美國電腦網絡危機處理及協調中心 CERT 日前公布,多家廠商推出嘅企業 VPN (Virtual Private Network,VPN)服務存有安全漏洞,名單中更不乏大品牌,例如 Palo Alto 、Cisco、F5 Networks、Pulse Secure 等。以為企業級 VPN 就等於 100% 安全?咪傻喇。 平民百姓用 VPN ,無非都係為咗翻牆或藏匿自己嘅數碼足跡;而企業用…
Search Results: VPN (104)
定時重新啟動智能手機的好處,相信高用量用家都必定明白,因為可以釋放內存,令手機的運作回復順暢。不過,原來重新開機對提升手機的網絡安全都有幫助!想知點解?一齊睇睇美國國家安全局(NSA)專家解釋。 想知最新科技新聞?立即免費訂閱! NSA 有關每星期至少重新啟動一次智能手機,有助提升設備安全性的建議,其實早在 2020 年已經提出。不少人以為重啟手機最大的用途只是令部機回復順暢,但其實都有助阻止某些惡意軟件的運作。 重啟手機有助防止惡意程序重新執行 安全局能力理事會的技術總監就曾解釋重啟手機雖然不能阻止更複雜的攻擊,但因為現代網絡攻擊傾向由兩個或以上程序執行,中間還有需要成功利用已知的漏洞,所以重啟手機便可迫使惡意程序重新執行,但由於一些應用軟件的更新需要重啟手機才能完成,過程中可能會修復了一些已知的漏洞,因此亦有機會阻止惡意程序重新執行。 除了重啟手機之外,NSA 報告中還提到使用智能手機可能會遭受到的多種威脅,當中包括誤裝惡意軟件、危險的 Wi-Fi 網絡,以及黑客可能通過遠程訪問手段收集通話和短訊內容的風險。這些威脅意味著用家的個人私隱訊息和數據隨時都有可能受到攻擊。因此,採取適當的預防措施顯得尤為重要。 用戶應定期更新應用程序和操作系統 專家亦建議用家應該定期更新應用程序和操作系統,以確保擁有最新的安全防護能力,防止黑客利用已知漏洞進行攻擊。用家亦應小心點擊電郵和短訊中的連結或附件,因為這些都是黑客的常用播毒手段。如果有需要連接公共 Wi-Fi 網絡,應考慮使用虛擬私人網絡(VPN)來加密數據,都有助增加安全性。 報告內特別值得一提的建議是要小心選擇配件,必須選購信譽良好的品牌及使用原裝充電設備。除了因為公共 USB 充電站可能被黑客改裝之外,專家亦發現黑客會通過在市場上混入具惡意功能的配件或充電設備,靜心等待用家購入後接駁手機,這樣便可以在手機上安裝惡意軟件,達到竊取數據或入侵手機的目的。隨著科技的不斷進步,專家認為用家必須提升警覺性和關注網絡安全的資訊,才能避免成為下一個受害者。 資料來源:https://www.zdnet.com/article/why-you-should-power-off-your-phone-once-a-week-according-to-the-nsa/
為了節省數據用量,不少網民在街外都習慣會連接 Wi-Fi 熱點。不過,早前英國各地十多個火車站的 Wi-Fi 熱點登入頁面卻遭受騎劫,只要乘客用移動設備連接,登入頁面就會顯示歐洲地區恐怖襲擊的訊息。雖然這次事件未有其他犯罪意圖,但如對方心存歹念,便會很容易達到更多惡意目的。 想知最新科技新聞?立即免費訂閱! 據外媒報導指出,這次騎劫事件一共影響了該鐵路營運商總 19 個車站的 Wi-Fi 熱點,當中包括倫敦尤斯頓車站、利物浦萊姆街車站、愛丁堡韋弗利車站等。根據鐵路營運商 Network Rail 初步的調查顯示,估計黑客並非入侵了鐵路系統,而是其 Wi-Fi 服務供應商 Telent,調查更指出 Telenet 有其他客戶都遭受黑客攻擊,但就拒絕開名,只是建議傳媒直接向 Telent…
