近年愈來愈多人使用 Python 編寫程式,一方面程式語言預設安全功能,可減少因配置記憶體錯誤而引發嘅安全風險,其次係有大量開源 libraries 可借開發員使用,一受到歡迎,自然愈來愈多網絡犯罪分子被吸引過嚟,睇吓有乜方法加以利用。
作者: Genki
IoT 專用加密演算法大賽 ASCON 方案奪冠可對抗量子電腦攻擊
IoT(物聯網)設備係網絡犯罪集團特別關注嘅攻擊對象,而為咗提升呢啲設備嘅安全性,唔少國家例如美國、英國及澳洲等都研究緊點樣立法管制生產商,令佢哋加強設備嘅安全功能
唯快不破 Porsche 911 NFT 鑄造失誤清空買家資產
從來都話機會不等人,所以網絡犯罪組織都會抓緊每個機遇,好似早前佢哋就趁住 Porsche 推出自家名跑 911 NFT 嘅過程搞到一鑊粥之際,瘋狂創造虛假嘅 Porsche NFT 網站等買家上釣,只要用自己嘅加密貨幣錢包買 NFT,即有機會被罪犯清空所有數碼資產,認真無陰公。
2FA 、 MFA 非萬能 偷登入 token 可繞過帳戶驗證
有唔少軟件開發者及工程師都會使用嘅 CircleCi 服務,喺上個月宣布系統遭受入侵,經過一個月嘅分析,CircleCi 最新披露整件事嘅來龍去脈,原來喺公司內部一個工程師嘅電腦被資訊盜竊惡意軟件感染,網絡犯罪分子因而利用電腦內儲存嘅 SSO 登入 session cookie,唔再需要做雙重登入驗證(2FA),直入內部系統,偷取咗大量機密及客戶資料。再次證明 2FA 、 MFA 呢類身分驗證雖然可以提升安全性,但都唔係完全無破綻。
Windows 7 極危險 放棄舊電腦抑或升級Windows 10?
Microsoft 推出嘅 Windows 7 一眨眼已經有 13 年,雖然呢個 OS 先後喺 2015 年及2020 年被宣布終於更新支援,但根據市場統計公司數據顯示,至今佢嘅市場佔有率依然有11%,可見唔少人都好留戀呢個系統,對 Windows 10 嘅介面始終唔多鍾意。
Android TV box 大贈送 出廠送埋惡意軟件
大家可能都試過買到平價嘅 Android TV box,特別係臨近傳統銷售旺季,有啲款式嘅價錢真係平到你唔信,雖然呢嘅機頂盒或手指用落好似都正正常常,但唔好開心住,因為有網絡安全研究員就發現,喺 Amazon 上買返嚟嘅中國製機頂盒 T95 Android TV box,好慷慨咁買機送惡意軟件,由於惡意功能係寫死咗喺 firmware 內,所以基本上係移除唔到,而發現呢個威脅嘅加拿大研究員 Daniel Milisic,亦只可以寫段程式去阻止木馬病毒同控制中心之間嘅連繫。
偽裝 AnyDesk 播毒 Dropbox 儲存惡意軟件防不勝防
網絡安全組織 SEKOIA 嘅威脅分析師 crep1x 發現,有網絡犯罪集團利用偽裝為遙距工作工具 AnyDesk 大肆散播病毒,專家話犯罪分子動用咗 1300 個 domain 去假扮成 AnyDesk 網站,並將用於盜竊電腦內儲存資料嘅 Vidar惡意軟件隱藏喺 Dropbox 上,減少被安全工具偵測嘅風險。
犯罪集團出app賣禁藥毒品 取貨位置精準減低被捕風險
與時並進、抓緊時機真係好緊要,網絡犯罪集團自從喺一個專門售賣毒品禁藥嘅地下討論區 Hydra Market 被封後,開始自行開發 Android app 繼續賣毒,網絡安全公司 Resecurity 發現喺上年第三季開始,至少有 7 個犯罪集團利用自家 app 同顧客溝通,安排送貨細節。
勒索軟件集團 ALPHZ 創意無限 複製受害企業網站公開盜竊資料
唔知係咪愈來愈多企業遭受勒索軟件襲擊後,都選擇唔俾贖金買返解鎖方法或刪除被偷資料,所以勒索軟件集團諗出嘅花招愈來愈多,就好似勒索軟件集團 ALPHZ ,早前喺聖誕節前成功入侵一間金融機構後,除咗好正常咁喺自家嘅暗網爆料網站公開部分檔案,仲特登喺大家都接觸到嘅互聯網整咗一個同受害機構一模一樣嘅網站,仲連網址都係同對方有一兩個字偏差,然後就喺入面公開埋相同資料,包括內部通告、付款帳單、員工資料同客戶金融狀況等等,大大話話有成3.5GB 資料。網絡安全專家指可能係金融機構無俾到贖金,ALPHZ 成員先創出呢個新手法,似乎又會成為勒索軟件集團嘅逼金新手段。
