Безопасное будущее
Если кто-то из вас интересуется блокчейном, знает, что такое web3 или пользуется продуктами рынка DeFi, то этот пост будет вам небезразличен.
На самом деле, у меня тут просто накопилось достаточно интересных ссылок и материалов по этой теме, поэтому я решил себя не сдерживать и поделиться этим добром с вами.
Для тех, кто не понимает, что написано выше, рекомендую просто изучить по верхам тему web3 (поверьте, пригодится). Вот тут написано на более-менее понятном языке, но, если коротко, то это просто новый этап развития интернетов, который уже начинает просачиваться в жизнь всех пользователей сети и веб-сервисов. Ну, поехали.
Во-первых, ловите несложную и короткую статейку на тему того, что не всё так хорошо и безопасно в этих ваших блокчейн-интернетах – ссылка
Во-вторых, держите ролик по теме того, какие есть уязвимости и инструменты защиты ресурсов в мире web3 (уже более серьезный и технический контент) – ссылка
Ну и на десерт – неплохая (но тяжеловатая) статейка на Хакене с разбором нюансов, стеков и, в целом, кибербезопасного ландшафта в современном (третьем) поколении веба (специалистам из ИБ – мастхэв) – ссылка
Ну все, бегите изучать и пересылать этот пост своим криптанам и безопасникам.
#Полезное
Твой Пакет Безопасности
Если кто-то из вас интересуется блокчейном, знает, что такое web3 или пользуется продуктами рынка DeFi, то этот пост будет вам небезразличен.
На самом деле, у меня тут просто накопилось достаточно интересных ссылок и материалов по этой теме, поэтому я решил себя не сдерживать и поделиться этим добром с вами.
Для тех, кто не понимает, что написано выше, рекомендую просто изучить по верхам тему web3 (поверьте, пригодится). Вот тут написано на более-менее понятном языке, но, если коротко, то это просто новый этап развития интернетов, который уже начинает просачиваться в жизнь всех пользователей сети и веб-сервисов. Ну, поехали.
Во-первых, ловите несложную и короткую статейку на тему того, что не всё так хорошо и безопасно в этих ваших блокчейн-интернетах – ссылка
Во-вторых, держите ролик по теме того, какие есть уязвимости и инструменты защиты ресурсов в мире web3 (уже более серьезный и технический контент) – ссылка
Ну и на десерт – неплохая (но тяжеловатая) статейка на Хакене с разбором нюансов, стеков и, в целом, кибербезопасного ландшафта в современном (третьем) поколении веба (специалистам из ИБ – мастхэв) – ссылка
Ну все, бегите изучать и пересылать этот пост своим криптанам и безопасникам.
#Полезное
Твой Пакет Безопасности
⚡11❤5👍5❤🔥2🔥1🕊1💯1
А делитесь ли вы своим паролем?
Я тут на днях залил свой ноутбук водой и мне пришлось отнести его в ближайший сервис, чтобы с него скинули аккумулятор (поверьте, это лучше делать сразу, иначе процесс окисления кратно ускоряется, нанося непоправимый вред всем платам и электронике внутри). Так вот, на приёмке в сервисе мне сказали, что ноутбук отправят в лабораторию для диагностики внутренних повреждений и потребовали с меня пароль от учетной записи, чтобы провести все тесты (камера, микрофоны, периферия и т.д.) после его просушки и включения.
На мой отказ я увидел удивленное лицо мастера, после чего он начал меня уговаривать таки дать ему пароль (судя по всему, большинство этому не сопротивляется). Поэтому я решил написать вам о том, что делать этого ни в коем случае нельзя. Даже если это сервис вашего друга/знакомого, ноутбуком может в итоге заниматься не он, а это значит, что при вводе пароля, человек получит доступ ко всем данным с вашего устройства.
Чтобы не быть голословным, ловите сразу несколько статей на тему, того, что будет, если сервисный центр будет обладать вашим паролем – раз, два, три. Само собой, разлетаются те истории, в которых воруют, а потом публикуют интимные фото владельцев ремонтируемых устройств, но проблема в том, что у вас на компьютере могут быть спрятаны и ваши логины/пароли, секретные фразы от ваших криптокошельков, фотографии документов, рабочая информация и т.д., Эти вещи всплывают в сети не так быстро, и потом сложно установить, что кража произошла именно во время ремонта.
Плюс к этому, есть еще и исследование по этой теме (вот ссылка), которое только подтверждает всё вышесказанное. Более того, засудить такой сервис будет непросто, тем более, что ваша приватность, к этому времени, уже пострадает.
Как же от этого защититься? Для начала – не давать никому пароль от вашей учетной записи, а все тесты попросить проводить при вас или вообще делать их самостоятельно. Но при этом, все равно остается риск того, что с устройства могут снять жесткий диск или SSD (само собой, для проветения проверок). В случае с техникой Apple всё просто – такой трюк просто не пройдет из-за чипа безопасности, который не даст расшифровать информацию с носителя. Но если у вас виндусовый (или андроидовский) аппарат, то тут я рекомендую шифровать информацию самостоятельно (это настраивается либо через саму систему, либо дополнительными средствами), а все важные данные хранить в запароленных папках.
В идеале, конечно же, вообще не хранить ничего важного на вашем устройстве, а использовать для этого внешний накопитель. Если вы знаете людей, которые спокойно делятся своими паролями в сервисных центрах, то можете им открыть правду на то, каков мир на самом деле.
#Кибергигиена
Твой Пакет Безопасности
Я тут на днях залил свой ноутбук водой и мне пришлось отнести его в ближайший сервис, чтобы с него скинули аккумулятор (поверьте, это лучше делать сразу, иначе процесс окисления кратно ускоряется, нанося непоправимый вред всем платам и электронике внутри). Так вот, на приёмке в сервисе мне сказали, что ноутбук отправят в лабораторию для диагностики внутренних повреждений и потребовали с меня пароль от учетной записи, чтобы провести все тесты (камера, микрофоны, периферия и т.д.) после его просушки и включения.
