釣魚手法層出不窮！近日網絡安全公司 WMC Global 的研究人員發現，Office 365 出現新式釣魚方法，以反轉圖作為登陸頁面背景，避過被網絡安全監控標籤為惡意釣魚網站，真係要小心提防！ WMC Global 的研究人員指出，這個釣魚套件技術，是為盜取儲存在 Office 365 的機密資料而寫成，並已被運用在多個網站中；而這個套件自動以 CSS （Cascading Style Sheets）方式，轉換成只是反轉了顏色、貌似正規 Office 365 登陸頁面的背景圖，企圖逃過監控。WMC Global…

網絡安全公司 ESET 警告，現時網絡上仍有約十萬部 Windows 10 電腦存在 SMBGhost 漏洞，最令人驚訝的是其實 Microsoft 早在今年三月，已推出修補軟體並大肆提醒用家更新…… 仍未更新者，真的視黑客如無物？ SMBGhost (Server Message Block) 的漏洞編號為 CVE-2020-0796，它可讓黑客透過緩存溢出 (buffer overflow) 手法，遠程執行任意程式碼，打通入侵電腦的管道。由於危險程度極高，所以其…

DevOps 的技術令應用程式快速更新，在追求速度與時間的同時，由於所經的安全測試次數減少，漏洞亦隨之而然增多，所以揀選合適的容器 (Container) 管理平台由其重要。但由於 Container 為新興技術，很多傳統的網絡安全措施難以應用，例如 Container Image Vulnerability Scanning、Run Time Defense 及 Container Firewall with DPI/DLP 等等。因此，你需要的是 Container Security…

想必大家都知道，在黑客手法層出不窮的世代入面，各位老闆都想盡辦法保護好自己的資產。Phishing attack﹑Social Engineering 等等濫用人類信任的手法，小編都 cover 過好幾次啦。今日就探討下，現有存在的非人類因素漏洞 — 假冒手段，以及如何利用量子力學解決呢個問題。 而家好多時收貨驗貨都靠一個 QR Code 或者 Bar Code 搞掂。不過隨住 Photoshop 等編輯軟件興起，不法之徒好容易就偽造到一個同原裝一模一樣嘅貼紙，一野就貼喺 D 假貨上面混水摸魚。最多要你打埋個密碼入系統 —…

釣魚攻擊（Phishing attack），絕對係成本低、回報高嘅熱門網絡攻擊。雖然釣魚攻擊仲可以分為魚叉式（Spear Phishing）及商業詐騙（Business Email Compromise）等，但由於係針對指定對象攻擊，黑客要投入更多時間去理解偽裝角色同受害人的關係，所以無釣魚攻擊咁普遍。一般嚟講，無差別攻擊主要係用作盜取帳戶登入資料，例如 Microsoft Office、PayPal 等等，黑客首先會偽造相關網站登入版面，再用電郵將連結漁翁撒網式寄出去，等待獵物上釣。一旦收件人誤信連結內容為真，就可能到偽造網站親手輸入自己嘅登入資料，黑客就可以入侵相關帳戶。受害人不單止可能遭受信用卡盜用損失，如果係公司帳戶資料，更會連累公司機密資料外洩添！ 為咗研究釣魚攻擊喺今年頭半年嘅特色，網絡安全公司 IRONSCALES 研究員就對相關嘅偽造登入網頁進行調查，結果發現頭半年有超過 5 萬個假網站，冒充超過 200 個全球知名品牌。其中被冒認得最多嘅 5 個品牌，分別係 PayPal、Microsoft、Facebook、eBay 同埋 Amazon，而…

鍾意試唔同手機 app 功能嘅玩家，都會時不時去 App Store 搵嘢玩，好似 Android 用戶就會去返 Google 嘅 Play Store，一心以為有官方認證，一定會好安全，但實情係唔少惡意軟件都成功避過 Google 嘅安全檢測，最近就有法國網絡安全公司 Evina，喺 Play Store 上發現咗 25 款由同一黑客組織推出嘅有餡…

網絡安全真係一場智力大比併，無論安全專家點樣提升防禦力，黑客都總會搵到漏洞發動攻擊，然後安全專家又會極速修補應戰，攻防無限 loop。而近期網絡安全機構 Malwarebytes Labs 發現嘅 Web Skimmer 盜取信用卡資料方式，攻擊路線極度迂迴同複雜，唔單只利用網頁標籤圖案，仲要將惡意程式碼收埋喺圖像嘅 EXIF metadata 入面，真係睇少一眼都出事！ Malwarebytes 嘅專家發現，今次被埋入 Web Skimmer 嘅網站，原來只係被換咗 favicon 㗎咋，完全無其他地方被做手腳。Favicon 可能唔係人人識，其實佢就係網頁標籤或書籤上嘅圖案。專家話黑客首先開設咗一個專門俾人寄存 Favicon…

資料顯示，預計 2022 年因網絡罪案導致嘅經濟損失達 8 萬億美元，每一宗資料外洩令企業損失近 400 萬美元，企業鬥創意鬥效率鬥專業時，仲要鬥安全，呢方面已經成為各行各業共識，所以資安人才相當渴市，搶人難，管理又煩，而一味靠人搵漏洞，係咪 21 世紀最有效手段？再加埋 5G 帶動 IoT 同埋新冠掀起 Work From Home 潮流，未來嘅資安挑戰只會更大。PwC 最近推出 Ethical Hack…

疫境下全球失業率急升，但有幾個行業不受影響，如常運作，其中一個就係協助堵塞網絡保安漏洞嘅白帽黑客。 講到黑客，好似一定犯法，其實不然。有道德嘅一班高手，選擇向網絡保安服務商舉報漏洞，以前可能當響朵贏得一官半職，隨著網絡安全得到重視，賞金平台 HackerOne 開張大吉，一班白帽黑客就可以靠賞金過活。係咪好想知點樣入行？賞金行情？由曾黑入美國政府嘅 Tommy DeVoss、由程式員轉職嘅 Cosmin、HackerOne 首位累計過百萬美元賞金嘅 Santiago Lopez，三位全職賞金獵人向大家披露入行心得。小編將之總結成以下 5 大重點。 實質工作流程係點先？ 要睇大量文件、熟用 Burp、Sublist3r、dnscan，亦要開發個人工具、不斷吸收最新網絡保安資訊、寫報告、搵出自己擅長嘅保安範疇與策略等。技巧方面，唔可以只參考一個黑客嘅工作方式，要喺唔同人身上偷師，融會貫通，建立個人風格。呢份工好花時間，有時埋門一腳會被人截糊，第 2 名係一蚊都分唔到，所以唔好以為真係篤吓電腦就有錢袋咁 naive，真係要有興趣「捉蟲」，保持好奇心，享受破解嘅快感，唔好下下用錢衡量付出。 收入有幾多？ 一個有料嘅白帽，每星期做…

【Microsoft Online Tech Forum】Low-code 可成事 Azure Synapse 機器學習簡易接通分散數據 – 網上報名：https://bit.ly/3awZSRJ 不少人都知道 Data 的重要性，但想利用手頭上數據，結合其他公開數據進行分析，實在談何容易？單是要將不同來源、格式的數據匯入一併使用，已經令數據工程師（Data Engineer）叫苦連天，更遑論完全不懂使用諸如 SQL、Python、Scala 等程式語言的用家。Microsoft 於去年推出的 Azure Synpase Analytics，就是一款 code…