不少人喜歡以自己身邊的事物，就地取材設置成密碼，但愈容易被猜測的密碼，例如寵物的名字、家人的名字、紀念日、最喜歡的球隊名，甚至是直接用「Password」當密碼，轉個頭隨時就被黑客入侵！國家網絡安全中心（NCSC）指，保護帳戶要記得不要用上述的因素。 NCSC 發表的研究指出，15％ 的人使用了寵物的名字作為密碼，而 14％ 的人則使用了家庭成員的名字，另有 13％ 的人使用了重要的日期，例如生日或週年紀念日，而 6％ 的人使用自己支持的運動隊伍名稱作為密碼。儘管這些密碼相當易記，但同時增加了帳戶被犯罪分子入侵的風險。黑客可能會從社交媒體帖子中獲取相關資訊，從而猜測到在密碼提示，如寵物的名字之類的答案，然後就可以嘗試藉此入侵帳戶。 黑客也會使用攻擊工具試圖破解賬戶，如帳戶使用簡單的單字作為密碼，更相對容易被破解。使用「Password」這類密碼，變相為網絡犯罪分子提供開啟入侵賬戶的大門。 通過使用防禦強度弱的密碼，可能會將個人信息或財務狀況暴露於危險之中，尤其是在多個帳戶中，都重複使用相同的密碼。如果被竊取的密碼還用於公司帳戶，黑客若試圖以此查看個人帳戶密碼也可用於公司帳戶，受害人隨時令僱主面臨網絡攻擊的風險。 NCSC 提供以下的建議：使用三個隨機單詞作為密碼，保護帳戶。這是因為三個單詞相對容易記住，而且運用隨機的三個單詞，即使黑客運用蠻力工具，仍可阻止他們以猜測密碼的方式進入帳戶。NCSC 還建議用戶須確保電子郵件密碼與其他帳戶的密碼不同，因為如果攻擊者竊取了電子郵件用戶名和密碼，他們可使用受害人的電郵地址作為其他網站的登錄名稱。 除此之外，NCSC 亦建議用戶將密碼保存到網絡瀏覽器，因為用戶能夠輕鬆登入網站，還有助於保護受網絡罪犯侵害，例如瀏覽的網站是竊取憑據的假冒網站，密碼管理器將無法正常運作。NCSC 亦建議用戶應啟用兩重因素身份驗證，以進一步作屏障。 資料來源：https://zd.net/3wMiNU4

SIM-swapping (SIM card偷換) 攻擊雖然主要在歐美地區發生，但既然愈來愈多港人準備移民，當然要了解一下如何避免成為這種攻擊方法的受害者，特別是去年因 SIM-swapping 導致的損失高達過億美元，當中更有著名 KOL、體壇明星、名人，千萬不能掉以輕心。 所謂 SIM-swapping 攻擊，是一種透過非法手段，從電訊商員工手中騙取其客戶電話號碼使用權的攻擊，例如假扮其客戶訛稱遺失手機，要求電訊商員工將其電話號碼收到的來電、SMS 短訊全部轉接至另一號碼，或重設該客戶的登入密碼等。騙徒亦可以直接賄賂電訊商員工進行上述操作，不過由於被查出的風險較高，所以一般都會以詐騙手法達成。不知道是否因為歐美與亞洲存在的文化差異影響，這類騙案較少在亞洲發生，而歐美等地則非常猖獗。如想了解為何能夠輕易騙取電訊商員工更改號碼，可以參考以下社交工程 (social engineering) 攻擊的經典示範。 https://www.youtube.com/embed/BEHl2lAuWCk?wmode=transparent&rel=0&feature=oembed 騙取到電話號碼使用權後，如騙徒手上已持有該客戶的一些帳戶登入資料 (如銀行或 Facebook 帳戶)，而又需要額外 SMS…

