瀏覽器擴展程式經常很多「伏」，所以要用得小心，最好是查清楚是安全的工具方使用。繼早前假 ChatGPT 的擴展程式，又有安全研究人員發現了一種名為 Rilide 的新型惡意瀏覽器擴展程式。它針對如 Google Chrome、Brave、Opera 和 Microsoft Edge 的 Chromium 產品，並以騙取使用者的雙因素認證碼為目的，最終盜走用戶的加密貨幣。 想知最新科技新聞？立即免費訂閱 ！ Rilide 惡意軟件的入侵途徑是透過注入網頁 Script，以監控瀏覽器活動，截取屏幕截圖，繼而竊取加密貨幣。Trustwave SpiderLabs 的研究人員發現，Rilide…

不少企業管理者都說重視網絡安全，實情卻是另一回事。早前有網絡安全公司研究員利用掃網神器 Shodan，掃瞄面向外網的端點安全性，結果竟然發現有超過 1,500 萬個公開事例（instance）中，至少有一個美國 CISA 公布的 KEV 已知漏洞存在，部分漏洞更早於 2012 年已被供應商修復，有多重視網絡安全？一 check 就現形。 想知最新科技新聞？立即免費訂閱 ！ 美國安全機構 CISA 有一套 KEV 已知漏洞目錄，編撰目的是希望能讓政府部門、企業或機構可第一時間檢查哪些產品或服務存在安全漏洞，根據資料顯示，現存的已知漏洞共有 896…

一般企業收到遭勒索軟件攻擊的電子郵件時，都會方寸大亂，更何況是曾經的受害者？最近有網絡不法分子看中此「商機」，竟然假冒黑客，向目標公司假稱已遭勒索軟件攻擊，並威脅如未能收取贖款，便會公開或出售重要數據。有專家直言這種做法低成本，相信趨勢會繼續下去。 想知最新科技新聞？立即免費訂閱 ！ 網絡安全公司Coveware早於 2019 年已觀察到這種方式的騙局，並稱之為「Phantom Incident Extortion」，騙徒試圖利用目標特有的數據，令威脅更為可信，讓受害者感壓力。 今次事件的背後攻擊者以 Midnight 之名，至少從 3 月 16 日開始，針對美國公司作攻擊。他們在電子郵件中，冒充勒索軟件和數據盜竊集團，聲稱自己是入侵的始作俑者，並竊取了數百 GB 重要數據。 其中一封發給石油添加劑企業職員的電子郵件中，騙徒在文中以「This is Silent…

近月 ChatGPT 風潮迅速吹襲全球，成為 IT 界及網民的新寵兒，大型科企如微軟、Google、百度等都着力開發同類的應用程式軟件，投入龐大資源去優化更切合人類需要的 ChatGPT，相信不用多久它就會成為我們日常使用的 AI 工具，為我們解答甚至解決各種問題。 想睇更多專家見解？立即免費訂閱 ！ 然而，不良分子卻趁着這股熱潮混水摸魚，進行詐騙。香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）早前就發出公告，提醒用戶要小心假冒 ChatGPT 的網站與應用程式。 據網絡安全情報公司 Cyble 的報告指出，坊間已有超過 50 個假冒和惡意的應用程式，正使用 ChatGPT 商標，進行…

不少勒索軟件集團一旦成功入侵企業，一般都會獅子開大口，用解鎖電腦、檔案或公開盜竊的機密資料，向受害企業開出天價贖金。不過，網絡安全公司 Trellix 最新捕捉到 Dark Power 勒索軟件集團就反其道而行，就算使用的加密技術有不俗成功率，最終都只是開出約一萬美元贖金，用糖衣價錢令怕麻煩的企業屈服，好可能又會成為一股新潮流。 想知最新科技新聞？立即免費訂閱 ！ Dark Power 勒索軟件有多個獨特的地方，首先是它使用一種跨平台的程式語言 Nim 開發，在運行速度上具有多個優點，特別適合用於勒索軟件上。而且由於 Nim 在網絡犯罪世界中不屬於主流程式碼，因此具備較大的網絡安全工具檢測逃逸能力。 而在 Trellix 專家取得的病毒樣本中，他們發現 Dark Power…

