Как наш народ обманывают
Сегодня будет лайтовый пост про то, что там нового придумали плохие ребята, которые всё еще пытаются нас обмануть и обокрасть. Начнем с новой мошеннической схемы, опубликованной самим Сбером, клиенты которого и становились ее жертвами. Ничего нового злоумышленники придумать не могут, поэтому просто фантазируют на тему того, в какую новую обертку засунуть старую пилюлю. На этот раз жертвам звонят из банка (под видом консультантов, специалистов поддержки и т.д.) и убеждают установить на свои мобильные устройства вредоносные приложения – "Поддержка Сбербанка" и "Сбер 2.0". Само собой, внутри приложений не будет личного кабинета зеленого банка, так как это просто ПО для удаленного доступа (чтобы плохие ребята смогли подключиться к вашему смартфону и забрать с него всё, что им нужно). И да, проще всего атаковать клиентов самого большого банка, но имейте в виду, что клиенты красных, желтых и синих банков также могут подвергнуться такой атаке.
Ну а на десерт – мошенничество на основе спроса на новые 15-е айфоны. Тут типичная схема с предзаказом на устройства с ограниченными поставками (а других у нас теперь и нет). Заманчивые объявления с заниженными ценами раскидывают везде, где только можно – начиная с Авито, заканчивая нашим любимым Телеграмом. Более того, объявления эти могут размещаться и в тех каналах/группах, авторам которых вы доверяете, ведь этот канал могут банально перекупить или украсть для того, чтобы заработать на СКАМе. А так держите в голове, что если с вас берут предоплату на что-то популярное и по заниженной цене, то явно стоит задуматься.
#КиберГигиена
Твой Пакет Безопасности
Сегодня будет лайтовый пост про то, что там нового придумали плохие ребята, которые всё еще пытаются нас обмануть и обокрасть. Начнем с новой мошеннической схемы, опубликованной самим Сбером, клиенты которого и становились ее жертвами. Ничего нового злоумышленники придумать не могут, поэтому просто фантазируют на тему того, в какую новую обертку засунуть старую пилюлю. На этот раз жертвам звонят из банка (под видом консультантов, специалистов поддержки и т.д.) и убеждают установить на свои мобильные устройства вредоносные приложения – "Поддержка Сбербанка" и "Сбер 2.0". Само собой, внутри приложений не будет личного кабинета зеленого банка, так как это просто ПО для удаленного доступа (чтобы плохие ребята смогли подключиться к вашему смартфону и забрать с него всё, что им нужно). И да, проще всего атаковать клиентов самого большого банка, но имейте в виду, что клиенты красных, желтых и синих банков также могут подвергнуться такой атаке.
Ну а на десерт – мошенничество на основе спроса на новые 15-е айфоны. Тут типичная схема с предзаказом на устройства с ограниченными поставками (а других у нас теперь и нет). Заманчивые объявления с заниженными ценами раскидывают везде, где только можно – начиная с Авито, заканчивая нашим любимым Телеграмом. Более того, объявления эти могут размещаться и в тех каналах/группах, авторам которых вы доверяете, ведь этот канал могут банально перекупить или украсть для того, чтобы заработать на СКАМе. А так держите в голове, что если с вас берут предоплату на что-то популярное и по заниженной цене, то явно стоит задуматься.
#КиберГигиена
Твой Пакет Безопасности
👍29❤🔥3🔥2🦄2❤1⚡1
А ты точно робот?
Наверняка вы тысячу раз уже натыкались в интернетах на проверки, которые называются капчами (CAPTCHA). Это такие тесты, которые раньше было модно ставить на сайтах, чтобы понять, робот вы или человек. По сути, это небольшие и несложные (иногда) задания, связанные с распознаванием объектов на изображении, текста или звуков (Яндекс в этом плане самый жестокий садист). Сегодня мы не будем готовить о том, как эта технология появилась и кому она была нужна (если интересно, можете посмотреть, например, тут, оно того стоит, поверьте), иначе это точно выльется за рамки одного поста. Кстати, если вы смотрели Бегущего по лезвию (если нет, то бегите скорее смотреть), то там тоже используется этот тест для выявления андроидов среди людей.
Так вот, мы поговорим о том, работает ли капча на самом деле. Как вы понимаете, эта технология напрямую связана с безопасностью, так как защищает ресурсы в интернете от СПАМеров, скриптов злоумышленников, DDoS-атак и прочих неприятностей. И изначально, когда капчу придумали, она вполне справлялась со своей задачей, но нюанс в том, что время идет, а технологии развиваются. Судя по исследованию и заявлениям ученых (нет, не британских) из Калифорнийского университета, боты уже быстрее и лучше проходят эти тесты на роботов.
