🎂 2 года Social Engineering.
☝🏻 Мы собрали сотни отзывов, открыли дополнительные проекты, сделали так, что каждый может получить нужную ему информацию — бесплатно.
• Сегодня я хочу поделиться с тобой книгой, которая подтолкнула меня на идею создания канала. Переходи по ссылке, в 2018 год, вот с чего всё начиналось.
🖖🏻 Приветствую тебя user_name.
💬 Сегодня исполняется 2 года нашему каналу, за это время мы собрали тысячи единомышленников и опубликовали сотни статей, основная часть которых, относится к теме канала — Социальной Инженерии. Спасибо всем кто развивается вместе с нами, читает канал, предоставляет отзывы и указывает на недостатки.☝🏻 Мы собрали сотни отзывов, открыли дополнительные проекты, сделали так, что каждый может получить нужную ему информацию — бесплатно.
• Сегодня я хочу поделиться с тобой книгой, которая подтолкнула меня на идею создания канала. Переходи по ссылке, в 2018 год, вот с чего всё начиналось.
📓 Онлайн книга «Взлом Wi-Fi сетей с Kali Linux и BlackArch».
• Подготовка рабочего окружения: железо и софт;
• Первые шаги по взлому Wi-Fi сетей, обход простых защит;
• Захват WPA / WPA2 рукопожатий;
• Взлом паролей из WPA / WPA2 рукопожатий;
• Взлом WPS пина;
• Автоматизированные атаки на Wi-Fi сети;
• Онлайн перебор ключей Wi-Fi;
• Социальная инженерия при взломе Wi-Fi сетей;
• Атаки с использованием Wi-Fi сетей;
• Атака на Wi-Fi точки доступа из глобальной и локальной сетей;
• Атаки вида «отказ в обслуживании» (DoS Wi-Fi);
• Атаки «Без клиентов» и «Без Точек Доступа»;
• Перехват данных в сетях Wi-Fi после проникновения;
• Взлом Wi-Fi сетей из Windows;
👁 Читать книгу.
‼️ Дополнительную информацию ты можешь найти по хештегам #Курс и #Книга. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 По традиции, каждое воскресение я стараюсь делиться с тобой крутой литературой, с помощью которой ты можешь освоить различные направления в сфере социальной инженерии, информационной безопасности и т.д. Сегодня я поделюсь с тобой онлайн книгой посвященной методам взлома беспроводных сетей. Книга включает в себя:• Подготовка рабочего окружения: железо и софт;
• Первые шаги по взлому Wi-Fi сетей, обход простых защит;
• Захват WPA / WPA2 рукопожатий;
• Взлом паролей из WPA / WPA2 рукопожатий;
• Взлом WPS пина;
• Автоматизированные атаки на Wi-Fi сети;
• Онлайн перебор ключей Wi-Fi;
• Социальная инженерия при взломе Wi-Fi сетей;
• Атаки с использованием Wi-Fi сетей;
• Атака на Wi-Fi точки доступа из глобальной и локальной сетей;
• Атаки вида «отказ в обслуживании» (DoS Wi-Fi);
• Атаки «Без клиентов» и «Без Точек Доступа»;
• Перехват данных в сетях Wi-Fi после проникновения;
• Взлом Wi-Fi сетей из Windows;
👁 Читать книгу.
‼️ Дополнительную информацию ты можешь найти по хештегам #Курс и #Книга. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
📞 Эпидемия вишинга.
☝🏻 До 70% всех краж у клиентов российских банков в прошлом году было совершено с участием самих владельцев счетов и банковских карт, то есть с использованием методов социальной инженерии. Чаще всего речь идет о телефонных звонках мошенников, которые представляются сотрудниками банков и буквально за несколько минут разговора получают в свое распоряжение данные банковских карт, СVV/CVC-коды, одноразовые пароли из SMS и другие личные данные клиентов банков.
👨🏻💻 Предлагаю ознакомиться, какие еще уловки сегодня чаще всего используют атакующие и как обезопасить себя от таких атак.
📌 Не забывай про дополнительный материал:
• Как хакеры готовят атаки на банки?
• Спам-письмо. Факторы, влияющие на количество и качество отклика.
• Как правильно использовать фишинговые рассылки в рамках пентеста.
• Пример СИ | Фишинг-атаки на биржу Codex.
• Фишинг организаций. Black Hat.
• АРТ-атаки на госучреждения в России: обзор тактик и техник 2019.
‼️ Дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Сегодня мы поговорим о вишинге — это один из методов социальной инженерии, который заключается в том, что атакующий, используя телефонную связь и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у жертвы конфиденциальную информацию или стимулируют к совершению определенных действий с карточным счетом/платежной картой с целью хищения денежных средств.
☝🏻 До 70% всех краж у клиентов российских банков в прошлом году было совершено с участием самих владельцев счетов и банковских карт, то есть с использованием методов социальной инженерии. Чаще всего речь идет о телефонных звонках мошенников, которые представляются сотрудниками банков и буквально за несколько минут разговора получают в свое распоряжение данные банковских карт, СVV/CVC-коды, одноразовые пароли из SMS и другие личные данные клиентов банков.
👨🏻💻 Предлагаю ознакомиться, какие еще уловки сегодня чаще всего используют атакующие и как обезопасить себя от таких атак.
📌 Не забывай про дополнительный материал:
• Как хакеры готовят атаки на банки?
• Спам-письмо. Факторы, влияющие на количество и качество отклика.
• Как правильно использовать фишинговые рассылки в рамках пентеста.
• Пример СИ | Фишинг-атаки на биржу Codex.
• Фишинг организаций. Black Hat.
• АРТ-атаки на госучреждения в России: обзор тактик и техник 2019.
