Super Mario 電影版早前大收旺場，有黑客「食住個勢」，借助其電腦遊戲的名氣，推出內藏挖礦及木馬程式的惡意版本，再通過在遊戲討論區、社交平台及暗黑 SEO 技術推廣。雖然未知有多少受害者，但憑著 Mario 電影掀起的熱潮，相信都有不少人會跟風安裝遊戲，真正玩出禍。 想知最新科技新聞？立即免費訂閱 ！ Mario 電影大收　遊戲舊作被黑客利用 早前任天堂公司的靈魂遊戲人物 Mario 推出電影《The Super Mario Bros. Movie》，短短兩個多月全球票房已突破十億美元，雖然影評毁譽參半，有人指劇情欠奉，而遊戲迷則大讚畫面重現遊戲各種元素。不過有十億美元票房在手，始終有一定影響力，因此全球各地都掀起 Mario 旋風，就連舊作的下載量都大升。…

TP-Link 路由器失守！專門出租 DDoS 殭屍網絡的集團 Condi，上月開發出一個惡意軟件，利用 TP-Link Archer AX21 Wi-Fi 6 無線路由器的漏洞，將設備變成殭屍網絡。由於這款 Wi-Fi 6 無線路由器主打家庭用家及小企業，相信受影響的用家非常多，亦再一次顯示犯罪集團持續擴大殭屍大軍的決心。 想知最新科技新聞？立即免費訂閱 ！ DDoS 攻擊的破壞力及阻截難度有多大，經過月初 Microsoft 雲端服務陷入癱瘓事件已可略知一二。雖然現時黑客已掌握到放大（amplifiy）數據封包的技術，但攻擊的成功率仍與控制的殭屍大軍數量有很大關係，因此黑客並不會放過任何機會，甚至會與同行鬥快插旗，肆意攻擊所有存在漏洞的設備。…

VulnCheck 專家發現，有黑客假扮成網絡安全研究員發表虛假的網絡安全概念驗證（PoC），並通過營運偽冒的 Twitter 及 GitHub 帳戶，吸引同業下載，目的是感染他們的電腦設備。雖然黑客經常透過不同詐騙手法攻擊不同人士，但這次以網絡安全同業為目標，到底有甚麼好處？ 想知最新科技新聞？立即免費訂閱 ！ 黑客經常使用不同詐騙手法散播惡意軟件，例如以破解版或具有額外功能的遊戲或影片編輯軟件為餌，令相關人士下載安裝，黑客便可將對方的電腦變成殭屍大軍成員，又或偷取對方儲存在電腦內的帳戶認證謀利。而為擴大感染範圍，黑客更會在社交平台上賣廣告，或以暗黑 SEO 方法提升儲存惡意軟件網站的搜尋排名，這些都是近年黑客常用的手法。 假冒網安公司發表研究報告 而在這次由 VulnCheck 專家揭發的釣魚陷阱中，黑客至少在今年五月開始便假冒成 RAPID7 網絡安全公司的研究員發表各式各樣的網絡安全研究報告，例如以公開 Chrome、Discord、Signal、Microsoft Exchange 等常用軟件的零日漏洞概念驗證為名，吸引同業的注意。…

利用 AI 繪製的圖像可謂幾可亂真，不過近日有網絡不法分子利用深度偽造（Deepfake）技術，將社交媒體上的相片及影片，移花接木成色情內容。FBI 警告這類網絡色情勒索（Sextortion）的案件有所增加，提醒大眾在網上公開相片時要小心。 想知最新科技新聞？立即免費訂閱 ！ 儘管是一些普通的日常相片及照片，放到網上後，卻成為了不法分子用作勒索的素材。 FBI 表示，截止 2023 年 4 月，此類案件有上升趨勢，但未說明收到多少投訴，只指出犯罪集團已有數以千計的同類計劃，受害人更包括不少未成年人士。 或要求受害人傳送真裸照 根據受害者表示，不法分子多數會要求受害者支付贖金或其他物品（如禮品卡），否則便向其家人或朋友發布，又或者要求受害人發送真實的裸照或影片作為交換。有不法分子會跳過勒索部分，將用 AI 製作的假影片直接發布到色情網站，對受害人造成滋擾，甚或要求受害者支付費用，換取刪除已上傳的相片及片段。 專家建議在網上發布相片或影片時，應只向私人朋友分享，至於作為家長，則應該留意子女的網上活動，不時在網絡搜索及檢視子女的資料。 資料來源：https://www.bleepingcomputer.com/news/security/sextortionists-are-making-ai-nudes-from-your-social-media-images/