Все банально и просто, на сегодняшний день человеку требуется больше времени на то, чтобы просмотреть все эти размазанные картинки и распознать на них что-то похожее на пожарные гидранты или светофоры. Алгоритмы, которые умеют обрабатывать информацию параллельными потоками, намного эффективнее в таких простых задачах. И да, у этого метода даже есть название – антикапча. В сети есть достаточное количество опубликованных исходников таких сервисов (например, тут), а некоторые даже сделали из этого бизнес и предоставляют решение подобных тестов в формате платной услуги (рекламировать не буду).
Что сказать, видимо такова цена эволюции. И я, конечно не специалист, но что-то мне подсказывает, что можно усовершенствовать такой тест Тюринга, добавив в него щепотку усложненной поведенческой логики, но это уже совсем другая история.
#Мнение
Твой Пакет Безопасности
Наверняка вы тысячу раз уже натыкались в интернетах на проверки, которые называются капчами (CAPTCHA). Это такие тесты, которые раньше было модно ставить на сайтах, чтобы понять, робот вы или человек. По сути, это небольшие и несложные (иногда) задания, связанные с распознаванием объектов на изображении, текста или звуков (Яндекс в этом плане самый жестокий садист). Сегодня мы не будем готовить о том, как эта технология появилась и кому она была нужна (если интересно, можете посмотреть, например, тут, оно того стоит, поверьте), иначе это точно выльется за рамки одного поста. Кстати, если вы смотрели Бегущего по лезвию (если нет, то бегите скорее смотреть), то там тоже используется этот тест для выявления андроидов среди людей.
Так вот, мы поговорим о том, работает ли капча на самом деле. Как вы понимаете, эта технология напрямую связана с безопасностью, так как защищает ресурсы в интернете от СПАМеров, скриптов злоумышленников, DDoS-атак и прочих неприятностей. И изначально, когда капчу придумали, она вполне справлялась со своей задачей, но нюанс в том, что время идет, а технологии развиваются. Судя по исследованию и заявлениям ученых (нет, не британских) из Калифорнийского университета, боты уже быстрее и лучше проходят эти тесты на роботов.
Все банально и просто, на сегодняшний день человеку требуется больше времени на то, чтобы просмотреть все эти размазанные картинки и распознать на них что-то похожее на пожарные гидранты или светофоры. Алгоритмы, которые умеют обрабатывать информацию параллельными потоками, намного эффективнее в таких простых задачах. И да, у этого метода даже есть название – антикапча. В сети есть достаточное количество опубликованных исходников таких сервисов (например, тут), а некоторые даже сделали из этого бизнес и предоставляют решение подобных тестов в формате платной услуги (рекламировать не буду).
Что сказать, видимо такова цена эволюции. И я, конечно не специалист, но что-то мне подсказывает, что можно усовершенствовать такой тест Тюринга, добавив в него щепотку усложненной поведенческой логики, но это уже совсем другая история.
#Мнение
Твой Пакет Безопасности
👍28😁8❤🔥4⚡3🔥3❤2🕊1
Безопасная архитектура
Что-то давно я не публиковал ничего дня кибербезопасников (которых тут не так уж и мало, судя по одному из опросов в канале), так что исправляем ситуацию. Сам я занимаюсь безопасностью архитектуры различных сервисов, веб-приложений, мобилок и всего, что с этим связано, поэтому сегодня я решил собрать для вас полезные ресурсы из этой сферы.
🦾 Небольшая вводная для тех, кто только начинает разбираться – раз, два, три
🦾 Принципы безопасного проектирования архитектуры с разбивкой по этапам – раз, два, три, четыре
🦾 Полезные чеклисты для проверки того, что уже напроектировали – раз, два, три, четыре
Сохраняем себе в заметки и активно пользуемся.
Твой Пакет Безопасности
Что-то давно я не публиковал ничего дня кибербезопасников (которых тут не так уж и мало, судя по одному из опросов в канале), так что исправляем ситуацию. Сам я занимаюсь безопасностью архитектуры различных сервисов, веб-приложений, мобилок и всего, что с этим связано, поэтому сегодня я решил собрать для вас полезные ресурсы из этой сферы.
🦾 Небольшая вводная для тех, кто только начинает разбираться – раз, два, три
🦾 Принципы безопасного проектирования архитектуры с разбивкой по этапам – раз, два, три, четыре
🦾 Полезные чеклисты для проверки того, что уже напроектировали – раз, два, три, четыре
Сохраняем себе в заметки и активно пользуемся.
Твой Пакет Безопасности
👍19❤🔥5❤2⚡2🔥2🕊2
Легенды и мифы древней Греции
В одном из прошлых постов (вот тут) мы с вами уже обсуждали шпионское программное обеспечение Pegasus. Напомню, что эта штука была создана одной израильской компанией NSO Group, а еще она очень живучая и постоянно адаптируется под новые версии iOS, Android и различные устройства, на которые эти операционки устанавливаются. Так вот, тут набралась пара инфоповодов, которая связана с этой программой, так что поехали обсуждать.
