Check Point 網絡安全專家發現,一個名為 FluHorse 的 Android 惡意軟件,由上年 5 月開始,專門向東南亞地區網民出手,特別是其中兩款老翻了台灣電子道路繳費及越南銀行的 Android apps,各自都有 100 萬下載量,相信已有極多用家受騙,親手將信用卡資料及 SMS 存取權限送給黑客,讓對方可以即時網上刷卡。 如果從入侵手法分析,專家認為 FluHorse 並沒有特別之處,因為黑客只是將帶有惡意軟件下載連結的釣魚電郵,針對性發送給目標人物,等待對方上釣點擊。 想知更多科技新聞?立即免費訂閱! 而在這次攻擊中,黑客的目標是竊取受害者的信用卡資料,以及攔截對方經…
Search Results: SMS (105)
不少香港人都有儲分換禮品的習慣,近月有網絡不法份子覷中機會,冒充多個會員獎賞平台發送短訊予用戶,包括牛奶公司集團旗下品牌平台 yuu。警方在過去一星期內,已接獲 90 宗關於 yuu 釣魚詐騙案件,合共損失約 97 萬。yuu 隨即宣布在 3 月 8 日晚上 8 時起自動登出所有會員帳戶,用戶需重設帳戶密碼。 想知最新科技新聞?立即免費訂閱 ! 「你的帳戶 yuu 積分將於今日內到期,請儘快換領獎賞」,表面是溫馨提示,實質內藏陷阱。騙徒的短訊指,用戶的積分即將到期,誘使他們到一個假網站登入資料以兌換積分。黑客可能會利用偷取的個人及信用卡資料,從其他線上平台入手試圖登錄帳戶或瘋狂碌卡,令用戶蒙受損失。…
如果你是酒店職員,見到有入住客人行李內有一大堆充電線,你會否懷疑對方有不軌企圖?傻啦,香港人 Staycation 會帶備大量電子產品,有一抽 cable 有幾奇?偏偏英國一間酒店的職員,就因為懷疑客人而報警,結果先捉到 SMishing 詐騙犯咋! SMishing,泛指經 SMS 發送詐騙訊息,令接收一方相信訊息的內容,從而點擊內裏連結或致電回覆,從而騙取更多個人資訊的方法。它可算是點擊內裏的手法釣魚攻擊 (Phishing) 的一種,但由於以 SMS 為攻擊媒介,因此名字才有不同。早前美國電訊商 Verizon 發表的 Mobile Security Index 2020,便指至少有 17% 的釣魚攻擊源自 SMishing,可見普及性絕對不容忽視。 正如上面所講,英國曼徹斯特警方上星期接獲酒店職員通知,最終在酒店房間擒獲一個21歲青年,懷疑使用大量 SIM卡…
疫情下網購成為新常態,黑客自然會與時並進,利用相關付款工具發動釣魚攻擊。最近手法是透過 SMS 發出 PayPal 帳戶受限制的訊息,假扮官方通知用家的帳戶須重新驗證方可使用。PayPal 用家如收到類似短訊,切記直接刪除! 釣魚攻擊 (Phishing) 主要是指透過虛假電郵或訊息,引誘收件人點擊內裏的連結,騙取帳戶登入資料。其中一種方式叫作 SMishing,即以 SMS 短訊為攻擊媒介,早前美國電訊商 Verizon 發表的 Mobile Security Index 2020,便指至少有 17% 的釣魚攻擊源自…
唔好講咁多,即刻掹咗張 SIM 卡出嚟先,因為最新發現嘅呢個漏洞,正影響緊全球 10 億以上流動網絡用家,黑客只要發出一個含有惡意代碼嘅 SMS,就可以發動 SIMjacker 攻擊,喺你部裝置上面執行惡意程式,暗中控制你部裝置,包括打電話、發送假訊息、報告位置、傳輸數據、停用 SIM 卡,甚至執行其他惡意指令。由於漏洞存在喺 SIM 卡上,所以無論你用邊款手機,以及各種可以插 SIM 卡上網嘅裝置,例如平板電腦、IoT 裝置,統統走唔甩,而且暫時係完全無修補方案,你話除咗掹 SIM 卡靠 Wi-Fi 上網之外,仲可以點做呢? 呢個核彈級…
