騙子發疫症財不是新鮮事,但是疫情一日未完,只怕不法分子仍然會利用群眾的恐慌,繼續製造謠言呃錢。最近承著疫苗推出,英國出現不少與疫苗有關的電郵,誘騙民眾輸入個人資料,身在香港的我們,也要留神會否有相同情況出現,下文將介紹各種隨疫症而出現的虛假訊息。 早於去年 12 月,國際刑警組織已發出警告指,未來幾個月內將出現大量與 COVID-19 相關的欺詐和網絡罪案,呼籲執法機構作好準備,該組織秘書長 Jürgen Stock 提到,這些不法分子會利用虛假網站和虛假療法,瞄準毫無戒心的民眾,結果或對他們的健康、甚至生命造成重大威脅。而發出警告後的四星期,民眾與及疫苗供應鏈首當其衝成為罪犯的目標。 假冒產品 有假冒疫苗正在網上發售,令人最為擔憂。Check Point研究人員發現與 Dark Web 相連的論壇帖文中,包含「冠狀病毒疫苗」和「冠狀病毒療法」字眼,內有供應商聲稱可以使用未標明品牌的 COVID-19 疫苗,索價達 300 美元的加密貨幣。Check Point…
Search Results: Social Engineering (27)
踏入 11 月,大家開始籌備年度總結&明年展望,各行各業主題,肯定離不開疫情新常態。資安服務平台 Fortinet 的 Chief of Security Insights and Global Threat Alliance Derek Manky 搶先出閘,以《Back to Basic》為重心,總結疫情下黑客動向與企業 3 個趨吉避凶方法。…
為求保障,網絡安全產品服務不可或缺。然而,所有網絡安全背後的 final boss,始終是背後操控一切的人類。KnowBe4 與 SoftwareOne 聯合主辦的網絡研討會,將探討社會工程師及騙徒如何設局,或以不同手段誘使受害人順從吩咐,讓你識破詭計,掌握 OODA (Observe, Orient, Decide, Act)循環方法,免墮陷阱! 是次 Webinar 由全球最大的「安全意識培訓平台」供應商 KnowBe4 亞太區網絡安全意識倡導者 Jacqueline Jayne 及 SoftwareONE…
雖說現時Apple的iOS 14及Google的Android 11作業系統,已大大增加應用軟件取用手機功能的權限透明度,甚至可讓用家逐次授予使用權。不過,面對著一些合理地取用全球定位功能、卻不合理地使用資訊的app,如用家未有留意細則或用法,便有可能洩露自己的行蹤。最新的例子是不少港人都有使用的運動記錄app Strava,預設功能可讓擦身而過的用家閱覽你的個人資料及經常出沒的運動地點,遇著立心不良的匪徒,隨時有人身安全危機! 作為一隻運動記錄應用軟件,Strava在安裝時,要求取得定位權限,合理至極;而且相信絕大部分用家,為免每次使用app時都要重新授權,都會選擇長期開放取用位置權限,減少麻煩。不過,其中一位Strava用家Seward在Twitter上透露,當他完成一次跑步記錄後,竟發現記錄內tag了一位當日曾與他擦身而過的女跑手,Seward甚至可以細閱這位女跑手的Strava帳戶資料及運動記錄。經深入調查後,Seward發現原來Strava app預設的私隱分享功能非常「無私」,個人資料、運動記錄、團體活動等都設定為可供任何人查閱,而當中Flyby功能便是今次事件的元兇,因為開啟後,系統便會與附近的用家分享運動及位置記錄。雖然這功能用在正途上,或可組織該區的運動愛好者一起訓練,但卻同時洩露了過多個人資訊,包括經常出沒位置及所使用的運動手錶等,匪徒便有可能在路上埋伏,又或借助詳細的個人資料,發動社交工程(Social Engineering)攻擊。 事件經報導後,Strava即時出面澄清,並表示會通知所有用家有關修改這項私隱設定的方法。用家如希望關閉這項功能,可登入Strava官網,在設定中點選Privacy Control,於Flyby點選「No One」便可。用家亦可同時修改其他私隱設定,例如只跟朋友分享資訊或運動記錄,減少不必要的危險。 資料來源:https://bit.ly/3361ZL2