Начнем с того, что, судя по заявлениям ребят из F.A.C.C.T. ,Pegasus уже может заразить новые айфоны 15-ой серии (те самые, которые я уже третий раз упоминаю, ужас). Выводы, конечно, косвенные, но не беспочвенные. Вообще это ПО предназначено для шпионажа за особо-важными персонами – политиками, журналистами и так далее. Но проблема в том, что NSO Group продаёт свой сервис тем, кому она сама захочет (хотя они утверждают, что сотрудничают только с государствами органами), поэтому тут даже сложно выделить тех, кто может оказаться под угрозой. В общем, скачиваем на свой айфон тетрис, удаляем все мессенджеры с банковскими приложениями, заклеиваем камеры с микрофонами и живем спокойно.
Ну а если переходить от общего к частному, то тут на смартфоне основательницы одного новостного издания обнаружили тот самый Pegasus. Более того, проходила она с ним более полугода, судя по тому, что пишут в новостях. Единственное, чего я так и не понял из этого инфоповода – откуда она узнала о факте заражения. Часть источников гласит о том, что это вывил некий технический отдел её новостного издания, а другие утверждают, что ей об этом вообще сообщила сама Apple. Кто именно атаковал устройство этой женщины, достоверно выяснить так и не удалось. Так и живем.
#НовостьДня
Твой Пакет Безопасности
В одном из прошлых постов (вот тут) мы с вами уже обсуждали шпионское программное обеспечение Pegasus. Напомню, что эта штука была создана одной израильской компанией NSO Group, а еще она очень живучая и постоянно адаптируется под новые версии iOS, Android и различные устройства, на которые эти операционки устанавливаются. Так вот, тут набралась пара инфоповодов, которая связана с этой программой, так что поехали обсуждать.
Начнем с того, что, судя по заявлениям ребят из F.A.C.C.T. ,Pegasus уже может заразить новые айфоны 15-ой серии (те самые, которые я уже третий раз упоминаю, ужас). Выводы, конечно, косвенные, но не беспочвенные. Вообще это ПО предназначено для шпионажа за особо-важными персонами – политиками, журналистами и так далее. Но проблема в том, что NSO Group продаёт свой сервис тем, кому она сама захочет (хотя они утверждают, что сотрудничают только с государствами органами), поэтому тут даже сложно выделить тех, кто может оказаться под угрозой. В общем, скачиваем на свой айфон тетрис, удаляем все мессенджеры с банковскими приложениями, заклеиваем камеры с микрофонами и живем спокойно.
Ну а если переходить от общего к частному, то тут на смартфоне основательницы одного новостного издания обнаружили тот самый Pegasus. Более того, проходила она с ним более полугода, судя по тому, что пишут в новостях. Единственное, чего я так и не понял из этого инфоповода – откуда она узнала о факте заражения. Часть источников гласит о том, что это вывил некий технический отдел её новостного издания, а другие утверждают, что ей об этом вообще сообщила сама Apple. Кто именно атаковал устройство этой женщины, достоверно выяснить так и не удалось. Так и живем.
#НовостьДня
Твой Пакет Безопасности
👍15❤4⚡2🔥2❤🔥1🦄1
Поменяй уже свой пароль
Мы уже не раз затрагивали с вами тему паролей в этом канале (раз, два, три, четыре), но пока мы вынуждены с ними жить, говорить о них придется (надо еще немного потерпеть). В этот раз я решил собрать для вас солянку из всего, что мне попадалось за последнее время, так или иначе связанное с паролями.
Ну погнали. В одном из прошлых постов мы с вами обсуждали тему криптостойкости паролей. Это достаточно важный показатель, так как даже если ваш пароль состоит из 16 символов, но там просто написано ваше ФИО, то это всё еще не криптостойкий пароль. Я нашел тут для вас исследование от ребят из RTM Group на тему того, что подавляющее большинство паролей россиян взламываются менее чем за минуту обычным перебором. Они проанализировали и пароли от личных сервисов, и от корпоративных. Со вторыми чуть полегче, так как там (хоть иногда) это регулируется внутренними политиками компании-работодателя. Это исследование было посвящено в большей части коротким паролям (до 10 символов) и оно не учитывает, что помимо перебора есть логический подбор (через социальную инженерию) и данные из утечек.
По поводу утечек – мы в вами уже как-то обсуждали сервисы, которые помогают проверить, были ли слиты ваши пароли. Собрал для вас еще парочку таких сервисов, чтобы вы могли убедиться, что всё давно слито и пора поменять пароль – раз, два, три.
