不少網站都會使用 WordPress 平台製作及管理網站,但有雲端服務供應商就發現,近來兩個有關連的黑客組織 Clearfake 及 Clickfix 已成功入侵 6000 個 WordPress 帳戶,並在網站的 HTML 碼中偷偷加入惡意功能,只要有人訪問網站,就會彈出虛假的錯誤及修復訊息建議,誘導網民安裝資訊盜竊器。雖然需要網民手動執行多個步驟,未必容易成功,但專家亦強調網站管理員必須小心提防中招。 想知最新科技新聞?立即免費訂閱! WordPress 一直是黑客的熱門攻擊對象,因為使用其服務的企業或個人用家極多,而憑著擁有大量功能插件,WordPress 亦成為最多人使用的網站管理平台之一。根據官方最新公布的數字,全球約有 4.78 億個網站都是使用其平台建立及管理,在所有網站中佔 43.5%,有如此龐大的用戶群及影響力,難怪會成為黑客頭號攻擊目標,過往就有不少網絡攻擊事件發生,當中以盜取管理員身份憑證、編寫帶有惡意功能的插件,以及濫用平台或插件的零日或已知漏洞佔最多數。…
Search Results: javascript (35)
由多個學術研究員組成的研究小組,在上年發現 Apple 旗下使用 A 及 M 系中央處理器的裝置存在安全漏洞,更成功證實可通過 Safari 瀏覽器獲取用家的敏感訊息。這個名為 iLeakage 的旁道攻擊(side-channel attack)由舉報至今,Apple 僅能為 macOS 推出修補檔,而 iOS 及 iPadOS 就依然要等。 想知最新科技新聞?立即免費訂閱…
網絡安全公司 Check Point 發表研究報告,詳細分析一項被稱為 SmugX 的網絡釣魚攻擊,由於從捕獲的病毒樣本中發現,這次攻擊主要針對英國、法國、瑞典、烏克蘭、捷克、匈牙利和斯洛伐克的大使館和外交部門,加上使用的病毒與中國 APT 黑客集團相似,因此研究人員將它歸類為有明確政治目標的間諜活動。 想知最新科技新聞?立即免費訂閱 ! 從研究人員公開的報告可見,SmugX 間諜攻擊自 2022 年 12 月開始,並持續執行多月,顯示攻擊者有長期目標。 黑客目標清晰 手法複雜 這次攻擊有以下兩個特點,首先是黑客的攻擊目標清晰,主要針對歐洲多國外交官員和部門,並非漁翁撒網。研究員捕獲的釣魚樣本中,有給塞爾維亞駐布達佩斯大使館的信件、闡述瑞典擔任歐盟理事會主席國的優先事項文件,以及兩個中國人權律師的文章,顯然是希望引起目標國家的外交官興趣,繼而打開電郵內的附件,完成整個入侵程序。 其次是 SmugX…
專門盜取信用卡資料的黑客集團 Magecart 再度出擊,一如以往騎劫了多個網購平台的網站,植入惡意程式盜取客戶輸入的信用卡資料。專家指由於這次黑客製作的虛假收費頁面非常用心,甚至比官方的更精美,因而令受害者不虞有詐,大方交出信用卡帳戶及卡面資料。 想知最新科技新聞?立即免費訂閱 ! 黑客為了神不知鬼不覺盜取網民的信用卡資料,最常見的手法是於網購平台植入稱為 Credit card skimmer 的惡意程式碼,以當中最惡名昭彰的黑客集團 Magecart 為例,他們便曾利用網購平台或第三方服務供應商的漏洞入侵,不少知名網站如 newegg、Forbes 亦曾中招。 網絡安全機構 Malwarebytes 發表調查報告,指在這次攻擊中,Magecart 成員以複雜的手段入侵網站,並於網站安裝名為 Kritec 的…
Apple 及 Google 最近分別公布及修補旗下產品的零日漏洞,報告指出,已偵測到有黑客利用這些漏洞發動攻擊。香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)呼籲用戶立即更新,以堵塞由漏洞所產生的惡意攻擊。 想知最新科技新聞?立即免費訂閱 ! Apple 所公布的兩個零日漏洞,分別為 CVE-2023-28205 及 CVE-2023-28206,針對蘋果瀏覽器 Safari 內的 WebKit 元件及管理硬體的內部程式。受影響的系統包括 iOS 15.7.5、iOS 16.4.1、iPadOS 15.7.5、iPadOS 16.4.1、macOS…
