專門針對macOS攻擊的惡意軟件Shlayer,早於2018年已經出現,一旦macOS用戶不小心安裝,Shlayer就會在系統內暗中導入廣告軟件(adware)。不過Apple方面為了加強偵測惡意軟件,先後推出Gatekeeper及Notarization機制,驗證下載的安裝檔案是否來自可信的Developer ID,並自動掃描軟件的程式碼有無可疑之處,從而減少用戶中招風險。而在這雙重機制下,Shlayer便再難以通過檢查關卡。
雖然現時本港的第三波疫情受控,不過仍有不少公司允許員工在家居作。對打工仔來說,要讓上司或老闆感覺自己在家時整天都有在認真工作,而不是在上午工作下午休息,便要好好安排將工作內容分段上報。其中最常用的手法是將原本可以在短時間內回覆的電郵間斷寄出。
釣魚電郵(Phishing)經常借用社會上關心的題材作為主題,吸引收件人點擊連結或打開附件,不過這種攻擊手法屬於漁翁撒網,成功與否取決於收件人是否關心相關主題。所以如黑客能夠掌握目標人物一些基本資訊,便能炮製更精準的魚叉式釣魚電郵(Spear-Phishing)。所以如果你從事醫護相關行業,對這個新發佈的研究便要打醒十二分精神,因為可重用N95口罩純屬研發中,在短期內都不會在市場發售!
要分辨瀏覽中的是否虛假網站,一般都會憑網站上的圖像、版面設計、字句等因素去分析,不過最新的虛假網站技術,卻會在原來的官方網站上造假,稍一不慎,便不填上個人帳戶登入資料,非常危險!
Samsung Galaxy系列手機用家,又是時候更新系統檔喇,Samsung陸續為機主提供的軟件更新中,新功能除了包括改善Wi-Fi連接效能、Samsung鍵盤及Messages應用程式,最重要是有23項風險指數達High及Critical的安全漏洞要堵塞,否則黑客可以毋須你的參與,提升手機使用權限,隨時會被偷取私人資料或登入帳戶資訊。
Apple剛推出的iOS 13.7更新檔案,新增一項名為「暴露通知」(Exposure Notifications)的功能,它與Google將於今個月內推出的Android系統更新一樣,可有效顯示機主有否與新型冠狀病毒確診者近距離接觸過的記錄,但就同時令人擔心會洩露個人私隱行蹤,啟動功能前要諗清楚。
透過人工智能協助修改影片或聲音檔的Deepfake技術,由於模倣像真程度高,不少人看過影片後都被騙到,例如俄羅斯總統普京、Facebook教主朱克伯格等的Deepfake影片就曾在網上瘋傳。事實上,由於研究員會以大量人臉影片提供給人工智能深度學習,並以另一套人工智能專門悉破虛假影片內的不自然地方,綜合出來的結果,便令到Deepfake技術愈來愈逼真,有專家更指半年後Deepfake的完美度將難以僅憑肉眼分辨,接近零瑕玼。
黑客集團攻擊購物網站,注入惡意程式以偷取顧客的信用卡資料,已算不上新鮮的手法,不過由於現時網站大量利用第三方收費系統或擴充功能,而又沒有定期更新這些服務,以至即時有漏洞被公開,也沒有即時修補,令黑客可以利用漏洞輕鬆發動攻擊,令稱為credit card skimmers或web skimmers的個案沒完沒了,消費者被大量盜用帳戶購物。
網絡安全公司Upstream發現,深圳傳音控股旗下品牌Tecno系列智能手機,在出廠時已被加裝木馬程式於Android系統中,用戶將手機連接上網後,黑客將可暗中替用戶訂閱收費服務,從中穫益!
原定由美國Los Angeles直連香港的太平洋海底光纖網絡(Pacific Light Cable Network)大受打擊,原來六組光纖網絡中,Google、Facebook各佔一組,但在中美貿易戰及國家安全法考慮下,兩間公司正式放棄計劃,海底光纖改為直連菲律賓及台灣,至於餘下四組由香港公司Pacific Light Data Co擁有的光纖,同樣直連無望……
簡單來說,這次瑞士學者發現的非接觸式信用卡付費漏洞,是專家可以用兩台Android手機及應用app,去扮演虛假收費系統及虛假信用卡角色,攔截並修改真實的信用卡與收費系統之間傳輸的訊號,令收費系統誤以為高於非接觸式付費的金錢限額已通過核准,不用再以PIN碼二次確認,如被匪徒使用,便可盜用信用卡卡主以千元計的信用額。
API(Application Programming Interface)的應用現時非常普及,一個網站就使用了不少API。不過,如果在使用API時設定出現漏洞,就可造成無法挽回的損失,例如可讓訪客讀取數據庫內的原本應該無法接觸的機密資料。早前Safari瀏覽器內的Web Share API,就被網絡安全專家發現可暗中將網民電腦或手機內的檔案送出,Apple在得知漏洞後,竟然計劃在明年初才作出修補,罔顧用家的私隱外洩風險。
Verizon最新公布的2020 Data Breach Investigations Report數據外洩調查報告,內容指出約65%數據外洩由釣魚攻擊引起,情況並不意外。特別是在新冠疫情下不少公司轉為遙距工作,一般人又習慣了網上購物,使用電郵的情況大增,網絡罪犯自然會發動更多攻擊。除此之外,現時勒索軟件並非單純加密受害者的電腦或檔案勒索,而是會在加密前將數據偷走,而勒索軟件的主要發布途徑又是電郵,變相令事態更加嚴重。
網上假新聞泛濫,例如假相,由於網民修改相片的「工藝」精湛,所以除非找到「原相」出處,否則難以判斷真偽。不過,在現時缺乏技術下,追蹤難度甚高。Adobe推廣的CAI標準,便有可能改變狀況。
Wi-Fi route一直是家居網絡安全的一大缺口,因為不少用戶在安裝時沒有採用足夠的防護,例如直接使用預設的帳戶登入名稱及密碼,不單鄰居有可能盜用,黑客亦有可能遙距入侵。其實只要簡單修改設定,最可提升安全防護。