А еще, я тут пока писал этот пост, наткнулся на забавный инфоповод от Совета Федераций, где они призывают всех граждан РФ поменять пароли от своих социальных сетей. Произошло это еще летом и связано было с тем, что в сеть слили критический объем персональных данных (можно подумать это произошло только тогда). Ну а я вам посоветую просто делать это регулярно, вне зависимости от утечек, взломов и прочих внешних факторов. Всем мир.
#КиберГигиена
Твой Пакет Безопасности
Мы уже не раз затрагивали с вами тему паролей в этом канале (раз, два, три, четыре), но пока мы вынуждены с ними жить, говорить о них придется (надо еще немного потерпеть). В этот раз я решил собрать для вас солянку из всего, что мне попадалось за последнее время, так или иначе связанное с паролями.
Ну погнали. В одном из прошлых постов мы с вами обсуждали тему криптостойкости паролей. Это достаточно важный показатель, так как даже если ваш пароль состоит из 16 символов, но там просто написано ваше ФИО, то это всё еще не криптостойкий пароль. Я нашел тут для вас исследование от ребят из RTM Group на тему того, что подавляющее большинство паролей россиян взламываются менее чем за минуту обычным перебором. Они проанализировали и пароли от личных сервисов, и от корпоративных. Со вторыми чуть полегче, так как там (хоть иногда) это регулируется внутренними политиками компании-работодателя. Это исследование было посвящено в большей части коротким паролям (до 10 символов) и оно не учитывает, что помимо перебора есть логический подбор (через социальную инженерию) и данные из утечек.
По поводу утечек – мы в вами уже как-то обсуждали сервисы, которые помогают проверить, были ли слиты ваши пароли. Собрал для вас еще парочку таких сервисов, чтобы вы могли убедиться, что всё давно слито и пора поменять пароль – раз, два, три.
А еще, я тут пока писал этот пост, наткнулся на забавный инфоповод от Совета Федераций, где они призывают всех граждан РФ поменять пароли от своих социальных сетей. Произошло это еще летом и связано было с тем, что в сеть слили критический объем персональных данных (можно подумать это произошло только тогда). Ну а я вам посоветую просто делать это регулярно, вне зависимости от утечек, взломов и прочих внешних факторов. Всем мир.
#КиберГигиена
Твой Пакет Безопасности
❤🔥29👍14🔥3👨💻3⚡2
Ну что, дорогие подписчики, читатели и зрители этого канала. Предлагаю приправить этот отличный воскресный вечер отличным воскресным дайджестом постов, которые за эту неделю были тут опубликованы. Поехали.
⚡️ Мем со звуком и котами, собравший много реакций – ссылка
⚡️ Разбираем пару свежих (или не очень) мошеннических схем, связанных с банками и новыми айфонами – ссылка
⚡️ Что такое капча, как она отстала в развитии, и что с этим можно сделать – ссылка
⚡️ Полезные материалы по проектированию и аудиту безопасной архитектуры (да, душновато, но иногда можно) – ссылка
⚡️ Поговорили про Пегасус, про то, кого он уже заразил и про то, кто всё еще под угрозой – ссылка
⚡️ Очередной пост про пароли, их безопасность, утечки и флешмобы, связанные с ними – ссылка
Твой Пакет Безопасности
Твой Пакет Безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡9👍4❤3🔥3
Окей, Гугл
Предлагаю сегодня поговорить про пару инфоповодов, связанных с одной известной IT-корпорациейзла.
Начнем с не очень приятной новости – Google продает (и сам использует) историю вашего браузера. На самом деле, это наверное самый простой способ изучить пользователя, его модель поведения и интересы. Самому Гуглу это нужно для двух вещей. Во-первых, для того, чтобы предложить/навязать вам свои наиболее релевантные услуги и товары. Во-вторых, продать ваш цифровой портрет другим рекламодателям, чтобы они делали всё тоже самое. Да, это можно отключить через настройки браузера в разделе "Конфиденциальность и безопасность" (пункт "Темы рекламы"). Не то, чтобы я был этому удивлен, так как свои ожидания по отношению к корпорациям я уже давно понизил до минимума.
Следующий инфоповод касается того, что сотрудникам Google начали отключать доступ к интернетам с корпоративных устройств (пока в пилотном режиме). Выглядит это как самый банальный (но не самый умный) метод противодействия утечкам и кибератакам. Видел, как это работает на практике в одном крупном российском банке – если кратко, то опыт ужасный, так как ты даже загуглить ничего нормально не можешь. В общем, если вы когда-то устроитесь на работу в компанию, где доступ в интернет запрещен, то знайте, что безопасники там ленивые. Само собой, это не касается различных ядерных/нефтяных заводов и прочих хардкорных КИИ.
