Около года назад (а может даже и больше) ко мне пришел один человек с просьбой разместить вакансию в этом канале на пентестера. Ссылку не нашел, но старожилы помнят.

Вакансия, в целом, выглядела, как обычная, но была с каким-то странным подозрительным шлейфом– (масштабируемый доход, выплаты в USDT, без ограничений на локацию и без графика работы, сильный акцент на NDA. В общем, спустя пару часов после публикации, оказалось, что вакансия блечерская. А выяснилось это опытным путем через людей, которые откликнулись на эту вакансию и начали проходить этапы найма.

Почему я об этом решил вспомнить? Да потому что на днях у меня решил спросить совет один человек по поводу того, стоит ли соглашаться на "странные условия" от работодателя.

Здравствуйте! У вас совсем мало опыта. Отметим, что на данный момент ваш практический опыт в области пентеста реальных сетей (включая внешние и внутренние инфраструктурные сегменты) оценивается как недостаточный для выполнения самостоятельных задач на коммерческих проектах в реальном корпоративном сегменте. Тем не менее, если вы обладаете высокой мотивацией к обучению и готовы активно работать в составе нашей команды по информационной безопасности - с фокусом на такие направления, как безопасная разработка (кодинг), пентест Active Directory (AD)/Azure Active Directory(AAD), аудит исходного кода, то мы готовы подготовить NDA контракт, в который включен трудовой договор.

Важно отметить, что период вашего обучения и вхождения в наши процессы не оплачивается отдельно. Вместе с тем, в проекте NDA и трудового договора, четко прописаны условия материальной мотивации: с момента вашего первого подтвержденного успеха в реальных пентест-проектах (например, успешное выявление критической уязвимости или выполнение этапа тестирования) вам будет назначена начальная ставка в размере 200 USD, которая в дальнейшем будет пропорционально увеличиваться по мере роста вашей квалификации и опыта, вклада в результаты пентеста, и командной работы.

Самое интересное то, что этот автоответ прилетел через вакансию, официально опубликованную на HeadHunter-е. Более того, человек просто откликнулся и даже скрининг пройти не успел. Опубликована вакансия от имени некого ИП Епишкин Егор Александрович.

В описании вакансии платины тоже достаточно.

Мы — динамично развивающаяся команда экспертов в области практической безопасности (offensive security). Мы не просто «тыкаем сканерами», а ищем нестандартные пути проникновения, автоматизируем рутину и пишем собственные инструменты.

Наша главная ценность - экспертиза и результат. Мы ценим свободу подхода и поддерживаем инициативу: если ты видишь, как сделать задачу лучше или быстрее - действуй.

Там же.

- Полная удаленка.
- Топ-пентестеры получают **от 1 000 до 10 000 $ за каждый успешный кейс** (помимо основной зарплаты). Количество таких кейсов в месяц не ограничено - всё зависит только от вашей скорости и навыков.
- Полная свобода в выборе стека инструментов для решения задачи.
- Присылайте резюме или краткое письмо о себе. Если у вас нет опыта, но есть большое желание - напишите, о чем вы читали в последнее время или какие лабораторные работы проходили. Мы обязательно рассмотрим всех!

Думаю, что вы сами уже все поняли. Я бы ставил подобные места работы на одну полку со СКАМерами из коллцентров, которые разводят бабушек на пенсии. Поверьте, это не та кибербезопасность и не тот опыт работы, который сделает вашу жизнь лучше и счастливее.

Так что будьте осторожны.

📋 Пакет Вакансий | 📄 Резюмешная

#КиберМем

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Обновить нельзя отложить

Все мы иногда жмем "Напомнить позже", когда телефон или ноутбук просят перезагрузиться (или перезапустить какое-то конкретное приложение) для установки обновлений. обычно прерываться не хочется – работа кипит или сериал интересный, к тому же все ведь и так работает. Но давайте разберемся, зачем все-таки нужны новые версии (апдейты) и почему их не стоит откладывать в долгий ящик.

Что такое обновление? Вспомните любое приложение на вашем телефоне – в нем сотни тысяч строк кода, переиспользуемых библиотек и внешних зависимостей. Время от времени исследователи безопасности или хакеры находят в коде уязвимость или бэкдор (от английского “задняя дверь”, ю ноу), то есть способ получить доступ к устройству. Тогда разработчики экстренно выпускают заплатку (патч). Обновление – это и есть та самая заплатка, которая закрывает брешь. К слову, о важности этих обновлений безопасности мы с Женей еще в том году вам говорили.