台灣科技公司 GIGABYTE 電腦主機底板的韌體更新程序，被發現存在可被黑客利用的安全漏洞，涉及超過 270 款底板。事件曝光後，GIGABYTE 急急推出安全更新，雖然被攻擊的風險不算太大，但廠方仍建議企業盡快跟進。 想知最新科技新聞？立即免費訂閱 ！ 今次事件由硬件安全公司 Eclypsium 舉報，從其研究報告可見，這次的問題出在 GIGABYTE 處理底板韌體的程序上，令黑客可透過中間人（MiTM）攻擊，於更新過程插入惡意軟件。 底板使用 WPBT 功能　安裝自動更新應用程式 專家指出，Windows 作業系統提供一個名為 Windows Platform…

經過多年訴訟，Amazon 將會支付 3000 萬美元（約 4.2 億港元），解決旗下的家庭安全攝錄系統 Ring 及 Alexa Virtual Assistant 智能語音助手未能確保客戶私隱安全的指控。其實這類可獲取視頻及語音使用權限的產品，雖然可以為日常帶來很多方便，但如果未能清楚公司如何使用，反而會為用家帶來危險，例如之前就有 Amazon 員工，偷用 Ring 去睇過千女用家沖涼及換衫…… 想知最新科技新聞？立即免費訂閱 ！ 這次由聯邦貿易委員會（FTC）及司法部針對 Amazon…

日本汽車製造商豐田繼發現逾 200 萬汽車用戶資料或外洩後，事隔約半個月，於跟進調查中再發現兩項人為錯誤，導致部分亞洲及大洋洲客戶的個人信息洩露長達 7 年之久，當中更包括姓名、地址及電話號碼等個人資料。 想知最新科技新聞？立即免費訂閱 ！ 豐田在上月中表示，由於雲環境設定錯誤，令 215 萬汽車用戶的資料外洩 10 年，除了向外界致歉並更改雲系統設置外，亦隨即對負責營運雲平台的汽車數據手機公司 Toyota Connected Corporation 展開調查。經過詳細調查後，豐田果然發現由 Toyota Connected Corporation 所管理的雲環境中，有兩項同樣出現人為設置錯誤，令外部能訪問部分客戶信息。…

早前Google開放多個新的頂級域名（Top Level Domain，TLD）註冊，容許網站登記使用，當中新增的 .zip 最具爭議性，有網絡安全專家指出有可能引發安全漏洞。事隔多日，網絡安全研究員 mr.dox 就製作出攻擊示範，利用虛假網頁假扮成 Windows File Explorer 及 WinRar 的解壓縮檔案畫面，轉數之快值得一讚。 想知最新科技新聞？立即免費訂閱 ！ 這次 Google 開放的新 TLD，除了 .zip…

中美關係持續惡化，除了在政治、經濟上角力，在科技及網絡攻擊方面也鬥得難分難解。Microsoft研究團隊最近發表的報告，便是涉及一個由中國政府支持的黑客組織發動的網絡攻擊活動，這個代號為 Volt Typhoon 的黑客組織自 2021 年便針對美國及關島的重要基建設施發動攻擊，相信是為未來有可能發生的軍事危機作出超前部署。 想知最新科技新聞？立即免費訂閱 ！ 現代戰爭早已不再是比併軍備及戰力，網絡攻擊也被視為非常有效的戰術之一。 早前 Google 在台灣舉行的資安大會上，威脅分析小組資深總監 Shane Huntley 便以俄羅斯及烏克蘭之戰為例，指出由俄羅斯政府支持的網絡黑客集團在戰爭中的重要性，例如他們在戰爭爆發前夕已大幅加強對烏克蘭的網絡攻擊，並且針對性破壞鐵路及其他關鍵基礎設施，企圖令市民對政府失去信心，並且向提供軍援的北約盟國發動攻擊。雖然這些攻擊未能助俄羅斯取得決定性的成果，但仍然被視為戰爭中重要的戰力。 而在這次 Microsoft 追蹤的 Volt Typhoon…

相信對於有建立網站提供對外服務的公司來說，如何強化網站的防護一直都是重要的課題，除了基本的防火牆、定期更新和維護、安全漏洞掃描，有些公司也會額外採購 WAF（Web Application Firewall），以強化網站在 SQL injection，XSS 攻擊的額外保護。 但是如果要防止爬蟲或是使用機器人與自動化程式進行的惡意行為，就需要使用人機辨識對連線來源作區分，分辨合理連線，並只允許合法使用者進行操作。 在網站上使用的人機辨識為 CAPTCHA（Completely Automated Public Turing test to tell Computers and Humans Apart），中文翻譯為「全自動區分計算機與人類的圖靈測試」，…