March 17, 2026

cftime.io

CFTime與你一同探索有關AI(ChatGPT)、區塊鏈、NFT、加密貨幣、元宇宙及金融科技FinTech等資訊。

網絡安全

社交工程攻擊:黑客唔 hack 系統,直接 hack 你同事個腦!

黑客唔 Hack 你系統,直接 Hack 你同事個腦?老闆維基:3 招防範「社交工程攻擊」!

老闆維基01 mins

上回提要:老闆維基精選 守好公司保安,先可以放心發展生意。複習一下之前嘅實戰攻略: 「維基,我請咗個 IT 專家,裝晒最新嘅防火牆同防毒軟件,公司保安實冇問題啦!」 好多老闆都係咁諗,以為錢解決到嘅技術問題,就唔係問題。 我直接同佢講:「老細,你防到黑客用電腦技術撞門,但你防唔防到黑客直接騙你同事開門?」 今日老闆維基同你拆解黑客最鍾意、最落地嘅攻擊方式:社交工程攻擊 (Social Engineering)。 一、咩係社交工程攻擊? 講穿咗,社交工程攻擊就係「騙術」。 黑客發現,要攻破一個裝咗最新防禦系統嘅伺服器,可能要幾個月;但要呃一個忙緊嘅同事交出密碼,可能只要 5 分鐘。 佢哋唔係用程式代碼去 Hack 你系統,佢哋係用人性弱點去 Hack 你同事個腦。 二、3 種常見嘅「Hack 腦」騙術 1. 扮老闆出 Emergency Email (Business Email Compromise) 黑客會開一個同你(老闆)好似嘅 Email(例如把 boss@company.com 變成 boss@company-hk.com),然後 send 畀會計: 「我宜家喺機場開會,好急!快啲匯 $50,000 畀呢個供應商,否則筆貨會畀人扣起!返嚟先同你簽單。」 同事一見到老闆咁急,又驚做慢咗會畀人鬧,往往連電話都唔打個 Confirm,就直接匯咗錢。 2. 扮 IT 同事攞密碼 黑客打電話畀新同事或者 Reception: 「喂,我係 IT 部阿 Ben。我哋宜家做緊系統升級,需要你嘅密碼嚟確認個 Account 安全。你畀個密碼我,我搞掂佢。」 同事諗住…

Read More
收到「順豐派件失敗」短訊?小心係釣魚短訊!老闆維基分享真實案例:觀塘老闆因一個短訊損失十萬。結合順豐 改用 APP 通知的新政策,教你如何辨別假訊息,守住公司 WhatsApp 與銀行戶口。

收到「順豐派件失敗」短訊?老闆維基:撳錯一條 Link 冇咗十萬 呢啲學費唔好交!

老闆維基01 mins

上回提要:老闆維基精選 守好公司保安,先可以放心發展生意。複習一下之前嘅實戰攻略: 上個禮拜,觀塘一間做電子零件批發嘅老闆阿文,WhatsApp 收到一條訊息: 【順豐速運】你嘅包裹派件失敗,請點擊連結重新預約: 阿文心諗:最近係有批貨喺深圳寄緊過嚟,可能真係 派件失敗。佢冇諗咁多,就咁撳咗落去。 一個鐘後,佢公司嘅 Facebook 專頁、Google 廣告帳戶,全部登入唔到。 一個月後,佢計返條數:直接損失 + 生意影響 + 搵人搞返掂啲嘢嘅時間,冇咗差唔多十萬。 而一切嘅開始,只係嗰一下「撳落去」。 一、點解「順豐派件失敗」咁易中?騙徒手法拆解 呢類訊息叫 釣魚短訊 (Smishing)。騙徒最鍾意用「順豐」名義,因為我哋日日都寄件,收到「派件失敗」通常唔會懷疑。 但大家留意,順豐為咗保障大家,已經出咗最新政策: 順豐香港將減少 SMS 發送,所有快件自取訊息通知,將全部改為透過官方官方手機應用程式「SFHK APP」發放。 換言之,如果你仲收到要求你撳 Link 嘅「派件失敗」SMS,九成九係假嘅! 二、收到可疑訊息,老闆維基教你點睇真 阿文後悔話:「條 Link 睇落真係好似順豐。」 其實,只要你同同事養成呢兩個「保安習慣」,就可以避開呢十萬蚊嘅陷阱。 三、如果同事已經「撳咗」,點樣止血? 如果你或者同事發現入錯資料,即時做呢三件事: 四、總結:你一撳,就係幫人開門 阿文而家喺公司貼咗張紙:「收到順豐派件失敗訊息,先問老闆,唔好自己撳。」 騙徒手法會變,核心不變:引你撳 Link。保護公司銀行戶口同客底,除咗靠自己小心,有需要可以搵專業嘅網絡保安團隊幫你做一次全公司保安審核,確保冇後門畀黑客入。 老闆維基語錄: 「急你嘅,即係呃你嘅。預防『派件失敗』騙案,認準官方 APP,長按網址唔好篤。」

