Отправил резюме — потерял друзей
Найти интересную работу с хорошей зарплатой хотят многие. И это желание активно используют мошенники. Причём обманывают они не только соискателя, но и его друзей.
Свежий выпуск карточек объясняет, как фальшивые эйчары уводят аккаунты соискателей и крадут деньги их знакомых.
#startx_cards #разбор_атаки
Найти интересную работу с хорошей зарплатой хотят многие. И это желание активно используют мошенники. Причём обманывают они не только соискателя, но и его друзей.
Свежий выпуск карточек объясняет, как фальшивые эйчары уводят аккаунты соискателей и крадут деньги их знакомых.
#startx_cards #разбор_атаки
1❤🔥6👍3⚡1
СЕО Start X Сергей Волдохин поучаствовал в бизнес-завтраке с резидентами, амбассадорами и экспертами Кибердома.
Обсудили, как выстраивать безопасность приложений не ради галочки, а чтобы работало. Благодаря нашей методологии по безопасной разработке разговор быстро перешел от общих рассуждений к конкретным шагам.
Делимся главными выводами⬇️
Обсудили, как выстраивать безопасность приложений не ради галочки, а чтобы работало. Благодаря нашей методологии по безопасной разработке разговор быстро перешел от общих рассуждений к конкретным шагам.
Делимся главными выводами
❄ Разработчики часто «не слышат» безопасников, потому что с ними просто никто нормально не разговаривает. Дело не в нежелании, а в том, что обращения для тех.поддержки без контекста и баги без объяснений — не способ наводить порядок.❄ Одни компании латают уязвимости и ошибки в коде, другие меняют архитектуру — значит, у вторых настоящие appsec-инженеры, не просто сканер и галочка в процессе.❄ AI пока не спасает от всего. Без эксперта нейросеть либо даст ложное срабатывание, либо утонет в отчётах и поверхностных рекомендациях. Но её уже можно встраивать во вспомогательные процессы — подсказки, поиск проблем и обучение.❄ Ошибки в коде повторяются, потому что никто не копает в корень. Работа с архитектурой и обучение команды важнее любой автоматизации.❄ Безопасность приложения начинается ещё на этапе идеи. Если не задать правильные вопросы сразу, потом будет поздно, неприятно и дорого.❄ Информационная безопасность всегда про командную игру. Appsec без связи с разработкой, продуктом, QA и архитектурой не имеет смысла.
Безопасные приложения — это не результат покупного анализа кода (SAST) или новых фреймворков. Это люди, процессы и культура в команде и в голове каждого.
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤🔥4
Как думаете, что выведет этот код?
Anonymous Quiz
4%
Код не компилируется — Paths.get нельзя использовать со строкой
10%
Возможно выполнение произвольного кода через userInput
70%
Уязвимость — манипулируя данными в userInput, можно получить доступ к файлам вне /files/report
16%
Все в порядке, это стандартный способ чтения файлов
В новой статье рассказали о том, как хакеры используют уязвимость Path Traversal для доступа к закрытым файлам, и показали, как правильно обрабатывать пути в PHP, Python и Java
❤🔥6
Обзор новостей информационной безопасности с 25 апреля по 15 мая
⚠️ Киберкампании:
— фальшивые выплаты в честь Дня Победы обещают в Telegram;
— бренд госфонда «Защитники» используют для рекламы инвестиционного мошенничества;
— новая многоступенчатая схема кражи учётных данных нацелена на пенсионеров;
— группировка Luna Moth атакует юридические и финансовые организации в США с использованием фишинговых звонков;
— вредонос Horabot атакует пользователей Windows в странах Латинской Америки.
😂 Инциденты:
— хакеры похитили данные покупателей британского ретейлера Marks & Spencer;
— интернет-провайдер «Сибсети» столкнулся с DDoS-атакой;
— утечка данных iOS-приложения Second Phone Number;
— вымогатели Rhysida парализовали работу правительственных систем Перу;
— Hitachi Vantara отключила серверы из-за атаки вымогателей;
— взлом авиакомпании GlobalX Air;
— утечка данных клиентов дома моды Dior;
— продаётся массив данных, якобы содержащий 89 млн записей пользователей Steam;
— государственная система электронных уведомлений органов власти США использовалась для массовой рассылки мошеннических писем;
— полки магазинов британской розничной сети Co-op опустели в результате кибератаки.
#фишинг #дайджест
— фальшивые выплаты в честь Дня Победы обещают в Telegram;
— бренд госфонда «Защитники» используют для рекламы инвестиционного мошенничества;
— новая многоступенчатая схема кражи учётных данных нацелена на пенсионеров;
— группировка Luna Moth атакует юридические и финансовые организации в США с использованием фишинговых звонков;
— вредонос Horabot атакует пользователей Windows в странах Латинской Америки.
— хакеры похитили данные покупателей британского ретейлера Marks & Spencer;
— интернет-провайдер «Сибсети» столкнулся с DDoS-атакой;
— утечка данных iOS-приложения Second Phone Number;
— вымогатели Rhysida парализовали работу правительственных систем Перу;
— Hitachi Vantara отключила серверы из-за атаки вымогателей;
— взлом авиакомпании GlobalX Air;
— утечка данных клиентов дома моды Dior;
— продаётся массив данных, якобы содержащий 89 млн записей пользователей Steam;
— государственная система электронных уведомлений органов власти США использовалась для массовой рассылки мошеннических писем;
— полки магазинов британской розничной сети Co-op опустели в результате кибератаки.