‼️ Дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
👨🏻💻 Testing for Cross Site Request Forgery.
☝🏻 С помощью социальной инженерии (например, отправив ссылку по электронной почте или в чаты), атакующий может заставить пользователей веб-приложения выполнять действия по его выбору. Успешный эксплойт CSRF может поставить под угрозу данные и работу пользователя. Если пользователь с правами администратора, CSRF-атака может поставить под угрозу все приложение.
📌 Давайте рассмотрим что из себя представляет такой вид атаки и как используется атакующими:
👁 Читать статью.
‼️ Дополнительную информацию ты можешь найти по хештегам #hack и #Взлом. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Сегодня поговорим о CSRF (Cross-Site Request Forgery) — атака, вынуждающая пользователя выполнять действия в сети, которые были навязаны атакующим.☝🏻 С помощью социальной инженерии (например, отправив ссылку по электронной почте или в чаты), атакующий может заставить пользователей веб-приложения выполнять действия по его выбору. Успешный эксплойт CSRF может поставить под угрозу данные и работу пользователя. Если пользователь с правами администратора, CSRF-атака может поставить под угрозу все приложение.
📌 Давайте рассмотрим что из себя представляет такой вид атаки и как используется атакующими:
👁 Читать статью.
‼️ Дополнительную информацию ты можешь найти по хештегам #hack и #Взлом. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🔎 Поиск поддоменов.
• Knock.py — удобный и быстрый инструмент, который находит поддомены целевого домена по словарю. Особенно актуально для сайтов, которые размещены во внутренних сетях и не имеют выхода в сеть. Описание инструмента и мануал по установке, есть на GitHub.
• Spyse.com — собирает техническую информацию о инфраструктуре организаций. Поисковый движок включает в себя 39 сканеров сети. Данные по 1,6 млрд доменов и 3,5 млрд IPv4 адресов уже отсканированы, упорядочены и хранятся в базе данных. Все данные систематически обновляются. Более подробную информацию, ты можешь найти в нашем канале.
• DNSdumpster — бесплатный онлайн-сервис, выполняет обнаружение поддоменов путем ретрансляции данных из #Shodan, Maxmind и других поисковых систем. Более подробно об этом сервисе ты можешь прочитать на сайте разработчиков — https://hackertarget.com/
• Sublist3r — находит поддомены в поисковых системах Google, Yahoo, Bing, Baidu и Ask. Также при поиске используются сервисы Netcraft, Virustotal, ThreatCrowd, DNSdumpster и ReverseDNS. Подробный гайд по установке и возможностям инструмента есть на GitHub. Если нужен гайд на русском языке, то ознакомься с информацией по этой ссылке.
‼️ Сегодня ты узнал о 4х инструментах, с помощью которых можешь собрать активные поддомены. Дополнительную полезную информацию ты можешь найти по хештегам #Пентест #Whois #spyse #OSINT и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Поиск поддоменов — неотъемлемая часть подготовки ко взлому. Сегодня мы поговорим о популярных инструментах, с помощью которых ты сможешь получить список существующих поддоменов и другую полезную информацию.• Knock.py — удобный и быстрый инструмент, который находит поддомены целевого домена по словарю. Особенно актуально для сайтов, которые размещены во внутренних сетях и не имеют выхода в сеть. Описание инструмента и мануал по установке, есть на GitHub.
• Spyse.com — собирает техническую информацию о инфраструктуре организаций. Поисковый движок включает в себя 39 сканеров сети. Данные по 1,6 млрд доменов и 3,5 млрд IPv4 адресов уже отсканированы, упорядочены и хранятся в базе данных. Все данные систематически обновляются. Более подробную информацию, ты можешь найти в нашем канале.
• DNSdumpster — бесплатный онлайн-сервис, выполняет обнаружение поддоменов путем ретрансляции данных из #Shodan, Maxmind и других поисковых систем. Более подробно об этом сервисе ты можешь прочитать на сайте разработчиков — https://hackertarget.com/
• Sublist3r — находит поддомены в поисковых системах Google, Yahoo, Bing, Baidu и Ask. Также при поиске используются сервисы Netcraft, Virustotal, ThreatCrowd, DNSdumpster и ReverseDNS. Подробный гайд по установке и возможностям инструмента есть на GitHub. Если нужен гайд на русском языке, то ознакомься с информацией по этой ссылке.
‼️ Сегодня ты узнал о 4х инструментах, с помощью которых можешь собрать активные поддомены. Дополнительную полезную информацию ты можешь найти по хештегам #Пентест #Whois #spyse #OSINT и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🦈 Фишинг. Методы которые использовали в III квартале 2020 года.
• Начинаем с вишинга. От имени крупных компаний на почту жертве приходит письмо с просьбой перезвонить по указанному номеру телефона, в письме так же сообщается что была произведена финансовая операция или несанкционированный вход в аккаунт. После того как жертва связывалась с атакующим, из него пытались вытянуть, данные банковской карты и другую необходимую информацию, в результате чего жертва теряла свои деньги. Такой метод отличался тем, что не содержал ссылки на вредоносный сайт, а содержал лишь картинку с информацией, что затрудняло детект.
• Вредоносный ZOOM. Жертве направляется ссылка с "напоминанием" о встрече, вместо собрания юзер попадал на фишинговую страницу где терял свои данные...
• В другой рассылке, от имени сервиса Microsoft Sharepoint, пользователю сообщали, что с ним поделились документом. После перехода по ссылке жертва попадала на поддельную страницу авторизации Microsoft, с помощью которой атакующие похищали логины и пароли от учетной записи.
