平常使用手機，都會設置密碼保障個人資料，但如果黑客可以在不輸入正確密碼下成功開啟你的電話，密碼就形同虛設。外國有網絡安全研究人員意外發現可以透過Android手機系統漏洞，繞過密碼鎖屏，直接進入主畫面，令人防不勝防。 繞過鎖屏的方法亦十分簡單，只需一分鐘及幾個步驟：首先輸入錯誤 PIN 碼三次，令手機被鎖上；然後換另一張 SIM 卡，再輸入錯誤的 SIM 卡密碼讓 SIM 卡被鎖；這個時候手機會要求輸入 PUK 碼（個人解鎖碼，即由電訊供應商提供的 SIM 卡代碼）解鎖 SIM 卡；就隨後可以重置 SIM 卡密碼，繞過原本的鎖屏密碼，直接進入主螢幕。 造成漏洞的原因是 Android…

經過 FBI 十年通緝，惡名昭彰的網絡犯罪集團 JabberZeus 首腦之一 Vyacheslav Igorevich Penchukov（網名Tank），上月在瑞士日內瓦被捕，正等候被引渡到美國。美國當局指其犯有敲詐勒索、銀行欺詐及身份盜竊等罪名，盜取銀行賬戶中數百萬美元。有指由於 Tank 與烏克蘭前總統亞努科維奇家族關係密切，令他一直能逍遙法外。 身為烏克蘭人、年約 40 歲的 Tank 擁有另一網名「father」，來自烏克蘭東部的頓涅茨克——一個傳統上屬親俄的地區，曾是當地一個著名的 DJ。 Tank 在家鄉時曾以「DJ Slava Rich」之名擔任…

商務電郵詐騙（Business Email Compromise, BEC）的攻擊對於企業而言難以防範，因為騙徒會冒充大品牌或企業客戶，發出具針對性的攻擊，騙取受害人的信任。最近又有一個名為 Crimson Kingsnake 的 BEC 組織出現，假扮國際知名律師事務所，藉以誘騙收件人就逾期發票付款。 Crimson Kingsnake 透過冒充是律師，向目標發送逾期付款的發票，並聲稱在一年前曾為他們提供服務。這種冒充知名機構發出具針對性攻擊的方法，是典型 BEC 攻擊，並要求目標對象立即付款，倘受害者不虞有詐付款就正中下懷。 Abnormal Security的分析師於 2022 年 3 月首次發現…

Microsoft安全專家發出警告，不少企業未有做好 IoT（物聯網）設備的安全防護，連帶一些工業控制系統也曝露在網絡攻擊之下，而在研究報告中，就發現有一間英國供水公司，竟只採用存在已知漏洞的家庭版 Wi-Fi router，黑客入侵後便可隨時干擾供水系統，造成大規模制水。 隨著愈來愈多企業引入 IoT 設備，但又缺乏安全管理，成為網絡安全業界其中一個最迫切需要解決的問題。過往透過不安全 IoT 裝置入侵企業內部網絡的事故經常發生，例如澳門一間賭場，便因其智能魚缸溫度計存在漏洞，令黑客成功入侵盜竊客戶資料。而 Microsoft Defender Threat Intelligence 團隊發現的英國供水公司漏洞，便與其他個案非常類似。 專家解釋，當團隊使用一些開源工具掃描網絡上存在的 IoT 設備時，便發現了 Draytek 一款家用版 Vigor…

以色列網絡安全公司KELA發表最新調查報告，指專門出售入侵企業帳戶權限的黑客活動，在 2022 年第三季的數字雖然保持相若，但累計要求的報酬卻大幅上升至 400 萬美元，而且從各種網絡攻擊的數據可見，這些入侵權限最常被利用於勒索軟件攻擊之上，企業管理者應盡快堵塞入侵門路。 無論是勒索軟件或資料盜竊活動，在進行網絡攻擊前，必須先進入企業的內部網絡，例如勒索軟件集團 LockBit，便經常在暗網或地下討論區上刊登廣告，邀請擁有企業帳戶權限的人合作，由對方提供入侵門路，LockBit 則負責入侵、執行勒索軟件、與受害公司商議贖金及收款等工作，事後便會與帳戶權限提供者對分贖金。 出售企業帳戶權限拆家 ( Initial Access Brokers, IAB )，本身也是網絡犯罪世界中其中一門專業，KELA 網絡安全專家指出，他們或許因為缺乏入侵企業內部網絡的技能，又或不願冒上更大被捕風險，因此在取得企業帳戶登入權限，便選擇退居幕後，僅以出售帳戶權限謀利。 而在 KELA 發表的 2022…

元宇宙加速發展，企業積極運用新興科技，加快數碼轉型和上雲部署，但過程中企業會面對越來越多網絡威脅，所以必須要提升整體應變能力。香港電訊商業客戶業務方案及市務主管吳家隆（Steve）表示，網絡攻擊嚴峻和 IT 人手不足，都是企業的重大挑戰，HKT 作為全方位的網絡安全託管服務供應商，一直緊貼市場，推出多元化的網絡安全託管服務。 由 ISO27001 認證的 NG SOC（Next Generation Security Operation Centre），以及一班本地專家，24×7 全天候支援，有助解決企業當務之急。Steve 續稱，「我哋嘅網絡安全託管服務涵蓋多個範疇，包括 TMS, DDoS Protection, Firewall 及…

