Search Results: AI (779)

    網絡威脅無孔不入,其中透過電郵入侵更是常見的手法,在疫情影響下,對網絡及雲端環境的依賴,令危機擴大。電郵安全公司 Green Radar 劍達(香港)有限公司發表香港首份電郵威脅指數報告,第二季指數顯示為 63 分(最高為 100 分),反映企業面臨的風險水平維持高位,當中釣魚電郵(Phishing Email)及商務電郵詐騙(BEC)處於高風險水平,惡意軟件(Malware)的威脅則處於中風險水平,企業應保持高度警覺。 Kenneth 指,商務電郵詐騙(BEC)屬新型威脅,處於高風險水平。 報告公布 2021 年第二季度首個電郵威脅指數 Green Radar Email Threat Index(GRETI),有別於一般以全球數字作基準的分析,Green Radar…

    研究發現,71% 企業或機構曾在過去一年遭受商業電郵詐騙攻擊 (BEC),而美國 FBI 在過去一年接獲的 19,369 求助中,計算中企業或機構的累計損失高達 18 億美元,屬 2020 年最昂貴的網絡攻擊。而要阻止 BEC,不能單靠電郵防護系統或員工,更重要是結合行政管制政策,全方位堵塞漏洞出現。 商業電郵詐騙攻擊 (Business Email Compromise) 的攻擊手法大致可分為三類,分別是假扮寄件人,或盜用帳戶進行各種詐騙手段,例如轉帳金錢、開啟釣魚網站連結或打開惡意軟件。BEC 相較一般釣魚電郵的不同之處在於它並非漁翁撒網,而是有目標地攻擊企業或機構內的職員。為了假扮成公司內的高層或員工,BEC 罪犯通常會潛伏在內部網絡或電郵系統內一段較長時間,以了解內部架構、生意夥伴的合作業務等情報,甚至偽裝目標的慣常用字,提高詐騙電郵的成功率。以涉及金錢轉帳的騙案為例,日本媒體 Nikkei…

    人工智能可取代大量人力工作,但與此同時好多人最驚 AI 連人力市場都一併取代。到底廣泛使用AI會否增加失業率,還是可以提高個人生產力?就要視乎雇主同僱員點樣應對這種變化。 軟件開發商 InRule 最新一項調查發現,隨著機器學習(Machine Learning)和其他形式的人工智能應用愈趨普遍,近三分之二的企業決策者擔心工作不保。他們不僅擔心輸給機器人,同時亦憂慮人工智能可能存在數據分析缺陷或判斷錯誤,導致他們使用了錯誤的分析作決策,有可能被追究責任。研究員認為這種想法源自決策者對人工智能的誤會太深,他們仍以為人工智能必須由數據科學家等專家才能駕馭,同時仍從取代人類勞動力去評估AI的「危險性」,因此打從心底對AI存有戒心。事實上,人工智能並不一定擔當淘汰人力的壞角,它可以幫助組織各級員工,提高他們的生產力。 SymphonyAI 的專家 Pradyut Shah 說,當企業或組織決定引入人工智能時,它不可能一開始便懂得自己要做什麼事,反而須由人去教懂它。這方面數據科學家將承擔大部分責任,但打後人工智能便會交由低級別員工管理,擔起重複性及無聊的任務。在已經受到 AI 影響的員工中,75% 的人表示 AI 正在幫助他們做出更好的決策,而且不少人認為人類和 AI 合作,雙方都會獲得提升。專家認為單純為了減少人手而部署 AI…

