Search Results: 2FA (66)

    Facebook 母公司 Meta 積極開發元宇宙技術及硬件配套,相信好多人都知,原來 Meta 在推出 Meta Quest Pro 這類虛擬實景眼鏡及控制器時,都不忘關注硬件的網絡安全問題,廣邀專家測試新硬件的安全性,至今已派出數十萬港元賞金,不過, Meta 的賞金計劃背後還有宏願,就是一併推動業界產品的安全性,造福用家。 Meta 上年 10 月推出新一代專為 Metaverse 元宇宙使用的虛擬實景裝置 Meta Quest…

    足球盛事剛過,球迷在這一個月投入賽事氣氛,有人更會下注小賭怡情。但美國體育博彩公司 DraftKings 早前就發現 11 月時發生憑證攻擊後,超過 67,000 名客戶的個人資料被洩露,而涉事攻擊者則以 10 到 35 美元的價格售賣部份被盜帳戶。 在相關攻擊中,發動者以自動化工具進行大規模攻擊,每次發動多達數百萬次攻擊,並使用從其他在線上服務中所竊取的憑據,包括用戶名稱及密碼嘗試登入帳戶。這種攻擊方法針對總是在不同平台中,重複使用相同登入名稱及密碼的用戶,可說是非常有效。 攻擊者的目的是控制更多帳戶,以竊取個人和財務資訊,並將之放在黑客論壇或暗網上兜售。這些用戶憑證亦能被利用作身份盜竊詐騙,如未經授權的交易,或竊取銀行帳戶的資金。 在數據洩露報告可見,DraftKings 指在上個月的事件中,總共有 67,995 人的數據被洩露,這些攻擊者從 DraftKings 以外的源頭,取得登入客戶帳戶所需的憑據。報告指出,如果一個帳戶被登入,攻擊者可能查看了帳戶持有人的姓名、地址、電話號碼、電子郵件地址、信用卡的最後四位數字、個人資料照片、有關先前交易的資訊、帳戶餘額,以及最後日期更改密碼日子。 但報告強調,目前沒證據表明攻擊者已獲社會安全號碼、駕駛執照號碼或金融帳戶資料;另亦指出,信用卡最後四位數字雖有機會被看到,但完整卡號、到期日期和…

    約 4.87 億 WhatsApp 帳戶的登記號碼,上星期六被黑客放上暗網發售,數據中更列明包含約 300 萬香港用家電話號碼,用家除了要留意是否 WhatsApp 被入侵之外,更重要是提高警覺,同時加強帳戶安全功能! 網絡安全網站 Cybernews 上星期六發現,有黑客公然於暗網出售 WhatsApp 帳戶資料,數量更多達 4.87 億,雖然有關資料只得登記的電話號碼,但安全專家強調不容忽視,因為過往曾多次發生黑客僅使用電話號碼,便能奪取 WhatsApp 帳戶的成功個案,主要方法有二。 第一種方法是透過 SIM…

    Meta 早前控告中國公司如 HeyWhatsApp、Highlight Mobi 推出 Android 特製版 WhatsApp,暗中卻以盜取用家帳戶為目標,且最少已有過百萬用家受騙。黑客可從中獲取帳戶的驗證金鑰,帳戶被盜事小,黑客可利用帳戶詐騙受害者的聯絡人事大,Android 用家切勿以身犯險。 俄羅斯防毒軟件公司 Kaspersky 發表安全報告,指有黑客通過一些影片播放平台如 SnapTube,推廣聲稱擁有特別功能的特製版 WhatsApp。其實特製版 WhatsApp 已不是新鮮的詐騙手段,因為 WhatsApp 功能經常落後於其他即時通訊 apps,以時至今日仍為人垢病的限時銷毁訊息功能為例,時限選擇少,例外情況又多,因此用家在與特定群組互傳訊息時,或會使用 Snapchat 或…

    不少專家均建議企業啟用多重因素驗證 ( MFA ),以保障員工帳戶的安全。不過,MFA 並非萬能,因為決策權始終握在用家手上。有黑客集團就將釣魚攻擊結合疲勞轟炸手段,令用家自動確認可疑的 MFA 驗證,例如 Uber 被入侵事件就是其中一個案例。 Call 車 app Uber 的員工帳戶早前被入侵,導致內部應用服務被塗改內容,以及發生數據外洩。事後黑客集團 Lapsus$ 其中一位聲稱 18 歲的成員承認責任,指入侵 Uber 只因對方的網絡安全措施非常弱。經調查後,網絡安全專家說這次事件相信是對方從暗網取得相關員工的帳戶登入資料,然後再利用釣魚攻擊,假扮成…

    一款保持低調的釣魚工具,最近被發現使用了極難被發現的 Browser-in-the-Browser 技術,竊取 Steam 遊戲內進階玩家的帳戶登入資料,由於並非彈出式視窗,因此不會被安全工具攔截,瀏覽器內顯示的訊息亦能製造安全假象,令目標難以察覺。 今年三月,安全研究員 mr.dox 開發了一套高性能釣魚工具,並示範了如何透過這個工具竊取 Steam、Microsoft、Google 帳戶登入資料的可行性。在相隔多月後,網絡安全公司 Group-IB 便發表了新報告,顯示利用這種技術竊取 Steam 玩家帳戶資料的方法正大行其道,而部分被竊取的高階玩家帳戶,其價值更由 10 萬美元至 30 萬美元,可見黑客憑藉這項釣魚工具的收入相當可觀。 Group-IB 專家指出,這款新的釣魚工具未有在暗網或地下討論區大肆宣傳,黑客戶而通過…

