Корпорации зла
Все продуктовые компании собирают аналитические данные пользователей об использовании своих сервисов. Это логично, так как им необходимо персонализировать свои услуги, улучшать их и вырабатывать эффективную стратегию развития, что в конечном итоге и повлияет на то количество денег, которое они заработают со своих клиентов.
Так вот, Apple себе в этом тоже не отказывает. Порой даже независимо от того, дал пользователь свое согласие или нет. Поэтому компания регулярно получает коллективные судебные иски, последний из которых был 6 января этого года. Дело в том, что приложение AppStore собирало и отправляло данные в режиме реального времени о поиске, просмотренных объявлениях и времени, которое вы на это потратили (даже после отказа пользователя от отправки этой информации ).
В рамках этого контекста – ничего страшного, но что, если такое практикуется и в других сервисах и приложениях компании? На самом деле, наверняка все данные и так собираются и отправляются куда надо для аналитики, и это уже давно ни для кого не сюрприз. На схожую тему в 2020 году сам Netflix снял фильм – Социальная дилемма, в котором бывшие сотрудники Google, Facebook, Twitter, YouTube и многих других IT-компаний рассказывают о своих разработках для компаний, причинах их увольнения, и о том, как разработанные ими алгоритмы пагубно влияют на жизнь людей и особенно — детей. Очень советую к просмотру, так как это может качественно повлиять как на вашу настоящую жизнь, так и на ваше будущее.
#Мнение
Твой Пакет Безопасности
Все продуктовые компании собирают аналитические данные пользователей об использовании своих сервисов. Это логично, так как им необходимо персонализировать свои услуги, улучшать их и вырабатывать эффективную стратегию развития, что в конечном итоге и повлияет на то количество денег, которое они заработают со своих клиентов.
Так вот, Apple себе в этом тоже не отказывает. Порой даже независимо от того, дал пользователь свое согласие или нет. Поэтому компания регулярно получает коллективные судебные иски, последний из которых был 6 января этого года. Дело в том, что приложение AppStore собирало и отправляло данные в режиме реального времени о поиске, просмотренных объявлениях и времени, которое вы на это потратили (
В рамках этого контекста – ничего страшного, но что, если такое практикуется и в других сервисах и приложениях компании? На самом деле, наверняка все данные и так собираются и отправляются куда надо для аналитики, и это уже давно ни для кого не сюрприз. На схожую тему в 2020 году сам Netflix снял фильм – Социальная дилемма, в котором бывшие сотрудники Google, Facebook, Twitter, YouTube и многих других IT-компаний рассказывают о своих разработках для компаний, причинах их увольнения, и о том, как разработанные ими алгоритмы пагубно влияют на жизнь людей и особенно — детей. Очень советую к просмотру, так как это может качественно повлиять как на вашу настоящую жизнь, так и на ваше будущее.
#Мнение
Твой Пакет Безопасности
⚡10❤🔥7👍3😁3🤯3👎1
Министерство внутренних дел в области легких паролей
В США произошёл позор. Дело в том, что Министерство внутренних дел в области кибербезопасности уличили и раскритиковали за то, что его сотрудники используют в своих учетных записях простые пароли формата "Password1234". Более того, сделал это другой правительственный надзорный орган США, взломав те самые учетные записи нескольких тысяч сотрудников Министерства.
Забавно то, что раз у сотрудников получилось установить себе легко угадываемые пароли (винить их в этом сложно, так как "что не запрещено – то разрешено"), значит это не было ограничено политиками безопасности компании. Ситуация выходит более чем комичная. Но постирония заключается еще и в том, что по итогам исследования оказалось, что сотрудники Министерства, отвечающие за кибербезопасность, нарушили более 20 своих же рекомендаций по информационной безопасности.
#НовостьДня
Твой Пакет Безопасности
Забавно то, что раз у сотрудников получилось установить себе легко угадываемые пароли (винить их в этом сложно, так как "что не запрещено – то разрешено"), значит это не было ограничено политиками безопасности компании. Ситуация выходит более чем комичная. Но постирония заключается еще и в том, что по итогам исследования оказалось, что сотрудники Министерства, отвечающие за кибербезопасность, нарушили более 20 своих же рекомендаций по информационной безопасности.
#НовостьДня
Твой Пакет Безопасности
😁23❤12❤🔥3⚡2👍2🤯1🌚1
Безопасность в Telegram
Мы с вами не раз затрагивали тему мошенничества в Телеграме (раз, два, три, четыре, пять), подробно разбирая популярные и актуальные схемы угона аккаунтов. Есть всего несколько базовых приницпов, которые используют злоумышленники при взломе. Зная их, вы будете с легкостью их распознавать, в какую бы обёртку их не завернули.
Взлом через рассылку файлов с программами-взломщиками. Не самый частый, но действенный метод. Для того, чтобы он сработал, жертва должна получить и скачать вредоносный файл на свое устройство. Файл может быть абсолютно любого формата, начиная с .xlsx, заканчивая .pdf или .zip. Файл вам может прислать как незнакомец, так и кто-то из вашего списка контактов (под любым предлогом), так что будьте вдвойне осторожны. Такие файлы нельзя ни скачивать, ни открывать.
Угон через авторизацию по ссылке. Наиболее частый способ, заключающийся в переходе жертвы по внешней ссылке на фишинговый сайт с запросом авторизации через мессенджер. Как только вы вводите свои данные на сайте мошенников, контроль над вашим аккаунтом переходит в руки злоумышленников. Всегда проверяйте внешние ссылки, которые вам присылают, вне зависимости от того, кто именно ими с вами поделился. А лучше вообще по ним не переходите без крайней необходимости.
Взлом через внутренних ботов. К вам в гости может зайти не просто человек, а даже бот (или пользователь, маскирующийся под него), например от “службы поддержки” Telegram Support. Бот точно также может запросить у вас любые данные, после чего передаст их прямо в руки злоумышленникам. Ну а исход вы знаете. Навязчивых ботов лучше сразу останавливать в меню профиля, а маскировщиков – блокировать.