疫情後,不少企業都開始接受員工遙距工作,甚至會聘請遠在其他地區的人入職,很可能連真人也未見過一面。不過,早前網絡安全意識培訓公司 KnowBe4 的安全事故就為這種聘僱模式敲響警鐘,突顯了國家級黑客組織利用深度偽造的身分,滲透企業的問題日益嚴峻。 想知最新科技新聞?立即免費訂閱! 本月中,KnowBe4 發現一名剛獲聘為「首席軟件工程師」的新員工,在接收到公司給他的電腦設備後便立即遙距登入系統,試圖在公司系統內植入惡意軟件。 他的可疑舉動立即觸發網絡安全工具的警報,IT 部門立即聯絡該員工核實情況,對方起初聲稱正在按照安裝指南解決路由器的連線問題,可能因此觸發警報,但經 IT 部門翻查連線記錄後,便發現他原來連接了一部 Raspberry Pi 在執行其他操作,當中包括篡改 session 記錄文件、下載及安裝惡意軟件。其後當 IT 員工試圖與他通話,獲取更多細節時,便發現已無法再找上對方。 利用DeepFake技術瞞過面試人員 KnowBe4 發言人指,經調查後推斷這名假員工隸屬於北韓國家級黑客組織,據知他利用了深度偽造技術製成了求職信及通過人事部門的遙距預見,隱藏了自己真正身份,從而獲得公司聘用。發言人又指相信這個黑客並非身處美國或登記的住址內,而是利用假地址接收電腦設備,再經…
網絡安全情報公司 Recorded Future 發表最新報告,稱針對台灣組織的網絡攻擊活動持續增加,特別是針對國家基礎設施及管治部門的情況尤其嚴重,顯示地緣政治活動與網絡攻擊密度有重要關係。此外,開源(Open Source)工具的安全問題日益嚴重,企業必須加強警惕,切勿貪快胡亂使用。 想知最新科技新聞?立即免費訂閱! 香港及美國等機構亦是攻擊目標之一 報告內指稱,在 2023 年 11 月至 2024 年 4 月期間,即台灣進行總統大選前後,一個稱為 RedJulliett 的黑客組織,曾攻擊台灣 70 多個機構,當中包括…
隨着科技不斷演變,網絡攻撃正以前所未有的速度加劇,企業及個人用戶均面對不斷演變的安全威脅。一直致力推動網絡安全發展的全方位自動化網絡保安服務方案供應商 Fortinet,早前在港舉辦 Fortinet Accelerate Asia 2024 峰會香港站,邀請一眾行業 IT 專家,分享網絡威脅的趨勢分析,以及如何面對現今最嚴竣的安全挑戰,以全面提升網絡解決方案,助客戶應對迫切的安全挑戰,整合及簡化網絡安全基礎設施以應對威脅。 研發單一作業系統及處理器逾廿載 Fortinet香港區總經理馮家健(Michael) 今年峰會以「Step Into the Platform Era」為主題,由 Fortinet 管理層和網絡安全專家分享最新安全趨勢的深入見解和創新產品,助企業在不斷變化的環境中應對挑戰。Fortinet 香港區總經理馮家健(Michael)於主題演講中表示,Fortinet 的核心價值是「強化你的網絡(Fortify…
新一波數據外洩事故,涉及消防局、公司註冊處、機電署、市建局等多個公營機構,牽連逾 13 萬市民的敏感資料,同期亦有上市公司疑遭入侵數據庫,客戶資料被放到暗網發售。多宗事故反映香港的公私營機構均存在資訊保安漏洞,當中有甚麼值得企業引以為鑑?我們邀請了DYXnet 第一線的網絡安全專家鍾而政(Louis)教路,拆解如何利用近年廣受企業採用的安全存取服務(SASE) 降低數據外洩風險,並透過資訊安全監控中心(SOC)託管服務的 AI 技術及時獲得警報及響應,將事故防患於未然! SASE 遠端資料存取 保護敏感資料免受黑客入侵 儘管近期數據外洩事故情節各有不同,但均凸顯敏感資料存取權限和及早響應未知安全威脅的重要性。其實早在疫情期間,業界已警惕到「在家工作」模式存在著巨大的安全風險,Louis 表示:「員工在辦公室以外的地方、利用不同的個人裝置進入公司網絡存取資料,假如企業未有啟用多重認證功能,並且沒有檢查終端狀態及行為,分散式的遠端連接網絡會令攻擊點大增,在地部署的堡壘式安全防禦不足以應付來自四方八面的安全需求。」Louis進一步指出,消委會的事故便是如此,根據私隱專員公署最近出爐的調查報告,黑客首先取得消委會一個有管理員權限的帳戶憑證,再透過 VPN 進入消委會的網絡,以勒索軟件攻擊伺服器。 Gartner 於 2019 年提出 SASE 的概念,其零信任(Zero Trust)機制在疫情期間受到企業青睞,Louis…