想必大家都知道,在黑客手法層出不窮的世代入面,各位老闆都想盡辦法保護好自己的資產。Phishing attack﹑Social Engineering 等等濫用人類信任的手法,小編都 cover 過好幾次啦。今日就探討下,現有存在的非人類因素漏洞 — 假冒手段,以及如何利用量子力學解決呢個問題。 而家好多時收貨驗貨都靠一個 QR Code 或者 Bar Code 搞掂。不過隨住 Photoshop 等編輯軟件興起,不法之徒好容易就偽造到一個同原裝一模一樣嘅貼紙,一野就貼喺 D 假貨上面混水摸魚。最多要你打埋個密碼入系統 —…
上月多個名人如 Bill Gates、Elon Musk 嘅 Twitter 帳戶被黑客入侵,於平台騙取 Bitcoin,成功騙取約11萬美元 Bitcoin。的而且確,奪取到原帳戶再向受害人身邊嘅親友落手,成功率會較高,但複製帳戶呢種極度簡單嘅方法,都會有人上釣。曾因利用社交工程(Social Engineering)手法進行詐騙而入獄,後來改邪歸正嘅網絡安全專家 Jake Moore 就親身示範,只須複製目標人物嘅帳戶,都可令對方嘅朋友信以為真,乖乖過數! Jake 原本嘅 Instagram 帳戶有 1,611 個 posts,同時有…
網絡安全資訊平台 HackRead 表示,上月有黑客喺暗網上出售 2.67 億 Facebook 用戶個人資料,但今個月突然激增至 5 億,由於出售嘅資料唔包括登入密碼,所以售價整體嚟講唔貴,三個套餐分別係每十萬個帳戶收450美元、每100萬個帳戶收1,500美元,以及3萬美元一筆過買晒。而喺 5 億帳戶當中,有 290 萬屬於香港用戶,約佔 1/3 港人用戶,大家真係要提高警覺性,防犯嚟緊會有罪犯透過社交工程(social engineering)嚟偷呃拐騙喇! 今次出售嘅Facebook用家個人資料包括:用戶名稱、姓氏、性別、位置、城市名稱、職業、結婚狀況、電話號碼、電郵地址及帳戶連結,內容非常廣泛,對精於社交工程詐騙嘅罪犯嚟講,已經攞到太多資料,可以假扮成對你有關嘅機構如電訊公司、政府部門、銀行等等,向你發動唔同渠道嘅攻擊,例如釣魚電郵、SMS,甚至盜取你嘅身份作非法用途。 專家透露,相信今次私隱外洩嘅源頭唔係 Facebook,應該係第三方服務供應商或市場推廣公司,由於儲存喺雲端嘅資料庫無做好安全設定,先至會俾罪犯攞到。但專家指出,黑客亦可以透過機械人進行網上爬行,去收集你喺社交平台公開嘅資料,所以勸籲大家千祈唔好公開太多個人資料。HackRead 專家話暫時未知有無人買咗呢啲帳戶資料,但都要小心防範。而除咗香港之外,鄰近地區如澳門、台灣、新加坡,亦分別有41萬、73萬及300萬個帳戶記錄。…
不少企業已開展數碼轉型歷程,將大部分重要工作遷移雲端,以增加營運的靈活性,以及更有效運用資源。而在數碼轉型的過程中,由於種種原因,導致網絡安全問題日趨嚴重,特別是亞太區市場,雖然過去數十年在科技上急速發展,但網絡安全意識及措施卻未能跟上,如未能快速武裝起來,絕對有可能成為下一個黑客攻擊的受害者。雲端安全方案供應商 Barracuda 就在這個水深火熱之時,決定在香港增兵,協助亞太區企業提高防禦力。 