#НовостьДня
Твой Пакет Безопасности
Предлагаю сегодня поговорить про пару инфоповодов, связанных с одной известной IT-корпорацией
Начнем с не очень приятной новости – Google продает (и сам использует) историю вашего браузера. На самом деле, это наверное самый простой способ изучить пользователя, его модель поведения и интересы. Самому Гуглу это нужно для двух вещей. Во-первых, для того, чтобы предложить/навязать вам свои наиболее релевантные услуги и товары. Во-вторых, продать ваш цифровой портрет другим рекламодателям, чтобы они делали всё тоже самое. Да, это можно отключить через настройки браузера в разделе "Конфиденциальность и безопасность" (пункт "Темы рекламы"). Не то, чтобы я был этому удивлен, так как свои ожидания по отношению к корпорациям я уже давно понизил до минимума.
Следующий инфоповод касается того, что сотрудникам Google начали отключать доступ к интернетам с корпоративных устройств (пока в пилотном режиме). Выглядит это как самый банальный (но не самый умный) метод противодействия утечкам и кибератакам. Видел, как это работает на практике в одном крупном российском банке – если кратко, то опыт ужасный, так как ты даже загуглить ничего нормально не можешь. В общем, если вы когда-то устроитесь на работу в компанию, где доступ в интернет запрещен, то знайте, что безопасники там ленивые. Само собой, это не касается различных ядерных/нефтяных заводов и прочих хардкорных КИИ.
#НовостьДня
Твой Пакет Безопасности
🫡24👍5🔥5❤2⚡1❤🔥1🍌1
Капча и её друзья
Что такое капча мы с вами узнали в одном из прошлых постов (вот тут), поэтому настало время узнать о новом способе атаки с её использованием. Не то, чтобы это был какой-то супер-новый способ заражения устройств пользователей, но выглядит определенно свежо (последний раз я слышал о подобном несколько лет назад). Злоумышленники решили сэкономить на способе доставки вредоносных приложений, поэтому зашили сразу три таких в файл Word. Но сделали они это по-умному, таким образом, что жертва сама начинает их скачивать.
Алгоритм следующий – сначала человеку приходит фишинговое письмо с файлом Word на почту. При скачивании файла на устройство ни антивирус, ни браузер, ни какие другие проверки не бьют тревогу, так как файл абсолютно чист. При открытии файла человек видит заблюренное (размытое) содержимое и предложение пройти капчу (а точнее, reCAPTCHA от Гугла). После нажатия на неё, начинают скачиваться сразу 3 разные вредоносные программы, предназначенные для кражи важных данных с устройства жертвы, считывания нажатий с клавиатуры и прочих неприятных манипуляций.
Атака скорее всего не сработает, если на устройстве установлен обновленный антивирус, но мне кажется, что предназначена она скорее для корпоративного сегмента, в котором все входящие через почту файлы сканируются на предмет наличия вредоносного ПО, а вот на антивирусах для корпоративных компьютеров явно экономятся деньги (да, такие есть). В общем, хоть кого-то да заскамят. И вообще, хватит уже открывать фишинговые письма и вложения из них, ну.
#КиберГигиена
Твой Пакет Безопасности
Что такое капча мы с вами узнали в одном из прошлых постов (вот тут), поэтому настало время узнать о новом способе атаки с её использованием. Не то, чтобы это был какой-то супер-новый способ заражения устройств пользователей, но выглядит определенно свежо (последний раз я слышал о подобном несколько лет назад). Злоумышленники решили сэкономить на способе доставки вредоносных приложений, поэтому зашили сразу три таких в файл Word. Но сделали они это по-умному, таким образом, что жертва сама начинает их скачивать.
Алгоритм следующий – сначала человеку приходит фишинговое письмо с файлом Word на почту. При скачивании файла на устройство ни антивирус, ни браузер, ни какие другие проверки не бьют тревогу, так как файл абсолютно чист. При открытии файла человек видит заблюренное (размытое) содержимое и предложение пройти капчу (а точнее, reCAPTCHA от Гугла). После нажатия на неё, начинают скачиваться сразу 3 разные вредоносные программы, предназначенные для кражи важных данных с устройства жертвы, считывания нажатий с клавиатуры и прочих неприятных манипуляций.
Атака скорее всего не сработает, если на устройстве установлен обновленный антивирус, но мне кажется, что предназначена она скорее для корпоративного сегмента, в котором все входящие через почту файлы сканируются на предмет наличия вредоносного ПО, а вот на антивирусах для корпоративных компьютеров явно экономятся деньги (да, такие есть). В общем, хоть кого-то да заскамят. И вообще, хватит уже открывать фишинговые письма и вложения из них, ну.
#КиберГигиена
Твой Пакет Безопасности
❤20👍13🕊5❤🔥1⚡1🔥1
Угнать за 60 юаней
Я тут нашел в своих архивах еще пару сохраненных новостей, связанных с кибербезопасностью в мире автомобилестроения, поэтому предлагаю по ним пройтись, пока они совсем не протухли.
