Отправил резюме — потерял друзей
Найти интересную работу с хорошей зарплатой хотят многие. И это желание активно используют мошенники. Причём обманывают они не только соискателя, но и его друзей.
Свежий выпуск карточек объясняет, как фальшивые эйчары уводят аккаунты соискателей и крадут деньги их знакомых.
#startx_cards #разбор_атаки
Найти интересную работу с хорошей зарплатой хотят многие. И это желание активно используют мошенники. Причём обманывают они не только соискателя, но и его друзей.
Свежий выпуск карточек объясняет, как фальшивые эйчары уводят аккаунты соискателей и крадут деньги их знакомых.
#startx_cards #разбор_атаки
1❤🔥6👍3⚡1
СЕО Start X Сергей Волдохин поучаствовал в бизнес-завтраке с резидентами, амбассадорами и экспертами Кибердома.
Обсудили, как выстраивать безопасность приложений не ради галочки, а чтобы работало. Благодаря нашей методологии по безопасной разработке разговор быстро перешел от общих рассуждений к конкретным шагам.
Делимся главными выводами⬇️
Обсудили, как выстраивать безопасность приложений не ради галочки, а чтобы работало. Благодаря нашей методологии по безопасной разработке разговор быстро перешел от общих рассуждений к конкретным шагам.
Делимся главными выводами
❄ Разработчики часто «не слышат» безопасников, потому что с ними просто никто нормально не разговаривает. Дело не в нежелании, а в том, что обращения для тех.поддержки без контекста и баги без объяснений — не способ наводить порядок.❄ Одни компании латают уязвимости и ошибки в коде, другие меняют архитектуру — значит, у вторых настоящие appsec-инженеры, не просто сканер и галочка в процессе.❄ AI пока не спасает от всего. Без эксперта нейросеть либо даст ложное срабатывание, либо утонет в отчётах и поверхностных рекомендациях. Но её уже можно встраивать во вспомогательные процессы — подсказки, поиск проблем и обучение.❄ Ошибки в коде повторяются, потому что никто не копает в корень. Работа с архитектурой и обучение команды важнее любой автоматизации.❄ Безопасность приложения начинается ещё на этапе идеи. Если не задать правильные вопросы сразу, потом будет поздно, неприятно и дорого.❄ Информационная безопасность всегда про командную игру. Appsec без связи с разработкой, продуктом, QA и архитектурой не имеет смысла.
Безопасные приложения — это не результат покупного анализа кода (SAST) или новых фреймворков. Это люди, процессы и культура в команде и в голове каждого.
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤🔥4
Как думаете, что выведет этот код?
Anonymous Quiz
4%
Код не компилируется — Paths.get нельзя использовать со строкой
10%
Возможно выполнение произвольного кода через userInput
70%
Уязвимость — манипулируя данными в userInput, можно получить доступ к файлам вне /files/report
16%
Все в порядке, это стандартный способ чтения файлов
В новой статье рассказали о том, как хакеры используют уязвимость Path Traversal для доступа к закрытым файлам, и показали, как правильно обрабатывать пути в PHP, Python и Java
❤🔥6
Обзор новостей информационной безопасности с 25 апреля по 15 мая
⚠️ Киберкампании:
— фальшивые выплаты в честь Дня Победы обещают в Telegram;
— бренд госфонда «Защитники» используют для рекламы инвестиционного мошенничества;
— новая многоступенчатая схема кражи учётных данных нацелена на пенсионеров;
— группировка Luna Moth атакует юридические и финансовые организации в США с использованием фишинговых звонков;
— вредонос Horabot атакует пользователей Windows в странах Латинской Америки.
😂 Инциденты:
— хакеры похитили данные покупателей британского ретейлера Marks & Spencer;
— интернет-провайдер «Сибсети» столкнулся с DDoS-атакой;
— утечка данных iOS-приложения Second Phone Number;
— вымогатели Rhysida парализовали работу правительственных систем Перу;
— Hitachi Vantara отключила серверы из-за атаки вымогателей;
— взлом авиакомпании GlobalX Air;
— утечка данных клиентов дома моды Dior;
— продаётся массив данных, якобы содержащий 89 млн записей пользователей Steam;
— государственная система электронных уведомлений органов власти США использовалась для массовой рассылки мошеннических писем;
— полки магазинов британской розничной сети Co-op опустели в результате кибератаки.
#фишинг #дайджест
— фальшивые выплаты в честь Дня Победы обещают в Telegram;
— бренд госфонда «Защитники» используют для рекламы инвестиционного мошенничества;
— новая многоступенчатая схема кражи учётных данных нацелена на пенсионеров;
— группировка Luna Moth атакует юридические и финансовые организации в США с использованием фишинговых звонков;
— вредонос Horabot атакует пользователей Windows в странах Латинской Америки.
— хакеры похитили данные покупателей британского ретейлера Marks & Spencer;
— интернет-провайдер «Сибсети» столкнулся с DDoS-атакой;
— утечка данных iOS-приложения Second Phone Number;
— вымогатели Rhysida парализовали работу правительственных систем Перу;
— Hitachi Vantara отключила серверы из-за атаки вымогателей;
— взлом авиакомпании GlobalX Air;
— утечка данных клиентов дома моды Dior;
— продаётся массив данных, якобы содержащий 89 млн записей пользователей Steam;
— государственная система электронных уведомлений органов власти США использовалась для массовой рассылки мошеннических писем;
— полки магазинов британской розничной сети Co-op опустели в результате кибератаки.
#фишинг #дайджест
Please open Telegram to view this post
VIEW IN TELEGRAM
Как не сменить адрес, но сменить карту
Люди ищут, где им лучше жить, поэтому спрос на квартиры в хороших районах всегда высокий. Этим и пользуются мошенники.
Сегодня рассказываем, как аферисты выманивают личные и банковские данные у желающих бюджетно арендовать просторную квартиру в элитном ЖК.
#startx_cards #разбор_атаки
Люди ищут, где им лучше жить, поэтому спрос на квартиры в хороших районах всегда высокий. Этим и пользуются мошенники.
Сегодня рассказываем, как аферисты выманивают личные и банковские данные у желающих бюджетно арендовать просторную квартиру в элитном ЖК.
#startx_cards #разбор_атаки
2⚡6👍3