В одном из следующих постов попробуем собрать вместе все правила кибергигиены в Телеграме, чтобы они всегда были у вас под рукой и вы не попались на схемы злоумышленников.
#Кибергигиена
Твой Пакет Безопасности
Мы с вами не раз затрагивали тему мошенничества в Телеграме (раз, два, три, четыре, пять), подробно разбирая популярные и актуальные схемы угона аккаунтов. Есть всего несколько базовых приницпов, которые используют злоумышленники при взломе. Зная их, вы будете с легкостью их распознавать, в какую бы обёртку их не завернули.
Взлом через рассылку файлов с программами-взломщиками. Не самый частый, но действенный метод. Для того, чтобы он сработал, жертва должна получить и скачать вредоносный файл на свое устройство. Файл может быть абсолютно любого формата, начиная с .xlsx, заканчивая .pdf или .zip. Файл вам может прислать как незнакомец, так и кто-то из вашего списка контактов (под любым предлогом), так что будьте вдвойне осторожны. Такие файлы нельзя ни скачивать, ни открывать.
Угон через авторизацию по ссылке. Наиболее частый способ, заключающийся в переходе жертвы по внешней ссылке на фишинговый сайт с запросом авторизации через мессенджер. Как только вы вводите свои данные на сайте мошенников, контроль над вашим аккаунтом переходит в руки злоумышленников. Всегда проверяйте внешние ссылки, которые вам присылают, вне зависимости от того, кто именно ими с вами поделился. А лучше вообще по ним не переходите без крайней необходимости.
Взлом через внутренних ботов. К вам в гости может зайти не просто человек, а даже бот (или пользователь, маскирующийся под него), например от “службы поддержки” Telegram Support. Бот точно также может запросить у вас любые данные, после чего передаст их прямо в руки злоумышленникам. Ну а исход вы знаете. Навязчивых ботов лучше сразу останавливать в меню профиля, а маскировщиков – блокировать.
В одном из следующих постов попробуем собрать вместе все правила кибергигиены в Телеграме, чтобы они всегда были у вас под рукой и вы не попались на схемы злоумышленников.
#Кибергигиена
Твой Пакет Безопасности
👍25⚡5❤🔥5🔥1😁1🤯1
Оптом дешевле
Рассказывать о каждой утечке в отдельных постах уже неудобно, поэтому буду их группировать.
Во-первых, компания «1С» подтвердила утечку данных пользователей своего образовательного сервиса «1С:Урок». Слиты были ФИО, номера телефонов и адреса электронной почты школьников и учителей. Судя по заявлениям самой компании, причины утечки уже уcтранены. Хочется надеяться, что так и есть.
Во-вторых, стало известно о взломе очередного сервиса хранения паролей от Norton. Так вот, NortonLifeLock успел попасть под атаку в конце 2022 года. Если верить заявлениям самой компании, то 12 декабря они заметили массовый перебор учётных данных для входа в свою систему, что можно трактовать как кибератаку на сервис. Ребята инициировали расследование, в ходе которого выяснилось, что атаки начались двумя неделями ранее и злоумышленники даже успели взломать какое-то количество учетных записей пользователей (само собой, какое именно количество, компания скрыла ). Поэтому, Norton в срочном порядке сама сбросила пароли для затронутых учётных записей, чтобы обезопасить пользователей от злоумышленников, разослав соответствующее оповещение.
Устанавливайте только безопасные сложные пароли, регулярно их меняйте и не используйте одинаковые пароли для разных сервисов. И включайте двухфакторную авторизацию везде, где это возможно. А главное помните – в этом мире нет ничего, что нельзя взломать.
#НовостьДня
Твой Пакет Безопасности
Рассказывать о каждой утечке в отдельных постах уже неудобно, поэтому буду их группировать.
Во-первых, компания «1С» подтвердила утечку данных пользователей своего образовательного сервиса «1С:Урок». Слиты были ФИО, номера телефонов и адреса электронной почты школьников и учителей. Судя по заявлениям самой компании, причины утечки уже уcтранены. Хочется надеяться, что так и есть.
Во-вторых, стало известно о взломе очередного сервиса хранения паролей от Norton. Так вот, NortonLifeLock успел попасть под атаку в конце 2022 года. Если верить заявлениям самой компании, то 12 декабря они заметили массовый перебор учётных данных для входа в свою систему, что можно трактовать как кибератаку на сервис. Ребята инициировали расследование, в ходе которого выяснилось, что атаки начались двумя неделями ранее и злоумышленники даже успели взломать какое-то количество учетных записей пользователей (
Устанавливайте только безопасные сложные пароли, регулярно их меняйте и не используйте одинаковые пароли для разных сервисов. И включайте двухфакторную авторизацию везде, где это возможно. А главное помните – в этом мире нет ничего, что нельзя взломать.
#НовостьДня
Твой Пакет Безопасности
👍11❤🔥7⚡6🤯2🥴2🕊1
Ну хватит уже...
Лично мне за вчерашний день уже надоела новость о том, что у Яндекса произошла утечка исходного кода сразу 10 его основных сервисов. Но, с этим ничего не поделать, Яндекс действительно известная компания, с инцидентов которой многие любят снимать сливки.
Само собой, Яндекс уже успел прокомментировать эту ситуацию, успокоив всех тем, что были слиты исходники годовалой давности (часть кода всё еще может быть актуальной ), тем, что в утечке нет данных пользователей (больная тема для компании ) и тем, что взлома системы безопасности не было (значит слил кто-то изнутри ).
А теперь попробуем трезво взглянуть на то, что у нас есть в сухом остатке. Во-первых, пользователям действительно ничего не угрожает (если всё сказанное Яндексом – правда). Во-вторых, хакеры теперь могут просканировать слитую кодовую базу на предмет наличия уязвимостей безопасности в сервисах, чтобы использовать эту информацию в будущем. Несмотря на это, расковырять руками код таких масштабов будет крайне сложно, для этого потребуется целый штат опытных разработчиков и технических писателей (но всё возможно, вопрос только целесообразности вложенных ресурсов).
