Search Results: Authenticator (13)

    登入 IG 或Google 帳戶時,如果有設定雙重因素認證(2FA)嘅話,相信對 Google Authenticator 一啲都唔陌生。呢個 app 可以為已連結嘅網上帳戶產生一個驗證碼,通常係一組六位數字,用戶登入帳戶時要喺限時內輸入驗證碼,否則驗證碼就會失效,需要重新再產生一組數字。 不過同類嘅 app 好似 Authy 或 Microsoft Authenticator,都容許多部裝置共用同一個帳戶,即係如果你要登入一個啟用咗雙重因素驗證嘅網上帳戶,都唔會限定你用死一部手機,只要喺女相關裝置上安裝呢啲 app 再登入返你個帳戶就得。不過,舊版嘅 Google Authenticator…

    啟用雙重(2FA)或多重因素驗證(MFA)技術,是守護企業員工帳戶的其中一種安全做法,不過,黑客近來開始使用新的入侵手法,轉移瞄準員工儲存在電腦瀏覽器內的 Session Token,因為可繞過 2FA 或 MFA 的再一次驗證,剛發生數據外洩事件的 IT 服務供應商 CircleCi,便是這種攻擊的受害者。 以往黑客要入侵企業內部網絡或雲端帳戶,最常做法是,從暗網或地下討論區購買外洩的帳戶登入資料,或以釣魚電郵騙取員工輸入密碼。 2FA 或 MFA 的驗證技術,某程度上可阻止黑客入侵帳戶,因黑客除了要持有帳戶登入資料,還要有額外驗證碼、硬件驗證金鑰或如 Microsoft Authenticator 產生的驗證碼等,故近年網絡安全服務供應商都會建議客戶採用,Microsoft 更指公司啟用 MFA…

    雖然近期 Google、Microsoft和Apple都各自在其平台推出了無密碼的驗證密鑰(passkey)功能,但大多數人仍然選擇使用自己的密碼。Google 最近開始透過FIDO 聯盟(Fast Identity Online Alliance)測試 Chrome 和 Android 中的驗證密鑰支援功能,而 FIDO 的密鑰是以智能手機傳感器進行生物識別身份驗證,以完成無密碼登入。Apple 於 6 月宣布 iOS 和 macOS 支援使用…

    一款於去年夏天出現的銀行木馬 Aberebot,最近被網絡安全專家發現推出升級功能測試版,新惡意軟件亦改名為 Escobar,網絡犯罪集團更於地下討論區刊登廣告,指現正招收新客戶,五個新客戶將可以優惠月費 3,000 美元使用服務,而且更可享用三日免費試用,早買早享受。 Aberebot 是一款專門盜取受害者銀行帳戶的木馬軟件,當網絡罪犯誘使受害者安裝軟件後,便可透過在指定的銀行網上理財 app 上覆蓋一層透明頁面,暗中將受害者輸入的帳戶登入資料上傳至黑客的 C&C 控制中心。而在今年二月,有記者發現該犯罪集團於俄羅斯語系的地下討論區上刊登廣告,指即將推出一款功能更強的 Escobar 銀行木馬,預計在正式推出時會以 5,000 美元月費租借給客戶使用。而集團現正推出測試版本,將會接受最多五個客戶申請,試用月費為 3,000 美元,成功申請的客戶更可享用三日免費試用期,率先體驗新功能的威力。來到今年三月初,MalwareHunterTeam 便首次捕獲到 Escobar 的病毒樣本,研究員指它偽裝成防毒軟件…

    SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生,但既然愈來愈多港人準備移民,當然要了解一下如何避免成為這種攻擊方法的受害者,特別是去年因 SIM-swapping 導致的損失高達過億美元,當中更有著名 KOL、體壇明星、名人,千萬不能掉以輕心。 所謂 SIM-swapping 攻擊,是一種透過非法手段,從電訊商員工手中騙取其客戶電話號碼使用權的攻擊,例如假扮其客戶訛稱遺失手機,要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼,或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作,不過由於被查出的風險較高,所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響,這類騙案較少在亞洲發生,而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼,可以參考以下社交工程 (social engineering) 攻擊的經典示範。 https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed 騙取到電話號碼使用權後,如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶),而又需要額外 SMS…

    Android 系統容許用家從非官方渠道下載及安裝應用軟件,可說是一把雙刃劍,一方面可讓用家自由安裝手機 app,但同時亦增加用家被黑客入侵的風險,例如最新發現的 Oscorp 惡意軟件,就透過疲勞轟炸手法令用家授予手機權限,一心軟或怕煩就出事。 意大利電腦網絡保安事故協調中心發出警報,指發現一種新 Android 惡意軟件 Oscorp 正在肆虐,一旦取得用家賦予手機 accessibility services 無障礙服務功能權限,即可暗中與黑客架設的 C&C 控制中心,偷取用家的 SMS 短訊內容、啟動 Google Authenticator 雙重身份認證 app,以及開啟錄影及錄音功能。…

    要數到本港最多個人用戶的電郵供應商,相信 Google 旗下的 Gmail 必然是頭幾位。Google Account 當然不只電郵這個功能,其 Google Drive 儲存空間等亦大受歡迎,絕對配得起「大神」這個名字。隨著我們把放在 Google 的資料愈放愈多,要避免被入侵帳戶以至私隱盡失,就要必須學懂管理個人 Google Account。一齊來看看科技達人 Ed Bott 的貼士吧。 Ed Bott 認為,使用…

    COVID-19、外交新秩序、WFH……來到 12 月,想不到 2020 年在人類大歷史上會再添新 Entry,今次難得有好消息;Microsoft 公布 Microsoft Passwordless Systems 按月用戶量突破 1.5 億人! 數碼化年代個人管理帳戶數目高速增長,但大眾未夠認真看待 Password,「Abc123」、「Password1」依然雄踞 2020 年最常用密碼排行榜,而 COVID-19 更讓黑客承機突破企業防線,盡情採摘個人資料。簡單講,這種水平的密碼,形同虛設,構成的保安漏洞令科技企業極度煩惱,Apple、Microsoft、Google、Facebook、Amazon、Intel、Paypal 等巨頭幾年前結盟,組織取名…

    透過人工智能技術編輯影片、相片或聲音檔案,達到以假亂真嘅 Deepfake 技術,由於效果實在太逼真,容易喺社會上散布虛假訊息,所以一直係全球政府及社交平台首要解決嘅問題。特別係美國總統大選在即,呢啲虛假訊息隨時可以令選情逆轉添!就喺呢個時候,Microsoft 宣布推出一套可以偵測 Deepfake 內容嘅工具 Microsoft Video Authenticator,借助人工智能去分析影片或相片中嘅瑕玼,再提供可信度俾用家自行判斷內容真偽,絕對有助打擊虛假訊息嘅散播。 點解 Deepfake 技術咁得人驚?因為佢都係利用人工智能深度學習嚟製造虛假內容嘅技術,一方面人工智能會自行產生愈嚟愈精細嘅內容,同時間另一組人工智能就會愈嚟愈精準咁識破虛假內容,喺兩套人工智能嘅競賽下,虛假內容自然愈嚟愈像真,好多時肉眼已分唔到真假。而 Microsoft 呢套工具,亦同樣使用人工智能技術,用咗 FaceForensics++公開嘅 1000 組 Deepfake 資料庫以及 Facebook…