不少香港人都有儲分換禮品的習慣，近月有網絡不法份子覷中機會，冒充多個會員獎賞平台發送短訊予用戶，包括牛奶公司集團旗下品牌平台 yuu。警方在過去一星期內，已接獲 90 宗關於 yuu 釣魚詐騙案件，合共損失約 97 萬。yuu 隨即宣布在 3 月 8 日晚上 8 時起自動登出所有會員帳戶，用戶需重設帳戶密碼。 想知最新科技新聞？立即免費訂閱 ！ 「你的帳戶 yuu 積分將於今日內到期，請儘快換領獎賞」，表面是溫馨提示，實質內藏陷阱。騙徒的短訊指，用戶的積分即將到期，誘使他們到一個假網站登入資料以兌換積分。黑客可能會利用偷取的個人及信用卡資料，從其他線上平台入手試圖登錄帳戶或瘋狂碌卡，令用戶蒙受損失。…

一個名為「Fangxiao」的惡意組織冒用 400 多個知名品牌的名義，將瀏覽者導向至逾 42,000 個宣傳廣告軟件應用程式、約會網站或有聲稱免費贈品的釣魚網站，更會按用戶 IP 位置導向至不同侵害方式，只為賺取廣告費，可謂為了呃人大費周章。 根據 Bleeping Computer 報道，這些網站似乎被用作產生大規模流量的一部分，該計劃為 Fangxiao 自己的網站創造廣告收入，甚或為從該集團購買流量客戶大帶來更多訪問者。 Cyjax 的詳細報告指出，Fangxiao 自 2017 年以來開始運作，創建假冒零售、銀行、旅遊、製藥、交通、金融和能源領域等 400 多個知名品牌的網站。報告中提到的品牌包括可口可樂、麥當勞、Knorr、Unilever、Shopee、阿聯酋航空等，其中許多虛假網站更具本地化選項。 一般而言，Fangxiao 受害者會被重新導向到包含 Triada 木馬或其他惡意軟件的網站，感染他們的裝置。然而，這些網站的營運商與 Fangxiao 之間的聯繫未明。 為了為其客戶和自己的網站產生大量流量，Fangxiao 每天註冊約 300 個新的品牌假冒網域名。自 2022 年 3 月，他們已使用至少 24,000 個登陸頁面和調查網頁，向受害者宣傳他們的假獎品，例如聲稱受害者贏得 2,000 歐羅，要求他們在 30 秒內完成登記資料。 這些站點中大多數使用「.top」TLD，其次是「.cn」、「.cyou」、「.xyz」、「.work」和「.tech」。這些站點隱藏在 Cloudflare 背後，並在 GoDaddy、Namecheap 和 Wix 註冊。 用戶通過流動廣告或收到包含連結的 WhatsApp 訊息而進入這些網站，這些訊息都提供「特別優惠」，或通知收件人他們「得獎」。網站將訪問者重新導向到有計時器的調查網站，藉以增加緊迫性，令受害者無時間思考。 有時受害者完成調查後，會導向至下載一個應用程式，之後要求受害者啟動該應用程式，並保持打開狀態至少 30 秒，這可能有足夠的時間從 Fangxiao 推薦中註冊新用戶。登陸頁面還託管來自 ylliX 的廣告，這些廣告被 Google 和 Facebook 將標記可疑，因為有可疑的重新導向鏈。 他們重新導向路徑取決於用戶的位置（IP 地址）和用戶代理，可導向至 Triada 木馬下載、附屬 Amazon 的連結、虛假交友網站和 SMS 小額支付詐騙。 Fangxiao 另一導向點是 App Booster Lite…

釣魚手法層出不窮！近日網絡安全公司 WMC Global 的研究人員發現，Office 365 出現新式釣魚方法，以反轉圖作為登陸頁面背景，避過被網絡安全監控標籤為惡意釣魚網站，真係要小心提防！ WMC Global 的研究人員指出，這個釣魚套件技術，是為盜取儲存在 Office 365 的機密資料而寫成，並已被運用在多個網站中；而這個套件自動以 CSS （Cascading Style Sheets）方式，轉換成只是反轉了顏色、貌似正規 Office 365 登陸頁面的背景圖，企圖逃過監控。WMC Global…

又到新年購物意欲旺盛的時候，在報復性消費前，不少消費者都習慣利用搜尋引擎，查找一下有否更便宜的選擇。CyberNews 最近便在 Google 做了一個調查，看看搜尋結果中有沒有「伏」；眾所周知，Google 搜尋前列數項結果都是廣告效果，店家只要付費給 Google 便能在特定搜尋字句中，便能讓自己的網頁得到好位置。不過付費下廣告的，並不一定是合法的賣家，受害人一旦誤入這些網頁，或會被導向至惡意網絡釣魚網站，誘使他們購買假冒或不安全的產品，甚至被欺騙個人資料。 CyberNews 的調查小組為了測試 Google Ads 所展示的網頁是否安全，進入了 692 個有「Black Friday」或「Cyber Monday」宣傳優惠的網站，分析它們的 Domain，並以網域年齡（Domain age）、黑名單狀態（Blacklist Status）及網頁信任分數（Website Trust…

