作者: javacomhk 時間: 3 天前 16:41 標題: 2FA如今已不足以保障資產
專家感直言,隨著AI技術進步,行之多年的2FA在幾年前或許安全,如今已不足以保障資產,呼籲公眾應轉用綁定特定實體機器的「Passkey(密鑰)」功能。
[attach]2529513[/attach]
參考
https://hk.ulifestyle.com.hk/topic/detail/20099595
作者: jk1399 時間: 前天 02:46
專家感直言,隨著AI技術進步,行之多年的2FA在幾年前或許安全,如今已不足以保障資產,呼籲公眾應轉用綁定 ...
javacomhk 發表於 2026-6-12 16:41
佢應該係自己主動登入過假釣魚網站,結果被人登入成功左佢戶口
作者: ToNg. 時間: 前天 04:14
"專家話"
專家指出,這是一種近年盛行的「唱高散貨」黑客手法。黑客通常會利用與官方一模一樣的偽造釣魚網頁,在背後即時複製事主輸入的用戶名、密碼及2FA。
黑客在成功登入真正的證券戶口後,會利用程式移動瀏覽器令其「一直不登出」,隨後如同特工般默默埋伏,靜候楊女士登上飛機等最佳時機才出手交易。
證券行承認在15日至19日期間,曾有高達15次使用「新裝置」登入的異常活動,卻從未致電向事主核實。
--------------------------------------------------------------
30秒內,用偷返黎用戶名 密碼 2FA,
然後用方法一直不登出,
可行嗎?
但證券行話不停有新新裝置登入,姐是偷返黎2FA 碼可以重用??
定又比入偷左15次??
作者: javacomhk 時間: 前天 07:36
本帖最後由 javacomhk 於 2026-6-13 01:53 編輯
依家嘅 2FA 雙重認證(MFA)其實好容易俾人破解/繞過?
好多人以為開咗 2FA(好似 SMS 密碼、App 撳個制)就無敵,其實大錯特錯。依家班黑客根本唔使去「估」或者「撞」你個 2FA 密碼,佢哋嘅核心策略係「直接兜路繞過個認證流程」。
以下係目前網上最興、最常見嘅幾種 2FA 破解同埋 Bypass(繞過)神技:
- AiTM 即時中間人釣魚(最具威脅)
依家班騙徒用緊一啲叫 EvilProxy 或者 Tycoon 2FA 嘅自動化釣魚工具。你以為入緊 Google、Binance 官網?其實個網站係黑客嘅「逆向代理伺服器」(Reverse Proxy)。所以用的免費VPN就都會危險。
- 玩法:你喺假網入帳密,黑客部機即時將資料傳去真官網;官網出 2FA 要求,假網又即時彈個一模一樣嘅 2FA 欄位出嚟叫你填。
- 結果:你以為自己成功登入,但喺傳輸途中,黑客已經截獲咗官網發出嘅「Session Cookie(登入憑證)」。佢哋只要將呢舊 Cookie 塞入自己瀏覽器,就可以完美跳過密碼同 2FA,直接長期登入狀態。
- 玩法:你喺假網入帳密,黑客部機即時將資料傳去真官網;官網出 2FA 要求,假網又即時彈個一模一樣嘅 2FA 欄位出嚟叫你填。
- Cookie 賊仔(Infostealer 惡意軟件)
如果你平時貪得意,喺電腦/手機下載過啲破解 software、BT 戲、或者撳錯釣魚 Email 嘅附件,部機好大機會中咗木馬。
- 玩法:呢類「竊密軟件」完全唔需要等你想登入嗰陣先去攔截驗證碼。
- 結果:佢哋會直接喺你部電腦背後,打劫你瀏覽器儲存緊、未過期嘅所有 Session Cookies 並打包上傳。黑客一拎到手,直接變做「已登入」狀態入你帳戶,2FA 睇都無睇過。
- 玩法:呢類「竊密軟件」完全唔需要等你想登入嗰陣先去攔截驗證碼。
- SIM 卡劫持(SIM Swapping)
用 SMS 接收 2FA 驗證碼,係全世界公認最垃圾、最唔安全嘅做法!
