大部分用戶均傾向相信 Apple 服務較安全,甚至以為iPhone不會中毒,在 Apple App Store 下載應用程式時,戒心也相對較低。不過,網絡安全解決方案供應商Sophos近日發表最新研究報告中指出,有 CryptoRom 應用程式成功繞過 Apple 的安全規定,將虛假應用程式於 App Store 上架,再以交友 App 誘使受害人下載並進行加密貨幣投資,屬首宗 App Store 加密交易詐騙。 想知最新科技新聞?立即免費訂閱…
Browsing: 網絡保安
網絡安全事故頻頻發生,不少科技公司及開源社群,都開始倡議從程式語言層級確保記憶體安全(memory safety)問題,即以具備記憶體安全的程式語言例如 Rust、Java、Go 等,取代 C 或 C++。到底為何有這變動?業界又是否可以順利轉型? 記憶體安全可說是開發軟件的一大難題,早在 2019 年,Microsoft 已發表報告指出過去 12 年來發生的網絡安全事故中,近 70% 都與記憶體安全問題有關。 記憶體安全其實是指程式運行時因管理記憶體失當,導致數據外洩或被注入惡意編碼,當中包括記憶體緩衝區溢出(buffer overflow)、超出緩衝區邊界(out of bounds)存取及釋放記憶體(use after…
網絡釣魚經常利用虛假的社交媒體資料,以及對目標人物作深入調查,從而製作出精細的攻擊活動,誘騙受害者點擊惡意連結,並將用戶名和密碼「雙手奉上」。究竟有甚麼方法可以避免墮入黑客的陷阱?正所謂知己知彼,首先我們要了解黑客背後的運作模式。 英國國家網絡安全中心(NCSC)早前發出警報指,網絡釣魚攻擊針對來自多個行業的個人和組織。網絡釣魚攻擊的最終目標,是誘使受害者點擊惡意連結,這些連結會導向看起來逼真的虛假登入頁面,受害者一旦輸入他們的登入憑據,等同向攻擊者直接提供自己帳戶的訪問權限。黑客透過利用這些帳戶,再接觸其他受害者。 許多惡意連結的頁面會設計成常用的雲端軟件和協作工具,如 OneDrive、Google Drive 和其他文件共享平台。其中一個案例是攻擊者與受害者進行 Zoom 通話,然後在通話期間於即時訊息發送了一個惡意 URL。他們甚至會在網絡釣魚過程中,創造出多個角色並操作,增加可信性。 魚叉式網絡釣魚攻擊的第一階段是做研究和準備。攻擊者透過社交媒體和網絡平台等的公開資料,盡可能了解目標人物背景,包括他們的職業和聯絡人,例如家人、朋友和同事。攻擊者通常會根據真實人物,設置虛假社交媒體和文件以令人信服,使之看起來像是與真實事件相關,實際上這些事件並不存在。 據 NCSC 指,這些活動是俄羅斯和伊朗的網絡攻擊者所為,兩地的攻擊活動雖不相關,但策略相同。無論攻擊者冒充何人,或使用甚麼誘餌,這些魚叉式網絡釣魚活動都有一個共同特徵,就是以個人電子郵件地址為目標。這種策略能用以繞過對公司賬戶和網絡安全控制,而公司或企業電郵也成為攻擊目標。 這些網絡釣魚活動背後另一關鍵要素,是攻擊者相當有耐性,他們會花時間與目標建立關係。通常他們不會立即潛入,或直接要求目標人物點擊惡意連結或打開惡意附件,反而會與目標慢慢建立信任。過程通常從一封看起來平平無奇的電郵開始,通常是經調查後發現目標很可能感興趣的內容,藉以吸引他們,然後他們之間來回發送電子郵件,有時持續很長時間,直到建立起受害者所需的信任,令他們中招。 惡意連結將偽裝成受害者感興趣的文檔或網站,如會議邀請或議程,將受害者導向至攻擊者控制的伺服器。當受害者在惡意連結中輸入用戶名和密碼時,這些資料將發送給攻擊者,他們便可利用受害者的電子郵件和其他帳戶作更多行動。據 NCSC 稱,這些行動包括從帳戶中竊取訊息和文件,以及監控受害者未來發送和接收的電子郵件和附件。 攻擊者還會利用受害者電子郵件帳戶的權限,獲取郵件列表數據和聯絡人列表,隨後用於後續活動:由其他人作進一步網絡釣魚攻擊。 NCSC 運營總監…