Ну и в-третьих, выкачать такой объем исходного кода из внутреннего репозитория компании – не просто диверсия, а самое настоящее чудо. И чудо здесь заключается в том, что этого не заметила служба ИБ (к которой накопилось уже очень много вопросов ). Остаётся только гадать, где кроется проблема – в слабой защите и контроле безопасности или в настолько изобретательных, но обиженных сотрудниках компании.
#НовостьДня
Твой Пакет Безопасности
Лично мне за вчерашний день уже надоела новость о том, что у Яндекса произошла утечка исходного кода сразу 10 его основных сервисов. Но, с этим ничего не поделать, Яндекс действительно известная компания, с инцидентов которой многие любят снимать сливки.
Само собой, Яндекс уже успел прокомментировать эту ситуацию, успокоив всех тем, что были слиты исходники годовалой давности (
А теперь попробуем трезво взглянуть на то, что у нас есть в сухом остатке. Во-первых, пользователям действительно ничего не угрожает (если всё сказанное Яндексом – правда). Во-вторых, хакеры теперь могут просканировать слитую кодовую базу на предмет наличия уязвимостей безопасности в сервисах, чтобы использовать эту информацию в будущем. Несмотря на это, расковырять руками код таких масштабов будет крайне сложно, для этого потребуется целый штат опытных разработчиков и технических писателей (но всё возможно, вопрос только целесообразности вложенных ресурсов).
Ну и в-третьих, выкачать такой объем исходного кода из внутреннего репозитория компании – не просто диверсия, а самое настоящее чудо. И чудо здесь заключается в том, что этого не заметила служба ИБ (
#НовостьДня
Твой Пакет Безопасности
⚡12🤓6🎉5❤🔥4👍4🤔2🤯1🙏1🕊1
Достижение или преступление?
В тему активности пророссийских хакерских группировок на мировой арене – стало известно о том, что в конце лета 2021 года некий Андрей Коринец (35-летний IT-специалист из Сыктывкара) принял участие в кибератаке сразу на три ядерные лаборатории в США. Более того, он сам подтвердил свою причастность к этим событиям.
Ядерные лаборатории, при этом, воздержались от комментариев (что логично ) касательно объема причиненного ущерба. Само собой, гордиться такими достижениями нашего соотечественника или осуждать их – решение каждого из вас, но атаковать инфраструктурные объекты ядерного сектора любой страны – далеко не самый этичный поступок.
#НовостьДня
Твой Пакет Безопасности
В тему активности пророссийских хакерских группировок на мировой арене – стало известно о том, что в конце лета 2021 года некий Андрей Коринец (35-летний IT-специалист из Сыктывкара) принял участие в кибератаке сразу на три ядерные лаборатории в США. Более того, он сам подтвердил свою причастность к этим событиям.
Ядерные лаборатории, при этом, воздержались от комментариев (
#НовостьДня
Твой Пакет Безопасности
⚡11🤯6🌚4👍3❤🔥1🕊1
Сложно ли войти в IT
Кажется, что подобные заголовки успели надоеcть уже всем за последнее время, начиная с пандемии коронавируса, и заканчивая другими глобальными мировыми событиями. Весьма логично, ведь все, кто вне IT почему-то думают, что тут всё просто, легко и можно вырабатывать максимум денег, прикладывая минимум усилий. В целом, примерно так и есть, но нюансов просто море.
Так вот, о чём это я. Наткнулся недавно в ютубе на разбор популярных ИТ-профессий от академии Merion. Они уже давно штампуют отличные ролики, в которых рассказывают об аспектах и технологиях из мира IT. Подобного контента очень много и на других каналах, но эти ребята делают это с очень легкой и приятной подачей, мемами и шутками, а главное – структурированно.
Короче говоря, это определённый мастхэв и обязательно к просмотру, если вы хотите войти, интересуетесь или даже уже работаете в IT.
#Полезное
Твой Пакет Безопасности
Кажется, что подобные заголовки успели надоеcть уже всем за последнее время, начиная с пандемии коронавируса, и заканчивая другими глобальными мировыми событиями. Весьма логично, ведь все, кто вне IT почему-то думают, что тут всё просто, легко и можно вырабатывать максимум денег, прикладывая минимум усилий. В целом, примерно так и есть, но нюансов просто море.
Так вот, о чём это я. Наткнулся недавно в ютубе на разбор популярных ИТ-профессий от академии Merion. Они уже давно штампуют отличные ролики, в которых рассказывают об аспектах и технологиях из мира IT. Подобного контента очень много и на других каналах, но эти ребята делают это с очень легкой и приятной подачей, мемами и шутками, а главное – структурированно.
Короче говоря, это определённый мастхэв и обязательно к просмотру, если вы хотите войти, интересуетесь или даже уже работаете в IT.
#Полезное
Твой Пакет Безопасности
⚡8👍6🤯5❤🔥4
Советы по безопасности в Telegram
Продолжаем тему одного из прошлых постов, посвященных кибергигиене в Телеграме. Здесь зафиксируем основные постулаты и правила безопасности, так что сохраняйте себе и пересылайте близким.
🚨 С осторожностью относитесь к сообщениям от пользователей, которых нет в вашем списке контактов.
🚨 Тщательно проверяйте, с кем ведёте беседу, и не стесняйтесь задавать уточняющие вопросы. Странные просьбы от знакомых в личных сообщениях — один из признаков, что их взломали.
🚨 Никогда не переходите по подозрительным ссылкам из сообщений, особенно – внешним ссылкам.
🚨 Ни в коем случае не делитесь своими персональными данными и скройте номер телефона, на который зарегистрирован ваш профиль.
🚨 Установите двухфакторную аутентификацию в Телеграме (да, спасает уже не всегда, но шансы есть ).
🚨 Не скачивайте подозрительные файлы на ваши устройства.
