Новая эра спама в Телеграм!!!
На днях я получил несколько фишинговых сообщений… Вот это ни фига себе новость, правда?) Понятно, что, если б это были простые спам-рассылки, я б на них даже внимания не обратил. Но тут нарисовалось кое-что новенькое для меня.
Немного контекста и небольшой экскурс в мир TON-а. Думаю, многие, даже не сильно близко соприкасающиеся с миром криптовалют, слышали, что Телеграм довольно тесно с этим миром связан. Святой Павел даже запустил собственную криптовалюту и вот это вот всё. И, по сути, в приложение Телеграм, через которое вы, скорее всего, читаете этот пост даже встроена небольшая криптобиржа - @wallet с двумя криптовалютными кошельками.
Почему кошелька целых два? Потому что они используются для разных целей. Первый – это обычный (кастодиальный) криптокошелёк, как сотни других. Там можно хранить всего несколько валют – Bitcoin, USDT, TON (крипта, созданная командой Телеграма) и ещё 6 самых известных криптовалют, запущенных в экосистеме ТГ. А вот со вторым кошельком всё куда веселее. Собственно, я не зря уточнил, что на первом кошельке доступны «самые известные криптовалюты, запущенные в ТГ» - дело в том, что ТГ (а, точнее, TON) позволяет запускать собственные криптовалюты всем желающим. И второй кошелёк предназначен, как раз, для них. При чём, проверки этих криптовалют никто не проводит (это называется «некастодиальный кошелёк» - немного не сильно нужной информации), никакого финансового обеспечения для них тоже не требуется.
Так вот, кошельки ТГ я использовал не сильно активно. И пользовался всегда только первым. Но, так случилось, что пару дней назад у меня нарисовалось несколько крупных транзакций на втором, том самом, некастодиальном кошельке (спасибо Павлу Второму). А особенность этих кошельков в том, что транзакции по ним открыты – каждый может увидеть объём транзакций и номер кошелька (к счастью, ник в ТГ, хотя бы, скрыт). И сразу после этих переводов мне посыпался спам в виде переводов! Звучит на первый взгляд красиво – «всегда бы так – получать крипту в виде спам-сообщений!» Но, понятно, всё не так радужно. Как я писал выше, для запуска на базе TON-а криптовалютам не требуется никакое денежное подкрепление – то есть, крипта может стоить ровно 0. Плюс, такие монеты не присутствуют ни на одной бирже – их, банально, никак не перевести ни в какие другие активы.
Но, при всём при этом, на их название и описание нет никаких ограничений – поэтому, они вполне могут выглядеть, как вполне реальные активы. Или содержать ссылку на «сайт для вывода этих монет, к которому всего-то надо подключить свой кошелёк!»
И, в целом, понятно, что я сам залез туда, где подобного вида фишинг возможен. И нормальный человек туда вряд ли полезет) Но, при этом, мир Web3-технологий, в целом, и криптовалют, в частности, создаёт новый плацдарм для мошенников просто за счёт того, что традиционные средства кибербезопасности (такие, как, например, спам-фильтры) там, зачастую, просто, не работают…
На днях я получил несколько фишинговых сообщений… Вот это ни фига себе новость, правда?) Понятно, что, если б это были простые спам-рассылки, я б на них даже внимания не обратил. Но тут нарисовалось кое-что новенькое для меня.
Немного контекста и небольшой экскурс в мир TON-а. Думаю, многие, даже не сильно близко соприкасающиеся с миром криптовалют, слышали, что Телеграм довольно тесно с этим миром связан. Святой Павел даже запустил собственную криптовалюту и вот это вот всё. И, по сути, в приложение Телеграм, через которое вы, скорее всего, читаете этот пост даже встроена небольшая криптобиржа - @wallet с двумя криптовалютными кошельками.
Почему кошелька целых два? Потому что они используются для разных целей. Первый – это обычный (кастодиальный) криптокошелёк, как сотни других. Там можно хранить всего несколько валют – Bitcoin, USDT, TON (крипта, созданная командой Телеграма) и ещё 6 самых известных криптовалют, запущенных в экосистеме ТГ. А вот со вторым кошельком всё куда веселее. Собственно, я не зря уточнил, что на первом кошельке доступны «самые известные криптовалюты, запущенные в ТГ» - дело в том, что ТГ (а, точнее, TON) позволяет запускать собственные криптовалюты всем желающим. И второй кошелёк предназначен, как раз, для них. При чём, проверки этих криптовалют никто не проводит (это называется «некастодиальный кошелёк» - немного не сильно нужной информации), никакого финансового обеспечения для них тоже не требуется.