勒索軟件攻擊早已成為黑客最常用的手段,網絡安全公司Emsisoft統計了 2022 年的勒索軟件攻擊數據,報告顯示受攻擊的對象規模宏大,包括政府、醫療及教育機構,波及美國逾 200 個公營組織,當中有教育機構支付「贖金」,亦有知名醫院洩露逾 62 萬患者的資料。 Emsisoft 從公開報告、披露聲明、暗網上的洩密事件和第三方情報中所收集數據統計發現,美國的勒索軟件威脅襲擊共涉及 105 個縣、44 所大學和學院、45 個學區和 24 家醫療機構,黑客在大約一半的勒索軟件攻擊事件中成功竊取數據。 Emsisoft 強調,並非所有受害者都披露了此類事件,當中以公營受害者較少,私營機構的受害者較多。因此,美國勒索軟件狀況的年終報告數字,被認為偏保守,不能準確描述完全真實狀況。由於影響公營部門的事件似乎都會公開披露,所獲得的數據與現實較貼近,成為研究人員用作估計私營部門勒索軟件活動的線索。 針對地方政府的勒索軟件攻擊,從 2021 年的…
足球盛事剛過,球迷在這一個月投入賽事氣氛,有人更會下注小賭怡情。但美國體育博彩公司 DraftKings 早前就發現 11 月時發生憑證攻擊後,超過 67,000 名客戶的個人資料被洩露,而涉事攻擊者則以 10 到 35 美元的價格售賣部份被盜帳戶。 在相關攻擊中,發動者以自動化工具進行大規模攻擊,每次發動多達數百萬次攻擊,並使用從其他在線上服務中所竊取的憑據,包括用戶名稱及密碼嘗試登入帳戶。這種攻擊方法針對總是在不同平台中,重複使用相同登入名稱及密碼的用戶,可說是非常有效。 攻擊者的目的是控制更多帳戶,以竊取個人和財務資訊,並將之放在黑客論壇或暗網上兜售。這些用戶憑證亦能被利用作身份盜竊詐騙,如未經授權的交易,或竊取銀行帳戶的資金。 在數據洩露報告可見,DraftKings 指在上個月的事件中,總共有 67,995 人的數據被洩露,這些攻擊者從 DraftKings 以外的源頭,取得登入客戶帳戶所需的憑據。報告指出,如果一個帳戶被登入,攻擊者可能查看了帳戶持有人的姓名、地址、電話號碼、電子郵件地址、信用卡的最後四位數字、個人資料照片、有關先前交易的資訊、帳戶餘額,以及最後日期更改密碼日子。 但報告強調,目前沒證據表明攻擊者已獲社會安全號碼、駕駛執照號碼或金融帳戶資料;另亦指出,信用卡最後四位數字雖有機會被看到,但完整卡號、到期日期和…
加速數碼化轉型,邁向數智宇宙,中國移動國際(CMI)正舉行 iSolutions 狂歡節,舉辦今年最大促銷。限時推出的五大優惠,包括免費上雲諮詢服務、簽單送雲工具及服務等,助企業輕鬆「上雲」。 Gartner 報告顯示,目前企業上雲遇到最大的挑戰包括管理技術、技術及資源不足等。CMI 致力為跨境企業提供全面、優質的解決方案,其 iSolutions 解決方案協助企業能夠無縫及安全地將業務拓展至全球。 優惠期至今年 12 月 31 日,請把握今年最後機會,盡情狂歡! 優惠一A —免費上雲諮詢服務 凡選購 iSolutions 國際數據連接、雲網、數據中心、IoT 及 ICT…
烏克蘭與俄羅斯戰事持續未了,相關的網絡攻擊也未曾停歇。Microsoft 警告指,預計整個冬季由俄羅斯支持的網絡攻擊,將繼續針對烏克蘭基礎設施和北約盟國,更指出觀察到俄羅斯軍事情報威脅組織 Sandworm,對烏克蘭基礎設施作針對性的攻擊,並與導彈襲擊有關。 根據 BleepingComputer 報道,這些襲擊伴隨著俄方的政治宣傳,以破壞西方國家如來自美國、歐盟和北約對烏克蘭的支持。俄羅斯的宣傳還試圖破壞歐洲對烏克蘭的支持,並從中挑撥離間,最終目標是中斷他們對烏克蘭的援助和武器的供應。 報告預計,這些襲擊將會持續,並可能不只攻擊烏克蘭,而是以為該國提供重要物資的國家作目標。Microsoft 指歐洲應為「在今年冬天由俄羅斯在網絡可能發起的多重攻擊」做好準備,又表示這些趨勢亦反映全世界都該為這些潛在攻擊作準備。 Microsoft 指出,俄羅斯希望利用民眾對烏克蘭的支持出現裂痕,藉以破壞支持烏克蘭復原的聯盟,削弱流向該地區的人道主義和軍事援助,並提出應該為針對歐洲的網絡影響行動做好準備,這些行動將與網絡威脅活動同步進行。 Microsoft 在 6 月時曾發出警告稱,俄羅斯情報機構包括 GRU、SVR 和 FSB,對於俄羅斯入侵烏克蘭後、一直幫助烏克蘭的國家政府加強網絡攻擊,試圖破壞全球數十個國家的實體,隨後便發布了上述的報告。絕大多數攻擊集中北約,和對戰爭發揮關鍵作用的國家政府,以獲取敏感資訊。 俄羅斯軍事情報威脅組織 Sandworm,是一群至少已活躍二十年的俄羅斯精英黑客組成,與之前 2015…
