🐖 Pig butchering. Обман на сотни миллионов евро.
Это не мануал и не призыв к действию, эта информация поможет Вам не оказаться на удочке злоумышленников.
• Я лично экспериментировал над множеством вариантов данной схемы и проверял этот метод на различных людях, которые даже не знали мое имя, возраст и другие данные. И в 95% мне направляли нужную сумму. Суть в том, что этот метод работал с теми, у кого уровень социальной инженерии и информационной безопасности был на очень высоком уровне.
• Что за схема? Я практиковал данный метод на протяжении долго времени, общался в чатах с различными людьми и переводил разговор в личку. Ежедневное общение длилось на протяжении от 3х недель до 6 месяцев (тут можно сделать акцент, что одновременно можно общаться с 10-20 людьми). По итогу, через определенное кол-во времени, можно было попросить занять малую сумму денег и вернуть через 1-2 дня. Почему вернуть? Для повышения уровня доверия. Через некоторое время (например через месяц) необходимо попросить занять деньги повторно и снова вернуть. Через несколько итераций и развитию "дружеских отношений" между нами и целью, жертва будет готова занять крупную сумму, которую обычные злоумышленники не возвращают.
Давайте подведем небольшой итог:
1. Дело в том, что данная схема является старой и о ней много кому известно, но тут нужно помнить, что этот метод работает независимо от уровня интеллекта твоей цели и уровня знаний в области #СИ или #ИБ;
2. Данный метод будет отличной практикой для тех, кто хочет повысить собственный уровень социальной инженерии. Если вы хотите прокачать свой уровень #СИ, то такая практика является бесценной;
3. Метод более эффективный, если ты изучаешь #профайлинг и #нлп. И особенно эффективный, если ты знаешь метод подстройки;
4. Повторюсь еще раз: Это не мануал и не призыв к действию, эта информация поможет Вам не оказаться на удочке злоумышленников. Учитесь зарабатывать деньги четным путем. Если Вы практикуетесь или нуждаетесь в практике, не причиняйте вреда другим людям и всегда возвращайте то, что позаимствовали.
• Ну а теперь возвращаемся к теме нашего поста, сегодня я рекомендую ознакомиться с интересной статьей на хабре и провести параллель вышесказанному. Тема очень интересная и еще раз доказывает, что методы социальной инженерии не изменились по сей день, меняются только формы и определенные условия: https://habr.com/ru/company/searchinform/blog/680612/
Твой S.E. #СИ
Это не мануал и не призыв к действию, эта информация поможет Вам не оказаться на удочке злоумышленников.
🖖🏻 Приветствую тебя user_name.
• Скажу честно, схема о которой сегодня пойдет речь, является очень интересной (с точки зрения #СИ) и даёт 95% гарантию успеха, что жертва добровольно отправит атакующему нужную сумму денег.• Я лично экспериментировал над множеством вариантов данной схемы и проверял этот метод на различных людях, которые даже не знали мое имя, возраст и другие данные. И в 95% мне направляли нужную сумму. Суть в том, что этот метод работал с теми, у кого уровень социальной инженерии и информационной безопасности был на очень высоком уровне.
• Что за схема? Я практиковал данный метод на протяжении долго времени, общался в чатах с различными людьми и переводил разговор в личку. Ежедневное общение длилось на протяжении от 3х недель до 6 месяцев (тут можно сделать акцент, что одновременно можно общаться с 10-20 людьми). По итогу, через определенное кол-во времени, можно было попросить занять малую сумму денег и вернуть через 1-2 дня. Почему вернуть? Для повышения уровня доверия. Через некоторое время (например через месяц) необходимо попросить занять деньги повторно и снова вернуть. Через несколько итераций и развитию "дружеских отношений" между нами и целью, жертва будет готова занять крупную сумму, которую обычные злоумышленники не возвращают.
Давайте подведем небольшой итог:
1. Дело в том, что данная схема является старой и о ней много кому известно, но тут нужно помнить, что этот метод работает независимо от уровня интеллекта твоей цели и уровня знаний в области #СИ или #ИБ;
2. Данный метод будет отличной практикой для тех, кто хочет повысить собственный уровень социальной инженерии. Если вы хотите прокачать свой уровень #СИ, то такая практика является бесценной;
3. Метод более эффективный, если ты изучаешь #профайлинг и #нлп. И особенно эффективный, если ты знаешь метод подстройки;
4. Повторюсь еще раз: Это не мануал и не призыв к действию, эта информация поможет Вам не оказаться на удочке злоумышленников. Учитесь зарабатывать деньги четным путем. Если Вы практикуетесь или нуждаетесь в практике, не причиняйте вреда другим людям и всегда возвращайте то, что позаимствовали.
• Ну а теперь возвращаемся к теме нашего поста, сегодня я рекомендую ознакомиться с интересной статьей на хабре и провести параллель вышесказанному. Тема очень интересная и еще раз доказывает, что методы социальной инженерии не изменились по сей день, меняются только формы и определенные условия: https://habr.com/ru/company/searchinform/blog/680612/
Твой S.E. #СИ
👨🏻💻 USBrip.
USBrip позволяет получить следующую информацию:
Пример вывода интересующей информации есть тут.
🧷 Ознакомиться и изучить полный функционал можно тут: https://github.com/snovvcrash/usbrip
Твой S.E. #Форензика
🖖🏻 Приветствую тебя user_name.• Сегодня отвлечемся от темы #СИ и ознакомимся с полезным инструментом для восстановления истории подключения USB-носителей к ПК под управлением #Linux. Инструмент будет очень полезен всем, кто интересуется форензикой.
USBrip позволяет получить следующую информацию:
• Vendor ID (VID);• Product ID (PID);• Производитель;• Имя устройства;• Порт подключения;• Серийный номер устройства;• Дата и время отключения от ПК;• Дата и время подключения устройства к ПК;• Имя хоста к которому подключалось устройство.Пример вывода интересующей информации есть тут.
🧷 Ознакомиться и изучить полный функционал можно тут: https://github.com/snovvcrash/usbrip
Твой S.E. #Форензика
🔎 OSINT. Big Bro.
🧷 Полезная информация и другие OSINT проекты автора, можно найти тут: https://github.com/Bafomet666/Bigbro
p.s. Не забывай про нашу подборку материала https://t.me/Social_engineering/1838 и добавляй в избранное.
Твой S.E. #OSINT
🖖🏻 Приветствую тебя user_name.
• Big Bro — #OSINT инструмент, для поиска людей, перешедших по ссылке. Можно определить расположение объекта с точностью до 10 метров (зависит от расположения объекта). Инструмент имеет адаптацию под различные платформы: #Kali Linux, #Parrot, #Termux, Arch linux.🧷 Полезная информация и другие OSINT проекты автора, можно найти тут: https://github.com/Bafomet666/Bigbro
p.s. Не забывай про нашу подборку материала https://t.me/Social_engineering/1838 и добавляй в избранное.
Твой S.E. #OSINT
🔔 Вам уведомление от Telegram или Социальная Инженерия и угон каналов (v4).
• Почему именно администраторов? Потому что именно администраторы являются ключевой аудиторией Telegram для атакующего. Если их удается обмануть, атакующий получает доступ к каналам \ чатам \ ботам и т.д., которые можно продать, опубликовать рекламу скам проектов и еще десятки вариантов. Разумеется, данный метод работает со всеми пользователями, но максимальный профит атакующий получает только в том случае, если взламывает администратора.
• Теперь перейдем к методу. Выше, на скриншоте, ты можешь наблюдать сообщения от сервиса "Уведомления" Telegram, вот только этот аккаунт является фейком и если перейти по ссылке, то жертва лишается своего аккаунта, независимо от того, установлен 2FA или нет.
