日本愛井縣越前市警方為了減少市民成為網絡騙案受害者的機會，由去年開始陸續在市內三十多間便利店內放置具有防騙功能的繳費卡，至少拯救了兩個差點被騙的長者，其實這兩張卡沒有神奇魔力，只是將兩種最常見的網絡騙局寫在卡上，希望受害者發現，及早阻止對方受騙轉帳。 想知最新科技新聞？立即免費訂閱！ 福井縣去年因網絡騙案損失 7500 萬美元 網絡騙案越來越多，相信大家都曾接收過類似的訊息，甚至有身邊親友跌入陷阱，損失數以千元或被盜用信用卡資料。網絡騙案可說是無遠弗屆，所以世界各地市民都有機會中招。香港警方便於早前公布今年第一季騙案數據，指每日平均有四宗損失過百萬元的騙案發生，排頭三位的分別為投資騙案、電話騙案及求職騙案。常見手法是無差別地將目標加入群組，之後以不同手法推介對方購買加密貨幣，或以甜言蜜語哄騙目標上當，即所謂的「殺豬盤」。 另外又有假扮公安指目標涉及洗黑錢，要求對方提交銀行資料審查。而日本福井縣越前市同樣深受其害，當地警方表示，去年福井縣便因網絡騙案損失 7500 萬美元；而在今年一月，更已接獲 14 宗市民求助，涉案款項亦高達 70 萬美元。 成功阻止兩長者轉帳予騙徒 為了減低市民受騙機會，當地警方除了繼續以海報、廣告或派發宣傳單張形式，教導市民網絡攻擊的可怕之處，還想出一個新方法。警方開始與當地的便利店合作，在便利店的點數卡貨架放上兩張標明用於繳付電腦病毒、遲交罰款的繳費卡，等待懷疑自己已中招的人拿到櫃枱付款，便可由知道內情的店員幫忙解釋或轉介給警方跟進，在受害者轉帳前制止問題發生。 根據日本警方公布的資料顯示，推出計劃以來，已成功吸引兩位長者「幫襯」，原來他們都被騙徒說服，指他們的電腦已受到病毒感染，必須支付一筆清理費用，而當他們在便利店發現警方掛在繳費卡貨架上的假卡，便認為可幫助他們清除病毒，因而才被店員揭破騙局。 協助舉報的店員，將可獲得警方加許，雖然沒有什麼特別獎勵，但能夠減少長者或其他人受騙，讓他們得到真正的協助，相信店員都會落力執行。另一方面，這次測試亦有助警方吸引經驗，在未來設計出更多主動出擊的方法，不用再等待受害者出現才補救。而香港警方的做法是呼籲市民在過數前應「停一停，諗一諗」，同時善用「防騙易 18222」熱線及「防騙視伏器」，識別詐騙及網絡陷阱。 資料來源：https://www.bleepingcomputer.com/news/security/japanese-police-create-fake-support-scam-payment-cards-to-warn-victims/#google_vignette 唔想成為下一個騙案受害人？…

越來越多注重安全的企業會採用 HSM（Hardware Security Module，硬件安全模組）以保護交易、身分及應用程式。領先全球的數據保護解決方案供應商 Thales，宣布其專為保護加密密鑰生命週期而設計的 Thales Luna 7 系列 HSMs，成為業界首款通過國際級 FIPS 140-3 三級審查認證的產品，代表 Thales Luna HSMs 在安全性方面達到行業最高標準，能為客戶資料安全提供最高級保護，並滿足合規與監管需求。 最新國際標準安全認證 FIPS 140（聯邦信息處理標準）是由美國國家標準與技術研究院（NIST）定義的一套加密模組安全要求，由國家授權的實驗室進行功能測試及結構化程式碼審查，以確認產品符合該安全等級。…

科技巨頭 Cisco 發出安全警告，指一個國家級黑客組織 UAT4356，一直在利用公司旗下的 ASA 及 Firepower Threat Firewall 網上管理介面的兩個零日漏洞，以潛入其客戶如各國政府組織的內部，刺探軍情。現時 Cisco 已為兩個漏洞推出安全更新，企業 IT 管理員要即時行動。 想知最新科技新聞？立即免費訂閱！ 入侵活動早於去年七月展開 UAT4356 黑客組織（微軟稱為 STORM-1849）在 2023…

