是次研討會將探討 IT 保安模式 CIA （Confidentiality, Integrity and Availability) 及 3-2-1 Backup 策略的可行性，分享由 Hitachi Vantara 及 Thales 組成的強大保護，如何讓你獲得全面的數據保護，毋懼數據外洩。 參加研討會問答環節，有機會獲得神秘禮物，立即報名！ 活動詳情： 主題：3…

網絡安全公司發現，分散式阻斷服務（ DDoS, Distributed Denial of Service）攻擊的數量由年初至今年九月之間，暴升三倍有多，全因黑客將 DDoS 視為勒索目標企業的有效手段，而且更有持續上升趨勢。企業要維持業務營運，不得不防。 DDoS 攻擊主要透過大量無效的網站或應用服務訪問要求，以耗盡攻擊對象的網絡帶寬或系統資源，使其服務中斷受阻。要製造有威脅的攻擊相對簡單，黑客毋須事先入侵目標企業，只須控制僵屍網絡同時發動攻擊即可，甚至可於暗網購買 DDoS-as-a-Service 服務，以每小時數十美元的代價達成目的，難怪極受黑客歡迎。 網絡安全公司 Akamai 上星期發表研究報告，正正揭示 DDoS 的普遍性，研究員 Richard Meeus 指出，上一季收到 DDoS…

美國總統大選在即，Trump 雖然經常抨擊對手 Biden 低智商，但今次 Biden 終於可以盡情恥笑 Trump，事關侵侵的 Twitter 帳戶最近被踢爆無用 2FA(two-factors authentication) 之餘，更有安全專家在5次機會內猜出他的帳戶登入密碼，發圖證明自己成功進入侵侵帳戶，認真無面。 成日用 Twitter 發表自己政見的侵侵，帳戶有八千幾萬人關注，影響力非常大。早前侵侵的帳戶未有成為 Twitter 加密貨幣欺詐事件受害者，等大家以為他及 Twitter 在保護帳戶上做好功夫，不過，四年前曾成功進入侵侵帳戶的荷蘭安全專家 Victor…

自己友與外敵相比，前者絕對更難防備，因為大部分公司對抵禦外敵早有預備，誰又會預料陣中原來有「二五仔」潛伏？如何讓公司免於被突然出賣的危機？又如何在大數據年代中，於海量資料裏搜集及分析出網絡攻擊的源頭，揭穿用戶異常行為？要揪出公司中隱形黑手，以下兩項技術你不得不認識： Exabeam 的 UEBA （User and Entity Behavior Analytics）技術，能有效在短時間內偵測攻擊，極速分析數據，從用戶細微的異常行為中發現威脅， 讓內鬼無所遁形！而 TrapX 則可循黑客思路，設下陷阱，偽裝被他們攻擊，在難分真與假的情況下，令黑客陷入當中，但又未能盜取機密資料。 誠邀閣下出席是次網上研討會，探討如何透過整合 Exabeam 及 TrapX 技術，從使用者的存取行為中，有效辨識其異常行為，並自動作出即時處理，保障公司重要資產。 參加研討會問答遊戲，更有機會獲得 HKTV Mall HKD200…

對企業來說，阻止網絡攻擊絕對是與時間競賽。無論是發現及堵塞安全漏洞，抑或是阻止黑客入侵，稍遲一分鐘，後果也可以很嚴重。即使企業有資源購買網絡防禦工具，在業內人手嚴重短缺的情況下，也難以及時處理鋪天蓋地的安全警報；再加上隨著業務擴充，無可避免需要更多不同類型的防護，警報數量勢將有增無減，累積的警報有如計時炸彈，令企業管理者難以心安。企業要徹底走出網安死胡同？其實答案早擺在眼前。 安全專家全球缺人 網絡安全研究組織 Cybersecurity Ventures 早前發表報告，預計 2021 年全球有關網絡安全的職位空缺會高達 350 萬，較 2013 年的 100 萬空缺大升 2.5 倍。亞洲最大的純網絡安全服務提供商 Ensign 香港區總經理蘇詠雯（Cat）認同情況相當嚴峻，「企業現時面對很多挑戰，例如多年來採用的各種安全工具無法溝通，必須交由安全專才獨立分析及管理；即使部分客戶有自己的 SIEM（Security Incident…

Work From Home 令打工仔和企業依賴雲端系統及網絡服務，遙距完成工作。Check Point 披露，微軟（Microsoft）成為黑客攻擊的頭位對象，微軟產品和服務所受的黑客攻擊之多，在今年第三季便佔了全球企業品牌網絡的釣魚攻擊近五分之一。微軟在第二季度所受的攻擊排五位（佔總攻擊的7％），一下子躍升至第一位，Check Point分析指，是基於新型冠狀病毒流行，令網絡釣魚者持續攻擊遙距工作族群。 而排在Microsoft之後（佔全球所有網絡釣魚攻擊的19％），依次為貨運公司DHL（佔9％）、 Google（9％）、PayPal（6％）、 Netflix（6％）、 Facebook（5％）、Apple（5％）、 WhatsApp（5％）、Amazon（4％）及 Instagram（4％），而其中 DHL 在今年首次成為遭受釣魚攻擊的前十名。 Check Point 分析亦發現，有44％的釣魚攻擊是以電子郵件傳遞，其次為網絡（43％）及移動裝置（12％）。而受電子郵件模式散播的釣魚攻擊，前三個品牌分別是微軟、DHL和蘋果；在網絡上依次為微軟、Google和PayPal；至於移動裝置，WhatsApp、PayPal 和 Facebook…