    雖然近年即時通訊 app 的選擇增多,不過,Meta 旗下的 WhatsApp 在用家數量方面始終佔有優勢,因此自然有較多騙徒利用來犯案。網絡安全公司 Cygenta 專家早前便列舉三種熱門詐騙手法,大家不妨同朋友分享,減少被騙機會。 扮熟陷阱:騙徒會假扮成目標的家人或愛人,聲稱因為遺失了電話而暫時用新號碼開設帳戶,經過一輪溝通搏取目標信任後,就會慌稱自己有金錢需要,說服目標轉帳金錢。雖然聽落好似好離譜,不過實際上並不罕有,例如假扮成目標的上司要求買點數卡的案例,就經常發生。 雙重驗證陷阱:為了保障帳戶安全,不少 WhatsApp 用家都啟動了 2FA 雙重驗證功能,登入時必須額外輸入經 SMS 發送的驗證碼,才能登入帳戶。不過,有騙徒在奪取了其中一個 WhatsApp 帳戶後,便會讀取受害者的聯絡人清單資料尋找下一目標,然後利用對方顯示的手提號碼重新登記帳戶,並以「朋友」身份向目標發送訊息,指錯誤將2FA驗證碼發送到對方帳戶,騙取目標提供驗證碼,從而奪取帳戶並重複犯案手法。 限時陷阱:騙徒會向特定目標或漁翁撒網式發出訊息,利用不同藉口引誘對方點擊連結或通過連結安裝惡意軟件。視乎當時社會熱門話題,魚餌或有差別,例如早兩年新冠疫情剛爆發,騙徒會發出感染 COVID-19…

    元宇宙(Metaverse)是當今科技界及商界的熱門話題, 雖然絕大多數企業都難以預測它的潛力和未來發展走向,但若不把握機會,待其成型才投入資源,恐怕會被競爭者早著先機。DICT 數智通訊服務供應商中信國際電訊 CPC(以下簡稱 CPC)及網絡安全服務供應商 Fortinet 早前便合辦了一場午餐研討會,邀請了羅兵咸永道會計師事務所(PricewaterhouseCoopers, 以下簡稱 PwC)專家,一同分析企業及早參與元宇宙的優勢,並提出需要關注的問題,確保企業能夠在摸索階段就善用資源。 摸索元宇宙應用 經驗有助開拓創新服務 如何透過元宇宙概念為業務帶來創意,是現時企業最關心的問題,PwC 顧問季瑞華先生(William Gee)說見到不少大品牌紛紛通過元宇宙推廣其產品,亦有企業和機構用於舉辦虛擬會議及設立產品展示區,更會配合穿戴式設備,例如 VR 眼鏡、體感裝置等,為客戶帶來更嶄新的體驗。他認為這些都是一些探索性的做法,因為眾所周知現時整個技術正處於起步階段,元宇宙的未來發展仍待探究。William 更以 SMS 短訊傳呼技術為例:「當年大家都覺得短訊傳呼技術很厲害,可以隨時隨地將訊息傳送給對方,所以一時之間有很多傳呼服務供應商湧現。大家也會隨身帶備傳呼機,秘書台服務亦成巷成市。但其實傳送訊息只是 SMS…

    數據洩露經常發生,幾乎每天都聽到相關事故。無論是甚麼行業、部門、地方,受害組織的規模從小型企業,至國際大企業都不能倖免。IBM 估計,2021 年美國公司的數據洩露平均成本為 424 萬美元,當涉及遙距工作,損失平均更增加了 107 萬美元。這篇文章將講解如何檢查自己的資料有否遭外洩及數據外洩的風險等問題。 企業遭遇數據外洩事故,其成本可包括以數百萬美元修復受損系統、執行網絡取證、改善防禦和支付法律費用,還涉及受數據洩露影響的個人客戶流失所致的損失。對於個人而言,損失可能就會變得個人化,損失或可能是工資、儲蓄和投資資金。 數據洩露是如何發生的? 根據 IBM,網絡攻擊者闖入公司網絡的最常見的初始攻擊手段,多數是利用外洩的憑證,這種方法佔了 20%。這些憑據可能包括線上洩露的帳戶用戶名和密碼,可能在單獨的事故中被盜;或是從暴力攻擊獲得,例如以自動劇本嘗試不同的組合,來破解易於猜測的密碼。 其他潛在的攻擊方法包括: Magecart 攻擊:British Airways 和 Ticketmaster 等公司都曾遇過這些攻擊,即惡意代碼被悄悄加入電子支付頁面,以偷取信用卡資料。 在網站…

    Cyber Security News 報道指,在擁有超過 25,000 名員工的企業環境中,數據洩露的平均成本約為 552 萬美元。目前已有不少知名公司成為網絡攻擊的受害者,他們因沒有採取適當的安全措施,而最終導致數百萬美元用於數據洩露相關的解決費用損失。網絡犯罪分子不單只攻擊大型企業,亦會滲透到各種規模的公司,並尋找可利用的安全漏洞。以下是可能導致企業損失數百萬美元的 3 個常見安全錯誤,以及我們該如何解決這些錯誤。 1. 不安全的第三方存取 IT 部門面臨的最大挑戰之一是要確保第三方無法存取公司網絡。存取應從開放策略轉變為更受限制,即是零信任網絡存取(Zero Trust Network Access, ZTNA)。ZTNA 有效地取代傳統 VPN…