即使大量調查報告顯示,醫療機構已納入黑客攻擊的首選目標,不過,不少醫療機構似乎仍未察覺,甚至連基本的資訊安全保護也未做好。最新一項調查發現,網上有超過 2,000 個伺服器未受保護,當中共儲存了超過 4,500 萬張影像檢查圖片可任人檢視,而且部分更有齊受檢查者的完整個人資料,認真無保障! 今次調查由數據防護平台 CybelAngel 進行,負責的研究員強調今次沒有使用任何入侵手法,純粹利用工具掃描醫療數位影像傳輸協定(DICOM,Digital Imaging and Communications in Medicine)所使用的 port 位,檢查有哪些裝置未有做好防護,以顯示掌管這些重要私隱的醫療機有多兒戲。 而在這 4,500 萬張包括 X 光、電腦掃描…
Search Results: SCA (100)
疫情關係,大家留在家中的時間大增,為免流動數據用量乾塘,大家都會使用 Wi-Fi router 上網作網上理財、遙距工作,以及登入不同網上服務帳戶,所以 Wi-Fi router 的網絡安全變得更重要。其實防護措施不難執行,記著這 5 招,就可減少被入侵的風險。 第一招:保持韌體更新 曾多次報導不少 Wi-Fi router 都存有漏洞,而且這些漏洞已被公開,黑客只要用 scanning 一掃,就可輕鬆在網上搜出仍未更新韌體的 router 進行攻擊,所以用家必須經常將韌體版本保持在最新狀態。如生產商已停止支援舊款 router,或遲遲未有推出更新檔案,用家應積極考慮轉會。 第二招:高強度密碼…
疫情下大家都習慣了網上購物,就算以往不熟悉如何網購,現在亦變成格價及集運高手。有大量金錢流轉的地方,黑客又怎會錯過?有網絡安全研究員便發現,黑客正借助網站頁面上的社交平台分享按掣圖標,隱藏惡意軟件的蹤影。只要你在網站上購物,信用卡資料就會同時送到黑客手上! Credit card skimmer 是一種專門入侵電商網站,再於結帳頁面植入惡意程式盜取客戶信用卡資料的攻擊手法。近年這種攻擊日益猖獗,當中 Magecart 黑客集團更是當中的表表者,不少知名網站如 newegg、Forbes 都曾中招。最近荷蘭網絡安全公司 Sansec 的研究員又發現,credit card skimmer 的入侵方法再度變招,而今次就向網站版面上的社交平台分享按掣圖標落手,同時將惡意軟件的組件拆散,從而繞過電商網站所採用的網絡安全工具的偵測。 研究員指出,黑客今次將部分惡意程式碼植入 SVG 格式的圖標內,而且亦用上 facebook_full、instagram_full 等指令,令整段編碼變得更加可信。只要網頁被瀏覽,惡意程式碼就會執行,並且繼續於網站伺服器的其他位置讀取剩餘的程式碼。研究員認為這種斬件式擺放方法有可能瞞過安全掃描器的偵測,因為即使偵測到其中一部分,也未必會發現其可疑之處。其實之前我們也曾報導黑客利用網站擺放於瀏覽器分頁的小圖標 (favicon) ,將惡意程式碼植入其中,並且將惡意程式碼轉成混浠碼(obfuscated…
Silicon Valley 到 Wall Street,本周熱話均圍繞著 Salesforce 270 億美元天價收購 Slack,投資者對軟件業史上第 2 大併購存有懷疑, Salesforce 股價在消息宣佈後下跌近 5%。作為全球最大雲端 CRM 軟件商,Salesforce 的野望是推翻 Microsoft Office 365…
釣魚手法層出不窮!近日網絡安全公司 WMC Global 的研究人員發現,Office 365 出現新式釣魚方法,以反轉圖作為登陸頁面背景,避過被網絡安全監控標籤為惡意釣魚網站,真係要小心提防! WMC Global 的研究人員指出,這個釣魚套件技術,是為盜取儲存在 Office 365 的機密資料而寫成,並已被運用在多個網站中;而這個套件自動以 CSS (Cascading Style Sheets)方式,轉換成只是反轉了顏色、貌似正規 Office 365 登陸頁面的背景圖,企圖逃過監控。WMC Global…
網絡安全公司 ESET 警告,現時網絡上仍有約十萬部 Windows 10 電腦存在 SMBGhost 漏洞,最令人驚訝的是其實 Microsoft 早在今年三月,已推出修補軟體並大肆提醒用家更新…… 仍未更新者,真的視黑客如無物? SMBGhost (Server Message Block) 的漏洞編號為 CVE-2020-0796,它可讓黑客透過緩存溢出 (buffer overflow) 手法,遠程執行任意程式碼,打通入侵電腦的管道。由於危險程度極高,所以其…
DevOps 的技術令應用程式快速更新,在追求速度與時間的同時,由於所經的安全測試次數減少,漏洞亦隨之而然增多,所以揀選合適的容器 (Container) 管理平台由其重要。但由於 Container 為新興技術,很多傳統的網絡安全措施難以應用,例如 Container Image Vulnerability Scanning、Run Time Defense 及 Container Firewall with DPI/DLP 等等。因此,你需要的是 Container Security…
想必大家都知道,在黑客手法層出不窮的世代入面,各位老闆都想盡辦法保護好自己的資產。Phishing attack﹑Social Engineering 等等濫用人類信任的手法,小編都 cover 過好幾次啦。今日就探討下,現有存在的非人類因素漏洞 — 假冒手段,以及如何利用量子力學解決呢個問題。 而家好多時收貨驗貨都靠一個 QR Code 或者 Bar Code 搞掂。不過隨住 Photoshop 等編輯軟件興起,不法之徒好容易就偽造到一個同原裝一模一樣嘅貼紙,一野就貼喺 D 假貨上面混水摸魚。最多要你打埋個密碼入系統 —…
釣魚攻擊(Phishing attack),絕對係成本低、回報高嘅熱門網絡攻擊。雖然釣魚攻擊仲可以分為魚叉式(Spear Phishing)及商業詐騙(Business Email Compromise)等,但由於係針對指定對象攻擊,黑客要投入更多時間去理解偽裝角色同受害人的關係,所以無釣魚攻擊咁普遍。一般嚟講,無差別攻擊主要係用作盜取帳戶登入資料,例如 Microsoft Office、PayPal 等等,黑客首先會偽造相關網站登入版面,再用電郵將連結漁翁撒網式寄出去,等待獵物上釣。一旦收件人誤信連結內容為真,就可能到偽造網站親手輸入自己嘅登入資料,黑客就可以入侵相關帳戶。受害人不單止可能遭受信用卡盜用損失,如果係公司帳戶資料,更會連累公司機密資料外洩添! 為咗研究釣魚攻擊喺今年頭半年嘅特色,網絡安全公司 IRONSCALES 研究員就對相關嘅偽造登入網頁進行調查,結果發現頭半年有超過 5 萬個假網站,冒充超過 200 個全球知名品牌。其中被冒認得最多嘅 5 個品牌,分別係 PayPal、Microsoft、Facebook、eBay 同埋 Amazon,而…
鍾意試唔同手機 app 功能嘅玩家,都會時不時去 App Store 搵嘢玩,好似 Android 用戶就會去返 Google 嘅 Play Store,一心以為有官方認證,一定會好安全,但實情係唔少惡意軟件都成功避過 Google 嘅安全檢測,最近就有法國網絡安全公司 Evina,喺 Play Store 上發現咗 25 款由同一黑客組織推出嘅有餡…