phishing

必須經常面對大量金流的金融產業，向來被視為對資安最重視的一環，但最近華爾街一些大型銀行高層卻中了一個惡作劇電子郵件的騙局，這也連帶揭露出銀行業對網路資訊安全防備不足的問題。

今日（8/5）有報導稱港珠澳大橋工程顧問公司奧雅納（Arup）的工地寫字樓有伺服器遭勒索軟件攻擊。事實上，不少勒索軟件都是靠惡意軟件傳播。有調查指出，香港於 2016 年每 70 封電郵就有 1 封包含惡意程式和連結，到底不法分子如何有甚麼手段使收件人容易「中伏」？

第三方程式存取 Google 帳戶前，都會詢問用戶獲取權限，但如果該程式是「Google Doc」又代表甚麼呢？很簡單，它就是偽冒正牌 Google Doc 、傳播釣魚郵件的惡意程式了。

NTT Security 近日發佈了《2017 全球威脅情報報告》(2017 Global Threat Intelli

釣魚攻擊很多時針對的不是專業的 IT 員工，而是銷售、人力資源等安全意識較低的部門，所以即使是著名的科技公司也有機會被釣魚電郵騙財。日前有報導稱，有不法分子冒充電腦零件供應商發電郵給 Facebook 和 Google，成功騙取 1 億美元。

留意網址有沒有 HTTPS 是識析偽冒網站的簡單方法之一，不過現在沒這樣簡單了，因為有研究人員利用瀏覽器處理非 ASCII 字元域名的漏洞，示範如何建立一個冒充蘋果的釣魚網站，而且還加入了 SSL 憑證，不留神的話很易信以為真。

如果你在 GitHub 有自己的項目，又碰巧收到別人的電郵，聲稱喜歡你的項目，邀請你加盟到他的公司，你會否感到高興？別發夢了，這其實是惡意電郵，只要打開附件惡意檔案就會入侵。

較早前 Unwire.pro 分享自動售買機對大學發動 DDoS 的事件，這其實是 Verizon 《數據失竊摘要》報告之中 16 個案例之一。日前他們分享了更多案例。其中一例顯示，有工程師把工業系統網速緩慢歸咎於「老爺機」，但原來系統已感染了惡意軟件。

釣魚電郵的攻擊手法層出不窮。最近有網絡安全公司發現，不法分子利用 Data URI 假扮 Google 的登入網址，欺騙受害人輸入帳號和密碼。

不少國家設施均由電腦控制，萬一系統被入侵情況可大可小。烏克蘭供電機構於前年 12 月便遭惡意軟件入侵以致停電，成為全球首宗已知的攻擊事件。早前烏克蘭又再停電，經調查後發現又是惡意軟件所為，手法跟第一次的相似。