• Суть в том, что атакующий создает аккаунт, называет его "Уведомления" и начинает направлять различным администраторам сообщение следующего содержания: "Мы обнаружили вход в Ваш аккаунт с нового устройства, если это были не Вы, немедленно пройдите авторизацию на системном сайте Telegram для защиты Ваших данных, доступно исключительно по ссылке **** ". Разумеется, если жертва пройдет авторизацию на фишинговом сайте, то лишится своего аккаунта.
• Это один из многих методов, который позволяет загнать жертву на фишинговый сайт. А что произойдет дальше, зависит от фантазии атакующих. Берегите свои данные и сохраняйте спокойствие в таких ситуациях, ведь именно паника может повлиять на Ваш выбор "Нажать на ссылку или нет?".
Твой S.E. #СИ #Фишинг. Скриншот позаимствовал у @idoras =)
🖖🏻 Приветствую тебя user_name.
• Продолжаю делиться интересными методами, которые используют при взломе аккаунтов в Telegram с помощью фишинга и социальной инженерии. На этот раз, мы поговорим об относительно старом, но актуальном методе обмана администраторов различных ресурсов.• Почему именно администраторов? Потому что именно администраторы являются ключевой аудиторией Telegram для атакующего. Если их удается обмануть, атакующий получает доступ к каналам \ чатам \ ботам и т.д., которые можно продать, опубликовать рекламу скам проектов и еще десятки вариантов. Разумеется, данный метод работает со всеми пользователями, но максимальный профит атакующий получает только в том случае, если взламывает администратора.
• Теперь перейдем к методу. Выше, на скриншоте, ты можешь наблюдать сообщения от сервиса "Уведомления" Telegram, вот только этот аккаунт является фейком и если перейти по ссылке, то жертва лишается своего аккаунта, независимо от того, установлен 2FA или нет.
• Суть в том, что атакующий создает аккаунт, называет его "Уведомления" и начинает направлять различным администраторам сообщение следующего содержания: "Мы обнаружили вход в Ваш аккаунт с нового устройства, если это были не Вы, немедленно пройдите авторизацию на системном сайте Telegram для защиты Ваших данных, доступно исключительно по ссылке **** ". Разумеется, если жертва пройдет авторизацию на фишинговом сайте, то лишится своего аккаунта.
• Это один из многих методов, который позволяет загнать жертву на фишинговый сайт. А что произойдет дальше, зависит от фантазии атакующих. Берегите свои данные и сохраняйте спокойствие в таких ситуациях, ведь именно паника может повлиять на Ваш выбор "Нажать на ссылку или нет?".
Твой S.E. #СИ #Фишинг. Скриншот позаимствовал у @idoras =)
👨🏻💻 Курс: Metasploit Unleashed – Free Ethical Hacking Course.
В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплойтов. Так был рожден хорошо известный во всех кругах проект Metasploit.
• Сегодня делюсь с тобой ссылкой на бесплатный курс от Offensive Security, который поможет разобраться с этим инструментом и приступить к практике.
🧷 https://www.offensive-security.com/metasploit-unleashed/
Твой S.E. #Metasploit #Курс
В 2003 году, хакеру, известному как «HD Moore», пришла идея разработать инструмент для быстрого написания эксплойтов. Так был рожден хорошо известный во всех кругах проект Metasploit.
🖖🏻 Приветствую тебя user_name.• Metasploit — мощный открытый фреймворк с продуманной архитектурой, который включает в себя тысячи модулей для автоматизации эксплуатации огромного количества уязвимостей.
• Сегодня делюсь с тобой ссылкой на бесплатный курс от Offensive Security, который поможет разобраться с этим инструментом и приступить к практике.
🧷 https://www.offensive-security.com/metasploit-unleashed/
Твой S.E. #Metasploit #Курс
👨🏻💻 Подборка полезных видеоблогов по Информационной Безопасности. Cybersecurity YouTube Channels.
Перейдем к подборке:
• Cybr;
• Hak5;
• STOK;
• IppSec;
• Zanidd;
• Tech69;
• Info CK;
• 247CTF;
• DarkSec;
• Seytonic;
• zSecurity;
• BlackPerl;
• ehacking;
• CrytoCar;
• TechChip;
• 13Cubed;
• Null byte;
• Black Hat;
• MrTurvey;
• Cybercdh;
• Troy Hunt;
• Jon Good;
• Cristi Vlad;
• BugCrowd;
• EC Council;
• Bitten tech;
• Nahamsec;
• GynvaelEN;
• HackerOne;
• InsiderPHD;
• Rana Khalil;
• superhero1;
• Farah Hawa;
• Derek Rook;
• MurmusCTF;
• The XSS Rat;
• Pratik Dabhi;
• Stefan Rows;
• PhD Security;
• Busra Demir;
• PwnFunction;
• Hackersploit;
• SecurityFWD;
• Cyberspatial;
• Grant Collins;
• LiveOverflow;
• Spin the hack;
• Hacksplained;
• CryptoKnight;
• Forensic Tech;
• Masters in I.T;
• Elevate Cyber;
• Infinite Logins;
• David Bombal;
• PinkDraconian;
• Ankit Chauhan;
• NetworkChuck;
• Loi Liang Yang;
• Calle Svensson;
• Computerphile;
• Cyber Academy;
• Hussein Nasser;
• Cyber Insecurity;
• John Hammond;
• I.T Security Labs;
• CyberSecurityTV;
• The cyber expert;
• FindingUrPasswd;
• Cyber Sec Village;
• Professor Messer;
• The cyber mentor;
• Hacking Simplified;
• Cybersecurity Web;
• Motasem Hamdan;
• Pentest-Tools Com;
• The Hackers World;
• CYBER EVOLUTION;
• Technical Navigator;
• I.T. Career Questions;
• ScriptKiddieHub - Tadi;
• Ethical Hacking School;
• Cloud Security Podcast;
• Beau Knows Tech... Stuff;
• Bug Bounty Reports Explained;
Твой S.E. #Подборка
🖖🏻 Приветствую тебя user_name.
• В данной подборке представлены англоязычные блоги, которые освещают тему #ИБ на платформе YouTube. В дальнейшем, я планирую сделать аналогичную подборку полезных ресурсов в сегменте Telegram и YT, которые пишут про ИБ, OSINT, этичных хакинг и т.д., но только на русском языке. Хотелось бы увидеть аналог https://tgscan.github.io/ru-osint-infosec-map, но более полный и более подходящий для данного сегмента Telegram. Перейдем к подборке:
• Cybr;
• Hak5;
• STOK;
• IppSec;
• Zanidd;
• Tech69;
• Info CK;
• 247CTF;
• DarkSec;
• Seytonic;
• zSecurity;
• BlackPerl;
• ehacking;
• CrytoCar;
• TechChip;
• 13Cubed;
• Null byte;
• Black Hat;
• MrTurvey;
• Cybercdh;
• Troy Hunt;
• Jon Good;
• Cristi Vlad;
• BugCrowd;
• EC Council;
• Bitten tech;
• Nahamsec;
• GynvaelEN;
• HackerOne;
• InsiderPHD;
• Rana Khalil;
• superhero1;
• Farah Hawa;
• Derek Rook;
• MurmusCTF;
• The XSS Rat;
• Pratik Dabhi;
• Stefan Rows;
• PhD Security;
• Busra Demir;
• PwnFunction;
• Hackersploit;
• SecurityFWD;
• Cyberspatial;
• Grant Collins;
• LiveOverflow;
• Spin the hack;
• Hacksplained;
• CryptoKnight;
• Forensic Tech;
• Masters in I.T;
• Elevate Cyber;
• Infinite Logins;
• David Bombal;
• PinkDraconian;
• Ankit Chauhan;
• NetworkChuck;
• Loi Liang Yang;
• Calle Svensson;
• Computerphile;
• Cyber Academy;
• Hussein Nasser;
• Cyber Insecurity;
• John Hammond;
• I.T Security Labs;
• CyberSecurityTV;
• The cyber expert;
• FindingUrPasswd;
• Cyber Sec Village;
• Professor Messer;
• The cyber mentor;
• Hacking Simplified;
• Cybersecurity Web;
• Motasem Hamdan;
• Pentest-Tools Com;
• The Hackers World;
• CYBER EVOLUTION;
• Technical Navigator;
• I.T. Career Questions;
• ScriptKiddieHub - Tadi;
• Ethical Hacking School;
• Cloud Security Podcast;
• Beau Knows Tech... Stuff;
• Bug Bounty Reports Explained;
Твой S.E. #Подборка
😠 Злая утка. Обновленный USB Rubber Ducky или новая игрушка на hack5.