🚨 Прежде чем вводить какие-либо данные на посторонней веб-странице, проверьте наличие защищённого соединения и убедитесь в том, что это не фишинговый сайт.
У команды поддержки Телеграма в информации об аккаунте есть галочка (белая на синем фоне) верификации возле названия. Нет галочки — это мошенники. Но помните о Telegram Premium, который позволяет ставить любые смайлики в название профиля.
Официальный сайт мессенджера telegram.org — только он.
Страница службы поддержки — только telegram.org/support
#Кибергигиена
Твой Пакет Безопасности
Продолжаем тему одного из прошлых постов, посвященных кибергигиене в Телеграме. Здесь зафиксируем основные постулаты и правила безопасности, так что сохраняйте себе и пересылайте близким.
🚨 С осторожностью относитесь к сообщениям от пользователей, которых нет в вашем списке контактов.
🚨 Тщательно проверяйте, с кем ведёте беседу, и не стесняйтесь задавать уточняющие вопросы. Странные просьбы от знакомых в личных сообщениях — один из признаков, что их взломали.
🚨 Никогда не переходите по подозрительным ссылкам из сообщений, особенно – внешним ссылкам.
🚨 Ни в коем случае не делитесь своими персональными данными и скройте номер телефона, на который зарегистрирован ваш профиль.
🚨 Установите двухфакторную аутентификацию в Телеграме (
🚨 Не скачивайте подозрительные файлы на ваши устройства.
🚨 Прежде чем вводить какие-либо данные на посторонней веб-странице, проверьте наличие защищённого соединения и убедитесь в том, что это не фишинговый сайт.
У команды поддержки Телеграма в информации об аккаунте есть галочка (белая на синем фоне) верификации возле названия. Нет галочки — это мошенники. Но помните о Telegram Premium, который позволяет ставить любые смайлики в название профиля.
Официальный сайт мессенджера telegram.org — только он.
Страница службы поддержки — только telegram.org/support
#Кибергигиена
Твой Пакет Безопасности
👍14❤🔥7🎉7⚡3🤯1🤣1
Безопасный чемпион
По заявкам трудящихся иногда будут выходить разборы интересных ролей в сфере кибербезопасности. Начнем с роли под красивым названием Security Champion. Я был удивлён, но это словосочетание вызывало удивление даже у людей, работающих в больших IT-компаниях.
Так вот, о нашем чемпионе. Здесь нужно сразу понять, что это не профессия или специальность, это именно роль, которую на себя примеряет, например один из членов команды разработки. Это может быть разработчик, тестировщик, девопс или тимлид – это не важно. Суть в том, чтобы этот человек был входным окном для отдела кибербезопасности и брал на себя ответственность за выполнение работ по обеспечению безопасности в своём продукте и команде.
Звучит сложно, но давайте попробуем разобрать на примере. Представим, что у нас есть стандартная команда разработки мобильного приложения. В этой команде есть бизнес-аналитик (он общается с бизнесом и формулирует требования к новой функциональности в приложении), разработчик (он создаёт то самое приложение в соответствии с требованиями), тестировщик (он отвечает за качество финального продукта и проверяет выполнение всех требований) и проджект-менеджер (он делает так, чтобы все работали слаженно, а сроки не нарушались). Да, тут нет кибербезопасников, ведь они зачастую сидят в другом отделе, чтобы не допустить конфликта интересов. Именно поэтому в команде нужен одинчемпион человек, который будет коммуницировать с безопасниками, отвечать за выполнение задач от ИБ и доносить до команды важные вещи, связанные с безопасностью. Само собой, в случае необходимости, кибербезопасники могут собирать встречи со всей командой, но зачастую это не так эффективно
Чаще всего это не односторонняя сделка. За то, что человек берет на себя такую ответственность, ему во-первых, повышают размер вознаграждения (зарплата или премия ), а во-вторых, он много чего узнаёт на тему ИБ (что повышает его цену на рынке труда ) и, по сути, он переходит под менторство безопасника компании. Это значит, что этот специалист будет погружен в различные области защиты информации, приложений, сети и сервисов. Можно сказать, что наш чемпион бесплатно получает высшее образование в магистратуре.
#Полезное
Твой Пакет Безопасности
По заявкам трудящихся иногда будут выходить разборы интересных ролей в сфере кибербезопасности. Начнем с роли под красивым названием Security Champion. Я был удивлён, но это словосочетание вызывало удивление даже у людей, работающих в больших IT-компаниях.
Так вот, о нашем чемпионе. Здесь нужно сразу понять, что это не профессия или специальность, это именно роль, которую на себя примеряет, например один из членов команды разработки. Это может быть разработчик, тестировщик, девопс или тимлид – это не важно. Суть в том, чтобы этот человек был входным окном для отдела кибербезопасности и брал на себя ответственность за выполнение работ по обеспечению безопасности в своём продукте и команде.
Звучит сложно, но давайте попробуем разобрать на примере. Представим, что у нас есть стандартная команда разработки мобильного приложения. В этой команде есть бизнес-аналитик (он общается с бизнесом и формулирует требования к новой функциональности в приложении), разработчик (он создаёт то самое приложение в соответствии с требованиями), тестировщик (он отвечает за качество финального продукта и проверяет выполнение всех требований) и проджект-менеджер (он делает так, чтобы все работали слаженно, а сроки не нарушались). Да, тут нет кибербезопасников, ведь они зачастую сидят в другом отделе, чтобы не допустить конфликта интересов. Именно поэтому в команде нужен один
#Полезное
Твой Пакет Безопасности
👍19❤🔥7🤯5⚡2😍1🤣1
Кто-то еще пользуется Скайпом?
В нашей стране очень много поистине квалифицированных специалистов в сфере IT, которые легко составляют конкуренцию своим иностранным коллегам. Но у наших ребят есть одна общая и очень большая проблема – знание английского языка, который зачастую является корпоративным, вне зависимости от местоположения компании. Читать и писать умеет большинство, но вот поддержать беседу, выкидывая афоризмы в прямом эфире, параллельно понимая собеседника, смогут явно не все.