Read More
2FA 雙重驗證對比圖:左圖顯示黑客憑流出密碼輕鬆進入公司銀行戶口;右圖顯示開啟 2FA 後,黑客因缺乏 6 位數驗證碼而被擋在金庫外,有效保護公司保安。

密碼再長都冇用?老闆維基:點解「雙重驗證」係你公司最後一道保險?

老闆維基01 mins

上回提要:老闆維基精選 守好公司保安,先可以放心發展生意。複習一下之前嘅實戰攻略: 「維基,我個密碼有大細楷、有符號、有成 16 位咁長,黑客唔通真係撞得破?」 前幾日同個做貿易嘅老闆傾偈,佢仲好自豪自己個密碼好難記。 我直接同佢講:「老細,而家黑客唔係『撞』你密碼,係去黑市『買』你密碼。只要你其中一個員工喺啲唔安全嘅網註冊過,個密碼流咗出嚟,你個 16 位長密碼就變咗廢紙。」 今日老闆維基同你講一件保命嘅事:雙重驗證 (Two-Factor Authentication, 2FA)。 一、 點解密碼已經唔可靠? 而家嘅黑客手段好高明: 只要有左以上任何一樣,你個密碼幾長都係死。 二、 雙重驗證:黑客最痛恨嘅「第二把鎖」 雙重驗證嘅原理好簡單:除咗你知道嘅嘢(密碼),仲要加上你擁有嘅嘢(手機驗證碼)。 就算黑客攞到你密碼,佢登入時,系統會要求輸入你手機 App (如 Google Authenticator) 嗰 6 位數。黑客冇你部手機喺手,佢只能夠喺門口乾等。 三、 老闆維基推薦:邊種 2FA 最安全? 四、 總結:唔好怕麻煩,麻煩嘅係中招之後 好多員工會怨:「每次 Log in 都要睇手機好麻煩。」 我通常咁樣答佢哋:「麻煩 5 秒鐘,定係公司倒閉、大家冇糧出比較麻煩?」 如果你覺得設定全公司嘅 雙重驗證 好混亂,或者驚漏咗邊個環節。 我建議你諮詢 UDomain 專業網絡保安團隊。佢哋會幫你全公司做一次保安審計,確保每一道門都鎖得穩。 【中小企限時諮詢福利】 睇到呢度嘅讀者,如果你擔心公司網站或系統有安全漏洞,我可以直接為你對接我哋嘅保安顧問,安排一次初步需求評估。 老闆維基語錄: 「密碼係你嘅大門,雙重驗證係你個保險箱。門可以被撞開,但保險箱一定要有第二條匙。」

Read More
關注 AI 資安風險 香港 企業不可掉以輕心。本文揭露員工使用 ChatGPT 時常見的洩密行為,分析香港 PDPO 法律責任,並提供 OpenClaw 私有 AI 部署解決方案,確保公司數據安全。