🖖🏻
• В этом году, создатель этого чуда-инструмента, презентовал на DEF CON новую, обновленную версию Rubber Ducky. Команда разработчиков серьезно поработала над скриптовым языком DuckyScript, на котором пишутся все команды, применяемые на ПК жертвы. По итогу, мы имеем более расширенный функционал (в соотношении с прошлой версией) и новый пакет для онлайн-разработки, где можно писать и компилировать пейлоады, а затем загружать их на устройство.
• На Hack5, Rubber Ducky продается за 60$: https://shop.hak5.org/products/usb-rubber-ducky-deluxe, подробное описание можно найти там же.
• А тут можно найти отличную коллекцию готовых пейлоадов: https://github.com/hak5/usbrubberducky-payloads
📌 В дополнение, рекомендую следующий материал:
• Практические атаки на интерфейс USB.
• Социальная инженерия и BadUSB.
• Используем BadUSB по-взрослому, вместе с Kali NetHunter.
• O•MG keylogger cable.
• USB Ninja Professional.
• HID-атаки. Выбираем бюджетную плату.
• HID-Атаки. Программируем хакерский девайс.
• Социальная Инженерия. BadUSB и атаки на организации.
Твой S.E. #BadUSB
🖖🏻
Приветствую тебя user_name.
• Среди многочисленных инструментов для пентестеров и хакеров, USB Rubber Ducky является одним из самых интересных девайсов. Данное устройство, внешне напоминающее обычную USB флешку, притворяется клавиатурой и при подключении к ПК быстренько набирает все зашитые в нём команды.• В этом году, создатель этого чуда-инструмента, презентовал на DEF CON новую, обновленную версию Rubber Ducky. Команда разработчиков серьезно поработала над скриптовым языком DuckyScript, на котором пишутся все команды, применяемые на ПК жертвы. По итогу, мы имеем более расширенный функционал (в соотношении с прошлой версией) и новый пакет для онлайн-разработки, где можно писать и компилировать пейлоады, а затем загружать их на устройство.
• На Hack5, Rubber Ducky продается за 60$: https://shop.hak5.org/products/usb-rubber-ducky-deluxe, подробное описание можно найти там же.
• А тут можно найти отличную коллекцию готовых пейлоадов: https://github.com/hak5/usbrubberducky-payloads
📌 В дополнение, рекомендую следующий материал:
• Практические атаки на интерфейс USB.
• Социальная инженерия и BadUSB.
• Используем BadUSB по-взрослому, вместе с Kali NetHunter.
• O•MG keylogger cable.
• USB Ninja Professional.
• HID-атаки. Выбираем бюджетную плату.
• HID-Атаки. Программируем хакерский девайс.
• Социальная Инженерия. BadUSB и атаки на организации.
Твой S.E. #BadUSB
YouTube
Introducing the NEW 🐤 USB Rubber Ducky
Pull off the most creative and complex hotplug attacks. From movies and TV to the hearts and toolkits of cybersecurity pros the world over, the USB Rubber Ducky is a hacker culture icon synonymous with the attack it invented.
Learn more at https://usbrubberducky.com…
Learn more at https://usbrubberducky.com…
🔎 Поиск информации по ip адресу и не только...
• IP Info;
• Whois;
• IP Void;
• Robtex;
• DNS Viz;
• Netcraft;
• Into DNS;
• URL Void;
• URL Scan;
• DNSlytics;
• Pulsedive;
• Alienvault;
• Synapsint;
• View DNS;
• IP Address;
• URL Query;
• Info Sniper;
• IP Checking;
• Central Ops;
• Whoisology;
• DNS History;
• IP 2 Location;
• Domain Help;
• Digital Whois;
• Domain Tools;
• IP Fingerprints;
• Network Tools;
• Threat Jammer;
• Whois Request;
• DNS Dumpster;
• Website Informer;
• Hurricane Electric;
• Moz Link Explorer;
• Google Admin Toolbox Dig;
p.s. Не забывай про нашу подборку материала https://t.me/Social_engineering/1838 и добавляй в избранное.
Твой S.E. #OSINT
🖖🏻 Приветствую тебя user_name.
• Небольшой список ресурсов, с помощью которых ты можешь найти необходимую информацию по ip адресу и другим данным. Вероятно, что некоторые ресурсы идентичны друг другу, но ведь лучше всегда иметь альтернативу в своем арсенале, не так ли?• IP Info;
• Whois;
• IP Void;
• Robtex;
• DNS Viz;
• Netcraft;
• Into DNS;
• URL Void;
• URL Scan;
• DNSlytics;
• Pulsedive;
• Alienvault;
• Synapsint;
• View DNS;
• IP Address;
• URL Query;
• Info Sniper;
• IP Checking;
• Central Ops;
• Whoisology;
• DNS History;
• IP 2 Location;
• Domain Help;
• Digital Whois;
• Domain Tools;
• IP Fingerprints;
• Network Tools;
• Threat Jammer;
• Whois Request;
• DNS Dumpster;
• Website Informer;
• Hurricane Electric;
• Moz Link Explorer;
• Google Admin Toolbox Dig;
p.s. Не забывай про нашу подборку материала https://t.me/Social_engineering/1838 и добавляй в избранное.
Твой S.E. #OSINT
👨🏻💻 S.E. Заметка. Необходимые навыки и знания для этичного хакера.
• Этот вопрос я очень часто наблюдал в боте обратной связи, на протяжении 4х лет существования канала. В сегодняшнем материале будут рассмотрены 25 различных областей, с которыми должен быть знаком каждый этичный хакер.
• Материал очень ценный и будет полезен каждому читателю S.E: https://www.infosecmatter.com/top-25-penetration-testing-skills-and-competencies-detailed/
Твой S.E. #ИБ #Заметка
🖖🏻 Приветствую тебя user_name.
Какими навыками должен владеть профессиональный пентестер или этичный хакер? • Этот вопрос я очень часто наблюдал в боте обратной связи, на протяжении 4х лет существования канала. В сегодняшнем материале будут рассмотрены 25 различных областей, с которыми должен быть знаком каждый этичный хакер.
• Материал очень ценный и будет полезен каждому читателю S.E: https://www.infosecmatter.com/top-25-penetration-testing-skills-and-competencies-detailed/
Твой S.E. #ИБ #Заметка
Forwarded from SecAtor
͏Специалисты из Resecurity обнаружили новый RAT Escanor.
Ну как новый, инструмент был доступен для продажи на теневых площадках с начала этого года и изначально представлял собой компактный имплантат HVNC для установки удаленного подключения к компьютеру жертвы, после чего трансформировался в полноценный RAT с более богатым набором функций.
Теперь злоумышленники предлагают версии RAT для Android и ПК, HVNC и набор эксплойтов, чтобы использовать документы Microsoft Office и Adobe PDF для доставки вредоносного кода.
Мобильная версия Escanor (также известная как «Esca RAT») активно используется для атак на клиентов онлайн-банкинга путем перехвата OTP-кодов.
Инструмент можно использовать для сбора GPS-координат жертвы, отслеживания нажатия клавиш, активации скрытых камер и просмотра и кражи файлов на мобильных устройствах.
Большинство обнаруженных в последнее время образцов вредоносного ПО было доставлено с помощью Escanor Exploit Builder.
Вектор атаки адаптирован под документы-приманки, имитирующие счета-фактуры и уведомления популярных онлайн-сервисов.