又多一個黑客集團利用Microsoft OneNote 附加文件去散播惡意軟件，新加入的集團並非新手，而是犯罪往績纍纍的 Emotet。專家指集團螫伏三個月後，再度回歸時的開局雖然不太理想，只感染到極少量企業帳戶，但經調整策略、跟隨大趨勢使用 OneNote 附件，感染率即大增。到底 Microsoft 要等到幾時先出手堵塞安全漏洞？ 想知最新科技新聞？立即免費訂閱 ！ Emotet 黑客集團主要靠木馬軟件起家，當成功引誘企業員工打開檔案，內藏的木馬軟件就會植入電腦，除了會用於竊取企業機密資料，還會引入其他惡意軟件包括勒索軟件、殭屍網絡等。 在 2021 年，Emotet 曾被歐洲刑警利用集團自己的伺服器，暗中向受感染設備自動發送剷除指令，連根拔起整個集團，但在 2021 年末，Emotet 已開始利用 TrickBot…

ChatGPT 的熱潮令人人都愛上用 AI 處理工作，有不法分子又瞄準機會作惡，今次被利用的是 Google Chrome Extension。一個用上彷 ChatGPT 商標的 Chrome Extension 套件，被發現具有劫持 Facebook 帳戶及能建立偽管理員帳戶的能力，反映網絡罪犯們散播惡意病毒的方法確是層出不窮。 想知最新科技新聞？立即免費訂閱 ！ ChatGPT 推出僅兩個月，就已經擁有 1 億名用戶，在全球掀起一波又一波的討論，其利用價之高也可想而知…

美國 FBI 剛發出網絡安全警告，指有詐騙集團利用區塊鏈遊戲的邊玩邊賺（play-to-earn，又稱 P2E）玩法，引誘玩家將資金兌換成加密貨幣再上存電子錢包，有玩家更在注入大量加密貨幣後被騙徒一次過清空。有意嘗試這類遊戲，就要認清楚以下風險。 想知最新科技新聞？立即免費訂閱 ！ 邊玩邊賺錢好似好荒謬？但其實近年已有不少遊戲以這個概念吸引玩家加入，例如有港資背景的SANDBOX ALPHA就是一款開放世界的線上遊戲。要在遊戲內賺錢，玩家可以透過交易虛擬土地和 NFT 賺錢，此外，在 Season 2 中，玩家只要完成越多遊戲體驗，便可自動獲得 SAND Token 再換取現金。 由於這是開發公司壯大遊戲玩家的手段，例如 SANDBOX 便在短時間內，將玩家數量由數百萬增加至數千萬，因此邊玩邊賺絕非無可能。 在美國…

ESET網絡安全專家發現，一款名為 BlackLotus 的惡意 UEFI 啟動套件正被濫用，由於這套件會直接嵌入到 UEFI 系統韌體，因而具有最高權限可完全控制作業系統的啟動過程，並停用系統核心級別的安全防禦機制，即使用家已將 Windows 11 完全更新也無法阻止攻擊，成為首款被公開可繞過 Secure Boot 的惡意入侵工具。 想知最新科技新聞？立即免費訂閱 ！ UEFI（Unified ExtensibleFirmware Interface）是一種為了取代傳統 BIOS 而設的系統，它可於作業系統啟動前，將電腦硬體初始化及進行診斷，提升開機速度。由於會早於作業系統啟動，因此黑客如成功利用該漏洞，便不會受作業系統權限所限制，同時亦無法被防毒軟件偵測。…

網絡安全公司 Sysdig 為客戶調查一宗入侵事故時發現，黑客利用客戶的 AWS 雲端應用服務設定漏洞，乘機在雲環境安裝挖礦程式，更進一步利用 call API 功能取得帳戶登入資料，繼而入侵至受害企業的雲端架構，最終盜取近 1TB 機密資料。雖然大家都趕著數碼轉型，但如未充分理解安全盲點就移雲，好易出事。 想知最新科技新聞？立即免費訂閱 ！ 近年不少企業都趕忙數碼轉型，採用更多雲端服務，不過，由於現有的 IT 員工未必熟悉雲環境，因此在設定上有可能出現安全漏洞。Sysdig 早前處理一項網絡安全事故，發現入侵的黑客非常熟悉雲環境，令他們可以憑著客戶一個對外開放的雲端應用服務漏洞入侵，而且更滲透至雲端架構，盜取到大量機密資料。 專家解釋，黑客首先入侵了客戶在 AWS 上掛載的 Kubernetes，並在內裡安裝了一個挖礦程式。之後黑客便利用特製程式碼取得企業其中一個帳戶登入資料，再以…