Так вот, кошельки ТГ я использовал не сильно активно. И пользовался всегда только первым. Но, так случилось, что пару дней назад у меня нарисовалось несколько крупных транзакций на втором, том самом, некастодиальном кошельке (спасибо Павлу Второму). А особенность этих кошельков в том, что транзакции по ним открыты – каждый может увидеть объём транзакций и номер кошелька (к счастью, ник в ТГ, хотя бы, скрыт). И сразу после этих переводов мне посыпался спам в виде переводов! Звучит на первый взгляд красиво – «всегда бы так – получать крипту в виде спам-сообщений!» Но, понятно, всё не так радужно. Как я писал выше, для запуска на базе TON-а криптовалютам не требуется никакое денежное подкрепление – то есть, крипта может стоить ровно 0. Плюс, такие монеты не присутствуют ни на одной бирже – их, банально, никак не перевести ни в какие другие активы.
Но, при всём при этом, на их название и описание нет никаких ограничений – поэтому, они вполне могут выглядеть, как вполне реальные активы. Или содержать ссылку на «сайт для вывода этих монет, к которому всего-то надо подключить свой кошелёк!»
И, в целом, понятно, что я сам залез туда, где подобного вида фишинг возможен. И нормальный человек туда вряд ли полезет) Но, при этом, мир Web3-технологий, в целом, и криптовалют, в частности, создаёт новый плацдарм для мошенников просто за счёт того, что традиционные средства кибербезопасности (такие, как, например, спам-фильтры) там, зачастую, просто, не работают…
❤6🔥3
В продолжение темы новых вызовов, которые время ставит перед специалистами по кибербезу...
Европол (МВД всея ЕС) снова зашевелился и по итогам прошедшего форума, посвящённого безопасности финансов в эру квантовых вычислений, выдал рекомендации по скорейшему переходу на пост-квантовое шифрование (подробнее об актуальности проблемы я писал вот тут)
Ведомство сейчас опасается, что злоумышленники могут просто начинать собирать информацию сейчас, а расшифровывать её через 10-15 лет, когда получат доступ к мощностям квантовых компьютеров, способным ломать современное шифрование. Собственно, лично ваши данные вряд ли кто-то станет хранить целых 15 лет, чтобы с некоторой вероятностью получить к ним доступ, а вот данные каких-нибудь крупных компаний и госучреждений на таком отрезке времени вполне могут иметь ценность.
#безопасность #хакер #кибербезопасность
Европол (МВД всея ЕС) снова зашевелился и по итогам прошедшего форума, посвящённого безопасности финансов в эру квантовых вычислений, выдал рекомендации по скорейшему переходу на пост-квантовое шифрование (подробнее об актуальности проблемы я писал вот тут)
Ведомство сейчас опасается, что злоумышленники могут просто начинать собирать информацию сейчас, а расшифровывать её через 10-15 лет, когда получат доступ к мощностям квантовых компьютеров, способным ломать современное шифрование. Собственно, лично ваши данные вряд ли кто-то станет хранить целых 15 лет, чтобы с некоторой вероятностью получить к ним доступ, а вот данные каких-нибудь крупных компаний и госучреждений на таком отрезке времени вполне могут иметь ценность.
#безопасность #хакер #кибербезопасность
🤔5
Несколько кадров из самой загнивающей страны в мире от моего друга и бывшего тимлида, Фёдора...
Только посмотрите, насколько там безопасники не ведают норм морали - они решили ИБ-грамотность повышать в популярной и доступной для всех форме - в виде комиксов!)
В целом, комикс достаточно прост - по сути, в нём рассказываются основные понятия, а для закрепления в конце, в качестве теста, идёт небольшой сканворд.
Пожалуй, единственный к нему вопрос - не совсем понятная (лично для меня) ЦА - студенты первых курсов по специальности и стажёры? Как будто, безопасники, и так, все эти понятия должны знать. А рядовым пользователям половина из них совсем не нужна...
Только посмотрите, насколько там безопасники не ведают норм морали - они решили ИБ-грамотность повышать в популярной и доступной для всех форме - в виде комиксов!)
В целом, комикс достаточно прост - по сути, в нём рассказываются основные понятия, а для закрепления в конце, в качестве теста, идёт небольшой сканворд.
Пожалуй, единственный к нему вопрос - не совсем понятная (лично для меня) ЦА - студенты первых курсов по специальности и стажёры? Как будто, безопасники, и так, все эти понятия должны знать. А рядовым пользователям половина из них совсем не нужна...
❤4🌚2🤔1
Тут умельцы нашли новый способ стеганографии, который, кстати, работает и через телеграмм - можно до 3000 символов текста записать в один эмоджи. Для упрощения создали даже специальный дешифратор.
В целом, штука работает в любом сайте или формате, в котором поддерживается Unicode. Но в ТГ функционирует только с отдельно отправленными эмоджи (которые прилетают в виде анимированного стикера).
В целом, штука работает в любом сайте или формате, в котором поддерживается Unicode. Но в ТГ функционирует только с отдельно отправленными эмоджи (которые прилетают в виде анимированного стикера).
😁6
Я тут очередной комментарий давал ребятам из Skillfactory на тему инструментария ИБшников - меня попросили подсказать ресурсы для изучения Wireshark (для тех, кто не сильно в теме - это самый популярный анализатор траффика).