Географию распространения Escanor преимущественно составляет США, Канада, ОАЭ, Саудовская Аравия, Кувейт, Бахрейн, Египет, Израиль, Мексика, Сингапур и в некоторых случаях — страны Юго-Восточной Азии.
И судя по всему Escanor штука достаточно востребованная и эффективная раз заработала надежную репутацию в даркнете и привлекла более 28 000 подписчиков на канал Telegram.
Ну как новый, инструмент был доступен для продажи на теневых площадках с начала этого года и изначально представлял собой компактный имплантат HVNC для установки удаленного подключения к компьютеру жертвы, после чего трансформировался в полноценный RAT с более богатым набором функций.
Теперь злоумышленники предлагают версии RAT для Android и ПК, HVNC и набор эксплойтов, чтобы использовать документы Microsoft Office и Adobe PDF для доставки вредоносного кода.
Мобильная версия Escanor (также известная как «Esca RAT») активно используется для атак на клиентов онлайн-банкинга путем перехвата OTP-кодов.
Инструмент можно использовать для сбора GPS-координат жертвы, отслеживания нажатия клавиш, активации скрытых камер и просмотра и кражи файлов на мобильных устройствах.
Большинство обнаруженных в последнее время образцов вредоносного ПО было доставлено с помощью Escanor Exploit Builder.
Вектор атаки адаптирован под документы-приманки, имитирующие счета-фактуры и уведомления популярных онлайн-сервисов.
Географию распространения Escanor преимущественно составляет США, Канада, ОАЭ, Саудовская Аравия, Кувейт, Бахрейн, Египет, Израиль, Мексика, Сингапур и в некоторых случаях — страны Юго-Восточной Азии.
И судя по всему Escanor штука достаточно востребованная и эффективная раз заработала надежную репутацию в даркнете и привлекла более 28 000 подписчиков на канал Telegram.
🔓 Lockpicking. Подборка материала.
У нас есть большая и полезная подборка по OSINT, есть очень крутая подборка материала по Социальной Инженерии, сегодня дополним этот список подборкой по локпикингу. Сохраняйте в закладки и практикуйтесь, это очень занимательный и интересный процесс, который является важным аспектом социалки.
• Для чего мне это? Могу с уверенностью ответить (с точки зрения #ИБ и #СИ), что знания в данной сфере могут быть полезными для получения контроля доступа в помещения, к сейфам, офисам или другим местам, где будет храниться необходимая информация. Есть большое кол-во историй, где локпикинг, в прямом смысле, выручал пентестеров во время проведения тестирования различных объектов.
• Ниже ты найдешь подборку материала, которая будет полезна для начинающих взломщиков. Список не претендует на полноту. Погнали:
Основные ресурсы для изучения:
• Reddit;
• Lockwiki;
• Youtube;
• Github. Physical_Security;
• Github. Awesome Lockpicking.
Статьи и видеоматериал:
• Что такое обязательный порядок? Первый шаг взлома замков;
• Устройство замков и их уязвимости. Часть 1;
• Устройство замков и их уязвимости. Часть 2;
• Типы замков — полное руководство;
• Как взломать замок: подробное руководство;
• Лучшие типы замков для практики взлома;
• Изучение и взлом дверных ручек;
• 7 способов открыть дверь без ключа;
• 9 типов тренировочных замков;
• Правда о прозрачных тренировочных замках;
• 5 способов открыть дверной замок без ключа;
• 7 простых способов взломать навесной замок;
• Как открыть замок шкафчика;
• Как открыть запертую дверь отверткой;
• Как взломать замок скрепкой;
• 5 способов открыть замок ножом;
• СКУД, Социальная инженерия и физическая безопасность;
• Физическое проникновение на территорию организации;
• Взлом лифтов - Из шахты в пентхаус;
• 7 ошибок, которые мешают вам стать лучше во взломе замков;
Отмычки и дубликаты:
• Руководство по типу отмычек;
• Отмычки для повседневного ношения;
• Создаем набор отмычек. V1;
• Создаем набор отмычек. V2;
• Шаблоны отмычек для печати;
• Делаем дубликат ключа;
• KeyDecoder. Дубликат ключа по фото;
• Как скопировать ключ (6 способов);
• Лучший материал для самодельных отмычек;
Литература:
• Руководство по взлому замков отмычкой;
• Little Black Book of Lockpicking;
• Keys to the Kingdom;
• Practical Lock Picking.
‼️ Данный список будет постоянно обновляться. Используйте навигацию по закрепленным сообщениям в группе для более удобного мониторинга полезной информации. Твой S.E. #Lockpicking
У нас есть большая и полезная подборка по OSINT, есть очень крутая подборка материала по Социальной Инженерии, сегодня дополним этот список подборкой по локпикингу. Сохраняйте в закладки и практикуйтесь, это очень занимательный и интересный процесс, который является важным аспектом социалки.
🖖🏻 Приветствую тебя user_name.
• Если ты активно интересуешься социальной инженерией, практикуешь полученные знания и постоянно развиваешься, то изучение данной "науки" будет огромным плюсом, ведь ты можешь научиться взламывать замки.• Для чего мне это? Могу с уверенностью ответить (с точки зрения #ИБ и #СИ), что знания в данной сфере могут быть полезными для получения контроля доступа в помещения, к сейфам, офисам или другим местам, где будет храниться необходимая информация. Есть большое кол-во историй, где локпикинг, в прямом смысле, выручал пентестеров во время проведения тестирования различных объектов.
• Ниже ты найдешь подборку материала, которая будет полезна для начинающих взломщиков. Список не претендует на полноту. Погнали:
Основные ресурсы для изучения:
• Reddit;
• Lockwiki;
• Youtube;
• Github. Physical_Security;
• Github. Awesome Lockpicking.
Статьи и видеоматериал:
• Что такое обязательный порядок? Первый шаг взлома замков;
• Устройство замков и их уязвимости. Часть 1;
• Устройство замков и их уязвимости. Часть 2;
• Типы замков — полное руководство;
• Как взломать замок: подробное руководство;
• Лучшие типы замков для практики взлома;
• Изучение и взлом дверных ручек;
• 7 способов открыть дверь без ключа;
• 9 типов тренировочных замков;
• Правда о прозрачных тренировочных замках;
• 5 способов открыть дверной замок без ключа;
• 7 простых способов взломать навесной замок;
• Как открыть замок шкафчика;
• Как открыть запертую дверь отверткой;
• Как взломать замок скрепкой;
• 5 способов открыть замок ножом;
• СКУД, Социальная инженерия и физическая безопасность;
• Физическое проникновение на территорию организации;
• Взлом лифтов - Из шахты в пентхаус;
• 7 ошибок, которые мешают вам стать лучше во взломе замков;
Отмычки и дубликаты:
• Руководство по типу отмычек;
• Отмычки для повседневного ношения;
• Создаем набор отмычек. V1;
• Создаем набор отмычек. V2;
• Шаблоны отмычек для печати;
• Делаем дубликат ключа;
• KeyDecoder. Дубликат ключа по фото;
• Как скопировать ключ (6 способов);
• Лучший материал для самодельных отмычек;
Литература:
• Руководство по взлому замков отмычкой;
• Little Black Book of Lockpicking;
• Keys to the Kingdom;
• Practical Lock Picking.
‼️ Данный список будет постоянно обновляться. Используйте навигацию по закрепленным сообщениям в группе для более удобного мониторинга полезной информации. Твой S.E. #Lockpicking
👁 Изучаем Nmap.
• Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение ОС удалённого хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов и т.д.