И если работать в англоязычном коллективе – не такая уж и большая проблема (языковой барьер размоется, а словарный запас будет пополняться органически), то устроиться в эти компании задачка уже посложнее. Ведь специалисту придется пройти (помимо технической секции) несколько раундов собеседований с HR, будущим менеджером и, возможно, даже руководством компании. Лично мне с моим B1 это удаётся с трудом.
Но Skype скоро сможет нам с этим помочь (если завезут русский язык ), ведь в нём уже появилась возможность перевода видеозвонков в реальном времени с вашим личным голосом. Вы можете просто разговаривать на родном языке, а нейросеть на стороне переведёт вашу речь собеседнику на нужный язык, при этом, сохранив звучание голоса. Да, пока работает медленно (как и сам скайп ) и русского языка еще нет, но всё может быть. Очень сильно жду подобное обновление от Zoom.
#НовостьДня
Твой Пакет Безопасности
В нашей стране очень много поистине квалифицированных специалистов в сфере IT, которые легко составляют конкуренцию своим иностранным коллегам. Но у наших ребят есть одна общая и очень большая проблема – знание английского языка, который зачастую является корпоративным, вне зависимости от местоположения компании. Читать и писать умеет большинство, но вот поддержать беседу, выкидывая афоризмы в прямом эфире, параллельно понимая собеседника, смогут явно не все.
И если работать в англоязычном коллективе – не такая уж и большая проблема (языковой барьер размоется, а словарный запас будет пополняться органически), то устроиться в эти компании задачка уже посложнее. Ведь специалисту придется пройти (помимо технической секции) несколько раундов собеседований с HR, будущим менеджером и, возможно, даже руководством компании. Лично мне с моим B1 это удаётся с трудом.
Но Skype скоро сможет нам с этим помочь (
#НовостьДня
Твой Пакет Безопасности
👍21❤🔥8🤯5⚡2😍2
Охота на кита
Слышали что-нибудь про фишинг? Наверняка слышали (но если нет, то скорее почитайте тут). Кажется, что такими словами уже никого не удивить. Более того, скорее всего, каждый из вас, хоть раз в своей жизни, да сталкивался с этим типом атак с применением социальной инженерии, ведь всем на электронную почту регулярно приходят эти мошеннические письма, ведущие на поддельные сайты, на которых вас просят ввести свои личные данные. Но что насчет уэйлинга, вишинга и смишинга?
Звучит своеобразно, но, на самом деле, это всё подвиды фишинга, и каждый – со своей изюминкой. Пойдём по-порядку и разберем в этот раз уэйлинг, а смишинг и вишинг оставим для одного из будущих постов.
Уэйлинг (whale phishing) – настоящая охота на китов. По сути, это тривиальный фишинг, но нацеленный не на среднестатистических людей, а на руководителей высшего звена и вице-президентов крупных компаний. Ставки здесь уже более высокие, так как злоумышленник может расчитывать не только на угон аккаунта в социальной сети или личного кабинета в магазине техники, а на “большой куш” в виде юридического банковского счета целой компании или вообще – на доступ к корпоративной сети организации, где работает жертва.
Именно поэтому офицеры кибербезопасности в организациях зачастую так пристально следят за вашей почтовой перепиской или теми сайтами, которые вы посещаете. Относитесь с осторожностью к письмам от незнакомцев, которые приходят на вашу рабочую/корпоративную почту и не переходите по подозрительным ссылкам из них.
#Кибергигиена
Твой Пакет Безопасности
Слышали что-нибудь про фишинг? Наверняка слышали (но если нет, то скорее почитайте тут). Кажется, что такими словами уже никого не удивить. Более того, скорее всего, каждый из вас, хоть раз в своей жизни, да сталкивался с этим типом атак с применением социальной инженерии, ведь всем на электронную почту регулярно приходят эти мошеннические письма, ведущие на поддельные сайты, на которых вас просят ввести свои личные данные. Но что насчет уэйлинга, вишинга и смишинга?
Звучит своеобразно, но, на самом деле, это всё подвиды фишинга, и каждый – со своей изюминкой. Пойдём по-порядку и разберем в этот раз уэйлинг, а смишинг и вишинг оставим для одного из будущих постов.
Уэйлинг (whale phishing) – настоящая охота на китов. По сути, это тривиальный фишинг, но нацеленный не на среднестатистических людей, а на руководителей высшего звена и вице-президентов крупных компаний. Ставки здесь уже более высокие, так как злоумышленник может расчитывать не только на угон аккаунта в социальной сети или личного кабинета в магазине техники, а на “большой куш” в виде юридического банковского счета целой компании или вообще – на доступ к корпоративной сети организации, где работает жертва.
Именно поэтому офицеры кибербезопасности в организациях зачастую так пристально следят за вашей почтовой перепиской или теми сайтами, которые вы посещаете. Относитесь с осторожностью к письмам от незнакомцев, которые приходят на вашу рабочую/корпоративную почту и не переходите по подозрительным ссылкам из них.
#Кибергигиена
Твой Пакет Безопасности
👍18❤12⚡6❤🔥2🤯1
Вас взломали?
Мы с вами уже поговорили о наиболее распространенных схемах угона аккаунтов в Телеграме и о базовых правилах кибергигиены, необходимых для безопасного использования мессенджера. В этом посте я зафиксирую план действий на случай, если вас всё-таки взломали, а ваш аккаунт перешел в руки злоумышленников. Поэтому сохраняйте, рассылайте, и поехали!
Первое, что вам необходимо сделать в случае угона вашей учетной записи – написать в службу поддержки Телеграма. Здесь нужно будет подробно описать ситуацию и обстоятельства, при которых у вас украли аккаунт, указать адрес электронной почты (для дальнейшей коммуникации) и номер телефона, к которому привязана ваша учётная запись (даже если это уже не так).
