phishing

留意網址有沒有 HTTPS 是識析偽冒網站的簡單方法之一，不過現在沒這樣簡單了，因為有研究人員利用瀏覽器處理非 ASCII 字元域名的漏洞，示範如何建立一個冒充蘋果的釣魚網站，而且還加入了 SSL 憑證，不留神的話很易信以為真。

如果你在 GitHub 有自己的項目，又碰巧收到別人的電郵，聲稱喜歡你的項目，邀請你加盟到他的公司，你會否感到高興？別發夢了，這其實是惡意電郵，只要打開附件惡意檔案就會入侵。

較早前 Unwire.pro 分享自動售買機對大學發動 DDoS 的事件，這其實是 Verizon 《數據失竊摘要》報告之中 16 個案例之一。日前他們分享了更多案例。其中一例顯示，有工程師把工業系統網速緩慢歸咎於「老爺機」，但原來系統已感染了惡意軟件。

釣魚電郵的攻擊手法層出不窮。最近有網絡安全公司發現，不法分子利用 Data URI 假扮 Google 的登入網址，欺騙受害人輸入帳號和密碼。

不少國家設施均由電腦控制，萬一系統被入侵情況可大可小。烏克蘭供電機構於前年 12 月便遭惡意軟件入侵以致停電，成為全球首宗已知的攻擊事件。早前烏克蘭又再停電，經調查後發現又是惡意軟件所為，手法跟第一次的相似。

Chrome 和 Safari 均設有自動填寫功能，方便用戶輸入地址和信用卡資料。不過有資訊安全人員指，不法分子可把文字欄位隱藏，這樣用戶便不知道自己的個人資料被自動填入，引發資料外洩危機。

有用 Google Analytics 的讀者應留意到報告經常有虛假的外部流量來源（Referral Traffic），

日前又有惡意連結在 Facebook 散播，誘導用戶安裝瀏覽器擴充程式。事實上，不少人看到可疑連結時會「明知故犯」。根據德國一項調查，逾五成的人即使知道連結有潛在的問題，仍無法按捺自己的好奇心而打開。

冒認公司管理層是商業詐騙常見的手法之一，最近更有大型公司因此蒙受損失。歐洲電線公司 Leoni AG 一間廠房早前收到訛稱公司高層的電郵，要求轉移資金，結果損失近 4,000 萬歐元，更一度使股價下跌 5%。

香港立法會選舉前夕，有電腦保安公司稱香港政府兩個部門遭中國黑客的釣魚電郵攻擊。研究人員稱雖然無法確定甚麼資料被盜，但背後肯定有政治目的。港府則表示知悉事件，已加強堵截可疑電郵。