• Так же, атакующие распространяли письма в которых говорилось, что в почтовом аккаунте обнаружены вирусы. В письме упоминалось что юзеру срочно необходимо просканировать почту или его аккаунт будет отключен. Для такой проверки, жертве требовалось перейти по ссылке и ввести свои данные от корпоративного почтового ящика.
‼️ На самом деле, методы которые используют при фишинговых рассылках, зависят только от фантазии, уровня подготовки и в частности, обстановки в мире (на примере эпидемии). Дополнительную информацию на данную тему, ты можешь найти по хештегу #Фишинг и #СИ. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Последнее время я часто пишу о фишинге, на этот раз я хочу рассказать тебе о методах, которые были задействованы при фишинговых рассылках и показали высокий отклик в 3 квартале 2020 года.
• Начинаем с вишинга. От имени крупных компаний на почту жертве приходит письмо с просьбой перезвонить по указанному номеру телефона, в письме так же сообщается что была произведена финансовая операция или несанкционированный вход в аккаунт. После того как жертва связывалась с атакующим, из него пытались вытянуть, данные банковской карты и другую необходимую информацию, в результате чего жертва теряла свои деньги. Такой метод отличался тем, что не содержал ссылки на вредоносный сайт, а содержал лишь картинку с информацией, что затрудняло детект.
• Вредоносный ZOOM. Жертве направляется ссылка с "напоминанием" о встрече, вместо собрания юзер попадал на фишинговую страницу где терял свои данные...
• В другой рассылке, от имени сервиса Microsoft Sharepoint, пользователю сообщали, что с ним поделились документом. После перехода по ссылке жертва попадала на поддельную страницу авторизации Microsoft, с помощью которой атакующие похищали логины и пароли от учетной записи.
• Так же, атакующие распространяли письма в которых говорилось, что в почтовом аккаунте обнаружены вирусы. В письме упоминалось что юзеру срочно необходимо просканировать почту или его аккаунт будет отключен. Для такой проверки, жертве требовалось перейти по ссылке и ввести свои данные от корпоративного почтового ящика.
‼️ На самом деле, методы которые используют при фишинговых рассылках, зависят только от фантазии, уровня подготовки и в частности, обстановки в мире (на примере эпидемии). Дополнительную информацию на данную тему, ты можешь найти по хештегу #Фишинг и #СИ. Твой S.E.
🎙 Большое интервью с Group-IB.
• Много полезной информации, благодаря которой можешь поднять свой уровень анонимности и приватности в сети, узнаешь как ловят хакеров, как защитить свой смартфон, какие методы используют хакеры и многое другое... Приятного просмотра.
• Кто и как ловит хакеров // Group-IB и пирамида компьютерных преступлений;
• Методы хакеров;
• Почему не закрывают Гидру и другие наркошопы;
• Почему нужно выбросить айфон: советы борца с хакерами;
• Защита смартфона и мессенджеров. Советы от Group-IB;
‼️ Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
P.S. Привет от Павловича.
🖖🏻 Приветствую тебя user_name.
💬 В выходной день, хочу порекомендовать тебе к просмотру интервью со специалистом Group-IB, Сергеем Никитиным, замруководителя лаборатории компьютерной криминалистики. • Много полезной информации, благодаря которой можешь поднять свой уровень анонимности и приватности в сети, узнаешь как ловят хакеров, как защитить свой смартфон, какие методы используют хакеры и многое другое... Приятного просмотра.
• Кто и как ловит хакеров // Group-IB и пирамида компьютерных преступлений;
• Методы хакеров;
• Почему не закрывают Гидру и другие наркошопы;
• Почему нужно выбросить айфон: советы борца с хакерами;
• Защита смартфона и мессенджеров. Советы от Group-IB;
‼️ Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
P.S. Привет от Павловича.
📦 Архив интернета. Находим информацию из прошлого.
• Архив Интернета или «Wayback Machine», хранит периодически создаваемые снимки веб-сайтов. Этот проект позволяет увидеть то, каким был интернет многие годы тому назад.
• Данные архива представляют немалый интерес для хакеров, которым нужно собрать сведения о некоем проекте. Сканировать файлы старых вариантов веб-сайтов можно с помощью инструментов наподобие waybackurls. Это значит, что даже если вы нашли в коде сайта ключ и убрали его оттуда, но не произвели ротацию ключей, хакеры могут найти этот ключ в старой версии сайта и воспользоваться этим ключом для взлома системы.
• Обязательно ознакомься с полезной статьей: Веб-архивы Интернета: как искать удалённую информацию.
• А так же обрати внимание на Курс "Зеркало интернета" — представляет собой сборник видеоматериала, который разбит по разным темам, с помощью которого ты сможешь использовать поисковые системы на профессиональном уровне и находить приватную информацию.
‼️ Дополнительную информацию ты можешь найти по хештегам #OSINT. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Сбор информации о цели, является основным пунктом перед проведением любой атаки. Если ты активный читатель S.E. то наверняка уже знаком с основными методами поиска информации. Сегодня мы поговорим об архиве интернета.• Архив Интернета или «Wayback Machine», хранит периодически создаваемые снимки веб-сайтов. Этот проект позволяет увидеть то, каким был интернет многие годы тому назад.
• Данные архива представляют немалый интерес для хакеров, которым нужно собрать сведения о некоем проекте. Сканировать файлы старых вариантов веб-сайтов можно с помощью инструментов наподобие waybackurls. Это значит, что даже если вы нашли в коде сайта ключ и убрали его оттуда, но не произвели ротацию ключей, хакеры могут найти этот ключ в старой версии сайта и воспользоваться этим ключом для взлома системы.
• Обязательно ознакомься с полезной статьей: Веб-архивы Интернета: как искать удалённую информацию.
• А так же обрати внимание на Курс "Зеркало интернета" — представляет собой сборник видеоматериала, который разбит по разным темам, с помощью которого ты сможешь использовать поисковые системы на профессиональном уровне и находить приватную информацию.