• Для изучения данного инструмента, предлагаю ознакомиться с материалом на сайте Codeby, где представлена следующая информация:
🧷 https://codeby.net/threads/kniga-po-nmap-na-russkom.67190
Твой S.E. #Nmap
*p.s.: На официальном сайте сделана большая подборка использования её в качестве иллюстрации работы хакеров. Автор сайта Гордон Лайон (разработчик Nmap) предлагает каждому, кто первый заметит использование утилиты в очередном фильме, подарочную футболку из их магазина сувениров Zero Day Clothing Nmap Store. https://nmap.org/movies/
🖖🏻 Приветствую тебя user_name.• #Nmap — инструмент, предназначенный для сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети (портов и соответствующих им служб).
• Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение ОС удалённого хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов и т.д.
• Для изучения данного инструмента, предлагаю ознакомиться с материалом на сайте Codeby, где представлена следующая информация:
• Сводка опций;• Определение цели сканирования;• Обнаружение хостов;• Основы сканирования портов;• Различные приемы сканирования портов;• Определение портов и порядка сканирования;• Обнаружение служб и их версий;• Определение ОС;• Скриптовый движок Nmap(NSE – Nmap Scripting Engine);• Опции управления временем и производительностью;• Обход Брандмауэров/IDS;• Вывод результатов;• Различные опции;• Взаимодействие во время выполнения;• Примеры.🧷 https://codeby.net/threads/kniga-po-nmap-na-russkom.67190
Твой S.E. #Nmap
*p.s.: На официальном сайте сделана большая подборка использования её в качестве иллюстрации работы хакеров. Автор сайта Гордон Лайон (разработчик Nmap) предлагает каждому, кто первый заметит использование утилиты в очередном фильме, подарочную футболку из их магазина сувениров Zero Day Clothing Nmap Store. https://nmap.org/movies/
👁 GEOINT. Изучаем полезные инструменты и качаем скилл.
• Вот Вам отличный инструмент, который по заданным данным может сгенерировать панораму из видеоматериала. Будет очень полезно в задачах и работе по определению геолокации. Статья есть тут: https://www.aware-online.com/en/video-investigations-converting-images-to-a-panorama/ а инструмент для работы можно найти здесь: http://matthewalunbrown.com/autostitch/autostitch.html
• Идем дальше. На сайте https://www.freemaptools.com/ есть огромное количество инструментов для работы с картами. Настоящая находка для энтузиастов и экспертов в сфере #OSINT.
• Возможно будет полезно (но это не точно): Карта, на которой отображены различные места с плохим сигналом GPS https://gpsjam.org + несколько карт для определения расстояния, которое можно преодолеть с помощью различных видов транспорта: https://direkt.bahn.guru/ + https://www.chronotrains.com/
p.s. Не забывай про нашу подборку материала https://t.me/Social_engineering/1838 и добавляй в избранное.
Твой S.E. #OSINT
🖖🏻 Приветствую тебя user_name.
• Навык определения местоположения нужного нам объекта или человека, является крайне важным и интересным процессом. Во многих группах посвященных #OSINT, я часто замечаю различные "конкурсы", которые разогревают интерес к данной теме и позволяют многим получить реальные навыки и знания в этой области. Рад что наше, прямо говоря, небольшое комьюнити развивается и постоянно растет. Ну а теперь ближе к делу... ниже будет подборка полезных инструментов, которые относятся к GEOINT. Добавляйте в закладки и применяйте на практике, надеюсь будет полезно:• Вот Вам отличный инструмент, который по заданным данным может сгенерировать панораму из видеоматериала. Будет очень полезно в задачах и работе по определению геолокации. Статья есть тут: https://www.aware-online.com/en/video-investigations-converting-images-to-a-panorama/ а инструмент для работы можно найти здесь: http://matthewalunbrown.com/autostitch/autostitch.html
• Идем дальше. На сайте https://www.freemaptools.com/ есть огромное количество инструментов для работы с картами. Настоящая находка для энтузиастов и экспертов в сфере #OSINT.
• Возможно будет полезно (но это не точно): Карта, на которой отображены различные места с плохим сигналом GPS https://gpsjam.org + несколько карт для определения расстояния, которое можно преодолеть с помощью различных видов транспорта: https://direkt.bahn.guru/ + https://www.chronotrains.com/
p.s. Не забывай про нашу подборку материала https://t.me/Social_engineering/1838 и добавляй в избранное.
Твой S.E. #OSINT
👁 S.E. Заметка. Nmap Cheat Sheat.
• Сегодня поделюсь с тобой отличным материалом, благодаря которому ты узнаешь, как использовать nmap в наступательных и оборонительных целях:
🧷 https://www.cyberciti.biz/networking/nmap-command-examples-tutorials/
📌 В дополнение: https://blog.sedicomm.com
Твой S.E. #Заметка #Nmap #CheatSheat
🖖🏻 Приветствую тебя user_name.#Nmap — эталон среди сканеров портов и один из важнейших инструментов пентестера. Уверен, что большинство подписчиков @S.E. знают, что такое Nmap, и наверняка не раз использовали его для исследования сети и сбора информации.
• Сегодня поделюсь с тобой отличным материалом, благодаря которому ты узнаешь, как использовать nmap в наступательных и оборонительных целях:
🧷 https://www.cyberciti.biz/networking/nmap-command-examples-tutorials/
📌 В дополнение: https://blog.sedicomm.com
Твой S.E. #Заметка #Nmap #CheatSheat
📖 Краткий справочник по «всем-всем» командам Linux.
• Сегодня поделюсь с тобой ссылкой на отличную версию справочника в виде статьи на хабре. Добавляй в закладки, очень полезный материал при работе с Linux.
• Наиболее популярные команды имеют ссылки на wiki-описание и cheat.sh-примеры использования.
🧷 https://habr.com/ru/company/lanit/blog/683638/
Твой S.E. #Linux
🖖🏻 Приветствую тебя user_name.
• Где найти "список всех-всех команд Linux, с кратким описанием, что каждая из них делает". Ну прямо "всех-всех". И ведь если искать в интернете "такие" справочники существуют: либо про "20, 30, 40 команд, но самых важных", либо с неточностями и устаревшей информацией.• Сегодня поделюсь с тобой ссылкой на отличную версию справочника в виде статьи на хабре. Добавляй в закладки, очень полезный материал при работе с Linux.
• Наиболее популярные команды имеют ссылки на wiki-описание и cheat.sh-примеры использования.
🧷 https://habr.com/ru/company/lanit/blog/683638/
Твой S.E. #Linux
😈 Черный профайлинг. Чтение и поиск индивидуальных уязвимостей человека.
Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов.
• Как думаешь, что может помочь тебе легко установить контакт с любым человеком, а затем аккуратно «Хакнуть мозг» и получить желаемое: информацию, ресурсы, конкретные действия? Благодаря сегодняшней информации, ты узнаешь, как добиться того, чтобы другой человек делал то, что тебе необходимо, и не отдавал себе в этом отчет! Именно такой результат дает знание основ социальной инженерии и черного профайлинга.
* Черный профайлинг - специально разработанные спецслужбами технологии для быстрого и надежного «считывания» людей.
• Для изучения и отправной точки в сфере профайлинга и #СИ, я рекомендую обратить внимание на следующий видеоматериал:
• Как правильно читать человека?
• Что можно сказать о человеке по рукопожатию?
• Как себя ведёт уверенный человек. Анализ языка тела.
• Анализ уверенного поведения.
• Можно ли контролировать своё поведение?
• Как уходят от неудобных вопросов? Вербальный анализ.
• Жесты, которые выдают неуверенность.
• Как распознать ложь? Анализ поведения.
• Как вычислить ЛОЖЬ. Формула лжи.
• Главные правила обнаружения лжи.
• Распознавание лжи по поведению. Мифы и ошибки.
• Как ведёт себя ЛЖЕЦ ? Мифы, стратегии поведения, исследования.
• Психотехнологии политических шоу на ТВ.
• Скрытые сигналы доминирования. Поведение в конфликтных ситуациях.
• Как брать контроль над чужими эмоциями в конфликте.
• Поведение при ментальном противостоянии.