無論問哪個老闆或管理層，都一定會大大聲話網絡安全是重中之重！不過一講到錢就傷感情，有調查報告顯示，在英國的科技公司中，只有 1/3 人事部願意在未來 12 個月出一萬英磅去聘請網絡安全員工，或進行安全培訓。相比起被勒索軟件攻擊後動輒數十萬美元起跳的贖金，看來大家聲稱重視網絡安全，純粹只是口號。 有關網絡安全的話題近年愈來愈普及，原因之一在於新冠疫情期間，企業被逼快速引入各種遙距工作工具及雲端服務，不過由於員工要離開公司內部網絡工作，因此企業管理者都會關注網絡安全問題，以保障公司機密不致外洩。 另一方面，勒索軟件集團亦在這段時間冒起，事關不少企業 IT 管理員仍未熟悉遙距工作工具及雲端應用服務的運作，安全設定出錯令公司中門大開，因此不少國際大企業都在這段期間失守，例如美國燃油公司 Colonial Pipeline、IT 服務管理公司 Kaseya 等等，不單影響巨大，黑客勒索的贖金亦高達數以百萬美元。 早前 IBM 一份調查報告顯示，企業一旦遭受勒索軟件攻擊，損失平均約 500 萬美元！由於勒索軟件集團經常向傳媒報料，因此近年有關網絡攻擊事件便常被廣泛報導，照理說，企業管理者應該會盡量避免成為受害者而加強網絡安全防禦力。 不過，多份調查報告均顯示，企業老闆或管理者不願出資去提升網絡安全，除了上述由科技培訓公司…

IT 界專才短缺，其中網絡安全人才更是需求甚殷。根據ISC2（國際信息系統安全認證聯盟）發布的一項最新研究，全球網絡安全人員的數量破紀錄，而亞太區的網絡安全勞動力增長速度雖然最快，但仍難以追上逾 216 萬人才的短缺。 ISC2 是一個由經過認證的網絡安全專業人士組成的全球非牟利機構，根據其 2022 年網絡安全勞動力研究結果，今年全球網絡安全專業人員的數量達到近 466 萬的創紀錄水平，當中 859,027 人位處亞太地區。ISC2 這項線上調查於今年 5 月至 6 月期間與 Forrester Research 合作進行，並對負責其工作場所網絡安全的…

電郵安全公司 Green Radar 劍達（香港）公布第二季電子郵件威脅指數，發現電郵威脅風險大幅上升，其中來自本地的網絡釣魚電郵威脅越來越多，模仿品牌貼近日常生活，令企業受到攻擊機會大增。 現時電郵安全方案為企業的必需品，大中華區領先的電信中立網路服務供應商第一線 DYXnet（互聯科技NEOLINK 成員）聯乘 Green Radar 推出最新的電郵安全方案，採用 Green Radar 的 grMail 技術，其「保安即服務」功能，全天候為企業杜絕經郵件為企業帶來的災難。 「本地化」網絡釣魚電郵為企業響起警號 Green Radar 銷售執行副總裁馬偉雄分析指，網絡釣魚電郵升幅十分明顯，這些電郵亦漸趨「本地化」，如假冒港鐵、PayMe 等要求填寫個人身份證號碼及信用卡資料等，因為品牌貼近日常生活，令企業更易受騙，受到攻擊機會大增。…

LinkedIn宣布加強安全功能，阻止近年愈來愈多黑客透過平台詐騙。新加入的帳戶驗證機制，以及持續以先進人工智能技術辨識虛假帳戶，均可提高用家的安全意識及打擊假帳戶，讓用家用得放心。 近年不少黑客都透過職場社交平台 LinkedIn 犯案，原因有多方面。首先，由於用家都會樂於上載詳細資料到平台，以便讓潛在僱主找到自己，因此黑客可簡單地利用搜尋功能找到目標，同時亦可訂立更個人化的社交工程攻擊，讓目標上當。 其次是大部分用家都以尋找新工作機遇為目標，因此對於來自大公司的工作邀請，更易上當。詐騙活動近年經常發生，比較著名的有北韓黑客集團 Lazarus 以虛假的工作職位為名，引誘英國、印度及美國等地從事 IT 及媒體工作的職員，打開假扮成職位資料的文件，實際上卻在對方電腦上安裝木馬程式，以便黑客刺探目標公司的內部機密。其他手法還包括引誘對方到其他通訊軟件聯絡，或到訪釣魚網站，盜竊對方的個人及公司帳戶登入資料。 LinkedIn 為了打擊上述詐騙活動，宣布即日起陸續推出新的安全功能。其中之一的「About this profile」，可顯示登記用家是否已通過公司電郵或電話驗證，如黑客要假扮為某間企業員工，並在個人資料上顯示目標公司的電郵地址，便要先通過驗證，否則便不會獲得驗證標記。 新加入的人工智能技術，則會無間斷地偵測所有用家的帳戶使用情況，包括帳戶相片、登入平台後的活動內容，如發現可疑行為，便可能會凍結用家帳戶，或對其他用家發出警告。LinkedIn 強調相片辨識上毋須使用生物辨識技術，即用家毋須先通過人臉辨識，系統也可憑人工智能找出虛假相片。 新加設的 「About this profile」 功能。…