‼️ Дополнительную информацию ты можешь найти по хештегам #OSINT. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
📧 Социальная инженерия. Оформляем письмо для максимального отклика.
• Как ты уже знаешь из предыдущих статей, первая стадия атак всегда начинается с разведки и подготовки. На этих этапах нам необходимо получить образец корпоративной подписи, подделать такую подпись будет крайне полезно если используется логотип организации, так как это очень хорошо привлекает внимание и благодаря логотипу, сотрудники могут не обратить внимание даже на сторонний домен. Как получить подпись, я рассказывал в прошлой статье.
• Переходим к цитированию. Это крутой трюк который используется с целью заблуждения жертвы. Делаем письмо с ответом на другое письмо, которого в реальности не было. Например, как бы приводим цитату письма от начальства, где сообщается, что что-то нужно срочно сделать, и прикладываем документ. Внимание пользователя в таком случае гарантировано, и шанс того, что жертва откроет вложение, значительно повышается. Самое главное соблюсти цвет, шрифт и другие особенности. Например в Outlook самое первое письмо пишется черным цветом, а последующие синим. Благодаря этим нюансам ты можешь повысить шанс на успешную атаку. Важна каждая мелочь.
• Еще 1 факт. Если ты обращаешься к сотруднику по имени и отчеству, то это повысит шансы, что он откроет письмо и, возможно, вложение.
📌 Мы рассмотрели несколько нюансов которые используют социальные инженеры при оформлении письма, обрати внимание на дополнительный материал:
• Фишинговые письма.
• Социальная инженерия. Советы. LifeHack.
• Социальная инженерия. Фишинг аккаунтов Netflix.
• Социальная инженерия на практике. Рассылка.
‼️ Дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Самая важная часть, от которой зависит успешность рассылки это оформление письма. Именно оформление повышает доверие жертвы к письму. Сегодня Я расскажу о некоторых нюансах, которые используют социальные инженеры при рассылке писем и фишинговых атаках.• Как ты уже знаешь из предыдущих статей, первая стадия атак всегда начинается с разведки и подготовки. На этих этапах нам необходимо получить образец корпоративной подписи, подделать такую подпись будет крайне полезно если используется логотип организации, так как это очень хорошо привлекает внимание и благодаря логотипу, сотрудники могут не обратить внимание даже на сторонний домен. Как получить подпись, я рассказывал в прошлой статье.
• Переходим к цитированию. Это крутой трюк который используется с целью заблуждения жертвы. Делаем письмо с ответом на другое письмо, которого в реальности не было. Например, как бы приводим цитату письма от начальства, где сообщается, что что-то нужно срочно сделать, и прикладываем документ. Внимание пользователя в таком случае гарантировано, и шанс того, что жертва откроет вложение, значительно повышается. Самое главное соблюсти цвет, шрифт и другие особенности. Например в Outlook самое первое письмо пишется черным цветом, а последующие синим. Благодаря этим нюансам ты можешь повысить шанс на успешную атаку. Важна каждая мелочь.
• Еще 1 факт. Если ты обращаешься к сотруднику по имени и отчеству, то это повысит шансы, что он откроет письмо и, возможно, вложение.
📌 Мы рассмотрели несколько нюансов которые используют социальные инженеры при оформлении письма, обрати внимание на дополнительный материал:
• Фишинговые письма.
• Социальная инженерия. Советы. LifeHack.
• Социальная инженерия. Фишинг аккаунтов Netflix.
• Социальная инженерия на практике. Рассылка.
‼️ Дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
📚 Информационная безопасность и этичный хакинг. Подборка бесплатных курсов.
• Бесплатный курс по взлому от HackerOne;
https://bit.ly/2Vja5LL
• Базовый курс по Web Security, от Стэнфордского университета;
https://web.stanford.edu/class/cs253/
• Linux Mastery Master the Linux Command Line;
https://www.youtube.com/watch?v=f0Xsg4vKWXg
• Введение в реверсинг с нуля используя IDA PRO;
https://yutewiyof.gitbook.io/intro-rev-ida-pro/chast-01
• Android App Reverse Engineering 101;
https://maddiestone.github.io/AndroidAppRE/index.html
• Introduction to Computer Networks for Non Techies
https://www.youtube.com/watch?v=aFzxweQ_iMk
• Cyber Security Hands-on: Complete Network Security A-Z
https://www.youtube.com/watch?v=HLrJlsxomks
• Хакинг с Metasploit. RU.
https://t.me/Social_engineering/1038
• Бесплатные курсы. Сетевые технологии.
https://t.me/Social_engineering/966
• Курс: Cobalt Strike. Переведено на RU.
https://t.me/Social_engineering/881
• Red Hat Linux Certified System Admin SA1 RHEL7
https://www.youtube.com/watch?v=0yK5H6boJRE
• The Complete Ethical Hacking Masterclass Beginner To Expert
https://www.youtube.com/watch?v=bbIDOFDIXjA
• Полный курс по этичному хакингу с Nmap;
https://t.me/Social_engineering/846
• Полный курс по WireShark;
https://t.me/Social_engineering/867
• Database hacking и network protocols;
https://t.me/Social_engineering/1066
• Complete Ethical Hacking Certification Course Zero to Hero
https://www.youtube.com/watch?v=BsgxuFEGlFk
• Start Kali Linux, Ethical Hacking and Penetration Testing!
https://www.youtube.com/watch?v=_As-rx86f-4
‼️ Дополнительную информацию ты можешь найти по хештегам #Курс и #Книга. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Я собрал для тебя подборку бесплатных курсов на любой вкус. Описание найдешь под названием, перейдя по нужной ссылке.