英國國家網絡安全中心最近分享一個警世故事，有企業被勒索軟件攻擊後選擇交付數百萬美元贖金換取解密金鑰，修復後但未有檢討根本問題，結果兩星期後，又再被同一黑客組織以相同招數入侵。雖然故事主角的遭遇非常悲慘，但的確好難忍笑…… 根據區塊鏈分析公司 Chainalysis 最新公布的一份調查顯示，2020 年勒索軟件 (ransomware) 黑客組織至少賺取了 3.5 億美元贖金，較 2019 年大增 311%。雖然不少企業管理已認清勒索軟件問題的嚴重性，但仍然心存僥倖，以為自己未必會成為目標，結果中招後只能乖乖交付贖金。英國國家網絡安全中心最近一篇貼文就顯示，即使企業不幸中招，都不會痛定思痛找出被入侵的根本問題。 安全專家指出，受害企業在第一次被勒索軟件攻擊後，由於未有做好數據備份及修復工作，結果決定交付約 650 萬美元贖金，冒險從黑客組織手上換取解密金鑰。幸好黑客組織提供的金鑰有效，否則企業便會白交贖金。不過，專家說該企業解鎖系統及檔案後卻未有認真找出漏洞所在，似乎認為業務營運已回復正常，結果同一黑客組織再度上門，以相同手法將企業的系統及檔案再度上鎖，而由於該企業未有汲取教訓，所以專家相信對方只能再次交付贖金。 相信這次事件不單只花生友覺得不可思議，就連該勒索軟件黑客組織應該都有相同感覺，因為錢實在太過易賺喇！而英國國家網絡安全中心專家就呼籲受害企業如不想再被同一招數打垮，必須盡快找出漏洞所在，並將各種作業系統、軟硬件的韌體保持在最新版本，同時引入雙重 (2FA) 或多重身份驗證 (MFA) 工具，便可第一時間堵塞漏洞，而且被取得帳戶登入資料時亦不易成功登入系統。另外亦要加密儲存的數據，做好數據備份及回復準備，即使被黑客盜取數據及加密系統，也不用考慮再交贖金，因為對方無法以公開數據進行二次勒索，自己亦可完全復原數據，便毋須屈服於對於的淫威之下！…

為了確保帳戶不被盜用，啟動雙重因素 (two factor) 或多重因素安全驗證 (multi-factor authentication) 機制一向被視為較安全的做法，特別是硬體安全鑰 (hardware security keys) 就更保險。不過，Google Titan 及 YubiKey 系列產品卻被發現可被黑客複製，雖然手續比較麻煩…… 雙重或多重因素安全驗證，一般來說指的是除密碼以外，登入帳戶還須配合其他因素如生物特徵、額外安全編碼等。現時最多人採用的方法以後者居多，而額外安全編碼也可分為透過電郵或短訊接收，或硬體安全鑰認證兩種。早前已有網絡安全專家指出，以電郵或短訊接收安全驗證碼會有危險，因為只要上網裝置如電腦、手機已被黑客入侵，他們就可偷偷安裝惡意軟件，盜取帳戶登入資料並截取安全驗證碼。相反硬體安全鑰則必須在登入帳戶時，插入裝置或以藍牙技術近距離連結，所以安全性會較高。 不過，法國網絡安全研究員 Victor Lomne 及…

企業的管理層不單只人工高，就連他們的電郵帳戶亦特別值錢，事關黑客可以從中了解公司運作、客戶資訊，更可以用來「命令」下屬匯款，進行商業詐騙攻擊（Business Email Compromise，簡稱 BEC）。俄羅斯就有黑客在暗網上出售相關帳戶登入資料，包括CEO、CFO、公司主席、總裁等等，開價由 100 美元至 1,500 美元，都算收得平喎！ BEC攻擊主要是透過假冒身份而獲取收件人的信任，用不同的藉口來騙取企業相關資訊或指示員工匯款，或打開惡意軟件等行為。其厲害之處，是可以借助上司的權威，令下屬不敢怠慢，務求盡快幫上司解決問題，例如即使對匯款指示有懷疑亦不敢求證。何解話 100 美元至 1,500 美元都算平？先來看看下列兩宗新聞。 1.香港警務處網絡安全及科技罪案調查科發表的 2020 年首季行動報告，就指出曾發生 153 宗商業電郵騙案，其中一宗更成功令公司員工將 1,800 萬港元匯出。 2. 去年 9…