    企業依賴不同網絡安全服務供應商維護,但黑客攻擊一樣都有服務提供!犯罪即服務 (Crime-as-a-Service, CaaS) 是有經驗的網絡犯罪分子,出售對執行網絡犯罪所需的工具和知識,並多見於發動網絡釣魚攻擊。CaaS 可謂是令人人都可以成為攻擊者的途徑! 對於黑客來說,利用網絡釣魚手法,是竊取組織的數據最簡單方法之一,但一般而言,成功發起網絡釣魚活動的網絡攻擊者,需具備技術和社交工程知識相關經驗。但隨 CaaS 的出現,幾乎任何人都可以通過支付些微費用,搖身一變成為網絡釣魚高手。 CaaS 服務供應商會向業餘攻擊者,提供讓他們能自己成功發動網絡釣魚攻擊所需的一切,包括詳盡的攻擊目標列表、電郵模板等。攻擊者甚至可以支付存取已被入侵的伺服器,以更容易隱藏痕迹,在入侵時的障礙減少,將令網絡釣魚攻擊變得更易,對被針對的目標組織來說將會是很大的難題。CaaS 令網絡釣魚成為一種對網絡犯罪分子而言,更具吸引力的攻擊方法,因為它更易存取資料,兼且勞動力低。當攻擊者可使用現成的網絡釣魚攻擊,來攻擊目標機構的安全漏洞時,就不需花費數月時間尋找漏洞,更可令網絡釣魚活動更容易擴展,換言之犯罪分子執行攻擊所需的時間和精力將減少。 CaaS 具有可下載的模板,令缺乏相關知識的攻擊者同樣可發動攻擊,提升釣魚電郵成功進入企業員工的電郵信箱的機會,例如內容加密、隱藏附件中的 URL 來逃避檢測。由於攻擊者能夠執行大量技術複雜的攻擊,因此對組織的威脅是顯而易見的。最令人企業擔憂的是,這些釣魚活動易於執行且非常有效。 由於使用 CaaS 工具執行的網絡釣魚攻擊大多針對員工,付企業及組織更難解決問題。他們使用社交工程策略來欺騙終端用戶,大多是透過欺騙信任和緊迫性的手段。他們可以使用公開的情報,例如從公司網站、社交媒體資料和過去的數據洩露中收集數據,以製作可信的魚叉式網絡釣魚活動。 在 CaaS…

    再有調查發現,愈來愈多黑客利用開源 Python 套件倉庫例如 PyPl 作為散播惡意軟件的工具,所使用的手法包括串字錯誤 (typosquatting)、依賴混淆 (dependency confustion) 或社交工程 (social engineering),開發者如果隨便下載有問題的套件使用,廣大客戶將會受牽連! 供應鏈攻擊 (supply chain attack) 是近年黑客愛用的其中一種網絡入侵方法,因為黑客只須入侵開發者的上游服務供應商,之後就可以感染其客戶及用家,性價比極高。供應鏈攻擊可以分兩種類,一種是非法入侵官方伺服器,利用其服務的漏洞發動攻擊,或將惡意軟件替換成官方的更新檔,借助自動更新功能大規模感染下游客戶的電腦設備;另一種則毋須入侵,黑客可以將惡意軟件偽裝成存放於開享資料庫上的共享套件,再靜候獵物上釣,而今次由 JFrog 網絡安全研究員發現的情況就屬於後者。 專家解釋,開源資料庫一般缺乏自動化安全控制功能,未有詳細驗證用家上載的共享檔案是否含有惡意功能,因此如應用服務開發者未有對共享檔案進行安全檢測就使用,便有可能直接將惡意功能引入自家的軟件中,推出後便有很大影響。JFrog 便在知名…

    正所謂「工欲善其事,必先利其器」,打好份工、效率加倍,一部優秀的手提電腦,在辦公時不可或缺。富士通商業科技(亞太區)銷售及市場總監 Alistair Lam 表示,「新常態下催化混合辦公模式的發展及應用,同時洐生企業資料的安全問題,當中員工使用之手提電腦的保安配罝成重中之重。」全新 FUJITSU LIFEBOOK U9311 重約 885g、厚度只有 15.5mm,更具備一系列防護功能,降低被入侵的機會!無論是規格抑或是保安功能,均能滿足企業需求。Alistair Lam 指出,「在『網絡安全』對抗入侵、『身份識別』增強保安、『設備壽命』支援維修三個場景下,FUJITSU LIFEBOOK U9311 都能夠幫助企業無憂適應混合辦公模式,多管齊下全面獲得保障。」 第1重:NTT Ltd流動數據連接 避免使用不安全WI-FI LIFEBOOK U9311…