На мой отказ я увидел удивленное лицо мастера, после чего он начал меня уговаривать таки дать ему пароль (судя по всему, большинство этому не сопротивляется). Поэтому я решил написать вам о том, что делать этого ни в коем случае нельзя. Даже если это сервис вашего друга/знакомого, ноутбуком может в итоге заниматься не он, а это значит, что при вводе пароля, человек получит доступ ко всем данным с вашего устройства.
Чтобы не быть голословным, ловите сразу несколько статей на тему, того, что будет, если сервисный центр будет обладать вашим паролем – раз, два, три. Само собой, разлетаются те истории, в которых воруют, а потом публикуют интимные фото владельцев ремонтируемых устройств, но проблема в том, что у вас на компьютере могут быть спрятаны и ваши логины/пароли, секретные фразы от ваших криптокошельков, фотографии документов, рабочая информация и т.д., Эти вещи всплывают в сети не так быстро, и потом сложно установить, что кража произошла именно во время ремонта.
Плюс к этому, есть еще и исследование по этой теме (вот ссылка), которое только подтверждает всё вышесказанное. Более того, засудить такой сервис будет непросто, тем более, что ваша приватность, к этому времени, уже пострадает.
Как же от этого защититься? Для начала – не давать никому пароль от вашей учетной записи, а все тесты попросить проводить при вас или вообще делать их самостоятельно. Но при этом, все равно остается риск того, что с устройства могут снять жесткий диск или SSD (само собой, для проветения проверок). В случае с техникой Apple всё просто – такой трюк просто не пройдет из-за чипа безопасности, который не даст расшифровать информацию с носителя. Но если у вас виндусовый (или андроидовский) аппарат, то тут я рекомендую шифровать информацию самостоятельно (это настраивается либо через саму систему, либо дополнительными средствами), а все важные данные хранить в запароленных папках.
В идеале, конечно же, вообще не хранить ничего важного на вашем устройстве, а использовать для этого внешний накопитель. Если вы знаете людей, которые спокойно делятся своими паролями в сервисных центрах, то можете им открыть правду на то, каков мир на самом деле.
#Кибергигиена
Твой Пакет Безопасности
🫡26👍10❤9❤🔥2⚡1👎1🔥1😁1
Всем привет! 👋
Сегодня у нас сразу 2 радостные новости🥳
Во-первых, наш канал тут добавили в папку с самыми крутыми каналами по кибербезу. Поэтому нас в канале стало чуть больше, так что приветствую всех новеньких! В закрепе (и описании) вы можете найти больше информации обо мне, канале и контенте, который я тут публикую.
Ну а теперь ко второй новости. Так уж получилось, что в этом канале посты выходят каждый день уже больше полугода. И, как вы могли заметить, под каждым постом я стараюсь прикладывать контекстный мем или просто смешную картинку. Мемы я очень люблю и, в какой-то момент, у нас в канале появилась даже отдельная рубрика #КиберМем. Но мемов становится всё больше, а чаты с айтишными друзьями не резиновые.
Поэтому я решил завести отдельный канал для мемов. Там будут айтишные и иногда (да, их днём с огнем не сыщешь) ИБшные мемы. Так что добро пожаловать в Пакет Мемов😎
Пересылайте скорее лучшим друзьям и подписывайтесь сами. И да, мемы в этом канале все равно останутся, так что не отписываемся🫡
Твой Пакет Безопасности
Сегодня у нас сразу 2 радостные новости
Во-первых, наш канал тут добавили в папку с самыми крутыми каналами по кибербезу. Поэтому нас в канале стало чуть больше, так что приветствую всех новеньких! В закрепе (и описании) вы можете найти больше информации обо мне, канале и контенте, который я тут публикую.
Ну а теперь ко второй новости. Так уж получилось, что в этом канале посты выходят каждый день уже больше полугода. И, как вы могли заметить, под каждым постом я стараюсь прикладывать контекстный мем или просто смешную картинку. Мемы я очень люблю и, в какой-то момент, у нас в канале появилась даже отдельная рубрика #КиберМем. Но мемов становится всё больше, а чаты с айтишными друзьями не резиновые.
Поэтому я решил завести отдельный канал для мемов. Там будут айтишные и иногда (да, их днём с огнем не сыщешь) ИБшные мемы. Так что добро пожаловать в Пакет Мемов
Пересылайте скорее лучшим друзьям и подписывайтесь сами. И да, мемы в этом канале все равно останутся, так что не отписываемся
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Пакет IT-Мемов
Канал, где мемы из мира IT и кибербезопасности аккуратно сложены в Пакет Мемов.
Реклама – @romanpnn0 или https://telega.in/c/package_memes
Рекламный менеджер: @Spiral_Yuri
Заявление № 5823935293
Реклама – @romanpnn0 или https://telega.in/c/package_memes
Рекламный менеджер: @Spiral_Yuri
Заявление № 5823935293
👍20❤5⚡3❤🔥2🔥2🕊2
Почему нужно аккуратнее относиться к скачиванию даже официально-бесплатных программ, файлов и прочего добра из интернетов?
Чаще всего можно понахватать вредоносного ПО (вирусов) тогда, когда вы пытаетесь бесплатно скачать что-то, что должно стоить денег – взломанный Фотошоп, пакет Офиса, новая версия GTA и т.д. Но нюанс в том, что даже, если вы хотите скачать что-то, что и так распространяется официальным разработчиком бесплатно, риски заразить свое устройство остаются, причем достаточно высокие.
Когда вы ищете в Гугле или Яндексе то, что хотите скачать, вам выдается целая куча сайтов, часть из которых может быть поддельной. Злоумышленники могут распространять зараженные программы либо через имитацию сайта официального разработчика (что сложно отличить), либо через целые магазины/агрегаторы таких программ (такими пользоваться не рекомендую). И нужно понимать, что среди всех этих результатов поисковой выдачи есть всего один официальный сайт, откуда уже можно скачать нужное ПО.
