千祈唔好以為黑客只針對大型企業，無論是甚麼規模的企業，一樣要做好網絡安全的措施，即使是小型企業，一樣有方法避免中伏。 網絡攻擊對於小型企業來說，可能並非首要考慮的事情，網絡犯罪分子貌似多數只針對具規模、有利可圖的目標；然而事實是小型企業同樣會成為黑客和網絡犯罪分子的目標，因為小型企業同樣手握各種機密數據，例如個人資料、信用卡資料、密碼等，黑客一樣會虎視眈眈。但相對中型企業或大型企業，小型企業的資訊安全意識及保護措施相對較弱，尤其是在沒有專業網絡安全員工的情況下，致使危險度也增加。 小型企業成為供應鏈攻擊的一部分，主要是黑客能透過他們獲得大公司的存取權：從入侵可能是大型機構供應商的小型企業，攻擊者可以利用存取權滲透網絡，攻擊其商業夥伴。 小型企業遭遇無論是網絡釣魚、勒索軟件、惡意軟件，還是攻擊者擁有存取權和篡改數據權限的任何其他類型的惡意活動，其所導致的結果都可以是極具毀滅性，甚至有網絡攻擊受害者因此而永久關閉。 以下是 ZDNet 提供的自保招式，提醒小型企業如何避免墮入一些基本網絡安全陷阱。 1.不要使用弱密碼來保護線上帳戶 網絡犯罪分子並不一定具備超強技能，才能入侵企業電子郵件帳戶和其他應用程式，因為很多時他們能夠進入企業系統，純粹是因為帳戶擁有者使用弱密碼或容易猜測的密碼；同時使用雲端辦公應用程式和遙距工作模式的轉變，也為網絡犯罪分子提供了更多攻擊機會。 記住許多不同的密碼可能很困難，因此不少人在多個帳戶中使用簡單的密碼，導致帳戶和企業易受網絡攻擊，特別是如果網絡犯罪分子使用暴力攻擊以常用或簡單密碼列表作嘗試。另外，也不應該將密碼設定為易於發現的訊息，例如最喜歡的球隊或寵物名字，因為社交媒體上的資料，或成為密碼線索。 國家網絡安全中心 (NCSC) 建議使用由三個隨機單詞組成的密碼，並指這個策略能令密碼難以猜測。另外，應該使用不同的密碼來保護每個帳戶，使用密碼管理器可以幫助用戶消除記住每個密碼的煩惱。 2.不要忽略使用多因素身份驗證（MFA） 即使已採用強密碼，密碼仍有可能落入壞人手中。網絡犯罪分子可以使用網絡釣魚攻擊等方式，來竊取用戶的登入資料。多因素身份驗證會要求用戶響應警報，來確認是他們本人嘗試登入帳戶，讓入侵帳戶增添障礙：即使網絡犯罪分子擁有正確的密碼，他們也無法在沒有帳戶擁有者批准之下，使用該帳戶。如果用戶收到意外警報，提示有人正嘗試登入其帳戶，他們應向其 IT 或安全團隊報告，並立即重置密碼，避免網絡犯罪分子繼續嘗試利用被盜密碼。 儘管使用多因素身份驗證或雙因素身份驗證 (2FA)，已是最常建議採用的網絡安全措施之一，但許多企業仍沒使用，令人憂心。 3.…

加密貨幣的相關投資盛行，騙子亦趁機出動，以美國為例， 根據美國聯邦貿易委員會 (FTC) 公布在 2021 年 1 月至 2022 年 3 月期間，有超過 46,000 名美國人報稱受詐騙，加起來共損失了價值逾 10 億美元的加密貨幣，身在香港的我們也應引以為鑑，採取安全措施保護虛擬資產。 FTC 去年收到的事故回報約有 7,000 份報告，加密貨幣投資騙局損失了大約…

黑客經常利用未修補的軟件漏洞，並經常針對錯誤的安全配置進行攻擊，美國網絡安全和基礎設施安全局 (CISA)、FBI 和國家安全局 (NSA) 以及來自加拿大、新西蘭、荷蘭和英國的網絡安全當局，早前編制了一份清單，列出了防禦者在安全控制薄弱、配置差和安全實踐差的問題，提出建議阻止黑客的初始入侵，下文將有他們的集體建議及緩解措施。 CISA 指出，網絡攻擊者經常透過失當的安全配置，例如配置錯誤或不安全、薄弱的控制，和其他差劣的網絡衛生實踐方式，藉以獲得初始訪問權限或作為其他行動策略的一部分，來破壞受害者的系統。不過在關鍵系統上啟用多因素身份驗證 (MFA)或使用 VPN，在複雜的 IT 環境中實施時，亦間有出現配置錯誤，致使黑客有機可乘。 例如，去年俄羅斯黑客將多個 MFA 解決方案共享的默認策略，與升級漏洞的 Windows 打印機特權結合，藉以禁用帳戶的 MFA 運作，然後建立與 Windows 網域控制器的遠程桌面協議…

勒索集團 LAPSUS$ 在今年初開始，多次成功入侵科技巨企如 Nvidia、Microsoft、Samsung，並於網上公開受害企業的領先科技，雖然部分集團成員被捕，但在這一系列事件中，的確曝露出大企業在網絡安全上意想不到的脆弱性，到底有什麼反面教材可成為參考？ LAPSUS$ 雖然同樣以勒索受害企業謀利，但集團與其他勒索軟件有明顯分別，因為它專注於竊取科技企業的機密資料，並不熱衷於加密對方的電腦設備或數據，只會要求對方交付贖金，換取機密資料不被公開。由今年初開始，多間科技企業相繼被 LAPSUS$ 攻陷，當中包括 Microsoft 部分應用服務如搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana、Nvidia 的 LiteHash Rate （LHR）及 DLSS 技術、Samsung…