公司員工每天用 ChatGPT,但你知道資料去咗邊?揭露 90% 中小企忽略的 AI 資安風險

Admin01 mins

AI 資安風險 香港 企業老闆必須正視的議題:當你的員工說要「提升效率」,老闆通常會說「好,用吧」。 於是公司上下開始用 ChatGPT 寫報告、分析數據、起草合約、回覆客戶電郵。生產力確實提升了,老闆滿意,員工開心。 但沒有人問過一個問題:那些輸入進去的資料,究竟去了哪裡? 這篇文章不是要你停止使用 AI。AI 是真實有效的生產力工具。但在你的公司全面擁抱 AI 之前,有幾件事你必須先搞清楚——否則你可能在不知情的情況下,每天都在幫公司「洩密」。 員工輸入 ChatGPT 的資料,OpenAI 真的會「忘記」嗎? 很多人以為 ChatGPT 就像一個不會說話的助手,你問它問題,它回答,然後什麼都不記得。 現實並非如此。 根據 OpenAI 的服務條款,使用免費版或標準付費版 ChatGPT 的用戶,其輸入的對話內容預設會被用於訓練模型。換句話說,你的員工今天輸入的客戶資料、合約條款、財務數字,有可能成為 OpenAI 未來模型的訓練素材。 即使 OpenAI 聲稱有保護措施,但資料一旦離開你的公司伺服器,你就失去了控制權。 這不是假設性的風險。這是你每天都在面對的現實。 導致 AI 資安風險 香港 中小企最常見的 5 種高風險操作 根據業界觀察,以下是香港中小企員工最常見、同時風險最高的 AI 使用方式: 1. 輸入客戶個人資料 「幫我根據這份客戶名單,寫一封個人化的跟進電郵。」員工直接將客戶姓名、電話、電郵、購買記錄貼入 ChatGPT。這批資料隨即上傳至 OpenAI 的伺服器。 2. 貼上合約及法律文件 「幫我檢查這份合約有沒有問題。」合約內容包含雙方公司名稱、條款、商業條件,全部外洩。 3. 用 AI 分析財務數據…

Read More
老闆維基「公司保安」必做三件事對比圖:由沒有 2FA 認證與離線備份的混亂辦公室(左),轉型為開啟 2FA 嚴格授權與斷網存放備份的專業安全空間(右)。

公司保安必做三件事:今日放工前 set 好,唔好等黑客幫你執位! | 老闆維基

老闆維基01 mins

上回提要:老闆維基精選 之前我哋講過 AI 應用同埋員工權限,未搞掂嘅老闆快啲補課: 老闆必做三件事:今日放工前,幫你間公司 set 好最基本嘅「公司保安」 「維基,我間公司仔得幾個人,唔通真係要每個月使幾千蚊買防火牆?」 好多老闆一聽到 公司保安,就覺得係大公司先玩得起嘅「燒錢遊戲」。 結果呢?根據統計,黑客最鍾意搵 SME 開刀,因為你哋嘅門口通常係「中門大開」。 今日唔講經,我直接畀三份指令你。 唔使請 IT,唔使買新機,今日放工前,叫你啲同事(連埋你自己)做晒呢三件事。 第一件事:強制開啟「雙重認證 (2FA)」 好多人仲係一組密碼走天涯。如果員工個 Email 密碼外洩咗,你公司所有客戶資料、合約、甚至銀行入錢嘅確認信,黑客都睇晒。 第二件事:檢查「離線備份」 好多老闆話:「我有 Back Up 呀,我插住個 Hard Disk 每日自動 Backup 㗎。」 聽住,如果黑客放勒索病毒入你部電腦,佢會連住你插住嗰個 Hard Disk 一齊加密埋。到時你個 Backup 就會變咗廢紙。 第三件事:清理「幽靈權限」 我之前講過,離職同事仲睇到你啲客,係 公司保安 嘅大忌。 好多時老闆太忙,舊同事走咗半年,佢個公司 Email 同 CRM 權限仲 active 緊。 總結:公司保安係「習慣」,唔係「支出」 阿文聽我講完,即刻叫全公司停工 15 分鐘搞掂晒呢三件事。 佢話:「原來唔係錢嘅問題,係我有冇要求大家去鎖門。」 今日放工前,你鎖咗門未? 老闆維基語錄:…