Пока писал этот пост, вспомнил про одно исследование от MalwareHunterTeam (еле нашел), посвященное тому, как хакерская группировка DEV-0569 даже оплачивала официально рекламу в Google Ads, чтобы их поддельные сайты поднимались выше в поиске. Они тогда заманивали своих жертв на вредоносные сайты, где можно было скачать 7-Zip, LibreOffice, AnyDesk, FileZilla, TradingView, WinRAR (бессовестные) и VLC. По итогу пострадало много людей, которые просто хотели скачать и так бесплатное ПО.
Так что будьте аккуратнее и не забывайте про VirusTotal (не реклама).
#КиберГигиена
Твой Пакет Безопасности
Чаще всего можно понахватать вредоносного ПО (вирусов) тогда, когда вы пытаетесь бесплатно скачать что-то, что должно стоить денег – взломанный Фотошоп, пакет Офиса, новая версия GTA и т.д. Но нюанс в том, что даже, если вы хотите скачать что-то, что и так распространяется официальным разработчиком бесплатно, риски заразить свое устройство остаются, причем достаточно высокие.
Когда вы ищете в Гугле или Яндексе то, что хотите скачать, вам выдается целая куча сайтов, часть из которых может быть поддельной. Злоумышленники могут распространять зараженные программы либо через имитацию сайта официального разработчика (что сложно отличить), либо через целые магазины/агрегаторы таких программ (такими пользоваться не рекомендую). И нужно понимать, что среди всех этих результатов поисковой выдачи есть всего один официальный сайт, откуда уже можно скачать нужное ПО.
Пока писал этот пост, вспомнил про одно исследование от MalwareHunterTeam (еле нашел), посвященное тому, как хакерская группировка DEV-0569 даже оплачивала официально рекламу в Google Ads, чтобы их поддельные сайты поднимались выше в поиске. Они тогда заманивали своих жертв на вредоносные сайты, где можно было скачать 7-Zip, LibreOffice, AnyDesk, FileZilla, TradingView, WinRAR (бессовестные) и VLC. По итогу пострадало много людей, которые просто хотели скачать и так бесплатное ПО.
Так что будьте аккуратнее и не забывайте про VirusTotal (не реклама).
#КиберГигиена
Твой Пакет Безопасности
🔥17👍8❤🔥3❤2⚡1👎1🤯1🕊1🗿1
Ну что, сегодня не просто воскресенье, но еще и шафутинье, 3-е сентябрянье и так далее. Мемов вы еще успеете насмотреться в других каналах, а вот такого дайджеста нет больше нигде. Так что погнали.
⚡️ Качественный кибермем, который можно рассылать все нерадивым коллегам – ссылка
⚡️ Как заработать на поиске багов и почему это может быть интересно специалистам со стороны защиты – ссылка
⚡️ База по безопасности блокчейна, web3 и всего, что с этим связано – ссылка
⚡️ Как безопасно починить свой залитый ноутбук и почему нельзя везде разбрасываться своими паролями (рекомендую заглянуть в комментарии) – ссылка
⚡️ Пост гордости за то, что Пакет Безопасности попал в крутую ИБшную подборку и анонс нового канала – ссылка
⚡️ Почему нельзя просто взять и скачать что-угодно из интернета – ссылка
Твой Пакет Безопасности
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14👍6🤗2⚡1
Такое мы смотрим
Многие из вас наверное знают, что у Яндекса есть такое ежегодное мероприятие – YaC (Yet another Conference). Это аналог WWDC от Эппла или I/O от Гугла. В общем, конференция, на которой представители компании рассказывают о достижениях, новых технологиях и дальнейшей стратегии.
Так вот, оказывается, есть у Яндекса еще одно подобное событие, но посвященное сугубо кибербезопасности (не уверен, правда, что эта штука ежегодная) – YaSM (Yet Another Security Meetup). Я тут просто наткнулся на запись этого митапа (вот ссылка) и приятно удивился тому, как много прикладной пользы ребята там собрали, пока рассказывали о том, как правильно строить безопасность, как решать возникающие проблемы (при внедрении тех или иных практик), как управлять процессами и так далее.
В общем, бегите смотреть, потому что эти 2,5 часа (но я бы поставил на ускорение) того стоят. Надеюсь, что ребята из Яндекса не забросят организацию подобных безопасных митапов (и да, это не реклама, если что).
#Полезное
Твой Пакет Безопасности
Многие из вас наверное знают, что у Яндекса есть такое ежегодное мероприятие – YaC (Yet another Conference). Это аналог WWDC от Эппла или I/O от Гугла. В общем, конференция, на которой представители компании рассказывают о достижениях, новых технологиях и дальнейшей стратегии.
Так вот, оказывается, есть у Яндекса еще одно подобное событие, но посвященное сугубо кибербезопасности (не уверен, правда, что эта штука ежегодная) – YaSM (Yet Another Security Meetup). Я тут просто наткнулся на запись этого митапа (вот ссылка) и приятно удивился тому, как много прикладной пользы ребята там собрали, пока рассказывали о том, как правильно строить безопасность, как решать возникающие проблемы (при внедрении тех или иных практик), как управлять процессами и так далее.
В общем, бегите смотреть, потому что эти 2,5 часа (но я бы поставил на ускорение) того стоят. Надеюсь, что ребята из Яндекса не забросят организацию подобных безопасных митапов (и да, это не реклама, если что).
#Полезное
Твой Пакет Безопасности
👍19❤4⚡3🔥3❤🔥1🕊1
Так защита или пробив?
На прошлой неделе все СМИ начали форсить новый сервис от одной красной телекоммуникационной компании. Сервис этот называется ФинЗащита и призван он действительно защищать пользователей от мошенников. Если я все правильно понял, то при подключении этой опции, вам расскажут, если кто-то попробует оформить на вас кредит. Приятно еще и то, что вам сразу объяснят и покажут, что надо сделать, чтобы себя обезопасить в той или иной ситуации.