    香港互聯網註冊管理有限公司(HKIRC)舉行「網絡安全青年計劃2021頒獎禮」,活動為 HKIRC 首次舉辦的全新活動,冀加強年青網絡安全的認知和知識,並由資訊科技教育領袖協會 (AiTLE) 擔任協辦機構,及獲政府資訊科技總監辦公室支持。計劃共有來自超過 56 間中學、逾 100 名學生,參與為期 4 天的免費網絡安全課程,內容涵蓋網絡攻擊及防禦培訓、伺服器漏洞、系統基礎及攻擊鏈等,在完成課程後,同學進行了一場網絡安全比賽,把所學到的知識應用其中。 香港互聯網註冊管理有限公司行政總裁黃家偉表示,在為期 4 天的課程中,除了教授基本的網絡和安全知識外,亦透過互動的學習環境,讓學生進行網絡滲透測試、識別網絡漏洞等,盼參與學生在完成計劃後,能提升他們對網絡安全的意識和興趣。他亦感謝學界對活動的支持和參與。 因應互聯網和電子商貿發展趨勢,網絡安全對企業和機構的重要性不容忽視,各類型的網絡威脅如勒索病毒、新型攻擊工具、惡意軟件等,也日漸普遍,故此全球對網絡安全人材需要殷切。外國有報告顯示,全球共有超過 300 萬個網絡安全職位空缺有待招聘,因此 HKIRC 希望透過計劃增加參與學生對日後從事網絡安全工作的興趣。 黃續指,HKIRC…

    勒索軟件攻擊在新常態下爆炸性增長,但不少企業未有能力抵禦勒索軟件的加密入侵,隨時令企業蒙受數據被鎖的困境,影響營運效率之餘,得失客戶。雲端數據管理備份解決方案供應商 Veeam 推出最新 Backup & Replication v11 產品方案,具備 4合 1 主要功能:Storage Snapshots、Backup、Replication 及 Continuous Data Protection(CDP),保護備份資料,提升保護效益及彈性,配合 IT 企業方案服務供應商 Multisoft 的支援,助企業能以更高成本效益達到保護數據的最佳效果。 隔離外界攻擊 保護備份資料防遭加密 Veeam 台港澳資深總監 Joseph Chan 形容,如何做到無間斷的數據安全保護措施是市場趨勢,而備份及防護措施傾向一體化處理,在遇到勒索軟件攻擊之後,如何極速回復數據及讓備份數據不受攻擊,自然成為企業的「最後一根稻草」。Veeam Backup & Replication v11 其中一個主要功能是保護已備份的數據,不被 re-write 及加密,Joseph 形容原理是將數據放進 Veeam immutable storage 內,隔離外間攻擊,Multisoft 稍後舉辦的網上研討會設有demo section 作更詳盡介紹。 CDP技術回復數據極快 停機時間大減 Joseph 特別提到,勒索軟件攻擊是難以防備,只是多少數據遭到加密的分別,因此最好的方法是預先做好備份的工作,而 Veeam Backup & Replication v11 的 CDP技術令回復速度極快,其中 Recovery…

    守護社會大眾網絡安全,的確「任何仁」都做得。愛爾蘭政府用於查證市民疫苗注射、檢疫記錄的網站,竟然手殘註冊了一個串字有錯誤的網址,好在兩個眼利國民及早發現,主動註冊正確網址再將訪問請求轉駁返官網,否則隨時可被有心人搶佔用作釣魚網站,令市民私隱陷入危機。 上星期五,愛爾蘭政府啟動新服務,允許過去六個月內的新冠病毒康復市民到網站登記,填寫個人資料以領取數碼新冠病毒認證。這張認證除了康復者可以獲取,其他還有已接種疫苗及最近曾獲陰性檢查的國民,讓他們可以自由出入當地餐廳酒吧,以及在歐盟成員國及歐洲經濟區免檢出入境。 官方原本登記的網域名稱應該是 irishcovidcertificateportal .org,不過,有兩個眼利的市民──記者 Adam Conway 及電腦科學生 Fionn Kelleher 卻發現,註冊的網域名稱竟然在 certificate 部分少了一個i字。他們於是立即買下正確網域名稱,再將網站訪問請求自動轉駁回官方錯誤註冊的網址。二人表示,如果錯誤被犯罪份子發現,他們便可搶先註冊該網域名稱,然後偽裝成官方登記網站,誤導愛爾蘭市民填寫個人私隱資料。由於真假網站之間只相差了一個i字,市民被騙風險非常高,因此二人才急於買下該域名。 除了這個低級錯誤,Dell 軟件工程經理 David Molamphy 認為愛爾蘭政府還有其他可改善的地方,他認為比起以 .org 註冊網址,政府應考慮將網頁納入…