【创科广场】2020网络安全大事回顾

回顾2020年，新冠疫情严峻，大大影响全球每个人生活，社交距离及家居工作等相关词，进驻Google搜寻器的榜首。

COVID-19变相加速企业数码化，甚至服务改革，减少面对面接触，最后唯有依靠视像会议，或者建立云端应用，既保持商务联系，又可以电子化持续交易。过去一年，网络间黑客活动增长速度史无前例；从假网站、钓鱼电邮、勒索软件等等，手法层出不穷。

以下列出较多人关注资安新闻，读者分享之馀，亦希望大家作借鉴，以吸取教训。

Zoom安全问题爆发

由于学生及企业员工留家学习或工作，网上教学和视像会议使用率直綫上升。Zoom提供的视像会议，用户免费注册，界面操作简单，可在手机，电脑及平板上使用， 为最受惠于疫情的视像会议软件之一，亦因此成网络攻击的目标。Zoom的安全问题被广泛报道，包括会议遭黑客入侵、恶意程式破坏、收集用户私隐等，如雨后春笋浮现，传媒不断提醒用户小心。 最大新闻要算有组织性的轰炸视像会议「Zoom Bombing」活动 ，黑客竟然闯入了举行中的视像会议，随意捣乱或发布不雅照片。

Twitter比特币骗案

去年七月，一众名人Twitter户口遭黑客入侵；包括Elon Mask、前总统奥巴马、微软创办人Bill Gates；甚至美国候任总统，更一同发放类似诈骗讯息，内容大概是要回馈社会，邀请用户存入若干的比特币，日后双倍奉还。虽然内容极之荒谬，但仍有人上当，奉献了近12万美元。

SolarWinds供应链形式攻击

上月8日；FireEye公布被骇，揭发源头竟是IT监控平台SolarWinds流行的Orion软件工具，原代码早遭黑客植入了木马，再放置后门程式入侵。受影响企业可能更多达一万八千家；包括美国多家联邦机关。因为单一源头陆续衍生的一连串事故，从服务供应商层层展开攻击，被称为「供应链式攻击」。

据路透社报道，美国财政部及商务部相继受攻击，相信亦是透过SolarWinds平台漏洞入侵。现在美国政府下令，所有部门关闭软件，现有的用户正积极检查系统，是否有入侵迹象。

Amazon云端资料泄漏

云端的数据储存已成生活常态，大部分企业开始以云端服务处理客户资料。虽然，基本上云端数据应已加密，但有用户仍未熟悉云端管理，一但有命令出错，客户重要数据便随时泄漏，更会惹上官司。今年中，有保安专家发现，数家英国顾问公司，云端管理方案设定出错，引致Amazon S3储存服务内客户资料，包括护照证件、电邮、税单等未加密下外泄。

COVID-19钓鱼诈骗

去年大量诈骗电邮、假网站、假下戴地址、勒索软件，以新冠病毒COVID-19为题，吸引用户点击，再下载黑客程式，再长驱直进系统。保安专家警告，用户需留意这类以新冠病毒为名的电邮或网站，不要随便点击下载连结，若有问题，应联络IT保安，以防入侵。