Но лично мне заинтересовало не это, а то, что в личном кабинете вам еще и покажут, кто слил ваши персональные данные и в каком составе (не без помощи партнерства с DLBI, о котором мы уже говорили). Из-за наличия этой функции многие, почему-то, сразу подумали, что это чуть ли не официальный Глаз Бога, но это не совсем так. Через этот сервис можно будет посмотреть утекшие данные только по себе, а не по любому человеку (если конечно не начать перебирать учетные записи всех пользователей, но тут проще дойти до Глаза Бога).
В общем, тем, кто это придумал и сделал – низкий поклон, вы молодцы. Ссылок не будет, ибо это не реклама (хотя могла бы быть и ей). Кстати, один желтый банк тут на днях тоже выпустил один интересный сервис для защиты пользователей, но он нем поговорим уже в одном из следующих постов.
#КиберГигиена
Твой Пакет Безопасности
На прошлой неделе все СМИ начали форсить новый сервис от одной красной телекоммуникационной компании. Сервис этот называется ФинЗащита и призван он действительно защищать пользователей от мошенников. Если я все правильно понял, то при подключении этой опции, вам расскажут, если кто-то попробует оформить на вас кредит. Приятно еще и то, что вам сразу объяснят и покажут, что надо сделать, чтобы себя обезопасить в той или иной ситуации.
Но лично мне заинтересовало не это, а то, что в личном кабинете вам еще и покажут, кто слил ваши персональные данные и в каком составе (не без помощи партнерства с DLBI, о котором мы уже говорили). Из-за наличия этой функции многие, почему-то, сразу подумали, что это чуть ли не официальный Глаз Бога, но это не совсем так. Через этот сервис можно будет посмотреть утекшие данные только по себе, а не по любому человеку (если конечно не начать перебирать учетные записи всех пользователей, но тут проще дойти до Глаза Бога).
В общем, тем, кто это придумал и сделал – низкий поклон, вы молодцы. Ссылок не будет, ибо это не реклама (хотя могла бы быть и ей). Кстати, один желтый банк тут на днях тоже выпустил один интересный сервис для защиты пользователей, но он нем поговорим уже в одном из следующих постов.
#КиберГигиена
Твой Пакет Безопасности
⚡16👍6🔥4❤2🎉1🤩1🕊1😍1😎1
Запретов пост
А вот и очередной текст, посвященный актуальным отечественным инфоповодам.
Во-первых, все уже рассказали вам о том, что РКН планирует (а Минцифры ему в этом помогает) не только блокировать ваши ВПНы, но еще и блокировать сайты, которые их пропагандируют или рассказывают вам, как обойти различные блокировки. Я не хотел комментировать этот инфоповод, так как не вижу в нём ничего такого – кажется, что это весьма логичное нововведение, чтобы ослабить сопротивление блокировкам. Не думаю, что под эту горячую руку попадет Телеграм или встроенный в него сервис Telegraph, где зачастую и публикуются различные инструкции.
Во-вторых, на прошлой неделе был зафиксирован инцидент, связанный с атакой пользователей криптовалютной биржи Binance в сегменте РФ. Это был типичный фишинг, нацеленный на кражу паролей (наверное они забыли про то, что мало украсть только пароль от бинанс-аккаунта) при помощи вируса. Приурочена атака была к запрету на торги иностранными валютами для россиян. Ну а вредоносное ПО рассылалось жертвам под аппетитным соусом того, что оно поможет обойти этот запрет. Так что не забываем про то, что скачивать всякое из интернета – плохо.
В-третьих, Ростелеком (не путать с РКН) тут протестировал на фокус-группе свой новый сервис ytonline. Выглядит это как будущая прокся (прослойка) для нашего любимого Ютуба. Есть теория, что эта штука станет легальным входным окном в мир видео-контента после того, как YouTube заблокируют в рунете. Ну что сказать – это лучше, чем ничего (или полная блокировка сервиса в стране), но лично мне такой подход не очень нравится. Через этот сервис Ростелеком (и не только он) сможет контролировать (поведение пользователей) и цензурировать всё, что ему угодно.
#НовостьДня
Твой Пакет Безопасности
А вот и очередной текст, посвященный актуальным отечественным инфоповодам.
Во-первых, все уже рассказали вам о том, что РКН планирует (а Минцифры ему в этом помогает) не только блокировать ваши ВПНы, но еще и блокировать сайты, которые их пропагандируют или рассказывают вам, как обойти различные блокировки. Я не хотел комментировать этот инфоповод, так как не вижу в нём ничего такого – кажется, что это весьма логичное нововведение, чтобы ослабить сопротивление блокировкам. Не думаю, что под эту горячую руку попадет Телеграм или встроенный в него сервис Telegraph, где зачастую и публикуются различные инструкции.
Во-вторых, на прошлой неделе был зафиксирован инцидент, связанный с атакой пользователей криптовалютной биржи Binance в сегменте РФ. Это был типичный фишинг, нацеленный на кражу паролей (наверное они забыли про то, что мало украсть только пароль от бинанс-аккаунта) при помощи вируса. Приурочена атака была к запрету на торги иностранными валютами для россиян. Ну а вредоносное ПО рассылалось жертвам под аппетитным соусом того, что оно поможет обойти этот запрет. Так что не забываем про то, что скачивать всякое из интернета – плохо.
В-третьих, Ростелеком (не путать с РКН) тут протестировал на фокус-группе свой новый сервис ytonline. Выглядит это как будущая прокся (прослойка) для нашего любимого Ютуба. Есть теория, что эта штука станет легальным входным окном в мир видео-контента после того, как YouTube заблокируют в рунете. Ну что сказать – это лучше, чем ничего (или полная блокировка сервиса в стране), но лично мне такой подход не очень нравится. Через этот сервис Ростелеком (и не только он) сможет контролировать (поведение пользователей) и цензурировать всё, что ему угодно.
#НовостьДня
Твой Пакет Безопасности
🤩27❤🔥11👍5😁5❤3🔥3👎2⚡1😢1🌭1
F – Фишинг
А вот и фишинга пост (помните еще, что это такое? Если нет, то включайте поиск по каналу ).