利用 SMS Swapping 漏洞嚟搶奪帳戶持有權嘅個案,相信發生得非常頻密,只不過今次發生喺 Twitter CEO 身上,仲令到呢個社交平台要暫停 SMS 出 tweet 功能,先至咁受關注咋。 事實上,SMS Swapping 攻擊並唔繁雜,黑客只要透過唔同方法,例如偷走/冒領目標人物嘅 SIM 卡,又或攔截目標人物嘅 SMS 短訊,就有可能搶奪對方嘅登入帳戶。因為唔少公司都會用 SMS 作為申請重設密嗎嘅發送渠道,所以如果掌握到目標人物用嚟登入帳戶嘅名稱,而又做到…
當網絡安全公司 Check Point 今年三月舉報呢幾間公司嘅手機有漏洞,有兩間好快就推出修補檔,而華為就「計劃」喺下一代手機再修補,Sony 仲勁,直頭回應話已跟足指引毋須改善添,大家買手機識揀啦! SMS訊息設定手機傳輸 今次 Check Point 安全專家發現嘅漏洞到底係乜嘢嚟?原來係同 OMA CP 訊息有關。OMA CP 即係 Open Mobile Alliance Client Provisioning,係一種俾網絡供應商推送通訊設定嘅單向訊息,等手機可以用嚟發送圖片、電子郵件或傳輸數據,所以每次用新手機接駁網絡供應商,又或有新嘅網絡設定,網絡供應商都有需要發出呢種訊息,一旦黑客可以假扮供應商發出訊息,用家又同意安裝,黑客就可以通過改動手機嘅傳輸設定,將用家嘅電訊、網絡連接引導去惡意伺服器。…
為咗保障電郵、社交平台帳戶嘅安全,唔俾黑客搶奪,好多人都識得選用雙重因素認證(two factor authentication, 2FA),即係除咗輸入密碼外,再用另一種方法例如 SMS 收一次性驗證碼嚟確認。不過,由於黑客可以通過 SIM-swapping 技術嚟攔截 SMS 確認碼,唔算得上安全,所以自從 Google 今年將 Android 電話變成其中一種確認金鑰,都有唔少人轉用,亦有人會買一個 USB 或藍牙硬件金鑰返嚟,登入帳戶時一定要用佢嚟做確認。 雙重驗證得個樣 雖然好多帳戶已支援呢種登入方法,亦會主動鼓勵用家進行設定,不過,有呢項設定原來唔代表一定支援,好似 twitter 就係其中一個例子喇。…
政府早前提出制定《保障關鍵基礎設施(電腦系統)條例草案》,就加強保護上述電腦系統安全建議立法框架進行諮詢,保安局表示共收到 53 份意見書,並稱因應業界建議,考慮放寬嚴重事故的通報時限,由原本建議的 2 小時改為 12 小時,預計條例將於 2026 年初生效。 想知最新科技新聞?立即免費訂閱! 保安局在 7 月 2 日至 8 月 1 日諮詢期間,收到 53…
職場社交平台 LinkedIn 最近更改用家私隱條款,將用家授權使用其私隱資料及使用習慣供人工智能訓練的設定改為預設允許,令不少重視個人私隱保護的組織及用家感到非常不滿。雖然官方指這些數據不會與母公司 Microsoft 所擁有的人工智能公司 OpenAI 共享,供其訓練人工智能模型,但依然會應用於自家使用的 Azure OpenAI 服務之上。私隱專員公署就事件表示高度關注,並已去信 LinkedIn 了解有關情況,更提醒用家若不想將私隱供對方使用,就要留意撤銷權限方法。 想知最新科技新聞?立即免費訂閱! 私隱專員公署表示,LinkedIn 私隱政策更新同樣引起其他司法管轄區資料保障機構的關注。而公署對於預設使用用戶的個人資料來訓練生成式 AI 模型此舉,是否正確反映用戶意願,同樣表示關注,因而去信 LinkedIn 進一步了解情況。 個人資料私隱專員鍾麗玲提醒…