Собственно, я всегда топлю за получение, в первую очередь, практических знаний, а потому просто дал ребятам ссылку на мою подборку материалов по старту карьеры ИБшника, а точнее, на раздел с практическими работами. Но этого мне показалось мало, и я под это дело решил полностью переработать этот раздел. Добавил новые сайты и систематизировал всё по направлениям кибербеза. (О цветовой дифференциации безопасников я когда-то писал тут)
Собственно, самую мякотку из каждого направления распишу тут...
Красная команда.
Тут, пожалуй, нерушимая классика - это hackthebox.com и tryhackme.com. Сайты настолько популярны, что многие джуны, а иногда и миддлы (особенно, на западе) используют профили на них вместо гитхаба - прикрепляют ссылку в резюме с подписью "Топ 1% на сайте..."
Синяя команда.
Долгое время моим любимчиком тут был letsdefend.io из-за того, что ребята давали возможность самому скачать файлы, виртуалки, поколупаться во всём этом (я лучше понимаю инструмент, если настроил его сам). Сейчас ребята ушли полностью онлайн, большая часть лаб проходит на серверах, развёрнутых на их стороне. Поэтому, нового любимчика пока ищу.
Пурпурная (фиолетовая) команда.
Тут, обычно, много споров, кого относить к этой команде, но реверс-инженеры, вроде, вполне вписываются в описание. А, значит, crackmes.one вписывается в эту категорию!
Зелёная команда.
Тут мне подсказали, что у ребят из securecodewarrior.com есть большой массив обучающих материалов по направлению - от теории до, собственно, лабораторок.
Жёлтая команда.
Тут, с одной стороны, голяк. С другой - раздолье. Отдельных сайтов по практике тут нет. Зато, можно развернуться на собственных стендах - хватило бы мощности ПК. Для внедренца, я считаю, лучше всего практиковаться на реальном ПО. И для этого я рекомендую глянуть на другую страницу - стендов для практики. Благо, многие вендора предоставляют демо-версии своих продуктов (из ру-вендоров советую обратить внимание на стенд Кода Безопасности - он самый широкий функционал предоставляет). Да и Опенсорсных решений хватает (если интересует мировой рынок - стенд придётся собирать, в основном, из них - Wazuh, Zabbix, OpenVPN, pfsense...)
В общем, вариантов получения практического опыта много. Что-то устаревает, что-то, наоборот, появляется. Рекомендую отслеживать самим, чтобы ничего не упустить. Хотя, и я на эту страницу инфу постараюсь добавлять по мере её появления.
#киберебзопасность #обучение #войтивайти #база_знаний #образование
Собственно, я всегда топлю за получение, в первую очередь, практических знаний, а потому просто дал ребятам ссылку на мою подборку материалов по старту карьеры ИБшника, а точнее, на раздел с практическими работами. Но этого мне показалось мало, и я под это дело решил полностью переработать этот раздел. Добавил новые сайты и систематизировал всё по направлениям кибербеза. (О цветовой дифференциации безопасников я когда-то писал тут)
Собственно, самую мякотку из каждого направления распишу тут...
Красная команда.
Тут, пожалуй, нерушимая классика - это hackthebox.com и tryhackme.com. Сайты настолько популярны, что многие джуны, а иногда и миддлы (особенно, на западе) используют профили на них вместо гитхаба - прикрепляют ссылку в резюме с подписью "Топ 1% на сайте..."
Синяя команда.
Долгое время моим любимчиком тут был letsdefend.io из-за того, что ребята давали возможность самому скачать файлы, виртуалки, поколупаться во всём этом (я лучше понимаю инструмент, если настроил его сам). Сейчас ребята ушли полностью онлайн, большая часть лаб проходит на серверах, развёрнутых на их стороне. Поэтому, нового любимчика пока ищу.
Пурпурная (фиолетовая) команда.
Тут, обычно, много споров, кого относить к этой команде, но реверс-инженеры, вроде, вполне вписываются в описание. А, значит, crackmes.one вписывается в эту категорию!
Зелёная команда.
Тут мне подсказали, что у ребят из securecodewarrior.com есть большой массив обучающих материалов по направлению - от теории до, собственно, лабораторок.
Жёлтая команда.
Тут, с одной стороны, голяк. С другой - раздолье. Отдельных сайтов по практике тут нет. Зато, можно развернуться на собственных стендах - хватило бы мощности ПК. Для внедренца, я считаю, лучше всего практиковаться на реальном ПО. И для этого я рекомендую глянуть на другую страницу - стендов для практики. Благо, многие вендора предоставляют демо-версии своих продуктов (из ру-вендоров советую обратить внимание на стенд Кода Безопасности - он самый широкий функционал предоставляет). Да и Опенсорсных решений хватает (если интересует мировой рынок - стенд придётся собирать, в основном, из них - Wazuh, Zabbix, OpenVPN, pfsense...)
В общем, вариантов получения практического опыта много. Что-то устаревает, что-то, наоборот, появляется. Рекомендую отслеживать самим, чтобы ничего не упустить. Хотя, и я на эту страницу инфу постараюсь добавлять по мере её появления.
#киберебзопасность #обучение #войтивайти #база_знаний #образование
👍11🔥2