Во-первых, наш любимый мессенджер тут снова засветился в кибер-сводках, как рассадник фишинговой активности. Под этим заключением подписались ребята из Angara Security, вашей любимой Лаборатории Касперского, StopPhish, Гарда Технологии и Солара. Фишинговая активность проявляется и через аккаунты-однодневки, и через взломанные профили реальных пользователей. Не то, чтобы это было сюрпризом, ведь аудитория мессенджера растет с каждым днем, как и его популярность, а это влечет за собой закономерные последствия. Так что берегите свои аккаунты и "не общайтесь с незнакомцами".
Во-вторых, тут вышел достаточно интересный и забавный пресс-релиз от F.A.С.С.T. (ну вы поняли) про то, как они с (внимание) Озоном боролись против мошенников. Обычно в настолько крупных продуктовых компаниях есть свои сотрудники, которые занимаются антифродом (это и есть борьба с мошенничеством), поэтому найм внешнего подрядчика меня крайне удивил.
Но если чуть подробнее вчитаться в отчет, то окажется, что скоуп работ у них был намного шире, чем у обычного антифрода – они, ко всему прочему, еще и вылавливали фишинговые/скам сайты, мошеннические группы и каналы в социальных сетях. Само собой, все эти ресурсы выдавали себя за оригинальный сайт/сообщества Озона, размещали выгодные предложения и акции, чем и заманивали к себе жертв. Итог, думаю, очевиден. Надеюсь, что все вы понимаете, что такие мошеннические клоны есть не только у этой компании, но и у других маркетплейсов и магазинов.
#НовостьДня
Твой Пакет Безопасности
А вот и фишинга пост (
Во-первых, наш любимый мессенджер тут снова засветился в кибер-сводках, как рассадник фишинговой активности. Под этим заключением подписались ребята из Angara Security, вашей любимой Лаборатории Касперского, StopPhish, Гарда Технологии и Солара. Фишинговая активность проявляется и через аккаунты-однодневки, и через взломанные профили реальных пользователей. Не то, чтобы это было сюрпризом, ведь аудитория мессенджера растет с каждым днем, как и его популярность, а это влечет за собой закономерные последствия. Так что берегите свои аккаунты и "не общайтесь с незнакомцами".
Во-вторых, тут вышел достаточно интересный и забавный пресс-релиз от F.A.С.С.T. (ну вы поняли) про то, как они с (внимание) Озоном боролись против мошенников. Обычно в настолько крупных продуктовых компаниях есть свои сотрудники, которые занимаются антифродом (это и есть борьба с мошенничеством), поэтому найм внешнего подрядчика меня крайне удивил.
Но если чуть подробнее вчитаться в отчет, то окажется, что скоуп работ у них был намного шире, чем у обычного антифрода – они, ко всему прочему, еще и вылавливали фишинговые/скам сайты, мошеннические группы и каналы в социальных сетях. Само собой, все эти ресурсы выдавали себя за оригинальный сайт/сообщества Озона, размещали выгодные предложения и акции, чем и заманивали к себе жертв. Итог, думаю, очевиден. Надеюсь, что все вы понимаете, что такие мошеннические клоны есть не только у этой компании, но и у других маркетплейсов и магазинов.
#НовостьДня
Твой Пакет Безопасности
👍11❤🔥7⚡4❤3🔥1🌭1💯1
АнтиСКАМ
Про красный телеком на этой неделе мы уже поговорили, теперь настало время желтого банка (и это опять не реклама). Тинькофф тут запустил сервис, который (при определенных условиях) сможет выявлять мошенников, которые вам звонят. При этом, если сервис со своей задачей не справится, то банк обязуется вернуть все украденные средства.
Звучит эффектно, особенно, если не знать о том, что пару месяцев назад был подписан законопроект, согласно которому банки и так обязаны возвращать жертвам мошенников их деньги. И, само собой, есть некоторые нюансы, при которых эта услуга не сработает – если звонок был через мессенджер (телеграм, вотсап и другие), если высвечивалась плашка об угрозе (но пользователь таки поднял трубку) и так далее. Само собой, надо быть абонентом Тинькофф Мобайла и предоставить доступ ко всем своим звонкам (определительно номера) – штука полезная, кстати, и весьма популярная.
На самом деле, если без скепсиса, то ребята все-равно молодцы, так как их сервис обязуется выплачивать компенсации оперативно и без решения суда. Более того, он делает всю эту процедуру возврата денег потерпевшим более прозрачной и понятной. Ждем аналогов от конкурентов и подключаем всем своим старшим родственникам.
#КиберГигиена
Твой Пакет Безопасности
Про красный телеком на этой неделе мы уже поговорили, теперь настало время желтого банка (и это опять не реклама). Тинькофф тут запустил сервис, который (при определенных условиях) сможет выявлять мошенников, которые вам звонят. При этом, если сервис со своей задачей не справится, то банк обязуется вернуть все украденные средства.
Звучит эффектно, особенно, если не знать о том, что пару месяцев назад был подписан законопроект, согласно которому банки и так обязаны возвращать жертвам мошенников их деньги. И, само собой, есть некоторые нюансы, при которых эта услуга не сработает – если звонок был через мессенджер (телеграм, вотсап и другие), если высвечивалась плашка об угрозе (но пользователь таки поднял трубку) и так далее. Само собой, надо быть абонентом Тинькофф Мобайла и предоставить доступ ко всем своим звонкам (определительно номера) – штука полезная, кстати, и весьма популярная.
На самом деле, если без скепсиса, то ребята все-равно молодцы, так как их сервис обязуется выплачивать компенсации оперативно и без решения суда. Более того, он делает всю эту процедуру возврата денег потерпевшим более прозрачной и понятной. Ждем аналогов от конкурентов и подключаем всем своим старшим родственникам.
#КиберГигиена
Твой Пакет Безопасности
👍20❤🔥6🔥4👎3⚡2❤1
Ну что, друзья, всех с воскресеньем! Неделя выдалась не самой простой, поэтому пора немного выдохнуть и посмотреть, что интересного было в нашем канале.
