科技巨頭 Cisco 發出安全警告,指一個國家級黑客組織 UAT4356,一直在利用公司旗下的 ASA 及 Firepower Threat Firewall 網上管理介面的兩個零日漏洞,以潛入其客戶如各國政府組織的內部,刺探軍情。現時 Cisco 已為兩個漏洞推出安全更新,企業 IT 管理員要即時行動。 想知最新科技新聞?立即免費訂閱! 入侵活動早於去年七月展開 UAT4356 黑客組織(微軟稱為 STORM-1849)在 2023…
Search Results: Inline (262)
勒索攻擊要成功,最重要是準確找出「身有屎」的目標,過往有不少騙徒會透過濫發帶有恐嚇成份的釣魚電郵,例如指對方違反了國安條例、家屬在內地犯事、電腦內藏有違法內容等,一旦收件人相信跟自己有關,便會乖乖按騙徒指示匯款。不過,一個新的騙徒集團除了應用上述方法,還自製孌童網站引誘目標人士瀏覽,更容易嚇到「受害者」俾錢。 想知最新科技新聞?立即免費訂閱! 一改傳統漁翁撒網方法 含有勒索意圖的電郵或短訊,相信不少人都曾接收過,不過,很多時訊息的內容未必與自己有關,因為大部分騙徒都採用漁翁撒網策略,但求電郵或短訊有機會被有關人士接收得到。有時這些詐騙訊息未必一定要錢銀有關,例如指收件者的社交平台違反使用條例,又或通訊軟件如沒有在限時內驗證便會凍結帳戶,目的有可能是搶奪受害人的帳戶後再進行其他詐騙,但使用這種手法都較為被動,必須收件人信以為真才能成功。 這次由網絡安全機構 MalwareHunterTeam 分享的報告中,便揭示了一個新的詐騙集團一改傳統漁翁撒網的方法,改為主動出擊,製造出一個冒牌的 UsenetClub 討論區,等待獵物到訪。正牌 UsenetClub 以討論區形式運作,用家可按不同的主題自由討論及貼圖,而當中一個主題便與兒童色情照有關,只要付費訂閱,用家便可在討論區內觀賞或下載有關照片,而且毋須透露任何個人資料。而騙徒打造的冒牌討論區 UsenetClub 亦實施二級收費,用家可選擇以每月 69.99 美元或每年 279.99 美元進入討論區內,但奧妙之處是網站提供一個免費方案,只要用家下載及安裝 CryptVPN 軟件便可免費使用,同時網站亦強調軟件可保障用家的網上行蹤,對這班違法的用家更具吸引力。 威嚇舉報對方收集兒童色情照…
網站程式在商業世界扮演著重要角色,從網上商店到公司內部系統都離不開開發網站。然而,隨著針對網站的攻擊不斷湧現,單純的網站開發技能,已不足以應對日益複雜的安全挑戰。因此,近年越來越多公司聘請專家,為自家網站作漏洞測試。 網站漏洞測試是通過模擬黑客攻擊,來識別系統的缺陷,與網站開發相比,漏洞發掘更側重於對網站各組成部分的深入理解。測試員需要深入剖析網站的運作原理,從細微之處發掘潛在的安全隱患。擁有網站開發經驗的程式員,在理解和識別系統脆弱性方面具備天然優勢。為進入網站滲透測試領域奠定了堅實的基礎。 想睇更多專家見解?立即免費訂閱! 尋找漏洞需要深入學習網站常見的安全性問題,如 SQL 注入、跨站腳本(XSS)等。透過並瞭解網站漏洞的成因、並擴展知識領域至資料庫管理、網絡基礎以及互聯網協定,將有助於更好地理解資料傳輸機制以及其潛在的攻擊手段。 同時,熟悉 Linux 作業系統與其命令行操作模式,也是關鍵技能,因為大多數測試工具和網站伺服器都基於 Linux 平台。日常 Linux 上的操作如查看系統日誌、伺服器參數、管理使用者許可權等操作,在滲透測試過程中同樣需要,透過學習相關知識能更深入地瞭解系統的運行機制和潛在的安全風險。 如想淺嘗如何發掘網站漏洞,在 Hack The Box、TryHackMe 等平台,有不同的漏洞模擬系統可用作學習,並透過接觸不同類型的漏洞掌握滲透測試技能。 持續進修是轉型過程中不可或缺的一部分。欲想學習更多有關尋找網站漏洞的發掘技術,歡迎報讀由香港資訊科技學院(HKIIT)舉辦的網頁程式滲透測試證書課程,由業界專家教授學員實戰技術,詳細講解不同的攻擊工具與識別網站的漏洞,助學員成為市場炙手可熱的道德白帽黑客(Ethical Hacking)人才。…