- 玩法:黑客利用「條線/社交工程(Social Engineering)」,假冒你本人,打去電信營運商(例如 CSL、Smartone 嗰類)或者用假身份證去門市,同職員講部手機唔見咗,要求將你個電話號碼轉落一張新嘅 SIM 卡度。此外,黑客也可能透過偽基地台(IMSI 捕手)、電信骨幹網路漏洞(如 SS7 協議漏洞)或在手機植入惡意程式,直接在空中或設備端攔截簡訊。
- 結果:一轉台成功,你部真手機會即刻無晒訊號。之後黑客登入你啲 Account,系統發出嘅 SMS 2FA 驗證碼就會直接射去黑客部手機度。
- 玩法:黑客利用「條線/社交工程(Social Engineering)」,假冒你本人,打去電信營運商(例如 CSL、Smartone 嗰類)或者用假身份證去門市,同職員講部手機唔見咗,要求將你個電話號碼轉落一張新嘅 SIM 卡度。此外,黑客也可能透過偽基地台(IMSI 捕手)、電信骨幹網路漏洞(如 SS7 協議漏洞)或在手機植入惡意程式,直接在空中或設備端攔截簡訊。
- 2FA 疲勞轟炸(MFA Fatigue)
呢招係專門對付嗰啲會喺手機彈出「你是否正在登入?」提示嘅 2FA 機制(例如 Microsoft / Apple Authenticator)。
- 玩法:黑客偷到你密碼之後,利用寫定嘅 Script(腳本),喺半夜三更或者連續幾個鐘頭內,瘋狂射幾百次登入請求去你手機,等你個畫面不停彈提示、瘋狂震動。同時間,佢哋可能會扮 IT 部門打俾你,話系統壞咗,叫你快啲撳「允許」黎停咗個 Error 報告。
- 結果:好多人因為太煩、瞓醒矇查查、或者手殘,一撳咗「允許/Yes」,就親手開門俾黑客。
- 玩法:黑客偷到你密碼之後,利用寫定嘅 Script(腳本),喺半夜三更或者連續幾個鐘頭內,瘋狂射幾百次登入請求去你手機,等你個畫面不停彈提示、瘋狂震動。同時間,佢哋可能會扮 IT 部門打俾你,話系統壞咗,叫你快啲撳「允許」黎停咗個 Error 報告。
- 網頁寫得屎(API 邏輯漏洞)
有啲公司嘅 IT 狗喺寫網站或者 App 後台嗰陣,邏輯出現盲點。
- 玩法:正常程序係:第一步入密碼(網址變去 /step1),第二步入 2FA(成功先去 /dashboard)。
- 結果:黑客入完正確密碼之後,直接喺網址列手動打 /dashboard,或者用工具修改封包。如果後台無嚴格 Check 埋「係咪已經入咗 2FA」,黑客就可以直接成功闖入。
- 玩法:正常程序係:第一步入密碼(網址變去 /step1),第二步入 2FA(成功先去 /dashboard)。
💡 大家可以點部署?
- 即刻停用 SMS 驗證:全部改用 Google Authenticator 或者 Microsoft Authenticator 呢類每 30 秒變一次嘅 TOTP App。
- 用 Passkeys 或者買實體金鑰(Yubikey):呢個係唯一可以完美免疫 AiTM 中間人釣魚嘅方法。因為硬件 Key 會自動對齊當前網址,如果去 咗釣魚網站,個 Key 係絕對唔會俾個驗證憑證出嚟。
- 開埋「數字比對」(Number Matching):確保手機彈登入提示嗰陣,你一定要喺手機度入埋網頁顯示嗰兩個數字,咁就唔怕俾人疲勞轟炸嗰陣手殘撳錯。
作者: ww9876 時間: 前天 13:00
用免費wifi係高高危,唔好以為麥當勞或高級酒店免費wifi就安全。
via HKEPC Reader for Android
作者: Pc3228 時間: 前天 21:07
公共wifi 接通之後, 再經vpn 會唔會安全啲?
作者: kofz 時間: 前天 23:34
用免費wifi係高高危,唔好以為麥當勞或高級酒店免費wifi就安全。
via HKEPC Reader for Android ...
ww9876 發表於 2026-6-13 13:00
哥d號稱用公用wifi時
連上vpn就會加強保安
肯定流?youtuber成日賣廣告。。。,
via HKEPC IRF 5.1.14 - Android(5.1.2)
作者: javacomhk 時間: 昨天 03:17
本帖最後由 javacomhk 於 2026-6-14 03:26 編輯
講真,依家啲死騙徒手法層出不窮,有時真係防不勝防。除咗加強密碼同埋開雙重認證(2FA)之外,再加Google Authenticator 之外,最實際、最保命嘅做法,絕對係自己主動去網銀App度降低轉賬限額!
只要限額設得低,就算俾人 Hack 入咗,佢哋都頂多執到條死魚,無辦法一嘢清條大數。以下幾招喺各大銀行 App 都做到,大家快的諗諗佢:
1. 降低「未登記收款人」限額(最緊要!)