不少企業也有使用的 AWS 無伺服器運算平台 Lambda，最近被發現成為黑客集團專門攻擊的對象，專家估計黑客非法使用企業客戶的 AWS 帳入登入資料，偷偷進入並安裝挖礦程式，運行數星期後，令企業客戶損失 45,000 美元的資源使用費。由於 AWS 僅負責基礎架構及網絡的安全責任，如因客戶自己的安全措施不足而被入侵，損失就貴客自理，企業客戶要清醒喇！ AWS Lambda 是一種無伺服器 (serverless) 運算服務，它的好處是使用者毋須花心機及時間去管理伺服器，例如部署的作業環境、操作指令等，便可以順利執行自己開發的程式，令開發人員可以更專注程式開發工作。採用 AWS Lambda 的案例很多，大家日常也有可能用到而不自知，例如一些可供網民自由轉換圖案、文件格式的網站，便有可能使用了類似的無伺服器運算服務。而對中小企業客戶來說，AWS Lambda 除了可減少管理伺服器成本，由於運算資源的擴展彈性大，即使有突如其來的業務使用需要，亦能即時加購資源，因此對資金不足的中小企尤其重要。…

Web3 是下一代互聯網而創造的術語，現時網絡已從以內容頁面為主的面貌，轉變為以社交媒體為主軸的世界。現時，去中心化的互聯網模式，正以 Web3 的概念作討論。有研究人員就新興技術面臨的最普遍威脅預計，社交工程攻擊（Social Engineering Attack）或主導 Web3 及 元宇宙（metaverse）的世界。 轉變成 Web3 的其中一個因素是元宇宙的盛行——一個 3D 環境和虛擬世界，能在個人或工作上，促進社交聯繫。用戶在元宇宙中的 ID，也可能會與加密貨幣錢包、NFT 和其他各種智能合約互連。隨著技術供應商致力於實行以上概念，Cisco Talos 的網絡安全研究人員提出了他們對 Web3 和元宇宙將面臨的潛在威脅的看法。…

繼之前連環公開 Nvidia、Samsung 等公司部分技術的源始碼，Lapsus$ 的最新受害者是 IT 龍頭公司 Microsoft。據知相關應用服務包括搜尋引擎 Bing、Bing Maps 及智能個人助理 Cortana。Microsoft 快速回應被入侵事件，更反過來公開對方的入侵手段及技術，希望能避免再出現受害者。 隨著勒索軟件 REvil、Darkside 被執法機構高調打擊，其他勒索集團的行動都趨向低調，以避免成為下一個打擊目標。唯獨 Lapsus$ 例外，由二月至今已不停高調公開入侵個案，特別是對方如沒有在限期前交贖款，Lapsus$ 便會毫不客氣直接披露部分敏感資料，例如 Nvidia 用於監測顯示卡挖礦活動的…

多重因素驗證 (Multi-Factors Authentication, MFA) 被視為防止帳戶入侵的強力武器，不過最強武器都要懂得使用，否則都未必可以為公司網絡保平安。美國CISA及FBI最新公布的一個入侵個案，受害的 NGO 機構雖然都有用 MFA，不過黑客依然有門路入侵，企業的 IT 管理員要注意！ 根據 CISA 及 FBI 的案情透露，懷疑由俄羅斯政府支持的黑客組織能夠成功入侵 NGO，建基於 NGO 的 IT 工具存在的兩個失誤。讓黑客於內部網絡建立立足點的第一個失誤，是…

美國 FBI 上星期發出新警報，指網絡罪犯利用視像會議工具如 Zoom、Microsoft Team 等進行金錢詐騙的個案有上升趨勢，罪犯不單只會利用相片假扮公司高層，甚至會利用 deepfake 技術假扮高層的聲音，用各種藉口指示員工轉帳，防不勝防。 新冠病毒改變了全球企業的運作模式，企業因允許員工在家工作，因此工作期間便須使用各種網上協作工具，以及以視像會議取代日常開會。根據 Zoom 及 Microsoft Team 的公布，疫情下令雙方的用家數量激增數千萬。網絡罪犯亦看準這個機會，利用這些視像會議工具竊聽情報，開設虛假的會議或混入會議中，由於參與人數眾多，公司方面未必能即時識別有外人混合，特別是如罪犯盜用了員工的公司帳戶就更難防。 而 FBI 的警報就揭示了網絡罪犯的新趨勢，官方指罪犯結合了商業詐騙電郵 (BEC) 技術，令員工更易上當將金錢存入罪犯的銀行帳戶中。BEC 指的是罪犯透過各種手法預先摸清目標企業的員工架構及商業夥伴電郵往來的內容，了解公司的日常商業運作，在真正攻擊時便會假冒上司，就著某宗交易要求員工將金錢改存入其他帳戶，整個攻擊過程必須長時間部署，才能令員工更易上當。…

Google Drive 雲端儲存服務免費又易用，很多人都會用作分享檔案。不過，一份最新的安全調查報告就顯示，Google Drive 已成為惡意軟件的寄存溫床，在 2021 年間，約有一半藏有惡意行為的 Microsoft Office 文件都由 Google Drive 下載，而寄存在它之上的所有惡意軟件中，有 37% 便屬於惡意 Microsoft Office 文件。當大家都習慣使用雲端儲存平台分享工作文件，就更加要小心保護自己的帳戶，才可以避免連累街坊。 近年不少網絡攻擊都會於 Microsoft…