Само собой, ваш вопрос не решится в ту же секунду. Так что придётся набраться терпения, такие инциденты рассматриваются достаточно долго. Также рекомендую написать в поддержку еще и по почте, чтобы попытаться ускорить процесс:
- sms@telegram.org - проблемы со входом
- recover@telegram.org - восстановить аккаунт
- support@telegram.org - общая поддержка
- security@telegram.org - вопросы безопасности
И главное помните – не взаимодействуйте с мошенниками, не переводите им деньги и фиксируйте через службу поддержки все факты вымогательства. Ну а если у вас будет желание изучить эту тему чуть глубже, то можете почитать статью на хабре, которую мы не так давно набросали с одним матёрым тг-админом.
Твой Пакет Безопасности
Мы с вами уже поговорили о наиболее распространенных схемах угона аккаунтов в Телеграме и о базовых правилах кибергигиены, необходимых для безопасного использования мессенджера. В этом посте я зафиксирую план действий на случай, если вас всё-таки взломали, а ваш аккаунт перешел в руки злоумышленников. Поэтому сохраняйте, рассылайте, и поехали!
Первое, что вам необходимо сделать в случае угона вашей учетной записи – написать в службу поддержки Телеграма. Здесь нужно будет подробно описать ситуацию и обстоятельства, при которых у вас украли аккаунт, указать адрес электронной почты (для дальнейшей коммуникации) и номер телефона, к которому привязана ваша учётная запись (даже если это уже не так).
Само собой, ваш вопрос не решится в ту же секунду. Так что придётся набраться терпения, такие инциденты рассматриваются достаточно долго. Также рекомендую написать в поддержку еще и по почте, чтобы попытаться ускорить процесс:
- sms@telegram.org - проблемы со входом
- recover@telegram.org - восстановить аккаунт
- support@telegram.org - общая поддержка
- security@telegram.org - вопросы безопасности
И главное помните – не взаимодействуйте с мошенниками, не переводите им деньги и фиксируйте через службу поддержки все факты вымогательства. Ну а если у вас будет желание изучить эту тему чуть глубже, то можете почитать статью на хабре, которую мы не так давно набросали с одним матёрым тг-админом.
Твой Пакет Безопасности
👍12⚡6❤🔥6🤯3🤓2❤1🔥1
Нейронное воскрешение
Приготовьтесь, сейчас будет очередная новость про ChatGPT. На самом деле, все эти нейронные сети сейчас взрывают буквально все новостные чарты в мировых интернетах, и происходит это не без основания.
На этот раз, сама Microsoft (напомню, что эта компания является крупным инвестором в OpenAI) внедрить ту самую сверхразумную ChatGPT в свой полумёртвый поисковик Bing (помнит кто такой?). С помощью искусственного интеллекта компания надеется поконкурировать с поисковой системой от Google. Это может стать поистине болезненным выстрелом в конкурента и весь рынок в целом, это может даже перевернуть представление людей о работе поисковых систем, дав Бингу последний шанс на воскрешение.
#НовостьДня
Твой Пакет Безопасности
Приготовьтесь, сейчас будет очередная новость про ChatGPT. На самом деле, все эти нейронные сети сейчас взрывают буквально все новостные чарты в мировых интернетах, и происходит это не без основания.
На этот раз, сама Microsoft (напомню, что эта компания является крупным инвестором в OpenAI) внедрить ту самую сверхразумную ChatGPT в свой полумёртвый поисковик Bing (помнит кто такой?). С помощью искусственного интеллекта компания надеется поконкурировать с поисковой системой от Google. Это может стать поистине болезненным выстрелом в конкурента и весь рынок в целом, это может даже перевернуть представление людей о работе поисковых систем, дав Бингу последний шанс на воскрешение.
#НовостьДня
Твой Пакет Безопасности
👍19👏6❤🔥5⚡3🤯2
Под колпаком
В одном из прошлых постов мы обсуждали, что все службы заказа такси в РФ скоро будут обязаны дать ФСБ доступ к своим системам и базам данных, в которых хранится и обрабатывается информация о заказах пользователей. Иными словами – теперь государство будет знать обо всех ваших передвижениях на такси.
Звучит не очень, но что, если я вам скажу, что бояться надо не государства, а следить за вами будут не через поездки на такси? Еще в далёком 2019 году команда Telegram презентовала фичу под названием "Люди рядом", благодаря которой вы и сейчас можете увидеть пользователей Телеграма, которые находятся поблизости. На основе этой безобидной функции предприимчивые ребята решили сделать бота, который заслуженно (наконец-то ) называется "Глаз бога".
Так вот, теперь не обязательно быть где-то самому, чтобы увидеть людей рядом. Вы можете отправить боту любое местоположение или адрес, а он вам покажет, какие телеграм-аккаунты сейчас находятся неподалёку от искомой точки (даже расстояние покажет ). Пока всё более-менее безобидно, но есть одно НО.
Авторы этого бота сейчас работают над тем, чтобы сделать полноценную систему мониторинга всех пользователей мессенджера в реальном времени. И выглядеть это будет примерно, как Flight radar. С этой штукой вы сможете отследить любого пользователя и понять, где он находится сейчас. Думаю, что позже ребята научатся еще хранить историю передвижений. А если подвязать к этой системе информацию из сливов персональных данных, то вы получите исчерпывающую информацию о человеке, что в руках злоумышленника может стать очень опасным оружием.
И да, это не реклама, поэтому ссылки на этого бота тут не будет. Думаю, что об этом сервисе итак скоро все заговорят. Ну а в одном из следующих постов разберем то, как за нами уже следят Google и Apple, и как это остановить. А пока, проверьте настройки геолокации и берегите себя.
#Мнение
Твой Пакет Безопасности
В одном из прошлых постов мы обсуждали, что все службы заказа такси в РФ скоро будут обязаны дать ФСБ доступ к своим системам и базам данных, в которых хранится и обрабатывается информация о заказах пользователей. Иными словами – теперь государство будет знать обо всех ваших передвижениях на такси.