早前市場調查公司 Gartner 的一份調查報告顯示,2023 年企業花費在公共雲服務的投資將較 2022 年大增20.7%,可見全球企業管理者正加速其數碼轉型的步伐。事實上,多雲環境的高靈活性及低成本的優勢已是人所共知,關鍵只是在於企業如何正確部署。DICT 數智通訊服務供應商中信國際電訊 CPC(以下簡稱 CPC)及數據管理解決方案供應商 Veeam 早前便合辦了一場午餐研討會,分享為何企業必需走上多雲環境之路,並邀請了德勤(Deloitte)會計師事務所專家,從數據儲存的合規條件上,講解多雲環境的優勢。 全球法規恆常優化 整合資料助客戶訂立發展計劃 全球企業紛紛爭相部署多雲環境,Deloitte 管理諮詢合伙人 Daniel Cheung 認為各大企業均有不同的考量 ,「首先是各大雲服務供應商有各自的技術強項,適合企業發展不同業務,因此企業管理者已不再拘泥於採用單 一供應商,而是會構建出最合符業務發展需要及投資回報率(ROI)最高的組合。」此外,現時網絡安全環境愈趨嚴峻,大多數企業為求減少業務中斷的風險,因而也會制定應急方案,將工作負載部署於不同雲環境。…
一個名為「Fangxiao」的惡意組織冒用 400 多個知名品牌的名義,將瀏覽者導向至逾 42,000 個宣傳廣告軟件應用程式、約會網站或有聲稱免費贈品的釣魚網站,更會按用戶 IP 位置導向至不同侵害方式,只為賺取廣告費,可謂為了呃人大費周章。 根據 Bleeping Computer 報道,這些網站似乎被用作產生大規模流量的一部分,該計劃為 Fangxiao 自己的網站創造廣告收入,甚或為從該集團購買流量客戶大帶來更多訪問者。 Cyjax 的詳細報告指出,Fangxiao 自 2017 年以來開始運作,創建假冒零售、銀行、旅遊、製藥、交通、金融和能源領域等 400 多個知名品牌的網站。報告中提到的品牌包括可口可樂、麥當勞、Knorr、Unilever、Shopee、阿聯酋航空等,其中許多虛假網站更具本地化選項。 一般而言,Fangxiao 受害者會被重新導向到包含 Triada 木馬或其他惡意軟件的網站,感染他們的裝置。然而,這些網站的營運商與 Fangxiao 之間的聯繫未明。 為了為其客戶和自己的網站產生大量流量,Fangxiao 每天註冊約 300 個新的品牌假冒網域名。自 2022 年 3 月,他們已使用至少 24,000 個登陸頁面和調查網頁,向受害者宣傳他們的假獎品,例如聲稱受害者贏得 2,000 歐羅,要求他們在 30 秒內完成登記資料。 這些站點中大多數使用「.top」TLD,其次是「.cn」、「.cyou」、「.xyz」、「.work」和「.tech」。這些站點隱藏在 Cloudflare 背後,並在 GoDaddy、Namecheap 和 Wix 註冊。 用戶通過流動廣告或收到包含連結的 WhatsApp 訊息而進入這些網站,這些訊息都提供「特別優惠」,或通知收件人他們「得獎」。網站將訪問者重新導向到有計時器的調查網站,藉以增加緊迫性,令受害者無時間思考。 有時受害者完成調查後,會導向至下載一個應用程式,之後要求受害者啟動該應用程式,並保持打開狀態至少 30 秒,這可能有足夠的時間從 Fangxiao 推薦中註冊新用戶。登陸頁面還託管來自 ylliX 的廣告,這些廣告被 Google 和 Facebook 將標記可疑,因為有可疑的重新導向鏈。 他們重新導向路徑取決於用戶的位置(IP 地址)和用戶代理,可導向至 Triada 木馬下載、附屬 Amazon 的連結、虛假交友網站和 SMS 小額支付詐騙。 Fangxiao 另一導向點是 App Booster Lite…
電郵安全公司 Green Radar 劍達(香港)公布第二季電子郵件威脅指數,發現電郵威脅風險大幅上升,其中來自本地的網絡釣魚電郵威脅越來越多,模仿品牌貼近日常生活,令企業受到攻擊機會大增。 現時電郵安全方案為企業的必需品,大中華區領先的電信中立網路服務供應商第一線 DYXnet(互聯科技NEOLINK 成員)聯乘 Green Radar 推出最新的電郵安全方案,採用 Green Radar 的 grMail 技術,其「保安即服務」功能,全天候為企業杜絕經郵件為企業帶來的災難。 「本地化」網絡釣魚電郵為企業響起警號 Green Radar 銷售執行副總裁馬偉雄分析指,網絡釣魚電郵升幅十分明顯,這些電郵亦漸趨「本地化」,如假冒港鐵、PayMe 等要求填寫個人身份證號碼及信用卡資料等,因為品牌貼近日常生活,令企業更易受騙,受到攻擊機會大增。…