Read More
員工離職權限回收

離職員工仲睇到你公司啲客?【員工離職權限回收】一個簡單設定 等佢走咗都入唔到你系統

老闆維基01 mins

「王生,你公司嗰個前同事阿明,仲 Login 緊你個雲端。」 上個月,我朋友阿基收到呢個 Message,成個人醒一醒。 這正正暴露了香港中小企最容易忽略的 「員工離職權限」 管理問題。 阿基喺新蒲崗開咗間貿易公司,阿明三個月前辭職走咗,結果發現:離職員工嘅 Account 一路都仲 Active 緊。 即係話: 阿基話:「我唔係話阿明會害我,但佢而家去咗邊度做嘢,我連知都唔知。」今日同你分享:點樣用一個簡單設定,確保離職同事走咗之後,真係「走乾淨」。 一、 問題有幾普遍?(數據唔識呃人) 根據 2025 年嘅網絡安全調查,中小企嘅「權限漏洞」比想像中嚴重: 你間公司,好大機會仲有幾個「幽靈 Account」喺度。 二、 邊啲 Account 最易漏?(SME 檢查清單) Account 類型 風險等級 點解易漏? Google Workspace / M365 🔴 高 員工收 Email、用 Drive 存文件,最核心。 CRM 系統 (Salesforce/Hubspot) 🔴 高 客戶底單、通訊錄全喺入面。 雲端硬碟 (Dropbox/OneDrive) 🔴 高 以前 Share 過嘅 Link…

Read More
滲透測試

中小企唔使做滲透測試?資訊保安專家:幾千蚊嘅基本測試 救得返你 50 萬嘅生意

老闆維基01 mins

「滲透測試?我間公司得幾個人,邊有咁多人嚟 hack 我?」 上個月,呢句話出自新蒲崗一間做禮品訂製嘅老闆阿 Tom 口中。今個月,佢唔再講呢句話。 點解?因為佢公司個網站俾人「放咗後門」,成個客戶資料庫被拖走,仲要收到勒索電郵:「俾三個比特幣,唔係就公開你啲客嘅電話地址。」Tom 走嚟問我:「我哋乜嘢保安都冇做過咩?我個網站用 Wix 整㗎,Wix 唔係包咗保安㗎咩?」 我話:「你間舖有冇裝閘?有。但有冇諗過,個賊可能唔係爆門,而係爬窗?」滲透測試,就係幫你搵返邊隻窗冇鎖好。今日同你拆解:點解幾千蚊嘅基本測試,可能係你公司最抵嘅投資。 一、首先,到底咩係「滲透測試」? 先搞清楚一個成日撈亂嘅概念:漏洞掃描 (Vulnerability Scanning) 與 滲透測試 (Penetration Test)。 比較項目 漏洞掃描 滲透測試 形象比喻 用儀器 check 你間屋有幾多度門 真係搵個人試下點樣入到你間屋 操作方式 自動化軟件 run 一次,出份報告話你知邊度有漏洞 真人黑客模擬攻擊,試下「有漏洞嘅地方,到底入唔入到」 最終結果 「你度門鎖有問題」 「你度門鎖有問題,我用一張八達通 3 秒就開到,仲入咗去攞咗你本數簿」 簡單講:漏洞掃描係「話你知有問題」,滲透測試係「話你知個問題有幾大鑊」。中小企成日做嘅,多數只係前者,甚至乜都冇做。 二、真實案例:幾千蚊嘅測試,點樣救返 $50 萬生意 荃灣一間做食品批發嘅公司,有個官網可以俾客人落單。老闆一直覺得:「我個網係搵 freelancer 寫嘅,用咗幾年都冇事,應該安全掛?」後來經朋友介紹,搵人做咗一次基本滲透測試,盛惠 $8,000。 你估吓發現咩? 測試員同佢講:「如果呢啲資料漏咗出去,單係私隱條例嘅罰款同聲譽損失,已經可以超過 $50 萬。」老闆當場面青唇白。 即晚,佢哋用兩小時改咗密碼、加咗登入限制同 IP 限制。總成本:$8,000。如果冇做測試,後果不堪設想。 三、中小企最常見嘅「三大保安錯覺」 四、專家建議:中小企應該點做滲透測試?…