• Бесплатный курс по взлому от HackerOne;
https://bit.ly/2Vja5LL
• Базовый курс по Web Security, от Стэнфордского университета;
https://web.stanford.edu/class/cs253/
• Linux Mastery Master the Linux Command Line;
https://www.youtube.com/watch?v=f0Xsg4vKWXg
• Введение в реверсинг с нуля используя IDA PRO;
https://yutewiyof.gitbook.io/intro-rev-ida-pro/chast-01
• Android App Reverse Engineering 101;
https://maddiestone.github.io/AndroidAppRE/index.html
• Introduction to Computer Networks for Non Techies
https://www.youtube.com/watch?v=aFzxweQ_iMk
• Cyber Security Hands-on: Complete Network Security A-Z
https://www.youtube.com/watch?v=HLrJlsxomks
• Хакинг с Metasploit. RU.
https://t.me/Social_engineering/1038
• Бесплатные курсы. Сетевые технологии.
https://t.me/Social_engineering/966
• Курс: Cobalt Strike. Переведено на RU.
https://t.me/Social_engineering/881
• Red Hat Linux Certified System Admin SA1 RHEL7
https://www.youtube.com/watch?v=0yK5H6boJRE
• The Complete Ethical Hacking Masterclass Beginner To Expert
https://www.youtube.com/watch?v=bbIDOFDIXjA
• Полный курс по этичному хакингу с Nmap;
https://t.me/Social_engineering/846
• Полный курс по WireShark;
https://t.me/Social_engineering/867
• Database hacking и network protocols;
https://t.me/Social_engineering/1066
• Complete Ethical Hacking Certification Course Zero to Hero
https://www.youtube.com/watch?v=BsgxuFEGlFk
• Start Kali Linux, Ethical Hacking and Penetration Testing!
https://www.youtube.com/watch?v=_As-rx86f-4
‼️ Дополнительную информацию ты можешь найти по хештегам #Курс и #Книга. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
👨🏻💻 Онлайн песочницы. Защита от вредоносных файлов.
• Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:
http://www.untinyurl.com
http://checkshorturl.com
https://unshorten.me/
• Онлайн песочницы:
https://threatpoint.checkpoint.com/ThreatPortal/emulation
http://www.cpcheckme.com/checkme
https://www.hybrid-analysis.com
https://cuckoo.cert.ee
https://any.run
• Онлайн-антивирусы:
https://www.virustotal.com/ru/
https://online.drweb.com/
• Проверка анонимности web-серфинга:
https://proxy6.net/privacy
http://proiptest.com/test/
• Фишинг через Android приложения. Проверяй то что скачиваешь user_name.
Используй VT || VirusTotal Mobile (В приложении присутствует функция проверки URL + загрузка файлов для полной проверки). Да, это не 100% способ обнаружения вредоносного приложения, ведь код может быть обфусцирован.
‼️ Дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Список необходимых онлайн ресурсов, благодаря которым ты можешь проверить любой файл, полученный из недостоверного источника. А так же другой дополнительный материал, с помощью которого ты обезопасишь себя от фишинга.• Дешифроторы коротких URL-ссылок для проверки на фишинговый сайт:
http://www.untinyurl.com
http://checkshorturl.com
https://unshorten.me/
• Онлайн песочницы:
https://threatpoint.checkpoint.com/ThreatPortal/emulation
http://www.cpcheckme.com/checkme
https://www.hybrid-analysis.com
https://cuckoo.cert.ee
https://any.run
• Онлайн-антивирусы:
https://www.virustotal.com/ru/
https://online.drweb.com/
• Проверка анонимности web-серфинга:
https://proxy6.net/privacy
http://proiptest.com/test/
• Фишинг через Android приложения. Проверяй то что скачиваешь user_name.
Используй VT || VirusTotal Mobile (В приложении присутствует функция проверки URL + загрузка файлов для полной проверки). Да, это не 100% способ обнаружения вредоносного приложения, ведь код может быть обфусцирован.
‼️ Дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🧩 Скрипты Nmap для сбора информации и аудита RDP.
• RDP — это один из самых популярных протоколов для удаленного подключения к ПК под ОС Windows. Но при неправильной конфигурации он может стать слабым местом любой инфраструктуры.
• https://nmap.org/nsedoc/ содержит в себе полный список скриптов. Среди них есть скрипты которые относят и к RDP, о них мы сегодня и поговорим:
• rdp-enum-encryption — определяет, какой уровень безопасности и уровень шифрования поддерживаются службой RDP. Это происходит путём циклического перебора всех существующих протоколов и шифров. При запуске в режиме отладки сценарий также возвращает отказавшие протоколы и шифры, а также все обнаруженные ошибки.
• rdp-ntlm-info — этот скрипт перечисляет информацию от удалённых служб RDP с включённой аутентификацией CredSSP (NLA).
• rdp-vuln-ms12-020 — проверяет, является ли машина уязвимой для уязвимости MS12-020 RDP.
🖖🏻 Приветствую тебя user_name.
• Во время пандемии различные компании организовывали удаленный режим работы в основном по #RDP. Что спровоцировало рост успешных атак на организации по двум векторам: brute-force атаки по RDP и взлом систем сотрудников с последующим проникновением в инфраструктур.• RDP — это один из самых популярных протоколов для удаленного подключения к ПК под ОС Windows. Но при неправильной конфигурации он может стать слабым местом любой инфраструктуры.
• https://nmap.org/nsedoc/ содержит в себе полный список скриптов. Среди них есть скрипты которые относят и к RDP, о них мы сегодня и поговорим:
• rdp-enum-encryption — определяет, какой уровень безопасности и уровень шифрования поддерживаются службой RDP. Это происходит путём циклического перебора всех существующих протоколов и шифров. При запуске в режиме отладки сценарий также возвращает отказавшие протоколы и шифры, а также все обнаруженные ошибки.
