phishing

NTT Security 近日發佈了《2017 全球威脅情報報告》(2017 Global Threat Intelli

釣魚攻擊很多時針對的不是專業的 IT 員工，而是銷售、人力資源等安全意識較低的部門，所以即使是著名的科技公司也有機會被釣魚電郵騙財。日前有報導稱，有不法分子冒充電腦零件供應商發電郵給 Facebook 和 Google，成功騙取 1 億美元。

留意網址有沒有 HTTPS 是識析偽冒網站的簡單方法之一，不過現在沒這樣簡單了，因為有研究人員利用瀏覽器處理非 ASCII 字元域名的漏洞，示範如何建立一個冒充蘋果的釣魚網站，而且還加入了 SSL 憑證，不留神的話很易信以為真。

如果你在 GitHub 有自己的項目，又碰巧收到別人的電郵，聲稱喜歡你的項目，邀請你加盟到他的公司，你會否感到高興？別發夢了，這其實是惡意電郵，只要打開附件惡意檔案就會入侵。

較早前 Unwire.pro 分享自動售買機對大學發動 DDoS 的事件，這其實是 Verizon 《數據失竊摘要》報告之中 16 個案例之一。日前他們分享了更多案例。其中一例顯示，有工程師把工業系統網速緩慢歸咎於「老爺機」，但原來系統已感染了惡意軟件。

釣魚電郵的攻擊手法層出不窮。最近有網絡安全公司發現，不法分子利用 Data URI 假扮 Google 的登入網址，欺騙受害人輸入帳號和密碼。

不少國家設施均由電腦控制，萬一系統被入侵情況可大可小。烏克蘭供電機構於前年 12 月便遭惡意軟件入侵以致停電，成為全球首宗已知的攻擊事件。早前烏克蘭又再停電，經調查後發現又是惡意軟件所為，手法跟第一次的相似。

Chrome 和 Safari 均設有自動填寫功能，方便用戶輸入地址和信用卡資料。不過有資訊安全人員指，不法分子可把文字欄位隱藏，這樣用戶便不知道自己的個人資料被自動填入，引發資料外洩危機。

有用 Google Analytics 的讀者應留意到報告經常有虛假的外部流量來源（Referral Traffic），

日前又有惡意連結在 Facebook 散播，誘導用戶安裝瀏覽器擴充程式。事實上，不少人看到可疑連結時會「明知故犯」。根據德國一項調查，逾五成的人即使知道連結有潛在的問題，仍無法按捺自己的好奇心而打開。