Многие мировые автоконцерны ушли из нашей страны (BMW, вернись), поэтому захват авторынка китайскими автомобилями не только продолжился, но еще и усилился. Они и дешевле, и двигатели с коробками нормальные (вроде как) делать научились, и дилерских центров много, но есть одно НО – системы безопасности они делать, судя по всему, так и не научились. Дело в том, что многие вещи в автомобилях (не только китайских) завязаны на его VIN-номере (это такой уникальный номер для каждого авто, который видно через лобовое стекло) – на этом и построена найденная уязвимость, позволяющая взломать автомобили достаточного большого количества марок, таких как Haval, Tank, Geely, Chery и ее суб-брендов Omoda и Exeed (нашли свою?).
Обход системы безопасности происходит через PIN-код, который можно либо узнать у дилера, имея тот самый VIN. Но ироничнее всего то, что эти пинкоды можно купить (внимание, сядьте) на Aliexpress! Интересно, также ли легко будет взломать наши новые Москвичи, собранные на базе китайского Джака.
Вторая новость достаточно устаревшая, но всё еще забавная (а может еще и актуальная). Связана она с тем, что сотрудники Tesla регулярно отсматривали и пересылали друг другу видео из автомобилей одноимённого концерна. Нюанс состоит в том, что делились они не только теми видео и скринами, где были запечатлены милые собачки в салоне, но и теми, где были зафиксированы интимные сцены с владельцами автомобилей. Само собой, компания говорит о том, что всё это делается с целью обеспечения безопасности и улучшения клиентского сервиса. Ах да, эти ребята из Теслы даже мемы из этих скринов умудрялись делать. Такое мыне уважаем. И да, теперь позиция Цукерберга становится более понятной.
#НовостьДня
Твой Пакет Безопасности
Я тут нашел в своих архивах еще пару сохраненных новостей, связанных с кибербезопасностью в мире автомобилестроения, поэтому предлагаю по ним пройтись, пока они совсем не протухли.
Многие мировые автоконцерны ушли из нашей страны (BMW, вернись), поэтому захват авторынка китайскими автомобилями не только продолжился, но еще и усилился. Они и дешевле, и двигатели с коробками нормальные (вроде как) делать научились, и дилерских центров много, но есть одно НО – системы безопасности они делать, судя по всему, так и не научились. Дело в том, что многие вещи в автомобилях (не только китайских) завязаны на его VIN-номере (это такой уникальный номер для каждого авто, который видно через лобовое стекло) – на этом и построена найденная уязвимость, позволяющая взломать автомобили достаточного большого количества марок, таких как Haval, Tank, Geely, Chery и ее суб-брендов Omoda и Exeed (нашли свою?).
Обход системы безопасности происходит через PIN-код, который можно либо узнать у дилера, имея тот самый VIN. Но ироничнее всего то, что эти пинкоды можно купить (внимание, сядьте) на Aliexpress! Интересно, также ли легко будет взломать наши новые Москвичи, собранные на базе китайского Джака.
Вторая новость достаточно устаревшая, но всё еще забавная (а может еще и актуальная). Связана она с тем, что сотрудники Tesla регулярно отсматривали и пересылали друг другу видео из автомобилей одноимённого концерна. Нюанс состоит в том, что делились они не только теми видео и скринами, где были запечатлены милые собачки в салоне, но и теми, где были зафиксированы интимные сцены с владельцами автомобилей. Само собой, компания говорит о том, что всё это делается с целью обеспечения безопасности и улучшения клиентского сервиса. Ах да, эти ребята из Теслы даже мемы из этих скринов умудрялись делать. Такое мы
#НовостьДня
Твой Пакет Безопасности
⚡17❤🔥5👍5🔥3❤2
Никогда такого не было и вот опять
Испокон веков в магазинах мобильных (и не только) приложений появляются альтернативные клиенты (приложения) для популярных сервисов, таких как Вконтакте, Вотсап, Запретограм и прочих. Одни из них обладают дополнительными функциями, которых нет в оригинальных приложениях (например, музыкальные плееры, просмотр связей друзей, отмена уведомлений о прочитанных сообщениях), другие же просто позволяют иметь сразу несколько активных учетных записей в одном и том же сервисе на одном устройстве. Но суть в том, что все эти приложения разрабатываются и поддерживаются неофициальными разработчиками, что влечет за собой вполне реальные риски.
Например, ребята из всем известно лаборатории тут в очередной раз выявили вредоносную версию клиента (приложения) нашего любимого мессенджера Телеграм. Нашли они его, по традиции, в Google Play для Android, так как опубликовать что-то подобное в App Store обычно сложнее и не всегда стоит своих усилий. Так вот, обнаруженный зараженный экземпляр (а точнее, сразу несколько) успели скачать уже более 10 000 раз. Суть этих приложений в том, что все данные жертв (сообщения, контакты и файлы) сразу пересылались на сервера злоумышленников. Итог, думаю, очевиден.