• rdp-ntlm-info — этот скрипт перечисляет информацию от удалённых служб RDP с включённой аутентификацией CredSSP (NLA).
• rdp-vuln-ms12-020 — проверяет, является ли машина уязвимой для уязвимости MS12-020 RDP.
‼️ Дополнительную информацию ты можешь найти по хештегу #RDP. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🔐 Курс MIT «Безопасность компьютерных систем».
💬 Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.
• Вступление: модели угроз;
• Контроль хакерских атак;
• Переполнение буфера: эксплойты и защита;
• Разделение привилегий;
• Откуда берутся ошибки систем безопасности;
• Возможности;
• Песочница Native Client;
• Модель сетевой безопасности;
• Безопасность Web-приложений;
• Символьное выполнение;
• Язык программирования Ur/Web;
• Сетевая безопасность;
• Сетевые протоколы;
• SSL и HTTPS;
• Медицинское программное обеспечение;
• Атаки через побочный канал;
• Аутентификация пользователя;
• Частный просмотр интернета;
• Анонимные сети;
• Безопасность мобильных телефонов;
• Отслеживание данных;
• Информационная безопасность MIT;
• Экономика безопасности.
🧷 Удобная навигация и описание курса. Перейти к изучению.
‼️ В нашем канале собрано очень много полезных и бесплатных для тебя курсов, которые ты можешь найти по хештегу #Курс. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы обеспечения безопасности на основе последних научных работ.💬 Темы включают в себя безопасность операционной системы (ОС), возможности, управление потоками информации, языковую безопасность, сетевые протоколы, аппаратную защиту и безопасность в веб-приложениях.
• Вступление: модели угроз;
• Контроль хакерских атак;
• Переполнение буфера: эксплойты и защита;
• Разделение привилегий;
• Откуда берутся ошибки систем безопасности;
• Возможности;
• Песочница Native Client;
• Модель сетевой безопасности;
• Безопасность Web-приложений;
• Символьное выполнение;
• Язык программирования Ur/Web;
• Сетевая безопасность;
• Сетевые протоколы;
• SSL и HTTPS;
• Медицинское программное обеспечение;
• Атаки через побочный канал;
• Аутентификация пользователя;
• Частный просмотр интернета;
• Анонимные сети;
• Безопасность мобильных телефонов;
• Отслеживание данных;
• Информационная безопасность MIT;
• Экономика безопасности.
🧷 Удобная навигация и описание курса. Перейти к изучению.
‼️ В нашем канале собрано очень много полезных и бесплатных для тебя курсов, которые ты можешь найти по хештегу #Курс. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
👨🏻💻 nRF52840 dongle.
🧷 https://www.nordicsemi.com/Software-and-tools/Development-Kits/nRF52840-Dongle
• Обрати внимание на shop.hak5 — Магазин, где можно приобрести необходимый девайс.
• И не забудь подписаться на S.E.Arsenal, там мы публикуем интересные инструменты которые необходимы при работе социальному инженеру.
‼️ Дополнительную информацию ты можешь найти по хештегам #USBHarpoon #O_MG_Cable #tools. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 USB-dongle nRF52840 имеет массу возможностей, среди которых стоит выделить две. Во-первых, ты можешь перепрошить его и получить полноценный сниффер Bluetooth Low Energy с красивым плагином для Wireshark. Во-вторых, используя открытый проект LOGITacker, можно превратить этот донгл в устройство тестирования беспроводной периферии компьютера: мыши, клавиатуры и прочего. Стоимость устройства начинается от 18 долларов, но на AliExpress можно найти китайские клоны дешевле.
🧷 https://www.nordicsemi.com/Software-and-tools/Development-Kits/nRF52840-Dongle
• Обрати внимание на shop.hak5 — Магазин, где можно приобрести необходимый девайс.
• И не забудь подписаться на S.E.Arsenal, там мы публикуем интересные инструменты которые необходимы при работе социальному инженеру.
‼️ Дополнительную информацию ты можешь найти по хештегам #USBHarpoon #O_MG_Cable #tools. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🎲 Игры с неведомым. Список CTF площадок.
💬 Перед тобой список CTF площадок, благодаря которым, ты можешь получить практический опыт в различных направлениях:
• https://hack.me/
• http://hax.tor.hu/
• http://pwnable.tw/
• http://reversing.kr/
• http://ctflearn.com/
• https://365.csaw.io/
• https://picoctf.com/
• https://w3challs.com/
• https://hackthebox.eu/
• https://ctf.hackucf.org/
• https://cryptopals.com/
• https://tryhackme.com/
• https://exploit.education/
• http://freehackquest.com/
• https://www.root-me.org/
• https://www.vulnhub.com/
• https://ctf.hacker101.com/
• http://ctf.komodosec.com/
• https://attackdefense.com/
• https://cmdchallenge.com/
• https://immersivelabs.com/
• http://www.hackthissite.org/
• http://ctf.infosecinstitute.com/
• https://www.hacking-lab.com/
• https://captf.com/practice-ctf/
• https://www.hacksplaining.com/
• https://junior.stillhackinganyway.nl/
• https://academy.hackaflag.com.br/
‼️ Дополнительную информацию ты можешь найти по хештегам #ctf. А так же, не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.👁 Любопытство — это ключ к совершенству. Один из способов задействовать силу любопытства — хакерские квесты. Они лежат на пересечении игр в альтернативную реальность (ARG) и CTF-соревнований, но не просто развлекают, а дают совершенно реальные навыки.