勒索攻擊要成功，最重要是準確找出「身有屎」的目標，過往有不少騙徒會透過濫發帶有恐嚇成份的釣魚電郵，例如指對方違反了國安條例、家屬在內地犯事、電腦內藏有違法內容等，一旦收件人相信跟自己有關，便會乖乖按騙徒指示匯款。不過，一個新的騙徒集團除了應用上述方法，還自製孌童網站引誘目標人士瀏覽，更容易嚇到「受害者」俾錢。 想知最新科技新聞？立即免費訂閱！ 一改傳統漁翁撒網方法 含有勒索意圖的電郵或短訊，相信不少人都曾接收過，不過，很多時訊息的內容未必與自己有關，因為大部分騙徒都採用漁翁撒網策略，但求電郵或短訊有機會被有關人士接收得到。有時這些詐騙訊息未必一定要錢銀有關，例如指收件者的社交平台違反使用條例，又或通訊軟件如沒有在限時內驗證便會凍結帳戶，目的有可能是搶奪受害人的帳戶後再進行其他詐騙，但使用這種手法都較為被動，必須收件人信以為真才能成功。 這次由網絡安全機構 MalwareHunterTeam 分享的報告中，便揭示了一個新的詐騙集團一改傳統漁翁撒網的方法，改為主動出擊，製造出一個冒牌的 UsenetClub 討論區，等待獵物到訪。正牌 UsenetClub 以討論區形式運作，用家可按不同的主題自由討論及貼圖，而當中一個主題便與兒童色情照有關，只要付費訂閱，用家便可在討論區內觀賞或下載有關照片，而且毋須透露任何個人資料。而騙徒打造的冒牌討論區 UsenetClub 亦實施二級收費，用家可選擇以每月 69.99 美元或每年 279.99 美元進入討論區內，但奧妙之處是網站提供一個免費方案，只要用家下載及安裝 CryptVPN 軟件便可免費使用，同時網站亦強調軟件可保障用家的網上行蹤，對這班違法的用家更具吸引力。 威嚇舉報對方收集兒童色情照…

懷疑在上年自爆勒索軟件程式碼的黑客集團 HelloKitty，正式宣布改名 HelloGookie 繼續營運。為了祝暗網新網站開張，集團主腦 Gookee（又稱 kapuchin0）更在網站公開四個可用於解密被 HelloKitty 鎖死檔案的金鑰，以及從 Cisco 及遊戲開發公司 CD Projekt 盜取的應用程式及遊戲編碼的破解密碼。現階段尚未知道新集團是否已經如言開發出比 LockBit 更有趣的勒索軟件，但賣大包策略已確實收到宣傳效果。 想知最新科技新聞？立即免費訂閱！ HelloKitty 勒索軟件集團於 2020 年出現，過往曾因成功入侵遊戲開發公司…

至少有六個不同的殭屍網絡惡意軟件集團，正在試圖濫用 TP-Link Archer AX21 (AX1800) 路由器的一個已知漏洞，而根據網絡安全公司 Fortinet 的數據顯示，各路黑客平均每日都會嘗試利用這個漏洞發動約五萬次攻擊，所以用戶如果過了一年仍未修補這個漏洞，到發現被入侵時，就只能怨自己慢幾拍。 想知最新科技新聞？立即免費訂閱！ 有好幾個網絡安全研究人員，在 2023 年 1 月發現了 TP-Link Archer AX21 路由器的網絡管理介面存在嚴重的零日漏洞，研究員指出黑客可以通過連接路由器的 API，在路由器上不經身分驗證而執行惡意編碼，從而達到控制路由器發動 DDoS…

去年被美國政府拘捕的前 Amazon 安全工程師 Shakeeb Ahmed，曾於成功透過操控智能合約的漏洞，從兩個加密貨幣交易所盜取 1,200 萬美元。上星期正式被判處三年監禁，同時沒收所有詐騙得來的金錢，成為首宗因濫用智能合約被定罪的個案。 隨著區塊鏈科技興起，去中心化金融（DeFi）成為一種新興的金融技術，這種技術可以擺脫傳統金融機構對貨幣、金融產品的監管，而且交易的透明度高，交易速度亦較傳統銀行快，所以發展潛力極大。 想知最新科技新聞？立即免費訂閱！ 由於相關的交易不受監管，借貸亦不需要有資產抵押或當事人背景審查，所以容易發生騙案，而智能合約（smart contract）便是用於減低詐騙風險的手段之一，以貸款為例，一旦借款人無法履行合約內容，例如支付利息或還款，智能合約可自動取消之前的交易，某程度上可保障貸款人的安全。 不過，由於智能合約都是新興技術，所以並非所有人都能完全熟悉其操作，並察覺到是否有漏洞存在，因而讓黑客有機可乘。過往便有不少針對智能合約發動的攻擊，當中閃電貸（flash loan）攻擊就是熱門手段，Shakeeb 犯下的其中一宗個案，便透過濫用 Nirvana Finance 加密貨幣交易所的智能合約漏洞賺錢。 該智能合約的設計原理是，當平台發現 ANA 的購買量增加時，價格便會提升，但…