Звучит не очень, но что, если я вам скажу, что бояться надо не государства, а следить за вами будут не через поездки на такси? Еще в далёком 2019 году команда Telegram презентовала фичу под названием "Люди рядом", благодаря которой вы и сейчас можете увидеть пользователей Телеграма, которые находятся поблизости. На основе этой безобидной функции предприимчивые ребята решили сделать бота, который заслуженно (
Так вот, теперь не обязательно быть где-то самому, чтобы увидеть людей рядом. Вы можете отправить боту любое местоположение или адрес, а он вам покажет, какие телеграм-аккаунты сейчас находятся неподалёку от искомой точки (
Авторы этого бота сейчас работают над тем, чтобы сделать полноценную систему мониторинга всех пользователей мессенджера в реальном времени. И выглядеть это будет примерно, как Flight radar. С этой штукой вы сможете отследить любого пользователя и понять, где он находится сейчас. Думаю, что позже ребята научатся еще хранить историю передвижений. А если подвязать к этой системе информацию из сливов персональных данных, то вы получите исчерпывающую информацию о человеке, что в руках злоумышленника может стать очень опасным оружием.
И да, это не реклама, поэтому ссылки на этого бота тут не будет. Думаю, что об этом сервисе итак скоро все заговорят. Ну а в одном из следующих постов разберем то, как за нами уже следят Google и Apple, и как это остановить. А пока, проверьте настройки геолокации и берегите себя.
#Мнение
Твой Пакет Безопасности
😱13⚡7👍7❤🔥4🤔2🤯1
DDoS за счёт всего мира
За 2022 год, в ходе кибервойны, многие страны и организации внутри них подвергались массовым DDoS-атакам. И в этот раз Россия попала в ТОП-5 таких стран, заняв 4-е место (Китай с Индией нас обогнали ). Согласно исследованиям StormWall, всего на российские компании и инфраструктуру было совершено 1,2 млн таких DDoS-атак (это на 60-70% больше, чем в прошлом году ).
Не все из них мы выдержали или успели предотвратить, связано это, в том числе, с уходом мировых вендоров, поставляющих инструменты для обнаружения и отражения подобных кибератак. И да, ждать улучшения ситуации точно не стоит, так как хакерские группировки многих стран сейчас нацелены именно на нашу страну, и их ряды только пополняются.
Есть теория, что не далёк тот день, когда и Россия задействует своё секретное и очень мощное оружие для противостояния в этой кибервойне. Думаю, что поговорим об этом в следующем посте, а пока – всем мир и берегите себя.
#Мнение
Твой Пакет Безопасности
За 2022 год, в ходе кибервойны, многие страны и организации внутри них подвергались массовым DDoS-атакам. И в этот раз Россия попала в ТОП-5 таких стран, заняв 4-е место (
Не все из них мы выдержали или успели предотвратить, связано это, в том числе, с уходом мировых вендоров, поставляющих инструменты для обнаружения и отражения подобных кибератак. И да, ждать улучшения ситуации точно не стоит, так как хакерские группировки многих стран сейчас нацелены именно на нашу страну, и их ряды только пополняются.
Есть теория, что не далёк тот день, когда и Россия задействует своё секретное и очень мощное оружие для противостояния в этой кибервойне. Думаю, что поговорим об этом в следующем посте, а пока – всем мир и берегите себя.
#Мнение
Твой Пакет Безопасности
🔥17👍13⚡4❤🔥3🤯2🕊2🌚2🤓2
Секретное оружие
Ну а теперь поговорим о том самом кибероружии, которое РФ пока не использует официально и на полную мощность. Все вы наверняка наслышаны о том, как одна частная военная компания в нашей стране легально вербует заключенных для принятия участия в боевых действиях за определенное вознаграждение.
Так вот, хакеров в нашей стране тоже регулярно ловят и заключают под стражу за совершённые ими преступления. Более того, их навыки (взлом систем защиты, DDoS, кража секретной информации, создание и распространение вредоносного ПО ) намного проще применить в контексте кибервойны, нежели способности обычных преступников, сидящих в тюрьмах.
По сути, эти ребята уже обучены всему необходимому, и их просто нужно направить в нужную сторону и дать карт-бланш на все действия. С вознаграждением тут тоже всё логично и понятно.
Лично я такие методы не поддерживаю и считаю, что преступник должен отбывать весь, назначенный ему судом срок, вне зависимости от внешних обстоятельств. Тем более, что контролировать завербованных хакеров и их действия будет крайне сложно. Хочется верить, что к этому оружию мы так и не прибегнем, но всё может быть.
#Мнение
Твой Пакет Безопасности
Ну а теперь поговорим о том самом кибероружии, которое РФ пока не использует официально и на полную мощность. Все вы наверняка наслышаны о том, как одна частная военная компания в нашей стране легально вербует заключенных для принятия участия в боевых действиях за определенное вознаграждение.
Так вот, хакеров в нашей стране тоже регулярно ловят и заключают под стражу за совершённые ими преступления. Более того, их навыки (
По сути, эти ребята уже обучены всему необходимому, и их просто нужно направить в нужную сторону и дать карт-бланш на все действия. С вознаграждением тут тоже всё логично и понятно.
Лично я такие методы не поддерживаю и считаю, что преступник должен отбывать весь, назначенный ему судом срок, вне зависимости от внешних обстоятельств. Тем более, что контролировать завербованных хакеров и их действия будет крайне сложно. Хочется верить, что к этому оружию мы так и не прибегнем, но всё может быть.
#Мнение
Твой Пакет Безопасности
👍16⚡7❤🔥7👎3🤔3🤯2
Бесплатных знаний много не бывает
Наткнулся тут недавно на один интересный ресурс с бесплатными курсами по кибербезопасности и IT. Сразу скажу, что это не реклама, а тем, кто сделал этот ресурс и собрал в одном месте все эти материалы хочется выразить огромную благодарность и респект (само собой, они так пиарят различные вендорские решения, но это нормально).
Там же можно найти еще записи вебинаров и статьи по прикладным темам, практикам и настройке различного ПО.