隨著繳税季節的來臨，公眾在準備提交稅務申報的同時，網絡犯罪分子亦可能會利用人為疏忽，通過各種網絡平台發起釣魚攻擊和詐騙活動。黑客可能透過偽造的稅務局網站和欺詐訊息，誘使用戶洩露敏感的個人或財務資料。因此，香港網絡安全事故協調中心（HKCERT）提醒公眾於繳税季節期間應小心注意網絡安全，尤其對透過釣魚網站要求提供個人數據，或要求立即採取行動的通訊應保持警惕。 想知最新科技新聞？立即免費訂閱！ 經電郵或短訊發送偽造通知 在繳税季節，假冒稅務局的釣魚網站成為網絡犯罪分子的常用手段。他們可能會通過電子郵件或短訊發送偽造的通知，聲稱你的稅務資料需要更新或存在問題，並要求你立即回應。這些詐騙訊息可能會包含一個惡意連結，將你引導至一個假冒的稅務局網站，要求你輸入敏感訊息，如身份證號碼、銀行賬戶訊息等。HKCERT 提醒公眾，稅務局不會通過電子郵件或短訊要求提供此類敏感訊息。 以下是假冒稅務局網站和謊稱來自稅務局的電子郵件的例子： 釣魚網站盜取稅務局標誌、eTax名稱和網址hkataxorevenu[.]com[/]hk。（HKCERT 提供圖片） 釣魚電郵同樣盜取稅務局標誌，以及用 Hong Kong SAR 等字樣來增加緊急性。（HKCERT 提供圖片） 如何識別和防範釣魚詐騙 為了保護自己免受這類詐騙的侵害，公眾在收到任何自稱來自稅務局的電子郵件或短訊時，應仔細核實發件人的身份和訊息的真實性。切勿點擊任何可疑的連結或下載附件，尤其是來自不明來源的郵件。若對訊息的真實性有疑問，請直接聯繫稅務局或相關機構進行確認。 保護個人訊息和財務安全至關重要，以下是 HKCERT 的一些建議： 不要查閱被瀏覽器標示為可疑的網站和不應點擊任何不明來歷的連結，例如來自搜尋引擎的廣告等。檢查瀏覽器上所顯示的網址域名有否可疑，惡意的網址域名帶誤導性或與所聲稱機構名稱不符。使用瀏覽器的反釣魚功能來幫助阻止釣魚攻擊，這些功能可以分析網址並在偵測到釣魚網站時彈出警告頁面。當收到可疑的電子郵件或即時訊息時，請務必通過官方渠道核實詳細訊息。切勿在不明來源的網站或向未知發件人提供上個人資料或登入密碼。若網站並非使用…

釣魚攻擊（Phishing Attacks）是網絡犯罪分子最常用的手段，這種攻擊方式通過偽造電郵和網站來欺騙用家，誘使他們提供敏感訊息如密碼、信用卡資料等。而作為一般用家第一道面向互聯網的應用程式，瀏覽器供應商雖然提供了基本的防釣魚安全功能，但不少用家似乎未有啟動，其實只要用少少時間打開設定，已經可以減少受騙機會。 想知最新科技新聞？立即免費訂閱！ 釣魚攻擊的奧妙之處，在於騙徒通常以看似可信的短訊或電郵，以及一些優惠或有迫切性的內容，引誘受害者點擊內裡的連結。當受害者被引導至虛假網站後，很大機會會繼續按指示輸入個人私隱資訊如帳戶登入或信用卡資料，從而被騙去個人訊息。 對於一些較為注意網絡安全的用家，他們或會為瀏覽器安裝一些可阻隔釣魚網站的擴展工具，但從過往一些安全事故可見，黑客曾試過入侵擴展工具供應商的帳戶，透過合法網站散播他們製作的惡意軟件，而且服務供應商亦未必會第一時間堵塞工具的安全漏洞或發佈更新檔案，所以安裝擴展工具其實也有一定風險，遠不及官方提供的服務安全。 「強化防護」功能設定 以最多人使用的 Google Chrome 為例，瀏覽器內建了反釣魚和惡意網站的保護功能。用家可以通過修改設定來開啟功能，增強自身的防護力。用家可進入設定，選擇「隱私與安全」，然後點擊「安全性」選項，接著用家可選擇啟用「強化防護」便可。 啟用這一選項後，Chrome 會在用家試圖訪問可疑網站時發出警告，並建議用家返回安全頁面，能夠減少用家受騙。另外，其他熱門的瀏覽器如 Firefox、Brave 同樣提供反釣魚保護功能，用家亦可於設定內的私隱與安全性選單內找到功能的開關選項。 不過，安全專家認為瀏覽器雖然提供了多種安全功能來抵抗釣魚攻擊，但最終仍得依靠用家自身的安全意識。在日常上網過程中，用家應該始終保持警惕，對於可疑的電郵和連結要謹慎對待。即使是看似緊急或吸引的內容，也不要隨便點擊。另外，用家亦應該採取更多安全習慣，包括使用強密碼、啟用雙重身份驗證、以及定期更新軟件和瀏覽器，都是增強網絡安全的有效措施。 資料來源：https://www.zdnet.com/article/how-to-protect-yourself-from-phishing-attacks-in-chrome-and-firefox/