網銀啲限額通常分好幾條隊,大家入 App 執執呢幾樣:
- 張未登記收款人限額直接改到 $0。呢個係最危險嘅位!平時根本好少可會突然轉大錢俾陌生人,真係要轉嗰陣,先即時登入改大佢,轉完即刻改返做 $0。
- 至於小額轉賬 / 轉數快 (FPS) 限額,平時食飯 basic 夾錢、買幾百蚊嘢,其實設 $1,000 到 $5,000 每日上限已經好夠用,唔好貪方便開到幾萬。
- 已登記收款人就淨係留返比自己其他銀行戶口,真係要每個月供樓、交租、俾家用嘅至親戶口,限額啱啱好就夠,唔使預咁多。
2. 打散資金:玩「多戶口分流法」
千祈唔好將所有身家擺晒喺同一個開咗 App 嘅銀行/證券戶口!或分散App 放在舊手機及另外一手機號碼及放在家中!盡量是使用 iPhone 的 FaceID 或 Touch ID 登入app。
- 消費/網銀戶口:放幾千至一萬銀日常打躉,開齊 FPS、綁 Apple Pay / 支付寶。呢個戶口預咗就算行衰運中招,都只係痛失一筆細錢,唔會傷筋動骨。
- 「靜止」儲蓄戶口:真正存放身家嘅地方。呢個戶口千祈唔好綁任何電子錢包,甚至可以大膽啲,直接打去銀行或者去分行,要求直銷/關閉呢個戶口嘅網上轉賬功能。要動用大錢就親自去 ATM 或者落分行,雖然麻煩,但絕對係最強防禦。
- 盡量將大額現金轉為多張定期及不同相距的到期日並將大額存款的銀行app 只放在屋企的舊手機內,這戶口最好另外用張養號的儲值卡做2FA。此手機內不用作日常的消費/轉賬操作。
- 銀行股票戶口盡量只用現金交易戶口,如要買期權的戶口,盡量分開另開證券戶口及不留大量流動資金在可買賣期權的證券戶口。
3. 封鎖海外提款 + 降低本地 ATM 上限
有啲騙徒會喺外地複製你張 Card 黎提款:
- 長閂海外提款:預設一定要關閉「境外提款功能」。真係去旅行嗰陣,先上 App set 邊日至邊日開通,回港自動 deactivate(停用)。
- 本地 ATM 限額:預設通常係每日兩皮($20,000),平時冇乜事就改低佢,例如改到每日 $5,000,咁就算跌咗銀包兼俾人撞到密碼,都起碼少咁層血。
4. 執埋張信用卡:減 Credit Limit、閂無卡交易
信用卡依家都好容易俾人盜用:
- 主動要求減 Credit Limit:如果銀行開成 20 萬信用額俾你,但你平時每個月最多使皮幾野,建議打去 Hotine 叫佢永久調低個信用額(例如去到 3 萬)。咁騙徒就算要瘋狂狂簽,簽到幾萬就打柴。
- 主動調整信用卡額度有些銀行例如HSBC容許你將信用卡額度在app 內互相調撥/借用,而不是將所有信用卡共用一個大額度。你就可以主動調整常用的信用卡可用的限額。加上信用卡設為不能超額,雖然看似很麻煩,但絕對係降低信用卡被大額盜用的風險。
- App 內鎖卡功能:依家好多銀行 App 可以一鍵暫停「海外交易」或者「網上交易(無卡交易)」。平時閂咗佢,到自己真係上網買嘢買機票網購嗰幾分鐘先開,玩完即閂。
5. 推爆個通知提示(Notification Settings)
入去設定度,將所有交易通知嘅門檻(Threshold)改做 $0。
唔好嫌煩,不論係轉一蚊定轉一萬,都要即時收 SMS 或者 App Push。好多時騙徒會先轉一筆小額嘅「試探式」交易睇吓你有冇反應,最常見的就是 Google Play Store 通知你扣$1,如果你一收 notify 即刻打去報到停卡,就救得返後面舊大錢!
作者: normalyan 時間: 昨天 10:19
公共wifi 接通之後, 再經vpn 會唔會安全啲?
Pc3228 發表於 2026-6-13 21:07
上親網就唔安全啦, 唔好上
講真, 你冇九百萬先? 有先高級hacker會target你, 幾萬蚊睬你都傻
作者: ccc123 時間: 昨天 10:26
咁係咪用電話理財先安全。。。。。
作者: javacomhk 時間: 昨天 11:10
咁係咪用電話理財先安全。。。。。
ccc123 發表於 2026-6-14 02:26
iPhone FaceID 或 TouchID 好的。
作者: 觀星是答案 時間: 昨天 11:12
如果係一個高度自動化既入侵方案
你銀行有幾多錢都會照偷, 唔存在 "你無乜錢所以唔會選你" 呢個 logic
作者: javacomhk 時間: 昨天 11:15
本帖最後由 javacomhk 於 2026-6-14 03:37 編輯
佢哋係賊,唔係上門打刧及搶。
的賊只會選擇的容易偷嘅目標。至於有無錢就入到去戶口先至會知。
所以我哋可以做嘅事就係令到的賊(1)難的響網絡搵到你,例如唔好用公共WiFi 或 VPN 入手機銀行做交易或網上購物比信用卡資料,(2)難的入到你個戶口,上面講嘅用其他設備做2FA+App 做Authenticator,就算真係入到你戶口都(3)難的轉哂你的錢,上面講嘅降低限額及分散戶口。
作者: java2 時間: 昨天 13:10
唔係, 停晒所有電子/電話渠道, 當面去銀行/券商出示身份証做交易先安全
咁係咪用電話理財先安全。。。。。
ccc123 發表於 2026-6-14 10:26
作者: ww9876 時間: 昨天 13:17
原來股票戶口係最高危。大部分香港人有買股票,而且比重唔低。依單case係同你做買賣,股票錢可以一夜之間冇晒。
via HKEPC Reader for Android