不少 Microsoft .NET 開發人員使用的開源程式套件倉庫NuGet,被發現混入了多個有毒套件,頭三個最多人下載的套件,加起來差不多有 15 萬次,專家認為是一次非常成功的網絡攻擊,同時亦警告開發人員,必須更小心同類型攻擊手法,在使用開源套件前,必須謹守安全法則。 想知最新科技新聞?立即免費訂閱 ! 黑客於開源程式套件倉庫落毒,是近年非常熱門的犯案手法,例如 Javascript 及 Python 電腦程式的開源倉庫 NPM 及 PyPl,就是最常被利用的平台。JFrog 網絡安全研究員卻指出,有黑客成功利用針對 .NET 開發框架的開源倉庫 NuGet…
又多一個黑客集團利用Microsoft OneNote 附加文件去散播惡意軟件,新加入的集團並非新手,而是犯罪往績纍纍的 Emotet。專家指集團螫伏三個月後,再度回歸時的開局雖然不太理想,只感染到極少量企業帳戶,但經調整策略、跟隨大趨勢使用 OneNote 附件,感染率即大增。到底 Microsoft 要等到幾時先出手堵塞安全漏洞? 想知最新科技新聞?立即免費訂閱 ! Emotet 黑客集團主要靠木馬軟件起家,當成功引誘企業員工打開檔案,內藏的木馬軟件就會植入電腦,除了會用於竊取企業機密資料,還會引入其他惡意軟件包括勒索軟件、殭屍網絡等。 在 2021 年,Emotet 曾被歐洲刑警利用集團自己的伺服器,暗中向受感染設備自動發送剷除指令,連根拔起整個集團,但在 2021 年末,Emotet 已開始利用 TrickBot…
香港地行行「搶人才」,尤其以資訊科技界人才最為短缺,無論大家最熟悉的 IT 支援,還是寫網站寫 Apps、數據分析、雲端工程,通通也是 IT 界人才。到底 IT 界有何熱門職位?新手入行應該如何選擇?哪類職位有前景又有錢景?一文立即看清! 根據香港人力資源管理學會去年底公佈的「2022 年薪酬趨勢調查」,IT 行業加薪幅度最大,平均幅度達9.8%,跑贏大市。而 IT 界「最大路」工種分別為軟件開發(Software Development)、數據工程(Data Engineering)、網絡安全(Cyber Security)、雲端工程(Cloud)和項目管理。 兩大熱門範疇多空缺 新手易Pick Up IT 獵頭公司…
在今年 6 月,Microsoft 宣布不再支援 Internet Explorer,並讓 Microsoft Edge 推出兼容 IE 的版本。但最近竟發現黑客仍在尋找 IE 的漏洞,並將之利用作入侵。方法是透過電子郵件發送的 Office 檔案中,藏了一個 IE 漏洞,即使不是使用 IE 作默認瀏覽器,但仍會在 IE…
近年,利用「加密電郵附件」來發動惡意攻擊有趨升之勢,一般都會以 DOC、XLS、PDF 文件等形式發出,並會在電郵正文告知你附件的密碼。當你收到這類電郵時,請注意,因為它很可能是惡意電郵! 如果只看電郵原文內容,一般是看不出有任何不妥,附件也是收據、發票、逾期欠款、財務報告、簡歷等,但當你輸入密碼、打開附件,你的軟件(例如 DOC 文件則為 Microsoft Word)將詢問您是否要 Enable Editing。如果你容許及啟動 Macros,就可能中招了。 為何黑客會使用這種方式去散播惡意軟件? 1. 容易避開電郵過濾檢測 從罪犯角度看,使用受密碼保護的電郵附件,是有效避開電郵過濾檢測的方法。雖然電郵網關安全掃描能夠檢測和刪除惡意附件,但如果附件是加密文件,大部份的電郵過濾器是束手無策的。 2. 易於發動 導致電郵附件惡意程式普及的另一個原因,是創建這些附件相對容易。惡意 Macros 可以使用 Microsoft Visual Basic 或 JavaScript 編寫,技術門檻較低。 3. 利用人性弱點 惡意程式通過令人信服的附件進行發放,這些附件看起來像業務相關的文檔。更重要的是,添加密碼保護會產生安全感和真實性,令用戶放下戒心,打開文件。…