⚡️ Неделя началась с расслабляющего кибермема, который не стоит воспринимать всерьёз – ссылка
⚡️ Запись с одного ИБ-мероприятия, которая будет полезна всем кибербезопасникам – ссылка
⚡️ Официальный сервис для оповещения о сливе ваших ПДн (да, вышло иронично) и мошеннических действиях с их использованием – ссылка
⚡️ Как РКН продолжает бороться с VPN, почему нужно быть аккуратнее с рассылками по Binance, и как Ростелеком Ютуб блокировать будет – ссылка
⚡️ Новости из мира фишинга – при чем тут Телеграм, и как с мошенниками борются большие ребята – ссылка
Твой Пакет Безопасности
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤🔥5⚡2👏1
This media is not supported in your browser
VIEW IN TELEGRAM
🤣36👍22❤6🔥2😁2🤯2⚡1
Так БМВ или Мерс?
Начнем с недавнего нелепого инцидента, который случился с Toyota и Lexus. У них просто разом встали все 14 сборочных предприятий из-за некого сбоя. Сбой этот, судя по заявлениям самого автоконцерна, был связан с нехваткой объёма памяти на серверах, которые координировали деятельность заводов. И да, ребята из Японии заявляют, что всё это никак не связано с хакерскими атаками или безопасностью, как таковой (хотя атака с подобными симптомами есть). Напомню, что это уже не первый их инцидент за последний год, до этого проблема была связана с утечкой данных о местоположении 2 милиионов клиентов. Что сказать – японцы делают вещи.
Дальше интереснее – тут Mozilla (та, которая браузеры делает и безопасность вперед двигает) провела интересное исследование в отношении тех данных, которые автомобили (да да) могут о нас собирать и использовать. Забавно, что они до этого додумались, но в итоге они прошерстили политики конфиденциальности 25-ти крупных автоконцернов, и результаты не самые утешающие (хотя, ничего нового).
Если коротко, то все всё собирают (вплоть до расы, вероисповедания и личных привычек) и использую в различных целя – от передачи данных властям и третьим лицам, до собственной аналитики. Нюанс состоит в том, что согласие владельца на сбор берется автоматически по факту использования автотранспортом. Ну а теперь вспоминаем, на чём ездит тот самый Цукерберг (спойлер – на машине без лишней электроники) и осознаём, что все современные авто (даже не обязательно электрокары) максимально сейчас напичканы микрофонами, датчиками движения, камерами. В общем, заклеиваем все датчики изолентой и едем дальше.
#НовостьДня
Твой Пакет Безопасности
Начнем с недавнего нелепого инцидента, который случился с Toyota и Lexus. У них просто разом встали все 14 сборочных предприятий из-за некого сбоя. Сбой этот, судя по заявлениям самого автоконцерна, был связан с нехваткой объёма памяти на серверах, которые координировали деятельность заводов. И да, ребята из Японии заявляют, что всё это никак не связано с хакерскими атаками или безопасностью, как таковой (хотя атака с подобными симптомами есть). Напомню, что это уже не первый их инцидент за последний год, до этого проблема была связана с утечкой данных о местоположении 2 милиионов клиентов. Что сказать – японцы делают вещи.
Дальше интереснее – тут Mozilla (та, которая браузеры делает и безопасность вперед двигает) провела интересное исследование в отношении тех данных, которые автомобили (да да) могут о нас собирать и использовать. Забавно, что они до этого додумались, но в итоге они прошерстили политики конфиденциальности 25-ти крупных автоконцернов, и результаты не самые утешающие (хотя, ничего нового).
Если коротко, то все всё собирают (вплоть до расы, вероисповедания и личных привычек) и использую в различных целя – от передачи данных властям и третьим лицам, до собственной аналитики. Нюанс состоит в том, что согласие владельца на сбор берется автоматически по факту использования автотранспортом. Ну а теперь вспоминаем, на чём ездит тот самый Цукерберг (спойлер – на машине без лишней электроники) и осознаём, что все современные авто (даже не обязательно электрокары) максимально сейчас напичканы микрофонами, датчиками движения, камерами. В общем, заклеиваем все датчики изолентой и едем дальше.
#НовостьДня
Твой Пакет Безопасности
🔥33👍11⚡7❤3😁1🤯1
А сколько их у тебя?
Некоторые из вас уже могли слышать о громкой новости, связанной с тем, что расширения для браузера Google Chrome воруют наши пароли с сайтов. Именно такой заголовок некоторые новостные издания и используют для того, чтобы привлечь внимание аудитории. Но давайте попробуем разобраться чуть подробнее. Причиной этого инфоповода стало исследование ребят из одного американского университета. Они выяснили, что у некоторых расширений браузера (а точнее у 12,5%) есть достаточное количество прав, чтобы вытаскивать с сайтов вводимые логины, почты, пароли, коды и прочие важные текстовые данные.
Связано это с двумя вещами (вдохните) – с архитектурой браузеров и веба, в целом (а точнее HTML DOM), и с тем, что разработчики сайтов достаточно халатно относятся к обработке вводимых данных, не предпринимая каких-то дополнительных действий для того, чтобы их обезопасить (выдыхайте).
Ну и закрепим – достаточно большое количество расширений вашего браузера (для Хрома это порядка 17 300 штук) могут получить доступ ко всем данным, которые вы вводите в различные поля на сайтах – будь то гневный отзыв или пароль от вашего аккаунта. К слову, некоторые расширения получают этот доступ вполне легально и для выполнения своих функций (например, переводчики).
Судя по всему, многим это исследование открыло глаза и заставило сильно попереживать, поэтому есть теория, что ежовые рукавицы рынка плагинов для браузера будут сжиматься и строже относиться к тем правам, которые запрашиваются разработчиком. А сколько у вас расширений в вашем браузере?
#НовостьДня
Твой Пакет Безопасности
Некоторые из вас уже могли слышать о громкой новости, связанной с тем, что расширения для браузера Google Chrome воруют наши пароли с сайтов. Именно такой заголовок некоторые новостные издания и используют для того, чтобы привлечь внимание аудитории. Но давайте попробуем разобраться чуть подробнее. Причиной этого инфоповода стало исследование ребят из одного американского университета. Они выяснили, что у некоторых расширений браузера (а точнее у 12,5%) есть достаточное количество прав, чтобы вытаскивать с сайтов вводимые логины, почты, пароли, коды и прочие важные текстовые данные.