#фишинг #дайджест
Please open Telegram to view this post
VIEW IN TELEGRAM
Как не сменить адрес, но сменить карту
Люди ищут, где им лучше жить, поэтому спрос на квартиры в хороших районах всегда высокий. Этим и пользуются мошенники.
Сегодня рассказываем, как аферисты выманивают личные и банковские данные у желающих бюджетно арендовать просторную квартиру в элитном ЖК.
#startx_cards #разбор_атаки
Люди ищут, где им лучше жить, поэтому спрос на квартиры в хороших районах всегда высокий. Этим и пользуются мошенники.
Сегодня рассказываем, как аферисты выманивают личные и банковские данные у желающих бюджетно арендовать просторную квартиру в элитном ЖК.
#startx_cards #разбор_атаки
2⚡6👍3
Обзор новостей информационной безопасности с 16 по 22 мая
⚠️ Киберкампании:
— мошенники маскируются под сотрудников газовой службы;
— новая схема мошенничества с «Госуслугами» и банками;
— официальные уведомления Microsoft используются для атак.
😂 Инциденты:
— DDoS-атака на сайт KrebsOnSecurity;
— утечка данных пользователей Coinbase;
— крупнейшая DDoS-атака на государственные ресурсы РФ;
— абоненты Cellcom остались без связи из-за кибератаки;
— инфраструктура медицинской сети Kettering Health парализована кибератакой;
— киберинцидент остановил производство на заводе Arla Foods;
— официальный сайт инструмента безопасности взломали для распространения вредоносного ПО;
— утечка данных клиентов коллекторского агентства;
— массовый сбой в работе российских онлайн-сервисов из-за DDoS-атаки.
#фишинг #дайджест
— мошенники маскируются под сотрудников газовой службы;
— новая схема мошенничества с «Госуслугами» и банками;
— официальные уведомления Microsoft используются для атак.
— DDoS-атака на сайт KrebsOnSecurity;
— утечка данных пользователей Coinbase;
— крупнейшая DDoS-атака на государственные ресурсы РФ;
— абоненты Cellcom остались без связи из-за кибератаки;
— инфраструктура медицинской сети Kettering Health парализована кибератакой;
— киберинцидент остановил производство на заводе Arla Foods;
— официальный сайт инструмента безопасности взломали для распространения вредоносного ПО;
— утечка данных клиентов коллекторского агентства;
— массовый сбой в работе российских онлайн-сервисов из-за DDoS-атаки.
#фишинг #дайджест
Please open Telegram to view this post
VIEW IN TELEGRAM
🎬 Запускаем серию подкастов с BISA — наши эксперты делятся опытом, как сделать человека сильным звеном в защите компании.
Смотрите первый выпуск — почему люди верят мошенникам и как использовать это знание для обучения сотрудников
Смотрите первый выпуск — почему люди верят мошенникам и как использовать это знание для обучения сотрудников
1❤🔥1👍1
Forwarded from BISA - Ассоциация по вопросам защиты информации
🔥Сегодня в эфире — долгожданный выпуск видеоподкаста «Беседы о безопасности цифрового будущего»!
Обсудили, почему даже самые умные и опытные сотрудники попадаются на уловки мошенников и как использование теории фреймов в обучении сотрудников помогает им защищаться от атак.
Гостями выпуска стали эксперты из Start X:
🔹 Сергей Волдохин, CEO
🔹 Евгений Малов, руководитель клиентского сервиса и поддержки
🎥 СМОТРЕТЬ ВИДЕО
Разобрали:
✅ Почему традиционные подходы к обучению ИБ не работают
✅ Что такое теория фреймов и как она помогает строить эффективные модели обучения
✅ Как мошенники используют психологию, и как превратить это знание в защиту
💡 В выпуске — реальные кейсы, понятные объяснения и свежий взгляд на подготовку сотрудников.
А вы уже применяли теорию фреймов в обучении — что сработало, а что нет?
#BISбеседы
Обсудили, почему даже самые умные и опытные сотрудники попадаются на уловки мошенников и как использование теории фреймов в обучении сотрудников помогает им защищаться от атак.
Гостями выпуска стали эксперты из Start X:
🔹 Сергей Волдохин, CEO
🔹 Евгений Малов, руководитель клиентского сервиса и поддержки
🎥 СМОТРЕТЬ ВИДЕО
Разобрали:
✅ Почему традиционные подходы к обучению ИБ не работают
✅ Что такое теория фреймов и как она помогает строить эффективные модели обучения
✅ Как мошенники используют психологию, и как превратить это знание в защиту
💡 В выпуске — реальные кейсы, понятные объяснения и свежий взгляд на подготовку сотрудников.
А вы уже применяли теорию фреймов в обучении — что сработало, а что нет?
#BISбеседы
👍3
Какую уязвимость из OWASP Top 10 иллюстрирует этот код?
Anonymous Quiz
13%
Недостаточная защита конфиденциальных данных
15%
Уязвимость из-за небезопасного дизайна
34%
Нарушение контроля доступа
39%
Уязвимость из-за SQL-инъекции