Если вы его игнорируете, уязвимость в вашей версии программы никуда не девается. Мошенники, имея инструкцию по взлому (такая информация быстро становится публичной), могут просто зайти через уязвимость, как в незапертую дверь.

Самое простое решение здесь – сделать так, чтобы вы вообще забыли про слово "обновление" и оно ставилось без вашего участия. На современных компьютерах и смартфонах (и на Android, и на iOS) в настройках есть пункт “Автоматическое обновление” – просто включите его один раз и спите спокойно. То же самое касается браузеров и приложений: почти везде есть галочка "Обновляться автоматически в фоне". Есть, правда, у этого пути свои нюансы, но сегодня не об этом.

Бывает ситуация сложнее: вы пользуетесь программой, которую разработчик больше не поддерживает. Если обновления не выходят уже пару лет, то это небезопасно, и самое разумное – найти современную (и поддерживаемую) замену. Для большинства задач есть бесплатные аналоги, которые регулярно обновляются. Современный софт чаще всего еще и быстрее работает, и приятнее выглядит.

Если замена невозможна, то хотя бы используйте такую программу изолированно. Например, не храните в ней пароли, данные карт, персональные данные и тд. А еще лучше будет обрубить доступ этому софту к интернетам при помощи специальных приложений, которые мы разбирали тут – ссылка.

В общем, относитесь к установке новых версий как к мытью рук или чистке зубов. Это простая привычка, которая занимает секунды, но отсекает огромный пласт проблем. Ну или один раз настройте автоматическое обновление и забудьте о надоедливых уведомлениях (но я бы так не делал).

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Как распознать дипфейк (поддельное видео или аудио)

Что вы сделаете, если получите в мессенджере голосовое от мамы или друга с просьбой занять денег? Ну что-то в стиле, “банк заблокировал карту, а нужно прямо сейчас, потом отдам”. К сожалению, очень часто люди все-таки переводят деньги и лишаются их (но видео конечно да).

Такие ситуации случаются все чаще. В исследовании компании по кибербезопасности SkyShark, в 2025 году в результате мошенничества, связанного с дипфейками, люди потеряли около 1,1 миллиарда долларов (930 миллионов евро) по всему миру.

Если коротко, то дипфейки, это поддельные видео и аудио, созданные нейросетями. И мы с вами дошли до того уровня, когда отличить фейк от реальности на глаз уже очень сложно, но всё же возможно, если знать, куда смотреть.

Подделку могут выдать мелочи, с которыми нейросети пока справляются плохо. Обращайте внимание на границы лица и волос, очки (бывают блики, которые переливаются неправильно) и зубы – их нейросети иногда рисуют без разделения. Если голос чуть быстрее или медленнее губ (рассинхрон), это тоже звоночек.

Всматривайтесь в лицо: при разговоре эмоции могут выглядеть неестественно, улыбка не затрагивает глаза, человек моргает реже обычного или вообще не моргает. Иногда появляются странные артефакты: пиксели вокруг лица, расплывающиеся контуры или пятна на коже.

С аудио всё сложнее, но и тут есть зацепки. Если голос звучит слишком ровно, без привычных пауз, эканий и интонаций – это подозрительно. Мошенники часто собирают образец голоса из соцсетей или записанных созвонов и прогоняют через нейросеть. На выходе получается "стерильная" речь. Или наоборот: шумы, которые ИИ добавил, чтобы замаскировать синтез, звучат слишком одинаково, как стиральная машинка на фоне.

Но в первую очередь нужно помнить одно – если вас просят о деньгах по видеосвязи, голосом или сообщением, всегда перезванивайте тому самому человеку по старому номеру, который вы знаете. Не в том же мессенджере, где фейк, а именно обычным звонком или через другого человека, кто может подойти к нему лично. Кроме этого, можно договориться с семьёй о секретном слове или фразе, которую вы говорите, если реально нужна помощь (лайфхак? лайфхак!).

И да, современные технологии позволяют подделать лицо и голос не только в записи, но и в реальном времени. Поэтому не стесняйтесь перезванивать на другой номер и задавать личные вопросы – лучше потратить пять минут на проверку, чем потерять свои кровные навсегда.

⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT

Вы только посмотрите, какую красоту мне подарили ребята из Казани 😍