數碼轉型(Digital Transformation)在過去幾年大行其道,成為企業必不可少的成功步驟,加上遙距工作在疫情下急速發展,到底為網絡架構帶來甚麼衝擊?零信任(Zero Trust)為何會成功「彈出」顛覆網絡架構,甚至取代部分 VPN 與防火牆功能?面對日新月異的人工智能(AI)攻擊,企業又應該如何自保?小編請來業界專家 Zscaler 大中華區區域總監袁蔚豪(Henry Yuen),為大家剖析網安趨勢。 VPN 易造成網安漏洞 企業講數碼轉型,不外乎是「由地上天」,例如將應用程式放到雲端,但在網絡架構的層面上,其實未有出現根本性改變。Henry 解釋,傳統以來維護網絡安全做法就如同城堡形式,利用防火牆、IPS 等防護工具作城牆,保護城堡內的重要數據。至後來雲端應用、遙距工作的出現,就演變成利用 VPN 連接用戶、分支辦公室及雲端,但城堡形式的做法仍是一致的。 VPN 成為了員工在外存取內部應用程式及數據的重要工具,惟久而久之,又衍生了用戶「無王管」存取權限、用戶體驗問題等,出現延遲性之餘,安全風險及攻擊面亦會大增,只要有一部機被竊取帳戶與密碼,便足以感染整個公司網絡。事實上,Gartner早於 2019 年便曾預測,企業將逐步淘汰 VPN,轉而使用…
Microsoft 上月承認遭俄羅斯國家級黑客集團 Midnight Blizzard(APT 29)入侵,而且表示對方很可能仍然匿藏於內部電郵系統盜竊情報。不知道是否由於美國大量政府或重要機構均採用 Microsoft 服務,美國網絡安全機構 CISA 上星期發出緊急行政指令,要求所有聯邦機構立即檢查有否相關入侵痕跡,以免被刺探更多國家機密。 想知最新科技新聞?立即免費訂閱! 在這次 CISA 發布的緊急行政指令中,要求聯邦機構必須立即分析在 Microsoft 外洩電郵事故中涉及的內容,評估外洩資料的風險,並且應該立即重設外洩的帳戶登入憑證,阻止俄羅斯黑客繼續潛入內部盜取機密,警告由於 Midnight Blizzard 曾成功入侵 Microsoft 企業電郵帳戶,包括該公司與客戶經電郵共享的身分驗證資訊,而且正試圖獲取更多訪問權限,因此可以肯定將帶來嚴重且不可接受的國家安全風險,因而必須快速完成內部檢查。…
去年被美國政府拘捕的前 Amazon 安全工程師 Shakeeb Ahmed,曾於成功透過操控智能合約的漏洞,從兩個加密貨幣交易所盜取 1,200 萬美元。上星期正式被判處三年監禁,同時沒收所有詐騙得來的金錢,成為首宗因濫用智能合約被定罪的個案。 隨著區塊鏈科技興起,去中心化金融(DeFi)成為一種新興的金融技術,這種技術可以擺脫傳統金融機構對貨幣、金融產品的監管,而且交易的透明度高,交易速度亦較傳統銀行快,所以發展潛力極大。 想知最新科技新聞?立即免費訂閱! 由於相關的交易不受監管,借貸亦不需要有資產抵押或當事人背景審查,所以容易發生騙案,而智能合約(smart contract)便是用於減低詐騙風險的手段之一,以貸款為例,一旦借款人無法履行合約內容,例如支付利息或還款,智能合約可自動取消之前的交易,某程度上可保障貸款人的安全。 不過,由於智能合約都是新興技術,所以並非所有人都能完全熟悉其操作,並察覺到是否有漏洞存在,因而讓黑客有機可乘。過往便有不少針對智能合約發動的攻擊,當中閃電貸(flash loan)攻擊就是熱門手段,Shakeeb 犯下的其中一宗個案,便透過濫用 Nirvana Finance 加密貨幣交易所的智能合約漏洞賺錢。 該智能合約的設計原理是,當平台發現 ANA 的購買量增加時,價格便會提升,但…
近期的財政預算案中,政府再度展現了對創科領域的堅定支持,提出在「BUD 專項基金」注入 5 億元資金,除會為申請企業提供 700 萬元資助外,再撥加額外 100 萬元「電商易」專項。此舉將可促進本地創新科技企業開展跨境電商和內地網上零售業務。 內地電商市場規模龐大,潛力極高。根據最新數據,2023 年國內網上零售市場已達到 154,264 億元人民幣,佔社會消費品零售總額的近 27.6%。當中,進口跨境電商的銷售額高達 5,500 億元人民幣。 而在東南亞地區,印尼的電子商務市場在過去的 10 年間因疫情、網絡及手機的普及,以及金融科技的快速發展,實現了驚人的增長,從 2012 年的…
