專門針對macOS攻擊的惡意軟件Shlayer,早於2018年已經出現,一旦macOS用戶不小心安裝,Shlayer就會在系統內暗中導入廣告軟件(adware)。不過Apple方面為了加強偵測惡意軟件,先後推出Gatekeeper及Notarization機制,驗證下載的安裝檔案是否來自可信的Developer ID,並自動掃描軟件的程式碼有無可疑之處,從而減少用戶中招風險。而在這雙重機制下,Shlayer便再難以通過檢查關卡。
分類: 網絡安全
Outlook 新增排程寄件 在家扮工要留神
雖然現時本港的第三波疫情受控,不過仍有不少公司允許員工在家居作。對打工仔來說,要讓上司或老闆感覺自己在家時整天都有在認真工作,而不是在上午工作下午休息,便要好好安排將工作內容分段上報。其中最常用的手法是將原本可以在短時間內回覆的電郵間斷寄出。
可重用 N95 口罩應市? 純屬測試階段!
釣魚電郵(Phishing)經常借用社會上關心的題材作為主題,吸引收件人點擊連結或打開附件,不過這種攻擊手法屬於漁翁撒網,成功與否取決於收件人是否關心相關主題。所以如黑客能夠掌握目標人物一些基本資訊,便能炮製更精準的魚叉式釣魚電郵(Spear-Phishing)。所以如果你從事醫護相關行業,對這個新發佈的研究便要打醒十二分精神,因為可重用N95口罩純屬研發中,在短期內都不會在市場發售!
難分真與假 官網上造假騙取帳戶登入資料
要分辨瀏覽中的是否虛假網站,一般都會憑網站上的圖像、版面設計、字句等因素去分析,不過最新的虛假網站技術,卻會在原來的官方網站上造假,稍一不慎,便不填上個人帳戶登入資料,非常危險!
Samsung Galaxy 手機用家注意 23 項漏洞即時更新
Samsung Galaxy系列手機用家,又是時候更新系統檔喇,Samsung陸續為機主提供的軟件更新中,新功能除了包括改善Wi-Fi連接效能、Samsung鍵盤及Messages應用程式,最重要是有23項風險指數達High及Critical的安全漏洞要堵塞,否則黑客可以毋須你的參與,提升手機使用權限,隨時會被偷取私人資料或登入帳戶資訊。
Apple、Google手機新功能 聯手追蹤新冠病毒密切接觸者
Apple剛推出的iOS 13.7更新檔案,新增一項名為「暴露通知」(Exposure Notifications)的功能,它與Google將於今個月內推出的Android系統更新一樣,可有效顯示機主有否與新型冠狀病毒確診者近距離接觸過的記錄,但就同時令人擔心會洩露個人私隱行蹤,啟動功能前要諗清楚。
人工換樣極逼真 Microsoft 新檢測工具專門打假
透過人工智能協助修改影片或聲音檔的Deepfake技術,由於模倣像真程度高,不少人看過影片後都被騙到,例如俄羅斯總統普京、Facebook教主朱克伯格等的Deepfake影片就曾在網上瘋傳。事實上,由於研究員會以大量人臉影片提供給人工智能深度學習,並以另一套人工智能專門悉破虛假影片內的不自然地方,綜合出來的結果,便令到Deepfake技術愈來愈逼真,有專家更指半年後Deepfake的完美度將難以僅憑肉眼分辨,接近零瑕玼。
Telegram 活用案例 簡易盜取網購平台信用卡資料
黑客集團攻擊購物網站,注入惡意程式以偷取顧客的信用卡資料,已算不上新鮮的手法,不過由於現時網站大量利用第三方收費系統或擴充功能,而又沒有定期更新這些服務,以至即時有漏洞被公開,也沒有即時修補,令黑客可以利用漏洞輕鬆發動攻擊,令稱為credit card skimmers或web skimmers的個案沒完沒了,消費者被大量盜用帳戶購物。
國產廉價手機藏後門 自把自為訂閱收費服務
網絡安全公司Upstream發現,深圳傳音控股旗下品牌Tecno系列智能手機,在出廠時已被加裝木馬程式於Android系統中,用戶將手機連接上網後,黑客將可暗中替用戶訂閱收費服務,從中穫益!
線已斷 Google、Facebook 海底光纖棄港改登陸菲、台
原定由美國Los Angeles直連香港的太平洋海底光纖網絡(Pacific Light Cable Network)大受打擊,原來六組光纖網絡中,Google、Facebook各佔一組,但在中美貿易戰及國家安全法考慮下,兩間公司正式放棄計劃,海底光纖改為直連菲律賓及台灣,至於餘下四組由香港公司Pacific Light Data Co擁有的光纖,同樣直連無望……
攔截信用卡付費訊號 中間人攻擊刪除金額限制
簡單來說,這次瑞士學者發現的非接觸式信用卡付費漏洞,是專家可以用兩台Android手機及應用app,去扮演虛假收費系統及虛假信用卡角色,攔截並修改真實的信用卡與收費系統之間傳輸的訊號,令收費系統誤以為高於非接觸式付費的金錢限額已通過核准,不用再以PIN碼二次確認,如被匪徒使用,便可盜用信用卡卡主以千元計的信用額。
Safari漏洞大公開 分享網站靚相變外送私隱檔案
API(Application Programming Interface)的應用現時非常普及,一個網站就使用了不少API。不過,如果在使用API時設定出現漏洞,就可造成無法挽回的損失,例如可讓訪客讀取數據庫內的原本應該無法接觸的機密資料。早前Safari瀏覽器內的Web Share API,就被網絡安全專家發現可暗中將網民電腦或手機內的檔案送出,Apple在得知漏洞後,竟然計劃在明年初才作出修補,罔顧用家的私隱外洩風險。
釣魚攻擊持續進化 電護防護難完全阻截
Verizon最新公布的2020 Data Breach Investigations Report數據外洩調查報告,內容指出約65%數據外洩由釣魚攻擊引起,情況並不意外。特別是在新冠疫情下不少公司轉為遙距工作,一般人又習慣了網上購物,使用電郵的情況大增,網絡罪犯自然會發動更多攻擊。除此之外,現時勒索軟件並非單純加密受害者的電腦或檔案勒索,而是會在加密前將數據偷走,而勒索軟件的主要發布途徑又是電郵,變相令事態更加嚴重。
Adobe 新標準 輕鬆識破假相假片
網上假新聞泛濫,例如假相,由於網民修改相片的「工藝」精湛,所以除非找到「原相」出處,否則難以判斷真偽。不過,在現時缺乏技術下,追蹤難度甚高。Adobe推廣的CAI標準,便有可能改變狀況。
簡單設定 Wi-Fi route. 保護家居Wi-Fi網絡
Wi-Fi route一直是家居網絡安全的一大缺口,因為不少用戶在安裝時沒有採用足夠的防護,例如直接使用預設的帳戶登入名稱及密碼,不單鄰居有可能盜用,黑客亦有可能遙距入侵。其實只要簡單修改設定,最可提升安全防護。