• РАЗБОР НАСТОЯЩЕГО ДЕТЕКТИВА: Как СКРЫТО вытягивать информацию.
• Как стать Наблюдательнее и Умнее?
• Как берут под контроль личность человека.
• Социальные ХИЩНИКИ среди нас! Что их выдаёт?
• Что делать в очень неловкой ситуации?
• Как защитить себя от манипуляций и давления.
• Как защитить себя от токсичного собеседника.
• Как обманывает нас мозг/Ошибки мышления/Искажения.
• Как стать рациональнее и хладнокровнее.
P.S. Не забывай про нашу подборку полезного материала для повышения уровня СИ в межличностной коммуникации: https://t.me/Social_engineering/2195 Этот материал поможет прокачать твои навыки #СИ.
Твой S.E. #Профайлинг #СИ ё#НЛП #Психология
Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов.
🖖🏻 Приветствую тебя user_name.
• Социальная инженерия включает в себя множество различных аспектов, именно поэтому, я рекомендую тебе не только изучать полезные и вспомогательные инструменты, читать статьи по пентесту, фишингу, взломам, но и уделять время таким направлениям как #профайлинг, #психология, #НЛП.• Как думаешь, что может помочь тебе легко установить контакт с любым человеком, а затем аккуратно «Хакнуть мозг» и получить желаемое: информацию, ресурсы, конкретные действия? Благодаря сегодняшней информации, ты узнаешь, как добиться того, чтобы другой человек делал то, что тебе необходимо, и не отдавал себе в этом отчет! Именно такой результат дает знание основ социальной инженерии и черного профайлинга.
* Черный профайлинг - специально разработанные спецслужбами технологии для быстрого и надежного «считывания» людей.
• Для изучения и отправной точки в сфере профайлинга и #СИ, я рекомендую обратить внимание на следующий видеоматериал:
• Как правильно читать человека?
• Что можно сказать о человеке по рукопожатию?
• Как себя ведёт уверенный человек. Анализ языка тела.
• Анализ уверенного поведения.
• Можно ли контролировать своё поведение?
• Как уходят от неудобных вопросов? Вербальный анализ.
• Жесты, которые выдают неуверенность.
• Как распознать ложь? Анализ поведения.
• Как вычислить ЛОЖЬ. Формула лжи.
• Главные правила обнаружения лжи.
• Распознавание лжи по поведению. Мифы и ошибки.
• Как ведёт себя ЛЖЕЦ ? Мифы, стратегии поведения, исследования.
• Психотехнологии политических шоу на ТВ.
• Скрытые сигналы доминирования. Поведение в конфликтных ситуациях.
• Как брать контроль над чужими эмоциями в конфликте.
• Поведение при ментальном противостоянии.
• РАЗБОР НАСТОЯЩЕГО ДЕТЕКТИВА: Как СКРЫТО вытягивать информацию.
• Как стать Наблюдательнее и Умнее?
• Как берут под контроль личность человека.
• Социальные ХИЩНИКИ среди нас! Что их выдаёт?
• Что делать в очень неловкой ситуации?
• Как защитить себя от манипуляций и давления.
• Как защитить себя от токсичного собеседника.
• Как обманывает нас мозг/Ошибки мышления/Искажения.
• Как стать рациональнее и хладнокровнее.
P.S. Не забывай про нашу подборку полезного материала для повышения уровня СИ в межличностной коммуникации: https://t.me/Social_engineering/2195 Этот материал поможет прокачать твои навыки #СИ.
Твой S.E. #Профайлинг #СИ ё#НЛП #Психология
👺 Pivoting.
• Предлагаю ознакомиться с полезной статьей в которой описаны примеры, понятия, техники и инструменты для сетевого pivoting'a:
• Что такое pivoting;
• Пример pivoting;
• Цель с публичным IP;
• Перенаправление (forwarding) портов SSH;
• Pivoting c ncat;
• VPN через SSH;
• 3proxy;
• Meterpreter;
• AutoSSH;
• SOCKSP прокси через веб шелл (reGeorg);
• Pivoting если цель за NAT;
• Обратное перенаправление порта SSH с 3proxy;
• Rpivot;
• Эксфильтрация (Exfiltrating) из внутренней сети;
• ICMP туннелирование;
• DNS туннелирование;
• Iodine;
• Dnscat2;
• Использование корпоративного HTTP прокси;
• Rpivot.
📌 В дополнение:
• https://github.com/jpillora/chisel
• https://github.com/0x36/VPNPivot
• https://github.com/sysdream/ligolo
• https://github.com/esrrhs/pingtunnel
• https://github.com/nccgroup/ABPTTS
• https://github.com/sensepost/reGeorg
• https://github.com/nccgroup/SocksOverRDP
• https://github.com/trustedsec/egressbuster
• https://github.com/p3nt4/Invoke-SocksProxy
• https://github.com/securesocketfunneling/ssf
• https://github.com/blackarrowsec/mssqlproxy
• https://github.com/hayasec/reGeorg-Weblogic
• https://github.com/shantanu561993/SharpChisel
• https://github.com/RedTeamOperations/PivotSuite
• https://github.com/vincentcox/bypass-firewalls-by-DNS-history
📌 Гайды, подсказки и статьи:
• A Red Teamer's guide to pivoting
• Шпаргалки по pivoting
• Материал по Pivoting от Offensive Security
• Network pivoting like a pro
• SSH Pentesting Guide
• A Pivot Cheatsheet for Pentesters
• Продвинутое туннелирование: атакуем внутренние узлы корпоративной сети
• Скрытое управление компьютером на Windows (используя Metasploit)
• Как без белого IP локальный веб-сервер сделать доступным из Интернета
• Атака на устройства в локальной сети через уязвимый роутер
• Как ускорить исследование больших диапазонов сетей (на примере Router Scan)
• sshprank: массовая проверка учётных данных SSH и быстрый сбор SSH баннеров
📌 Инструменты:
• Ncat, Netcat, nc
• ProxyChains-NG
• RPIVOT
• reGeorg
• Metasploit
• Autossh
Твой S.E. #Pivoting
🖖🏻 Приветствую тебя user_name.
• pivoting — набор техник, которые позволяют атакующему получить доступ к локальным ресурсам, по сути, делая маршрутизируемым тот трафик, который в нормальных условиях является немаршрутизируемым. Pivoting помогает атакующему настроить рабочее окружение для использования инструментов таким образом, как будто бы он находиться в локальной сети организации.• Предлагаю ознакомиться с полезной статьей в которой описаны примеры, понятия, техники и инструменты для сетевого pivoting'a:
• Что такое pivoting;
• Пример pivoting;
• Цель с публичным IP;
• Перенаправление (forwarding) портов SSH;
• Pivoting c ncat;
• VPN через SSH;
• 3proxy;
• Meterpreter;
• AutoSSH;
• SOCKSP прокси через веб шелл (reGeorg);
• Pivoting если цель за NAT;
• Обратное перенаправление порта SSH с 3proxy;
• Rpivot;
• Эксфильтрация (Exfiltrating) из внутренней сети;
• ICMP туннелирование;
• DNS туннелирование;
• Iodine;
• Dnscat2;
• Использование корпоративного HTTP прокси;
• Rpivot.