Связано это с двумя вещами (вдохните) – с архитектурой браузеров и веба, в целом (а точнее HTML DOM), и с тем, что разработчики сайтов достаточно халатно относятся к обработке вводимых данных, не предпринимая каких-то дополнительных действий для того, чтобы их обезопасить (выдыхайте).
Ну и закрепим – достаточно большое количество расширений вашего браузера (для Хрома это порядка 17 300 штук) могут получить доступ ко всем данным, которые вы вводите в различные поля на сайтах – будь то гневный отзыв или пароль от вашего аккаунта. К слову, некоторые расширения получают этот доступ вполне легально и для выполнения своих функций (например, переводчики).
Судя по всему, многим это исследование открыло глаза и заставило сильно попереживать, поэтому есть теория, что ежовые рукавицы рынка плагинов для браузера будут сжиматься и строже относиться к тем правам, которые запрашиваются разработчиком. А сколько у вас расширений в вашем браузере?
#НовостьДня
Твой Пакет Безопасности
⚡19👍8🤯5❤4❤🔥2🔥2🕊2👏1
ТелеСКАМ
На прошлой неделе мы с вами обсуждали (вот тут), что Телеграм признали самым настоящим рассадником фишинговой активности. Настало время на примерах убедиться в том, что есть в этом доля правды. Ну а вас я призываю использовать эту информацию сугубо для того, чтобы обезопасить себя и своих близких.
Начнем с прецедента, который произошел не так давно – злоумышленники продолжают обманывать людей через крипто-ботов в мессенджере. Крипта становится популярнее – кто-то получает в ней зарплату, кто-то использует ее для трансграничных переводов, кто-то просто держит в ней свои сбережения. Это провоцирует появление большого количества телеграм-ботов, которые помогают людям быстро и просто обменивать их деньги на крипту и обратно. Ну а такая активность способствует появлению мошеннических криптоботов, которые воруют у своих жертв и деньги, и крипту, личные/паспортные данные, и данные банковских карт. Так что будьте осторожны и не пользуйтесь ноунейм-сервисами.
Ну а продолжим мы уже ботом для реализации мошеннических схем. Да-да, плохие ребята тоже любят упрощать себе жизнь. Сегодня поговорим о тг-боте Telekopye, раз уже его не так давно обнаружили в ESET (помните такой антивирус?). Бот умеет много чего – создавать клоны реальных сайтов, генерировать QR-коды и банковские скриншоты (чеки для подтверждения денежных переводов), а еще он умеет рассылать фишинговые СМС и электронные письма. А теперь внимание – он делает это всё на русском языке и нацелен на РФ-сегмент (скрины РФ-банков, СМС на РФ-симки и так далее). Да, в Вотсапе такого не сделаешь.
#КиберГигиена
Твой Пакет Безопасности
На прошлой неделе мы с вами обсуждали (вот тут), что Телеграм признали самым настоящим рассадником фишинговой активности. Настало время на примерах убедиться в том, что есть в этом доля правды. Ну а вас я призываю использовать эту информацию сугубо для того, чтобы обезопасить себя и своих близких.
Начнем с прецедента, который произошел не так давно – злоумышленники продолжают обманывать людей через крипто-ботов в мессенджере. Крипта становится популярнее – кто-то получает в ней зарплату, кто-то использует ее для трансграничных переводов, кто-то просто держит в ней свои сбережения. Это провоцирует появление большого количества телеграм-ботов, которые помогают людям быстро и просто обменивать их деньги на крипту и обратно. Ну а такая активность способствует появлению мошеннических криптоботов, которые воруют у своих жертв и деньги, и крипту, личные/паспортные данные, и данные банковских карт. Так что будьте осторожны и не пользуйтесь ноунейм-сервисами.
Ну а продолжим мы уже ботом для реализации мошеннических схем. Да-да, плохие ребята тоже любят упрощать себе жизнь. Сегодня поговорим о тг-боте Telekopye, раз уже его не так давно обнаружили в ESET (помните такой антивирус?). Бот умеет много чего – создавать клоны реальных сайтов, генерировать QR-коды и банковские скриншоты (чеки для подтверждения денежных переводов), а еще он умеет рассылать фишинговые СМС и электронные письма. А теперь внимание – он делает это всё на русском языке и нацелен на РФ-сегмент (скрины РФ-банков, СМС на РФ-симки и так далее). Да, в Вотсапе такого не сделаешь.
#КиберГигиена
Твой Пакет Безопасности
👍20👀8🔥4❤🔥3🌚2❤1⚡1👨💻1
Этично-яблочный хакинг
Презентация новых айфонов уже прошла, все критики опубликовали свои недовольные мнения на этот счет, а фанаты уже начали откладывать зарплату на обновки. Можно было бы обсудить новые устройства яблочной компании (было бы что обсуждать, как говорится), но у нас тут канал про безопасность, поэтому сегодня обсудим новую брешь и потенциальную угрозу для владельцев айфонов и практическую безопасность.
Во-первых, я тут наткнулся на небольшой пост на тему того, как ребята, при помощи (многим известного) Flipper Zero, научились превращать яблочные устройства в строительный материал (кирпич, ну). Делают они это через модуль Bluetooth, и да, для того, чтобы это повторить, не обязательно покупать себе хайповый Flipper Zero. Выглядит это очень забавно, потому что, по сути, они просто бесконечно отправляют на айфон всплывающие уведомления о том, что рядом находятся AirPods или AirTag. И всё, после начала такой атаки пользоваться устройством просто невозможно, даже отключить этот модуль блютуз. Починить такую штуку очень просто, и я думаю, что сделают это в одном из свежих обновлений.