Ну а вам я в очередной раз советую скачивать и пользоваться только оригинальными приложениями от настоящих разработчиков, а также держать в курсе ваших близких и родных (особенно тех, что в возрасте).
И нет, выпрашивать эти новомодные бусты для своего канала я не буду, не благодарите.
#КиберГигиена
Твой Пакет Безопасности
Испокон веков в магазинах мобильных (и не только) приложений появляются альтернативные клиенты (приложения) для популярных сервисов, таких как Вконтакте, Вотсап, Запретограм и прочих. Одни из них обладают дополнительными функциями, которых нет в оригинальных приложениях (например, музыкальные плееры, просмотр связей друзей, отмена уведомлений о прочитанных сообщениях), другие же просто позволяют иметь сразу несколько активных учетных записей в одном и том же сервисе на одном устройстве. Но суть в том, что все эти приложения разрабатываются и поддерживаются неофициальными разработчиками, что влечет за собой вполне реальные риски.
Например, ребята из всем известно лаборатории тут в очередной раз выявили вредоносную версию клиента (приложения) нашего любимого мессенджера Телеграм. Нашли они его, по традиции, в Google Play для Android, так как опубликовать что-то подобное в App Store обычно сложнее и не всегда стоит своих усилий. Так вот, обнаруженный зараженный экземпляр (а точнее, сразу несколько) успели скачать уже более 10 000 раз. Суть этих приложений в том, что все данные жертв (сообщения, контакты и файлы) сразу пересылались на сервера злоумышленников. Итог, думаю, очевиден.
Ну а вам я в очередной раз советую скачивать и пользоваться только оригинальными приложениями от настоящих разработчиков, а также держать в курсе ваших близких и родных (особенно тех, что в возрасте).
И нет, выпрашивать эти новомодные бусты для своего канала я не буду, не благодарите.
#КиберГигиена
Твой Пакет Безопасности
👍45❤🔥8🔥6❤3⚡2👏2🕊2
Всем привет! 👋
Наш с вами любимый канал растет с каждым днём, и вас становится всё больше. А каналу, между прочим, уже скоро год!
Поэтому мне тут стало интересно, кто из вас как давно читает этот канал и получает от него пользу (лично я в это верю). Так что ловите опрос (само собой, анонимный).
Наш с вами любимый канал растет с каждым днём, и вас становится всё больше. А каналу, между прочим, уже скоро год!
Поэтому мне тут стало интересно, кто из вас как давно читает этот канал и получает от него пользу (лично я в это верю). Так что ловите опрос (само собой, анонимный).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20❤🔥6👍5⚡2🤗2🕊1
Как давно ты подписан и читаешь этот канал?
Anonymous Poll
13%
С самого начала (с декабря прошлого года)
29%
Где-то полгода
21%
Где-то 3 месяца
19%
Где-то 1 месяц
18%
Совсем недавно
👍23🤝5⚡4❤3👎1
Как и всегда, закрепляем неделю воскресным дайджестом.
Всем хорошего вечера!
Жизненный мем, на котором каждый сможет найти себя – ссылка
Как одна корпорациязла использует наши данные и бережёт свои – ссылка
Продолжаем историю про капчу и узнаём, как ее используют злоумышленники – ссылка
Пост для тревожных автомобилистов о том, как за ними наблюдают и взламывают через АлиЭкспресс – ссылка
Смотрим, почему опасно скачивать из магазинов приложений что ни попадя и зачем пользоваться только официальными клиентами – ссылка
Анонимный опрос, который всем (обязательно ) нужно пройти – ссылка
Твой Пакет Безопасности
Всем хорошего вечера!
Жизненный мем, на котором каждый сможет найти себя – ссылка
Как одна корпорация
Продолжаем историю про капчу и узнаём, как ее используют злоумышленники – ссылка
Пост для тревожных автомобилистов о том, как за ними наблюдают и взламывают через АлиЭкспресс – ссылка
Смотрим, почему опасно скачивать из магазинов приложений что ни попадя и зачем пользоваться только официальными клиентами – ссылка
Анонимный опрос, который всем (
Твой Пакет Безопасности
👍11❤4❤🔥2⚡1
История длиною в 2,5 месяца
Около недели назад вышла очередная новость по поводу тех самых оборотных штрафов (которые мы не раз обсуждали, например тут) за утечких наших с вами персональных данных. Не стал сразу писать пост на эту тему, так как думал, что внесут еще какие-то правки из-за возмущения масс, но нет, ничего не произошло, поэтому поехали разбираться.
Как и обсуждалось ранее, для компаний, которые слили наши данные, будут сразу введены льготные условия по штрафам за это деяние. Если компания компенсирует ущерб своим жертвам (всем или какому-то проценту – не ясно), то к ней будут применены льготные условия. Из интересного – сам алгоритм этой компенсации и сроки, в которые эту выплату можно таки получить.