全球領先網絡安全及雲端服務商 Akamai 最近發布了最新的網絡安全態勢報告，主題為《應對安全威脅狂潮：金融服務業的攻擊趨勢》，報告揭示了金融服務業目前所面臨的網絡安全攻擊趨勢，以及由此帶來的嚴峻網絡安全挑戰。 在發布會議上，Akamai 資深解決方案技術經理馬俊（James Ma）對報告進行了詳細解讀，深入剖析了金融業遭遇巨大網絡安全挑戰背後的深層原因，並給予專業的應對策略及建議。 金融業成DDoS攻擊重災區 根據 Akamai 統計，金融業遭受的 DDoS 攻擊，已佔所有產業攻擊總量的 34%。James 表示，前三名遭受的攻擊量，約佔居總量的七成，顯示網絡安全攻擊事件日益聚焦在金融業。而金融業已是連續兩年成為 DDoS 攻擊的重災區。 數據顯示，這些攻擊數量隨時間的變化，與全球經濟體的金融活動，呈現正相關趨勢。而金融業遭受的 DDoS 攻擊數量與金融活動的密集程度，呈正相關關係。 在…

網絡安全供應商 CrowdStrike 更新軟件出現缺陷，導致微軟 Windows 系統出現「藍 Mon」，全球有多達 850 萬裝置受影響，有專家估計全球經濟損失高達 150 億美元（約 1,171 億港元）。出事源頭 CrowdStrike 現已向用戶公布解決措施，表示正積極協助受影響客戶；香港網絡安全事故協調中心（HKCERT）亦呼籲用戶需警惕借此事件乘勢而起的網絡釣魚攻擊。 想知最新科技新聞？立即免費訂閱！ 事件爆發後，CrowdStrike 在官方網站及社交平台上更新最新消息。CrowdStrike 創辦人兼行政總裁 George Kurtz…

各種仿冒品牌及釣魚攻擊，一直潛伏於大眾身邊，不但會造成財產損失，被仿冒的企業也同時是受害者。然而，到底從何著手解決此類外部的數碼風險，卻是一個難題。天際友盟度身訂造了全面的防護數碼風險方案，以多方位情報，快速處理問題，保障企業免受損失。 自主研發成本高昂　宜選擇第三方服務商 隨著數碼化進程加快，企業的數碼足跡、數字資產、甚至管理層的個人形象，都可能成為不法分子的攻擊目標。天際友盟華南大區總經理海外事業部總監徐杉杉（Celine）認為，釣魚欺詐、品牌侵權、App 和社交媒體仿冒、數據洩漏、版權侵權等數碼風險，以各種各樣的形式，為企業與網上用戶帶來直接或潛在經濟損失，也嚴重損害企業的品牌形象和聲譽，「數碼風險屬於外部威脅，防守 IT 邊界早已不能作為組織唯一的防護手段」。 因此，企業亟需建立完善的數碼風險防護系統，以滿足數碼轉型過程中的業務需要。 Celine 指出大多數企業，尤其是各行業的龍頭企業，已認識到數碼風險防護的必要性，但由於數碼風險本身難以監測與處理，數量龐大而複雜，導致企業投資回報率（ROI）很低，難以確保防護效果。更多的企業對數碼風險無從入手，甚至會採取放任態度，造成極大安全隱患。「保護重要數字資產與數據免受外部威脅，可提升在線業務營運穩健性，令風險應急機制更為完善，其價值毋庸置疑」，她相信選擇有實力提供全面數碼風險防護的第三方服務公司，是解決此類問題的最佳解決方案。 天際友盟處理個案遍佈過百個國家 天際友盟推出的 DRP 數碼風險防護（Digital Risk Protection），是配合企業數碼轉型的安全解決方案。天際友盟以成熟的威脅情報研究能力為核心技術基座，加以 AI 技術，致力為企業提供涵蓋識別、監測、響應、恢復全生命周期的數碼風險管理。 DRP 匯集多種威脅情報來源，包括實驗室自家情報、商業情報採購、聯盟與合作夥伴情報共用、開源情報採集等，總情報源超過 200…

人工智能（AI）早於數十年前已出現，一直應用在生活各個層面。去年底，生成式人工智能（Generative AI）ChatGPT 大爆發，AI 技術變得更大眾化，亦成為網絡安全上的雙面刃。在這個利用 AI 對壘的時代，商業層面的防護絕不落後於網絡不法分子。 AI 技術一方面能提升防禦工作的能力與速度，另一方面方便黑客編寫惡意軟件及網絡釣魚內容。根據香港電腦保安事故協調中心（HKCERT）的《香港保安觀察報告》，2023 年第一季錄得 2,804 宗釣魚網站個案，比去年同期 806 宗上升 2.5 倍，又指出有網絡不法分子利用 ChatGPT 製作釣魚郵件內容，甚至編寫惡意程式，認為 AI 潛在保安問題不容忽視。 以…