精準電郵攻擊劇增 近年不少大企業都出現私隱洩漏事故,酒店業有 Marriot,航空業則有 Cathay Pacific 及 British Airline,上榜的電商平台更是多不勝數,嚴重影響營運商譽。當然,受攻擊的不限於大企業,作為進攻大企業的跳板,中小企亦難逃黑客魔掌。而在眾多攻擊方式之中,電訊服務供應商 Verizon 指出估計有 93% 都與電郵攻擊有關,而單單在 2019 年第三季,香港便錄得 849 宗網絡釣魚攻擊個案,可見電郵系統安全的重要性。一向在電郵保護及病毒防火牆服務上獲高度評價的 Barracuda, 其亞太及日本地區銷售副總裁 James…
很多朋友問我,做黑客要不要領牌 (專業證書 )。答案可以是「Yes」或「No」,綜觀全球著名黑客, 他們大多數都是從大量的實踐中煉成黑客技術, 他們專注研究軟件,從一些細微的弱點發掘出漏洞,嘗試發動攻擊入侵系統, 終於成功奪取權限。相反,修讀 CEH (Certified Ethical Hacker)專業認證資格,則是一門以正統方式把你培養成為一個「道德黑客」的課程。 CEH的EC-Council原來好打得 CEH 是由國際電子商務顧問委員會 (EC-Council)提供的網絡安全認證。CEH 是國際的頂級熱門安全證書,符合美國的 ANSI / ISO / IEC…
每逢有網絡保安事故,本地傳媒都會即時搵保安專家評論事件。這些被行家視為「傳媒好友」的專家不多,因為解答不單要快,意見亦要準確簡短,才能幫助記者搶先報導事件。如果言論能再帶有一點幽默感,自然更易成為傳媒寵兒。香港互聯網協會網絡保安及私隱小組召集人楊和生就是其中之一,原來當初他踏入電腦界全因為懶,誰不知現在卻是最忙的職業。 輸在起跑線 早於 1990 年讀大專一年級時,楊和生已開始接觸電腦,「那時讀電腦工程,喜歡寫電腦程式只因為懶,因為發現有很多重複性的工作毋須人手處理,例如要處理一大堆文件檔案的排版,其實只須編寫簡單的程式,就可交由電腦自動執行。」令他沉迷鑽研電腦程式的原因,除了他宅宅的沒有其他嗜好,還與他的電腦設備輸在起跑線有關,「以前無錢,所以第一部電腦的硬件配備比同學差很多,例如別人的電腦用 386 (Intel 處理器型號)、1MB RAM,我就只用 286 及 640KB RAM,連電腦屏幕也只得黑白。」眼見朋友的電腦可以做到很多東西,楊和生亦想試試自己那部弱弱的電腦可否做出接近的效果,所以便花了很多時間練習寫程式,蒲深水埗黃金電腦商場買書自學一些破解技術,「當時完全無黑客的概念,只是有興趣試試修改程式,例如修改電腦遊戲內的生命值、武器防具等,雖然自己完全沒有打機的嗜好……」 後來有朋友移民美國,楊和生為了保持通訊而連上互聯網,才從不同渠道認識黑客這回事,「不過那年代接觸的黑客技術並非以破壞為目的,只是大家互相分享一些程式的漏洞,例如當時互聯網供應商使用的 FreeBSD 作業系統,就有各式各樣的破解玩意,雖然有些成功有些失敗,但我已可讀取到其他用家的電郵地址及內容。」掌握到這些個人私隱,有心人其實已可利用來進行社交工程(Social Engineering)攻擊,楊和生則笑說可能自己沒有犯罪基因,所以即使讀取到伺服器內的電郵內容,也僅僅是滿足了自己的成功感,未能發現偉大的「錢途」。 大專時經常蒲黃金的結果,就讓楊和生認識了一班「砌機佬」,後來其中一個相熟的店員在商場內另起爐灶,順理成章便邀請他一同開檔。「那時賣電腦很好賺,一套電腦可賺取四成利潤,有時講價可以減到幾百蚊,不似現在只賺到百多元,想平幾蚊都難。」賣電腦的好處,就是可以接觸最新的電腦資訊,同時以平價入貨,「所以第二部電腦已是當時頂級的 486,一下子由最慢變成最快。」無論上學或兼職都與電腦有關,讓他打穩了電腦編程的根基,所以出來工作後,編寫程式的技術及速度亦較人高及快。 隱密攻擊…