В общем, держите ссылку и набирайтесь знаний, тем более, что они бесплатные.
https://university.tssolution.ru/obuchenie
#Полезное
Твой Пакет Безопасности
Наткнулся тут недавно на один интересный ресурс с бесплатными курсами по кибербезопасности и IT. Сразу скажу, что это не реклама, а тем, кто сделал этот ресурс и собрал в одном месте все эти материалы хочется выразить огромную благодарность и респект (само собой, они так пиарят различные вендорские решения, но это нормально).
Там же можно найти еще записи вебинаров и статьи по прикладным темам, практикам и настройке различного ПО.
В общем, держите ссылку и набирайтесь знаний, тем более, что они бесплатные.
https://university.tssolution.ru/obuchenie
#Полезное
Твой Пакет Безопасности
👍17⚡5🎉4❤3❤🔥1🤯1
Всем привет!
Особенно привет всем новоприбывшим👋
Вот тут, тут, тут и тут можно подробнее почитать об этом канале и обо мне.
Всем остальным хочется сказать большое спасибо за доверие и время, которые вы тратите на прочтение этих длинных (ну не прям длинных, скорее средних) постов🤥
Мне хотелось бы немного узнать и про вас, поэтому буду иногда публиковать опросы на разные темы☝
Берегите себя.
Ваш Пакет Безопасности
Особенно привет всем новоприбывшим
Вот тут, тут, тут и тут можно подробнее почитать об этом канале и обо мне.
Всем остальным хочется сказать большое спасибо за доверие и время, которые вы тратите на прочтение этих длинных (ну не прям длинных, скорее средних) постов
Мне хотелось бы немного узнать и про вас, поэтому буду иногда публиковать опросы на разные темы
Берегите себя.
Ваш Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
👍20🙏6⚡5❤🔥3🤯1
🔥10❤🔥5⚡3🤯1
Вишинг или смишинг?
Итак, в одном из прошлых постов мы с вами начали разбирать подвиды фишинга и узнали, что такое уэйлинг. Настало время идти дальше.
Вишинг (voice phishing) – подобный фишинг отличается тем, что он производится посредством телефонного звонка. Многие из вас наверняка помнят назойливые звонки от службы безопасности зелёного банка – это был вишинг. Как только у вас справшивают ваши личные данные или просят установить приложения на телефон, просто кладите трубку и сами перезванивайте в ту компанию, откуда поступил подозрительный звонок.
Смишинг (sms phishing) – фишинг через СМС и мессенджеры. Вам приходили СМС или личные сообщения от незнакомых людей со странными ссылками? Или вы успели прочитать (раз, два) про то, как в прошлом году активно угоняли телеграм-аккаунты? Так вот, это был смишинг. Не переходите по подозрительным ссылкам и не ведите диалог со злоумышленниками.
В мире существует немало разновидностей фишинга, но суть его всегда остаётся одной – заставить жертву совершить целевые действия с намерением заполучить конфиденциальную информацию.
Берегите себя и будьте бдительны.
#Кибергигиена
Твой Пакет Безопасности
Итак, в одном из прошлых постов мы с вами начали разбирать подвиды фишинга и узнали, что такое уэйлинг. Настало время идти дальше.
Вишинг (voice phishing) – подобный фишинг отличается тем, что он производится посредством телефонного звонка. Многие из вас наверняка помнят назойливые звонки от службы безопасности зелёного банка – это был вишинг. Как только у вас справшивают ваши личные данные или просят установить приложения на телефон, просто кладите трубку и сами перезванивайте в ту компанию, откуда поступил подозрительный звонок.
Смишинг (sms phishing) – фишинг через СМС и мессенджеры. Вам приходили СМС или личные сообщения от незнакомых людей со странными ссылками? Или вы успели прочитать (раз, два) про то, как в прошлом году активно угоняли телеграм-аккаунты? Так вот, это был смишинг. Не переходите по подозрительным ссылкам и не ведите диалог со злоумышленниками.
В мире существует немало разновидностей фишинга, но суть его всегда остаётся одной – заставить жертву совершить целевые действия с намерением заполучить конфиденциальную информацию.
Берегите себя и будьте бдительны.
#Кибергигиена
Твой Пакет Безопасности
👍21❤🔥7⚡4👏2🔥1🤯1
Утечки, утечки и снова утечки
Согласно информации от DLBA (а им можно доверять ) за 2022 год в сеть были слиты данные 75% россиян. Если быть точнее, то это 99,8 млн уникальных электронных адресов и 109,7 млн уникальных телефонных номеров (с учетом объединения и очистки базы от повторов). Звучит, как минимум, солидно. Радует только то, что в прошлом году не так сильно пострадал ФинТех-сектор, поэтому наши банковские данные пока что в безопасности.
Ну и под этим соусом стоит упомянуть еще две недавние утечки – из СОГАЗ-ЖИЗНЬ и из Почты России. В первом случае были слиты ФИО, логины, хэши паролей, электронные почты, телефоны и адреса (порядка 700 000 актуальных записей). А во втором сливе были обнаружены ФИО, адреса, телефоны и даты рождения (порядка 140 000 записей), что сама Почта России частично опровергает.
Комментарии здесь излишни, так что просто живем дальше и ждём новых утечек данных пользователей в новом 2023 году.
#НовостьДня
Твой Пакет Безопасности
Согласно информации от DLBA (
Ну и под этим соусом стоит упомянуть еще две недавние утечки – из СОГАЗ-ЖИЗНЬ и из Почты России. В первом случае были слиты ФИО, логины, хэши паролей, электронные почты, телефоны и адреса (порядка 700 000 актуальных записей). А во втором сливе были обнаружены ФИО, адреса, телефоны и даты рождения (порядка 140 000 записей), что сама Почта России частично опровергает.
Комментарии здесь излишни, так что просто живем дальше и ждём новых утечек данных пользователей в новом 2023 году.
#НовостьДня
Твой Пакет Безопасности
⚡11❤🔥6🤯6👍3😁2🤔1🥴1