Read More
付費防毒軟體

付費防毒軟體反而更差?專家揭開 5 大誤解 教你聰明保護公司資料

老闆維基01 mins

先問大家一個問題:你公司目前使用的防毒軟體,是「付費版」還是「免費版」? 如果你回答的是「付費版」,接下來的內容,你可能需要多讀兩次。 觀塘一間從事進出口貿易的公司,老闆每年都準時支付兩千多港元,續約某個「知名品牌」的付費防毒軟體。直到早前不幸中了勒索軟體(Ransomware),整個伺服器內的報價單、合約、客戶資料全部被鎖死,即使支付了贖金也無法解鎖。事後請來專家調查,結果令人震驚: 「軟體雖然一直開啟,但根本無法偵測到該款新的變種病毒。」 更諷刺的是,同一時間,隔壁店鋪僅使用免費版軟體的另一間公司,反而安然無恙。今天我們就來拆解:點解付錢買的軟體,有時反而比免費的更差?揭開關於付費防毒軟體的五大常見誤解,能避開這些坑,你已經能為公司節省下不必要的開支與風險。 1. 誤解一:功能越多越划算(其實是「軟體臃腫」) 許多付費防毒軟體為了增加賣點,會強制捆綁大量額外功能,如系統清理、文件粉碎、甚至自家的瀏覽器插件。 2. 誤解二:付費版一定比 Windows Defender 強 很多老闆仍停留在「Windows 內建防毒是垃圾」的過時觀念中。 3. 誤解三:軟體能擋住所有攻擊 這是最危險的迷思。 4. 誤解四:安裝後就不需要更新系統 「我已經買了防毒,它應該會保護我所有漏洞。」 5. 誤解五:付費版比較少廣告彈窗 事實正好相反。某些知名品牌會利用老闆的恐懼感進行「恐嚇式推銷(Scareware)」,頻繁彈出「您的隱私有風險」等訊息來誘導你購買更高級的附加服務。這種干擾比起免費版的靜默運作更加影響工作效率。 2026 年,老闆應如何挑選付費防毒軟體? 若你決定投資,請確保你的資金是用在以下具備「高回報」的功能上: 結語:保安是一種策略,而不僅是一套軟體 付費防毒軟體只是資訊保安的其中一環。對於預算有限的中小企,與其買一套臃腫的「全能版」,不如用好內建工具,並將資源投放在提高員工的安全意識上。 延伸閱讀: 搞定軟體後,別忘了防範「人」的漏洞。參考《七成資料外洩源於員工無心之失:3 招人肉防火牆入門》,建立全面的防線!