阻人玩 Minecraft 唔怕BBQed? MCCrash 無差別攻擊私人伺服器
就算你無玩過,相信都一定聽過 Minecraft 呢隻遊戲,特別係屋企如果有仔女,應該都知呢隻 game 大受歡迎嘅程度。而 Microsoft Threat Intelligence 安全團隊就警告,一款專門攻擊 Minecraft 私服嘅惡意軟件 MCCrash,正假扮成唔同 Windows 產品或 Microsoft Office license 嘅激活工具,如果有人中招安裝,MCCrash 就可以將你嘅電腦變成 botnet,然後被強行用於 DDoS Minecraft 私服。到底幕後黑手係乜嘢心態?專家話可能係為咗炸爆目標伺服器嚟勒索,又或者純粹想令其他玩家唔開心,真係乜嘢人都有㗎。
Zerobot 殭屍網絡增新功能 IoT 裝置成搶奪目標
以 Go 語言編寫嘅先進殭屍網絡惡意軟件 Zerobot,專門喺暗網提供 malware-as-a-service 服務,方便一啲唔多識編程技術嘅客戶購買使用。而為咗喺眾多即服務供應商中突圍而出,Microsoft 安全專家話 Zerobot 持續加入更多新功能,而且持續增加可攻擊電腦裝備嘅數量,拉闊目標客戶群眾嘅範圍。
Godfather 滲入16國家 Android 用戶銀行一夜清零
專門偷銀行帳戶、加密貨幣錢包嘅惡意軟件 Godfather,已經透過不同渠道散播,假扮嘅 Android app 多達 400 幾款,只要成功感染 Android 裝置,佢就會喺對應嘅銀行或錢包 app 上加一個透明層,暗中竊取用戶輸入嘅帳戶資料。網絡安全專家話少部分 apps 成功通過 Google Play Store 檢測上架,至於其他嘅散播途徑就仲未搞清楚,相信都係同第三方商店或安裝 apk 有關。要避免成為受害者,相信大家都識做㗎啦!
齋睇網站都中招 升級 iOS 、 iPad 用戶升級喇喂
Apple 一個供瀏覽器用於編譯網頁嘅 WebKit 存在零日安全漏洞,而且有證據顯示已俾網絡罪犯積極利用。呢個漏洞嘅精妙之處係對方只要喺一個網站埋入惡意編碼,當受影響用戶到訪,喺編譯過程就會自動將編碼執行,唔需要花時間事前感染你部手機。而攻擊手法可以利用 SEO 推高呢啲網頁,又或喺搜尋引擎或社交平台落廣告,再唔係可以上高登討論區開 po,用假標題貼條 link 引人點擊都得。
ChatGPT 人工智能超識答 入門漏洞題目秒速破解
早前專門研究人工智能技術嘅組織 OpenAI 免費開放 ChatGPT 對話模型俾大家試用,其他地方玩得慶烚烚,可惜暫時就未十卜香港,想試用真係要大費周章,用 VPN 之餘仲要搵個外國電話號碼收驗證短訊。推出無耐,美國一位電腦安全研究學者 Brendan 忽發奇想,嘗試喺對話間求助 ChatGPT 機器人解決一段程式碼,呢段程式碼其實係一個最入門嘅 capture-the-flag 題目,目標係要利用程式碼缺陷,以記憶體緩衝溢出(buffer overflow )方法嚟覆寫破壞程序運行,又或取得系統控制權。當 Brendan 輸入相關程式碼之後,ChatGPT 居然好快回應,而且仲就住 Brendan 提供嘅系統資料詳細講解破解方式!
上唔到十大榜 疑犯 Facebook 嬲豬留言終落網
美國 Georgia Rockdale 縣執法部門有個習慣,就係會喺 Facebook 專頁貼出10 個在逃疑犯嘅資料,表示佢哋係現時警局嘅 Most Wanted List,上得榜嘅,通常都係同命案劫案綁架嘅罪行有關,而當局就希望透過社交平台可以收集到相關資訊,令佢哋可以緝拿罪犯歸案。而就喺早前一次最新排名榜中,唔知係咪唔滿意自己榜上無名,有一個名叫 Christopher Spaulding 嘅人留言話:「How about me?」