📌 В дополнение:
• https://github.com/jpillora/chisel
• https://github.com/0x36/VPNPivot
• https://github.com/sysdream/ligolo
• https://github.com/esrrhs/pingtunnel
• https://github.com/nccgroup/ABPTTS
• https://github.com/sensepost/reGeorg
• https://github.com/nccgroup/SocksOverRDP
• https://github.com/trustedsec/egressbuster
• https://github.com/p3nt4/Invoke-SocksProxy
• https://github.com/securesocketfunneling/ssf
• https://github.com/blackarrowsec/mssqlproxy
• https://github.com/hayasec/reGeorg-Weblogic
• https://github.com/shantanu561993/SharpChisel
• https://github.com/RedTeamOperations/PivotSuite
• https://github.com/vincentcox/bypass-firewalls-by-DNS-history
📌 Гайды, подсказки и статьи:
• A Red Teamer's guide to pivoting
• Шпаргалки по pivoting
• Материал по Pivoting от Offensive Security
• Network pivoting like a pro
• SSH Pentesting Guide
• A Pivot Cheatsheet for Pentesters
• Продвинутое туннелирование: атакуем внутренние узлы корпоративной сети
• Скрытое управление компьютером на Windows (используя Metasploit)
• Как без белого IP локальный веб-сервер сделать доступным из Интернета
• Атака на устройства в локальной сети через уязвимый роутер
• Как ускорить исследование больших диапазонов сетей (на примере Router Scan)
• sshprank: массовая проверка учётных данных SSH и быстрый сбор SSH баннеров
📌 Инструменты:
• Ncat, Netcat, nc
• ProxyChains-NG
• RPIVOT
• reGeorg
• Metasploit
• Autossh
Твой S.E. #Pivoting
📚 Черный профайлинг. Список литературы для изучения.
• Так как времени с момента предыдущего поста прошло очень мало, я физически не успел залить в облако весь перечень книг. Поэтому делюсь с Вами обычным списком литературы которую можно легко найти в свободном доступе:
* Подписывайтесь на @S_E_Reborn, постепенно буду заливать нужный материал в этот канал.
** Если есть чем дополнить список, то присылайте информацию в бота: @Social_Engineering_bot
➖ База (для начинающих):
• Психология лжи. Пол Экман.
• Правда про ложь. Стэн Уолтерс.
• Психология эмоций. Пол Экман.
• Прирожденные лжецы. Иен Лесли.
• Я вижу, о чём вы думаете. Джо Наварро.
• 3 способа выявления лжи. Олдерт Фрай.
• Все способы раскусить лжеца. Дэн Крам.
• Я вижу вас насквозь. Жозеф Мессинджер.
• Невербальное общение. Марк Непп и Джудит Холл.
• Я знаю, когда ты лжешь! Методы ЦРУ. Хьюстон, Флойд, Карнисеро.
➖ Профайлинг для продвинутых:
• Мозг за 30 секунд. Крис Фрит.
• Сам себе психолог. Патрик Кинг.
• Характеры и роли. Е. Левенталь.
• Психология согласия. Р. Чалдини.
• Словарь жестов. Жозеф Мессинжер.
• Психология недоверия. Конникова М.
• Путеводитель по лжи. Дэниел Левитин.
• Нейрокомикс. Маттео Фаринелл и Хан Рос.
• Как разговаривать с мудаками. Майкл Гоулстон.
• Предсказуемая иррациональность. Дэн Ариели.
• Думай медленно, решай быстро. Даниель Канеман.
• Манипулирование и защита от манипуляций. Шейнов В.П.
• Как узнать все, что нужно, задавая правильные вопросы. Фрэнка Сесно.
• Психология обмана. Как, почему и зачем лгут даже честные люди? Чарльза Форд.
• Этика бизнеса. Психологическое расследование корпоративных скандалов. Денис Джентилин.
• Как политики, корпорации и медиа формируют нашу реальность, выставляя факты в выгодном свете. Г.Макдональд.
➖ В дополнение:
• Мозг и его потребности. Дубынин В.
• Как лгать при помощи статистики. Хафф Д.
• Психофизиология детекции лжи. Алексеев Л. Г.
• Мозг, познание, разум, в 2х томах. Баарс Б., Гейдж Н.
• Психопатология и власть. Гиндикин В.Я. Гурьева В.А.
• Лицо человека как средство общения. Барабанщиков В.А.
• Психодиагностика личности по голосу и речи. Манеров В.Х.
• Динамика восприятия выражений лица. Барабанщиков В.А.
• Страх: почему мы неправильно оцениваем риски. Дэна Гарднер.
• Метод С. Станиславского и физиология эмоций. Станиславский С.
• Перцептивная категоризация выражений лица. Барабанщиков В.А.
• Думай медленно, предсказывай точно. Филип Тетлок и Дэн Гарднер.
• Экспрессивное поведение в норме и патологии. Кустов А. и Алексеева Ю.
• Все лгут. Поисковики, Big Data и Интернет знают о вас все. Сет Стивенс-Давидовиц.
• Истина и ложь в терминах, понятиях и определениях. Кузнецов В.С, Кузнецова Н.В.
• Методы психологической оценки достоверности сообщаемой информации. Шаповалов В.А.
• Профайлинг в деятельности органов внутренних дел: учеб. пособие для студентов вузов. Цветков В.Л.
P.S. Не забывай про нашу подборку полезного материала для повышения уровня СИ в межличностной коммуникации: https://t.me/Social_engineering/2195 Этот материал поможет прокачать твои навыки #СИ.
Твой S.E. #Профайлинг #СИ ё#НЛП #Психология
🖖🏻 Приветствую тебя user_name.
• 29.08 была опубликована интересная статья, в которой я собрал очень полезный видеоматериал для изучения профайлинга. Так как эта информация является "базой", в аспекте Социальной Инженерии, очень многие из Вас стали задавать вопросы касательно литературы для изучения. • Так как времени с момента предыдущего поста прошло очень мало, я физически не успел залить в облако весь перечень книг. Поэтому делюсь с Вами обычным списком литературы которую можно легко найти в свободном доступе:
* Подписывайтесь на @S_E_Reborn, постепенно буду заливать нужный материал в этот канал.
** Если есть чем дополнить список, то присылайте информацию в бота: @Social_Engineering_bot
➖ База (для начинающих):
• Психология лжи. Пол Экман.
• Правда про ложь. Стэн Уолтерс.
• Психология эмоций. Пол Экман.
• Прирожденные лжецы. Иен Лесли.
• Я вижу, о чём вы думаете. Джо Наварро.
• 3 способа выявления лжи. Олдерт Фрай.
• Все способы раскусить лжеца. Дэн Крам.
• Я вижу вас насквозь. Жозеф Мессинджер.
• Невербальное общение. Марк Непп и Джудит Холл.
• Я знаю, когда ты лжешь! Методы ЦРУ. Хьюстон, Флойд, Карнисеро.
➖ Профайлинг для продвинутых:
• Мозг за 30 секунд. Крис Фрит.
• Сам себе психолог. Патрик Кинг.
• Характеры и роли. Е. Левенталь.
• Психология согласия. Р. Чалдини.
• Словарь жестов. Жозеф Мессинжер.
• Психология недоверия. Конникова М.
• Путеводитель по лжи. Дэниел Левитин.
• Нейрокомикс. Маттео Фаринелл и Хан Рос.
• Как разговаривать с мудаками. Майкл Гоулстон.
• Предсказуемая иррациональность. Дэн Ариели.
• Думай медленно, решай быстро. Даниель Канеман.
• Манипулирование и защита от манипуляций. Шейнов В.П.
• Как узнать все, что нужно, задавая правильные вопросы. Фрэнка Сесно.
• Психология обмана. Как, почему и зачем лгут даже честные люди? Чарльза Форд.
• Этика бизнеса. Психологическое расследование корпоративных скандалов. Денис Джентилин.
• Как политики, корпорации и медиа формируют нашу реальность, выставляя факты в выгодном свете. Г.Макдональд.
➖ В дополнение:
• Мозг и его потребности. Дубынин В.
• Как лгать при помощи статистики. Хафф Д.
• Психофизиология детекции лжи. Алексеев Л. Г.
• Мозг, познание, разум, в 2х томах. Баарс Б., Гейдж Н.
• Психопатология и власть. Гиндикин В.Я. Гурьева В.А.
• Лицо человека как средство общения. Барабанщиков В.А.
• Психодиагностика личности по голосу и речи. Манеров В.Х.
• Динамика восприятия выражений лица. Барабанщиков В.А.
• Страх: почему мы неправильно оцениваем риски. Дэна Гарднер.