在現今的數碼趨勢下,數據已成為每一家企業的基石,因此保護身分安全成為成功的必要策略關鍵。然而,根據 SailPoint《Horizons of Identity Security》報告,與其他地區相比,亞太區企業的身分安全成熟程度差異較大,高達 60% 企業的成熟程度仍處於最低水平。 儘管澳洲、日本和新加坡等國家已制定成熟的身分及數據安全框架,但區內其他國家或地區卻才剛開始意識到此監管法規的重要性。身分安全在業務當中所發揮的作用,遠遠超越僅遵守監管法規,實際上更是緩減風險、提高營運效率及達致業務成功的重要基礎。因此,企業領袖必須認清身分安全計劃的龐大優勢,如可有效降低風險及簡化營運。把身分管理融入核心業務策略中可使企業超越技術限制,讓其安全目標與整體業務目標保持一致。 想睇更多專家見解?立即免費訂閱! 從傳統身分安全轉型 對於剛起步發展身分安全的企業而言,有些障礙的確需要克服,特別是固有的技術債挑戰。正如報告所顯示,許多處於較低成熟階段的企業均面對硬件、系統及程序過時的難題。這些傳統身分安全工具並非針對現代企業目前需求而設計,而且無法管理複雜的多雲端環境及員工和非員工等多種身分。若要向前發展,企業必須專注識別並有條不紊地更新或替換這些過時的系統。這個關鍵步驟包括投資現代化技術並重新配置 IT 基礎設施,以支援更先進、更複雜的身分安全解決方案。 獲取管理層支持 能否加強企業身分安全計劃也取決於管理層的支持。正如報告所強調,77% 身分和存取權管理決策者認為,有限的高級管理層支持是一大障礙。要獲得決策人員的支持,有效傳遞身分安全的價值尤其重要,並需要強調身分安全除屬技術保障外,亦是達致業務目標不可或缺的一部分,例如產品創新和以數據為本的市場營銷等。以身分安全配合這些業務優先目標,從而培養高級管理層的承諾,這一點是關鍵。此外,制定業務案例來逐步解決預算限制及人才短缺等挑戰,也非常重要。這些案例應重點突顯更強的身分安全如何促進企業生產力和創新、降低網路風險並推動業務成功。 善用先進功能的優勢 在建立強大的高級管理層支持後,企業便就緒利用人工智能和自動化等先進技術來完善身分安全框架。這類技術整合不但能擴展身分安全措施的規模,亦讓企業能夠快速應對新出現的威脅,並在現時變奏快速的數碼環境中保持靈活。舉個例子,與沒有人工智能支援的企業相比,採納自動化和人工智能身分管理平台的企業擴展身分相關功能的速度快達 37%。 該項報告又指出,此等技術的採納率有所不同,從…
有網絡安全公司在 4 月初發表有關 D-Link 產品的安全報告,內裡指出對方一些已停產的 NAS 裝置存在嚴重安全漏洞,不過由於產品已下架多時,因此廠方亦未有提供安全更新的打算。報道刊登兩日,安全機構便發現有黑客積極利用漏洞入侵,將大量 D-Link NAS 變成殭屍大軍,受影響的裝置多達 9.2 萬,建議用家即時將裝置斷網,並考慮升級新裝置先好使用。 想知最新科技新聞?立即免費訂閱! 發現這個安全漏洞的是 Netsecfish 安全研究人員,據知漏洞發生在兩方面,一是韌體存在一個 hardcoded 的帳戶登入名稱 messagebus,使用這個帳戶登入毋須輸入任何密碼,其次是系統參數容許遙距注入編碼,只要同時利用,便可在 D-Link…
變種殭屍網絡軟件 TheMoon 在過去一個月非常進擊,安全專家發現黑客已利用 TheMoon 入侵 88 個國家的小型辦公室及家用路由器,3 日內成功將超過 6,000 部裝置收編旗下,當中更有絕大部分屬於 Asus 路由器。被感染的裝置,會用來隱藏犯罪分子的活動,如果不幸成為其中一員,隨時會在執法部門追蹤罪犯行蹤期間,無辜成為被調查的對象。 想知最新科技新聞?立即免費訂閱! 眾所周知,黑客不會放過任何機會建立或壯大殭屍網絡大軍的規模,因為殭屍網絡的用途廣泛,當中最多黑客會應用於 DDoS 攻擊,而控制的兵力越大,可製造的洪流亦越強勁及難以阻擋。 不過,Black Lotus Labs 安全研究員在報告中提及由…