勒索軟件近期成為傳媒報導焦點，不過，黑客的攻擊手段又豈止一種？如果說勒索軟件是大茶飯，那麼偷用帳戶買點數卡就只算賺零錢。不過，Sophos最近阻止的一宗零錢個案，都睇得出黑客入侵公司網絡，還有更多支線任務。 睇過不少網絡攻擊事故，能否及早阻止黑客入侵，好視乎負責監管網絡活動的人的安全意識，就算安裝了SIEM (Security Information and Event Management) 工具，如果安全專家看不出系統偵測的事件有異常，黑客一樣可以乘虛而入。而今次 Sophos Rapid Response Team 的一個系統管理者在協助客戶監管網絡連線時，就因為發現了該公司其中一些帳戶活動有可疑，突然出現重設帳戶密碼要求，而他並沒有重設密碼後就完事，而是深入追查該重設指示發出的原因，才能識破正有黑客入侵網絡，於是即時隔離被入侵的帳戶，將黑客掃出門外。 入侵事件發生原因，Sophos 專家認為跟 VPN 不設雙重因素驗證 (2FA) 有極大關係，黑客只須取得其中一個員工的帳戶密碼便能順利登入，然後搜尋該員工的電腦上網記錄，查看未有登出哪些帳戶，例如網購平台、電郵等，如網購平台已綑綁了信用卡，黑客便可直接用來購買點數卡；否則亦可查看有使用哪些帳戶，再以未登出的電郵帳戶接收重設密碼通知，奪取使用權。除了攻擊本機電腦，黑客還可透過遙距桌面協議 (RDP)，進入其他員工的電腦重複上述動作，隨時山大斬埋有柴。…

University of Texas 與 University of Oklahoma 最近聯合發表論文 “Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Inference Attacks.”，團隊運用自行研發程式，可以透過 Zoom…

美國總統大選在即，Trump 雖然經常抨擊對手 Biden 低智商，但今次 Biden 終於可以盡情恥笑 Trump，事關侵侵的 Twitter 帳戶最近被踢爆無用 2FA(two-factors authentication) 之餘，更有安全專家在5次機會內猜出他的帳戶登入密碼，發圖證明自己成功進入侵侵帳戶，認真無面。 成日用 Twitter 發表自己政見的侵侵，帳戶有八千幾萬人關注，影響力非常大。早前侵侵的帳戶未有成為 Twitter 加密貨幣欺詐事件受害者，等大家以為他及 Twitter 在保護帳戶上做好功夫，不過，四年前曾成功進入侵侵帳戶的荷蘭安全專家 Victor…

唔少黑客都喺暗網上出售惡意軟件，例如上星期就有黑客打包出售 1300 款釣魚工具收藏。視乎惡意軟件嘅實力，叫價可以輕易破萬美元。好似 Android 銀行木馬軟件 Cerberus，月初因為瞞過 Google Play Store 監測、成功上架而響朵，而最近開發者就喺暗網上準備將呢隻「有實積」嘅軟件全套出售，開出五萬美元底價，話目標係以十萬美元賣出！網絡安全專家就話，今次開發者咁急住賣出呢套軟件，而唔繼續靠佢搵食，原來係因為開發團隊已經拆夥⋯⋯ Cerberus 點解咁出名呢？係因為佢嘅入侵手法非常精密，同埋入侵後可以做到嘅嘢極多。當呢隻軟件喺 Google Play Store 上架嘅時候，佢只係一隻好「清純」嘅匯率兌換 app，不過當下載量過千，Cerberus 先至開始做嘢，透過軟件更新引入惡意程式，之後只要用家喺手機開啟理財或銀行 app，Cerberus 就會用透明畫面記低用家輸入嘅資料，同時截取埋用家收到嘅…

登入 IG 或Google 帳戶時，如果有設定雙重因素認證(2FA）嘅話，相信對 Google Authenticator 一啲都唔陌生。呢個 app 可以為已連結嘅網上帳戶產生一個驗證碼，通常係一組六位數字，用戶登入帳戶時要喺限時內輸入驗證碼，否則驗證碼就會失效，需要重新再產生一組數字。 不過同類嘅 app 好似 Authy 或 Microsoft Authenticator，都容許多部裝置共用同一個帳戶，即係如果你要登入一個啟用咗雙重因素驗證嘅網上帳戶，都唔會限定你用死一部手機，只要喺女相關裝置上安裝呢啲 app 再登入返你個帳戶就得。不過，舊版嘅 Google Authenticator…