• Метод С. Станиславского и физиология эмоций. Станиславский С.
• Перцептивная категоризация выражений лица. Барабанщиков В.А.
• Думай медленно, предсказывай точно. Филип Тетлок и Дэн Гарднер.
• Экспрессивное поведение в норме и патологии. Кустов А. и Алексеева Ю.
• Все лгут. Поисковики, Big Data и Интернет знают о вас все. Сет Стивенс-Давидовиц.
• Истина и ложь в терминах, понятиях и определениях. Кузнецов В.С, Кузнецова Н.В.
• Методы психологической оценки достоверности сообщаемой информации. Шаповалов В.А.
• Профайлинг в деятельности органов внутренних дел: учеб. пособие для студентов вузов. Цветков В.Л.
P.S. Не забывай про нашу подборку полезного материала для повышения уровня СИ в межличностной коммуникации: https://t.me/Social_engineering/2195 Этот материал поможет прокачать твои навыки #СИ.
Твой S.E. #Профайлинг #СИ ё#НЛП #Психология
🧩 Cobalt Strike от А до Я.
• Сегодня ты узнаешь много новой и полезной информации, независимо от того, являешься ли ты новичком или уже используешь этот инструмент на практике. Делюсь ссылками на материал:
• https://xss.is/threads/55854/
• https://xss.is/threads/53624/
• https://xss.is/threads/54418/
• https://xss.is/threads/67021/
* Если ты не зарегистрирован на форуме XSS, то обязательно зарегистрируйся! Это позволит тебе получить уникальный опыт и знания в определенных сферах #ИБ и хакинга, прокачать свой скилл и просто пообщаться с умными людьми на всевозможные темы. Ну а если тебе, по какой-либо причине, не хочется регистрироваться, то воспользуйся нашим облаком, там ты можешь скачать этот материал без регистрации и лишних манипуляций: https://t.me/S_E_Reborn/626
• В довесок, не забывай про отличный курс, который опубликован в нашем канале: https://t.me/Social_engineering/2205 материал на английском языке, но с русскими субтитрами.
Твой S.E. #Cobalt_Strike
🖖🏻 Приветствую тебя user_name.
• Cobalt Strike — без преувеличения является одним из самых популярных инструментов, который используют хакеры и пентестеры. Этот фреймворк используют все, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков.• Сегодня ты узнаешь много новой и полезной информации, независимо от того, являешься ли ты новичком или уже используешь этот инструмент на практике. Делюсь ссылками на материал:
• https://xss.is/threads/55854/
• https://xss.is/threads/53624/
• https://xss.is/threads/54418/
• https://xss.is/threads/67021/
* Если ты не зарегистрирован на форуме XSS, то обязательно зарегистрируйся! Это позволит тебе получить уникальный опыт и знания в определенных сферах #ИБ и хакинга, прокачать свой скилл и просто пообщаться с умными людьми на всевозможные темы. Ну а если тебе, по какой-либо причине, не хочется регистрироваться, то воспользуйся нашим облаком, там ты можешь скачать этот материал без регистрации и лишних манипуляций: https://t.me/S_E_Reborn/626
• В довесок, не забывай про отличный курс, который опубликован в нашем канале: https://t.me/Social_engineering/2205 материал на английском языке, но с русскими субтитрами.
Твой S.E. #Cobalt_Strike
🔎 OSINT Username generation guide.
Сегодня без лонгридов, обойдемся кратким описанием и ссылкой на крутое руководство от @Sox0j.
🧷 https://github.com/soxoj/username-generation-guide
p.s. Не забывай про нашу подборку материала https://t.me/Social_engineering/1838 и добавляй в избранное.
Твой S.E. #OSINT
Сегодня без лонгридов, обойдемся кратким описанием и ссылкой на крутое руководство от @Sox0j.
🖖🏻 Приветствую тебя user_name.• По ссылке ниже ты найдешь отличный материал, в котором описаны различные варианты для генерации логинов на основе ФИО, благодаря различным сервисам и инструментам. Материал будет полезен всем, кто интересуется #OSINT и #СИ:
🧷 https://github.com/soxoj/username-generation-guide
p.s. Не забывай про нашу подборку материала https://t.me/Social_engineering/1838 и добавляй в избранное.
Твой S.E. #OSINT
🧠 Социальная Инженерия. Бессознательное воздействие.
• Человек не способен контролировать, какие объекты в окружающем мире привлекут его внимание. Этот процесс происходит бессознательно. Соответственно, данный процесс является крайне важным в принятии различных решений.
• На сайте cell.com опубликована научная работа* ученых из Стэнфордского университета. В данной работе рассказывается, как под воздействием условного "вознаграждения" укрепляются определённые нейронные связи в мозге, которые определяют, на какой стимул будет реагировать человек, обращая внимание именно на него и игнорируя остальные. Результаты экспериментов показали, что в мозге человека действительно работает процесс обучения с подкреплением, при этом мозг выбирает из многомерного пространства определённые стимулы, которые оказывают влияние на результат, и уделяет меньше внимания всему остальному.
* Можно не читать научную работу, для изучения сегодняшней темы достаточно будет примера, который приведен ниже по тексту.
• Такую особенность нашего мозга, можно использовать в области #СИ и #ИБ. Для привлечения внимания жертвы следует создать определенный стимул, на который отреагирует наша цель. В таком случае, мы получим требуемый результат, так как жертва не будет восприимчива к другим стимулам.
• Пример: Твоя цель будет очень благодарна, если ты придешь на помощь в решении какой либо проблемы. При этом, жертва не обратит внимание на остальные стимулы (личность, одежда, статус и т.д.). Соответственно, для установления контакта с целью, отличным приёмом будет СОЗДАТЬ проблему, а потом придти на помощь.
• Не стоит забывать, что активация сильных эмоций в человеке порождает страх, вина, симпатия и т.д. Эти чувства заглушают все остальные стимулы, которые отвечают за внимательность, соответственно жертва будет наиболее "уязвимой" для манипуляций.
Твой S.E. #СИ #Психология
🖖🏻 Приветствую тебя user_name.
• Сразу хочу обозначить — данная тема будет очень своеобразной, но крайне интересной с точки зрения социальной инженерии, а именно в аспекте установления контакта с целью.• Человек не способен контролировать, какие объекты в окружающем мире привлекут его внимание. Этот процесс происходит бессознательно. Соответственно, данный процесс является крайне важным в принятии различных решений.
• На сайте cell.com опубликована научная работа* ученых из Стэнфордского университета. В данной работе рассказывается, как под воздействием условного "вознаграждения" укрепляются определённые нейронные связи в мозге, которые определяют, на какой стимул будет реагировать человек, обращая внимание именно на него и игнорируя остальные. Результаты экспериментов показали, что в мозге человека действительно работает процесс обучения с подкреплением, при этом мозг выбирает из многомерного пространства определённые стимулы, которые оказывают влияние на результат, и уделяет меньше внимания всему остальному.
* Можно не читать научную работу, для изучения сегодняшней темы достаточно будет примера, который приведен ниже по тексту.
• Такую особенность нашего мозга, можно использовать в области #СИ и #ИБ. Для привлечения внимания жертвы следует создать определенный стимул, на который отреагирует наша цель. В таком случае, мы получим требуемый результат, так как жертва не будет восприимчива к другим стимулам.
• Пример: Твоя цель будет очень благодарна, если ты придешь на помощь в решении какой либо проблемы. При этом, жертва не обратит внимание на остальные стимулы (личность, одежда, статус и т.д.). Соответственно, для установления контакта с целью, отличным приёмом будет СОЗДАТЬ проблему, а потом придти на помощь.
• Не стоит забывать, что активация сильных эмоций в человеке порождает страх, вина, симпатия и т.д. Эти чувства заглушают все остальные стимулы, которые отвечают за внимательность, соответственно жертва будет наиболее "уязвимой" для манипуляций.
Твой S.E. #СИ #Психология