💬 Перед тобой список CTF площадок, благодаря которым, ты можешь получить практический опыт в различных направлениях:
• https://hack.me/
• http://hax.tor.hu/
• http://pwnable.tw/
• http://reversing.kr/
• http://ctflearn.com/
• https://365.csaw.io/
• https://picoctf.com/
• https://w3challs.com/
• https://hackthebox.eu/
• https://ctf.hackucf.org/
• https://cryptopals.com/
• https://tryhackme.com/
• https://exploit.education/
• http://freehackquest.com/
• https://www.root-me.org/
• https://www.vulnhub.com/
• https://ctf.hacker101.com/
• http://ctf.komodosec.com/
• https://attackdefense.com/
• https://cmdchallenge.com/
• https://immersivelabs.com/
• http://www.hackthissite.org/
• http://ctf.infosecinstitute.com/
• https://www.hacking-lab.com/
• https://captf.com/practice-ctf/
• https://www.hacksplaining.com/
• https://junior.stillhackinganyway.nl/
• https://academy.hackaflag.com.br/
‼️ Дополнительную информацию ты можешь найти по хештегам #ctf. А так же, не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
🚩 CTF - Инструментарий.
Платформы используемые для построения различных задач:
• CTFd • FBCTF • HackTheArch • Mellivora • NightShade • OpenCTF • PyChallFactory • RootTheBox • Scorebot • SecGen •
Операционные системы:
• BackBox • BlackArch Linux • Fedora Security Lab • Kali Linux • Parrot Security OS • Pentoo • URIX OS • Wifislax •
Подборка хостингов с возможностью на короткий срок выкупить VPS с Kali Lunux для своих нужд от CTF до Bug Bounty:
• Kali Linux VPS Hosting - Enterprise Cyber Pentesting Solutions
• Kali Linux VPS_Enterprise pentesting VPS by Hostcode LAB
• Kali Linux VPS by RouterHosting from $4.95 per month
• Bullhost Kali Linux Hosting Service Provider
• Kali Linux VPS Hosting by virtvps
• Kali Linux VPS Hosting by Ucartz
Анализ вредоносных программ, инструментарий:
• Flare VM - Based on Windows
• REMnux - Based on Debian
Мануалы о том как играть в CTF:
• CTF Field Guide • CTF Resources • Damn Vulnerable Web Application • How to Get Started in CTF • MIPT CTF •
‼️ Дополнительную информацию ты можешь найти по хештегам #ctf. А так же, не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 В продолжении вчерашнего поста, собрал для тебя полезный список вспомогательных ресурсов.
Платформы используемые для построения различных задач:
• CTFd • FBCTF • HackTheArch • Mellivora • NightShade • OpenCTF • PyChallFactory • RootTheBox • Scorebot • SecGen •
Операционные системы:
• BackBox • BlackArch Linux • Fedora Security Lab • Kali Linux • Parrot Security OS • Pentoo • URIX OS • Wifislax •
Подборка хостингов с возможностью на короткий срок выкупить VPS с Kali Lunux для своих нужд от CTF до Bug Bounty:
• Kali Linux VPS Hosting - Enterprise Cyber Pentesting Solutions
• Kali Linux VPS_Enterprise pentesting VPS by Hostcode LAB
• Kali Linux VPS by RouterHosting from $4.95 per month
• Bullhost Kali Linux Hosting Service Provider
• Kali Linux VPS Hosting by virtvps
• Kali Linux VPS Hosting by Ucartz
Анализ вредоносных программ, инструментарий:
• Flare VM - Based on Windows
• REMnux - Based on Debian
Мануалы о том как играть в CTF:
• CTF Field Guide • CTF Resources • Damn Vulnerable Web Application • How to Get Started in CTF • MIPT CTF •
‼️ Дополнительную информацию ты можешь найти по хештегам #ctf. А так же, не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
📲 Сервисы для приема SMS.
Личный номер для приема SMS:
• Twilio.com
• Vumber.com
• Esendex.co.uk
• Textmagic.com
• Wp.pinger.com
• Burstsms.com.au
• Countrycode.org
• Directsms.com.au
Публичные номера для приема SMS:
• Smsc.ru
• Smska.us
• Hs3x.com
• Proovl.com
• Sellaite.com
• Sonetel.com
• Onlinesim.ru
• Zadarma.com
• Sms-online.co
• Sms-receive.net
• Receive-a-sms.com
• Receivefreesms.com
• Receive-sms-now.com
• Receivesmsonline.com
• Receive-sms-online.info
• Getfreesmsnumber.com
• Receivesmsverification.com
Платные сервисы:
• smsvk.net
• smslike.ru
• simsms.org
• virtualsms.ru
• sms-reg.com
• sms-area.org
• getsms.online
• give-sms.com
• sms-activate.ru
‼️ Так же, обрати внимание на статью: "Социальная инженерия. Сервисы для фейк переписок, чеков, баланса, постов.". Не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Подборка сервисов для приема SMS, на любой вкус и цвет. На момент написания поста, все сервисы являются актуальными и рабочими.
Личный номер для приема SMS:
• Twilio.com
• Vumber.com
• Esendex.co.uk
• Textmagic.com
• Wp.pinger.com
• Burstsms.com.au
• Countrycode.org
• Directsms.com.au
Публичные номера для приема SMS:
• Smsc.ru
• Smska.us
• Hs3x.com
• Proovl.com
• Sellaite.com
• Sonetel.com
• Onlinesim.ru
• Zadarma.com
• Sms-online.co
• Sms-receive.net
• Receive-a-sms.com
• Receivefreesms.com
• Receive-sms-now.com
• Receivesmsonline.com
• Receive-sms-online.info
• Getfreesmsnumber.com
• Receivesmsverification.com
Платные сервисы:
• smsvk.net
• smslike.ru
• simsms.org
• virtualsms.ru
• sms-reg.com
• sms-area.org
• getsms.online
• give-sms.com
• sms-activate.ru
‼️ Так же, обрати внимание на статью: "Социальная инженерия. Сервисы для фейк переписок, чеков, баланса, постов.". Не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
🧩 Софт для извлечения информации из Windows.