Read More
資訊保安入門

老闆必睇:七成資料外洩來自員工一個無心動作 教你三招資訊保安入門法

老闆維基01 mins

觀塘一間做電子零件批發嘅公司,上個月唔見咗成個客戶資料庫。 唔係黑客攻擊,唔係伺服器漏洞。只係一個新入職嘅同事,將公司嘅 Excel 報價單,轉發咗去自己嘅 Gmail「諗住返屋企繼續做」。第二日,競爭對手嘅報價同佢一模一樣,仲平多三個百分點。 老闆到今日都唔知邊度出事。其實,漏洞就喺嗰封「無心」嘅轉寄郵件。這就是為什麼對於中小企來說,資訊保安入門的第一課,不是買防火牆,而是管理「人」。 為什麼「人」是公司最大的安全漏洞? 根據統計,全球超過七成的資料外洩事故與員工的操作有關。在香港,中小企老闆往往為了方便,允許員工用私人電話處理公事,或是在公共 Wi-Fi 下存取公司系統。這些行為在缺乏資訊保安入門意識的情況下,就像是把保險箱的鑰匙掛在大門口。 教你三招「人肉防火牆」入門法 1. 嚴禁「公私不分」:建立個人與公司電郵的邊界 就像開頭提到的案例,很多員工並非惡意洩密,只是圖個方便。 2. 開啟兩步驗證(2FA):最後一道防線 如果你還在只用密碼登入,那你根本還沒進入資訊保安入門的門檻。 3. 「最小權限」原則:唔需要知就唔好知 很多老闆為了方便,給全公司員工「管理員」權限。一旦其中一人的帳戶被盜,全公司的資料就會被清空。 資訊保安不一定要花大錢 很多老闆以為做資訊保安入門要買幾十萬的伺服器,其實不然。透過免費或低成本的雲端管理工具,例如 的權限控制,或是 這種密碼管理工具,已經能解決 90% 的基礎風險。 結語:保安是一種文化 不是一種軟體 工具再強,也擋不住一個轉寄 Gmail 的「無心之失」。老闆必須讓員工明白,保護資料就是保護自己的飯碗。建立一套清晰的守則,比起買任何昂貴的防毒軟體都來得有效。 延伸閱讀: 保護了資料後,想提升營運效率?參考《「低代碼」是什麼?中小企老闆必須知道的營商新趨勢》,讓你的業務在安全的情況下飛速增長!

Read More
香港網絡安全事故

去年香港網絡安全事故近1.6萬宗 創歷年新高!釣魚攻擊佔57.5% AI成黑客新幫兇

Derek Chan01 mins

香港生產力局轄下的香港網絡安全事故協調中心(HKCERT)發布年度報告《香港網絡安全展望2026》。報告揭示,2025年錄得香港網絡安全事故15,877宗,較上年上升27%,創歷年新高。其中,網絡釣魚攻擊佔比高達57.5%,而利用系統漏洞進行的「已受攻擊系統」事故更飆升368%,顯示威脅形勢正急速演變。 即加入CFTime TG 討論區!想掌握最新加密市場動態與 AI 新聞與資訊,更能隨時獲得免費 web 3入場券! 生產力局首席數碼總監黎少斌先生在簡報會上指出,人工智能(AI)的普及在推動創新的同時,亦被黑客廣泛用於發動更精密、自動化及具針對性的攻擊。此外,企業對第三方服務及雲端平台的過度依賴,構成了供應鏈安全的新脆弱點。 2025年香港網絡安全事故回顧:釣魚攻擊主導,系統漏洞激增 根據HKCERT數據,2025年網絡威脅呈現以下顯著特點: 2026年五大風險預測:AI與供應鏈成焦點 綜合數據分析與專家意見,HKCERT預測2026年將出現以下五大網絡安全風險,其中三項與AI直接相關: 企業防禦現狀:71%企業設網安負責人,中小企資源與意識待提升 HKCERT同步發布的《香港企業網絡安全現況》調查(訪問672間企業)顯示,企業防禦能力有所提升,但仍有改善空間: HKCERT五大建議:從責任到技術,構建全面防禦 為協助企業應對來年挑戰,HKCERT提出五大實用建議: 黎少斌總結時呼籲,面對AI技術帶來的雙刃劍效應及供應鏈的複雜風險,企業必須從被動應對轉向主動規劃。他亦介紹了HKCERT聯同數碼政策辦公室推出的「網絡安全服務供應商聯動計劃」,該平台匯聚21家通過審核的服務商,旨在為中小企提供一站式的安全方案配對,協助他們提升防禦能力。

Read More