網絡保安服務方案供應商 Fortinet 推出的最新版本 FortiOS,是唯一能無縫整合網絡和安全功能的作業系統,其 Security Fabric 升級包括新一代的生成式人工智能、數據保護、管理服務和統一代理功能,為客戶加強網絡防禦。 想知最新科技新聞?立即免費訂閱! Fortinet 創辦人、董事長暨行政總裁 Ken Xie 表示:「FortiOS 是全球最強大的即時網絡安全作業系統,有效簡化跨內容、應用程式、用戶、裝置、數據和位置的管理;我們專有的 FortiASIC 提供前所未有的效能、更低成本和低耗能。20 多年來我們致力創新,獨有地使 30 多種網絡和安全功能共同協作。FortiOS 7.6…
勒索攻擊要成功,最重要是準確找出「身有屎」的目標,過往有不少騙徒會透過濫發帶有恐嚇成份的釣魚電郵,例如指對方違反了國安條例、家屬在內地犯事、電腦內藏有違法內容等,一旦收件人相信跟自己有關,便會乖乖按騙徒指示匯款。不過,一個新的騙徒集團除了應用上述方法,還自製孌童網站引誘目標人士瀏覽,更容易嚇到「受害者」俾錢。 想知最新科技新聞?立即免費訂閱! 一改傳統漁翁撒網方法 含有勒索意圖的電郵或短訊,相信不少人都曾接收過,不過,很多時訊息的內容未必與自己有關,因為大部分騙徒都採用漁翁撒網策略,但求電郵或短訊有機會被有關人士接收得到。有時這些詐騙訊息未必一定要錢銀有關,例如指收件者的社交平台違反使用條例,又或通訊軟件如沒有在限時內驗證便會凍結帳戶,目的有可能是搶奪受害人的帳戶後再進行其他詐騙,但使用這種手法都較為被動,必須收件人信以為真才能成功。 這次由網絡安全機構 MalwareHunterTeam 分享的報告中,便揭示了一個新的詐騙集團一改傳統漁翁撒網的方法,改為主動出擊,製造出一個冒牌的 UsenetClub 討論區,等待獵物到訪。正牌 UsenetClub 以討論區形式運作,用家可按不同的主題自由討論及貼圖,而當中一個主題便與兒童色情照有關,只要付費訂閱,用家便可在討論區內觀賞或下載有關照片,而且毋須透露任何個人資料。而騙徒打造的冒牌討論區 UsenetClub 亦實施二級收費,用家可選擇以每月 69.99 美元或每年 279.99 美元進入討論區內,但奧妙之處是網站提供一個免費方案,只要用家下載及安裝 CryptVPN 軟件便可免費使用,同時網站亦強調軟件可保障用家的網上行蹤,對這班違法的用家更具吸引力。 威嚇舉報對方收集兒童色情照…
在手機利用人臉識別技術登入 Apps,毋須再打密碼,看似方便又安全。不過香港中文大學有研究團隊發現,市場上 18 個人臉識別流動應用模組中,竟然有 11 個存有安全漏洞!而企業級的 Wi-Fi 及 VPN 服務,同樣存在缺陷和漏洞,或會為用戶帶來安全風險。 想知最新科技新聞?立即免費訂閱 ! 人臉識別系統漏洞繞過活體檢測 用戶的個人資料和自拍照片很容易被盜用及作非法販賣,繼而被不當使用。為防止駭客盜用他人圖像進行身分欺騙或建立傀儡賬戶,大部分人臉識別系統要求用戶在建立賬戶時完成眨眼、搖頭等動作,即所謂「活體檢測」。儘管過往有不少研究通過 3D 打印面具或 deepfake(深度偽造)等手段,利用機器學習模型弱點攻破人臉識別系統,但甚少人研究人臉識別系統設計與程式代碼之中的弱點。 中大工程學院信息工程學系劉永昌教授領導的研究團隊,深入分析檢測了市場上 18 個人臉識別服務供應商提供的流動應用模組,發現其中…