• У этих программ специфическое предназначение – они извлекают информацию (с постоянных носителей, из сетевых потоков, реестра и т.д.) из компьютеров на Windows. С их помощью вы можете восстановить потерянные пароли, мониторить вашу сеть для просмотра и извлечения кукиз, кэша и другой информации, хранимой веб-браузерами, искать по файлам в вашей системе, мониторить изменения в файловой системе и в системном Реестре и многое другое.
📌 Ознакомиться с полезными инструментами.
‼️ Дополнительную информацию ты можешь найти по хештегу #tools. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 На веб-сайте NirSoft можно найти уникальную коллекцию маленьких и полезных программ, все их разработал Nir Sofer.• У этих программ специфическое предназначение – они извлекают информацию (с постоянных носителей, из сетевых потоков, реестра и т.д.) из компьютеров на Windows. С их помощью вы можете восстановить потерянные пароли, мониторить вашу сеть для просмотра и извлечения кукиз, кэша и другой информации, хранимой веб-браузерами, искать по файлам в вашей системе, мониторить изменения в файловой системе и в системном Реестре и многое другое.
📌 Ознакомиться с полезными инструментами.
‼️ Дополнительную информацию ты можешь найти по хештегу #tools. Делись с друзьями, добавляй в избранное и включай уведомления что бы не пропустить новый материал. Твой S.E.
👺 Awesome hacking. Exploiting.
Exploiting:
• AttackSurfaceAnalyzer • Bashfuscator • BeEF • BugId • CCAT • Commix • DLLInjector • DefenderCheck • Donut • Drupwn • EfiGuard • EtherSploit-IP • Evilgrade • Exe2hex • Fathomless • Gorsair • Kube-hunter • LAVA • Linux Exploit Suggester • Linux-exploit-suggester • Macrome • Metasploit Framework • MeterSSH • Nessus • Nexpose • Nishang • OpenVAS • PSKernel-Primitives • Peirates • PowerSploit • ROP Gadget • Routersploit • Rupture • Shark • SharpBlock • SharpShooter • ShellcodeCompiler • Shellen • Shellsploit • Spoodle • SysWhispers • Unicorn • Veil Framework • Vuls • Windows Exploit Suggester • Ysoserial.net •
#tools #pentest #hacking #hack #Exploiting
🖖🏻 Приветствую тебя user_name.💬 Сегодня перед тобой будет представлен большой список инструментов, разбитый на 3 части. Инструменты которые будут представлены в подборке, активно используются на практике при проведении пентестов:
Exploiting:
• AttackSurfaceAnalyzer • Bashfuscator • BeEF • BugId • CCAT • Commix • DLLInjector • DefenderCheck • Donut • Drupwn • EfiGuard • EtherSploit-IP • Evilgrade • Exe2hex • Fathomless • Gorsair • Kube-hunter • LAVA • Linux Exploit Suggester • Linux-exploit-suggester • Macrome • Metasploit Framework • MeterSSH • Nessus • Nexpose • Nishang • OpenVAS • PSKernel-Primitives • Peirates • PowerSploit • ROP Gadget • Routersploit • Rupture • Shark • SharpBlock • SharpShooter • ShellcodeCompiler • Shellen • Shellsploit • Spoodle • SysWhispers • Unicorn • Veil Framework • Vuls • Windows Exploit Suggester • Ysoserial.net •
#tools #pentest #hacking #hack #Exploiting
👺 Awesome hacking. Fuzzing, MITM.
Fuzzing:
• AFL++ • AndroFuzz • Boofuz • Construct • Deepstate • Driller • Eclipser • Frankenstein • Fusil • Fuzzbox • Fuzzlyn • Fuzzotron • Honggfuzz • InsTrim • KleeFL • MFFA • Melkor-android • Netzob • Neuzz • OneFuzz • Python-AFL • RPCForge • Radamsa-android •
Razzer • Retrowrite • SecLists • Sienna-locomotive • Sulley • T-Fuzz • TAOF • Unicorefuzz • Unicornafl • VUzzer • Vfuzz • Winafl •
Winafl_inmemory • Windows IPC Fuzzing Tools • Zulu •
MITM:
• Bettercap • Caplets • Dnsspoof • Ettercap • MITMf • Mallory • Mitmproxy • Mitmsocks4j • Nogotofail • Responder • Ssh-mitm •
#tools #pentest #hacking #hack #MITM #Fuzzing
Fuzzing:
• AFL++ • AndroFuzz • Boofuz • Construct • Deepstate • Driller • Eclipser • Frankenstein • Fusil • Fuzzbox • Fuzzlyn • Fuzzotron • Honggfuzz • InsTrim • KleeFL • MFFA • Melkor-android • Netzob • Neuzz • OneFuzz • Python-AFL • RPCForge • Radamsa-android •
Razzer • Retrowrite • SecLists • Sienna-locomotive • Sulley • T-Fuzz • TAOF • Unicorefuzz • Unicornafl • VUzzer • Vfuzz • Winafl •
Winafl_inmemory • Windows IPC Fuzzing Tools • Zulu •
MITM:
• Bettercap • Caplets • Dnsspoof • Ettercap • MITMf • Mallory • Mitmproxy • Mitmsocks4j • Nogotofail • Responder • Ssh-mitm •
#tools #pentest #hacking #hack #MITM #Fuzzing