Во-вторых, я тут иногда вам рассказываю о каких-то интересных событиях из мира кибербеза, и вот такой момент снова настал. Если вам вдруг интересна тема и специфика offensive security (это когда атакуют), то вэлкам на оффлайн-митап, который пройдет в одном из баров Москвы. Судя по тому, что я смог отыскать, там будут обсуждать не только архитектуры сетей и подход к пентесту Wi-Fi, но и более широкие темы, по типу необходимости пентеста в целом и его ценности для компаний. Зарегистрироваться можно вот тут (на фишинг не похоже).
Всем хороших выходных и, если вы подвергнетесь атаке через блютуз, то просто выйдите из радиуса действия атакующего :)
#Мнение
Твой Пакет Безопасности
Презентация новых айфонов уже прошла, все критики опубликовали свои недовольные мнения на этот счет, а фанаты уже начали откладывать зарплату на обновки. Можно было бы обсудить новые устройства яблочной компании (было бы что обсуждать, как говорится), но у нас тут канал про безопасность, поэтому сегодня обсудим новую брешь и потенциальную угрозу для владельцев айфонов и практическую безопасность.
Во-первых, я тут наткнулся на небольшой пост на тему того, как ребята, при помощи (многим известного) Flipper Zero, научились превращать яблочные устройства в строительный материал (кирпич, ну). Делают они это через модуль Bluetooth, и да, для того, чтобы это повторить, не обязательно покупать себе хайповый Flipper Zero. Выглядит это очень забавно, потому что, по сути, они просто бесконечно отправляют на айфон всплывающие уведомления о том, что рядом находятся AirPods или AirTag. И всё, после начала такой атаки пользоваться устройством просто невозможно, даже отключить этот модуль блютуз. Починить такую штуку очень просто, и я думаю, что сделают это в одном из свежих обновлений.
Во-вторых, я тут иногда вам рассказываю о каких-то интересных событиях из мира кибербеза, и вот такой момент снова настал. Если вам вдруг интересна тема и специфика offensive security (это когда атакуют), то вэлкам на оффлайн-митап, который пройдет в одном из баров Москвы. Судя по тому, что я смог отыскать, там будут обсуждать не только архитектуры сетей и подход к пентесту Wi-Fi, но и более широкие темы, по типу необходимости пентеста в целом и его ценности для компаний. Зарегистрироваться можно вот тут (на фишинг не похоже).
Всем хороших выходных и, если вы подвергнетесь атаке через блютуз, то просто выйдите из радиуса действия атакующего :)
#Мнение
Твой Пакет Безопасности
🥴34❤6👍6❤🔥4🔥2
С кем не бывает
Не знаю как, но я умудрился пропустить достаточно интересный инфоповод, связанный с новой гос-инициативой в сфере ИБ. У нас тут решили создать Отраслевой центр информационной безопасности.
Во-первых, я не очень понял, почему он "отраслевой". Во-вторых, сделать его хотят внутри уже существующего "Национального технологического центра цифровой криптографии", хотя, по логике, должно быть наоборот (а еще получается центр внутри центра).
Если я все правильно понял, этот центр будет представлять из себя единый орган государственного кибербеза со своим исследовательским отделом. Думаю, что этот центр будет также проводить регулярные ИБ-аудиты организаций и сервисов, расследовать крупные инциденты и консультировать нуждающихся по вопросам безопасности (в последнее верится с трудом, но вдруг). Очень хочется, чтобы строили этот центр с умом и осознанием того, какую пользу он может (и должен) принести кибербезу и бизнесу в нашей стране.
Из позитивного могу точно спрогнозировать повышение спроса на рынке труда, так как новых ИБшных вакансий скоро появится очень много – ведь этот центр нужно и развивать, и поддерживать в рабочем состоянии. Ну а повышение спроса повысит и зарплатные вилки, так как кандидатов больше пока не стало. Расчехляйте свои резюме.
#НовостьДня
Твой Пакет Безопасности
Не знаю как, но я умудрился пропустить достаточно интересный инфоповод, связанный с новой гос-инициативой в сфере ИБ. У нас тут решили создать Отраслевой центр информационной безопасности.
Во-первых, я не очень понял, почему он "отраслевой". Во-вторых, сделать его хотят внутри уже существующего "Национального технологического центра цифровой криптографии", хотя, по логике, должно быть наоборот (а еще получается центр внутри центра).
Если я все правильно понял, этот центр будет представлять из себя единый орган государственного кибербеза со своим исследовательским отделом. Думаю, что этот центр будет также проводить регулярные ИБ-аудиты организаций и сервисов, расследовать крупные инциденты и консультировать нуждающихся по вопросам безопасности (в последнее верится с трудом, но вдруг). Очень хочется, чтобы строили этот центр с умом и осознанием того, какую пользу он может (и должен) принести кибербезу и бизнесу в нашей стране.
Из позитивного могу точно спрогнозировать повышение спроса на рынке труда, так как новых ИБшных вакансий скоро появится очень много – ведь этот центр нужно и развивать, и поддерживать в рабочем состоянии. Ну а повышение спроса повысит и зарплатные вилки, так как кандидатов больше пока не стало. Расчехляйте свои резюме.
#НовостьДня
Твой Пакет Безопасности
⚡18👍8❤6🔥3❤🔥2👨💻2
А вот и долгожданное воскресенье, долгожданный дайджест и долгожданный день отдыха от этих длинных и душных сложных постов. Погнали.
⚡️ Мем про службу безопасности сами знаете каких компаний – ссылка
⚡️ Киберинциденты из мира автопрома, которые не тревожат Цукерберга – ссылка
⚡️ Почему нужно быть аккуратнее с расширениями в вашем браузере – ссылка
⚡️ Очередной пост про кибергигиену в Телеграме и немного о том, как плохие ребята научились автоматизировать свою работу – ссылка
⚡️ Как энтузиасты научились атаковать айфоны через блютуз, и почему это работает не так, как должно (в комментариях подробности) – ссылка
⚡️ Новость о создании отечественного центра безопасности внутри еще одного центра безопасности и о том, чем это чревато – ссылка
Твой Пакет Безопасности
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤7⚡3👍3❤🔥1🦄1