在現今的數碼趨勢下，數據已成為每一家企業的基石，因此保護身分安全成為成功的必要策略關鍵。然而，根據 SailPoint《Horizons of Identity Security》報告，與其他地區相比，亞太區企業的身分安全成熟程度差異較大，高達 60% 企業的成熟程度仍處於最低水平。 儘管澳洲、日本和新加坡等國家已制定成熟的身分及數據安全框架，但區內其他國家或地區卻才剛開始意識到此監管法規的重要性。身分安全在業務當中所發揮的作用，遠遠超越僅遵守監管法規，實際上更是緩減風險、提高營運效率及達致業務成功的重要基礎。因此，企業領袖必須認清身分安全計劃的龐大優勢，如可有效降低風險及簡化營運。把身分管理融入核心業務策略中可使企業超越技術限制，讓其安全目標與整體業務目標保持一致。 想睇更多專家見解？立即免費訂閱！ 從傳統身分安全轉型 對於剛起步發展身分安全的企業而言，有些障礙的確需要克服，特別是固有的技術債挑戰。正如報告所顯示，許多處於較低成熟階段的企業均面對硬件、系統及程序過時的難題。這些傳統身分安全工具並非針對現代企業目前需求而設計，而且無法管理複雜的多雲端環境及員工和非員工等多種身分。若要向前發展，企業必須專注識別並有條不紊地更新或替換這些過時的系統。這個關鍵步驟包括投資現代化技術並重新配置 IT 基礎設施，以支援更先進、更複雜的身分安全解決方案。 獲取管理層支持 能否加強企業身分安全計劃也取決於管理層的支持。正如報告所強調，77% 身分和存取權管理決策者認為，有限的高級管理層支持是一大障礙。要獲得決策人員的支持，有效傳遞身分安全的價值尤其重要，並需要強調身分安全除屬技術保障外，亦是達致業務目標不可或缺的一部分，例如產品創新和以數據為本的市場營銷等。以身分安全配合這些業務優先目標，從而培養高級管理層的承諾，這一點是關鍵。此外，制定業務案例來逐步解決預算限制及人才短缺等挑戰，也非常重要。這些案例應重點突顯更強的身分安全如何促進企業生產力和創新、降低網路風險並推動業務成功。 善用先進功能的優勢 在建立強大的高級管理層支持後，企業便就緒利用人工智能和自動化等先進技術來完善身分安全框架。這類技術整合不但能擴展身分安全措施的規模，亦讓企業能夠快速應對新出現的威脅，並在現時變奏快速的數碼環境中保持靈活。舉個例子，與沒有人工智能支援的企業相比，採納自動化和人工智能身分管理平台的企業擴展身分相關功能的速度快達 37%。 該項報告又指出，此等技術的採納率有所不同，從…

有網絡安全公司在 4 月初發表有關 D-Link 產品的安全報告，內裡指出對方一些已停產的 NAS 裝置存在嚴重安全漏洞，不過由於產品已下架多時，因此廠方亦未有提供安全更新的打算。報道刊登兩日，安全機構便發現有黑客積極利用漏洞入侵，將大量 D-Link NAS 變成殭屍大軍，受影響的裝置多達 9.2 萬，建議用家即時將裝置斷網，並考慮升級新裝置先好使用。 想知最新科技新聞？立即免費訂閱！ 發現這個安全漏洞的是 Netsecfish 安全研究人員，據知漏洞發生在兩方面，一是韌體存在一個 hardcoded 的帳戶登入名稱 messagebus，使用這個帳戶登入毋須輸入任何密碼，其次是系統參數容許遙距注入編碼，只要同時利用，便可在 D-Link…

變種殭屍網絡軟件 TheMoon 在過去一個月非常進擊，安全專家發現黑客已利用 TheMoon 入侵 88 個國家的小型辦公室及家用路由器，3 日內成功將超過 6,000 部裝置收編旗下，當中更有絕大部分屬於 Asus 路由器。被感染的裝置，會用來隱藏犯罪分子的活動，如果不幸成為其中一員，隨時會在執法部門追蹤罪犯行蹤期間，無辜成為被調查的對象。 想知最新科技新聞？立即免費訂閱！ 眾所周知，黑客不會放過任何機會建立或壯大殭屍網絡大軍的規模，因為殭屍網絡的用途廣泛，當中最多黑客會應用於 DDoS 攻擊，而控制的兵力越大，可製造的洪流亦越強勁及難以阻擋。 不過，Black Lotus Labs 安全研究員在報告中提及由…