- Сначала компания сама должна будет уведомлять жертву об утечке ее чувствительных данных (срока нет).
- Затем, если жертва захочет получить компенсацию (ну а вдруг нет), то она должна будет подать соответствующую заявку через Госуслуги (15 рабочих дней).
- После этого (начнется стадия торга) компания рассмотри ваше заявление и предложить свой размер (общий для всех пострадавших) компенсации (20 рабочих дней).
- Потом вы либо принимаете, либо отклоняете это предложение (20 рабочих дней).
- И финал – если подавляющее большинство согласится с размером компенсации, то компания её всем выплатит (5 рабочих дней).
Итого, у нас получается 60 рабочих дней, не считая того периода, который пройдет между самой утечкой и моментом уведомления жертвы о ней. На минуточку – это около 2,5 месяцев ожидания, торга и подач заявлений на Госуслугах. И да, это может быть спойлером, но у меня есть предчувствие, что все будут соглашаться с размером предложенной компенсации, ибо, в противном случае, жертвы вообще ничего не получат, а компания просто заплатит большой штраф не в их пользу.
Плюс к этому надо помнить, что утекли уже почти все наши данные, поэтому доказывать вред от новых утечек будет крайне сложно (но возможно). Но если мыслить позитивно, то хоть какая-то компенсация лучше, чем её отсутствие. Так и живем.
#НовостьДня
Твой Пакет Безопасности
Около недели назад вышла очередная новость по поводу тех самых оборотных штрафов (которые мы не раз обсуждали, например тут) за утечких наших с вами персональных данных. Не стал сразу писать пост на эту тему, так как думал, что внесут еще какие-то правки из-за возмущения масс, но нет, ничего не произошло, поэтому поехали разбираться.
Как и обсуждалось ранее, для компаний, которые слили наши данные, будут сразу введены льготные условия по штрафам за это деяние. Если компания компенсирует ущерб своим жертвам (всем или какому-то проценту – не ясно), то к ней будут применены льготные условия. Из интересного – сам алгоритм этой компенсации и сроки, в которые эту выплату можно таки получить.
- Сначала компания сама должна будет уведомлять жертву об утечке ее чувствительных данных (срока нет).
- Затем, если жертва захочет получить компенсацию (ну а вдруг нет), то она должна будет подать соответствующую заявку через Госуслуги (15 рабочих дней).
- После этого (
- Потом вы либо принимаете, либо отклоняете это предложение (20 рабочих дней).
- И финал – если подавляющее большинство согласится с размером компенсации, то компания её всем выплатит (5 рабочих дней).
Итого, у нас получается 60 рабочих дней, не считая того периода, который пройдет между самой утечкой и моментом уведомления жертвы о ней. На минуточку – это около 2,5 месяцев ожидания, торга и подач заявлений на Госуслугах. И да, это может быть спойлером, но у меня есть предчувствие, что все будут соглашаться с размером предложенной компенсации, ибо, в противном случае, жертвы вообще ничего не получат, а компания просто заплатит большой штраф не в их пользу.
Плюс к этому надо помнить, что утекли уже почти все наши данные, поэтому доказывать вред от новых утечек будет крайне сложно (но возможно). Но если мыслить позитивно, то хоть какая-то компенсация лучше, чем её отсутствие. Так и живем.
#НовостьДня
Твой Пакет Безопасности
👍20🥴5❤🔥4🔥3❤2🌚1🫡1
Ты мне угрожаешь?
Судя по количеству репостов прошлого душного поста про трушный кибербез (вот этого), безопасников тут всё еще много, и такой контент пользуется популярностью (аж 118 репостов!). Поэтому предлагаю вдохнуть всем, кто пришел почитать что-то бытовое и задержать дыхание буквально на один пост. Потом можно будет выдохнуть.
Про то, как защищать облака и строить безопасную архитектуру мы с вами недавно уже поговорили, поэтому сегодня обсудим то, с чего всё и должно начинаться. А точнее, с модели угроз. Это именно то, на базе чего и нужно формулировать и выдвигать требования, а не делать это вслепую, с пенного рта доказывая бизнесу, что "ну просто так надо, так делают все". В общем, вы всё поняли, поехали.
Здесь можно почитать про методологии – раз, два
Вот тут можно найти подсказки для создания модели угроз для мобильных приложений – раз, два
Вот тут аналогичная штука, но уже для облаков – ссылка
Тут можно наглядно посмотреть, как модель угроз буквально отрисовывается в формате Майнд-мапа (удобно и красиво) – ссылка
А вот тут вообще целый альманах полезных ресурсов для построения и улучшения вашей модели угроз – ссылка
Ну и на финал – бонус в виде готового плейбука по созданию модели угроз – ссылка
Всё, выдыхайте. А кибербезопасники и айтишники – скорее бегите репостить это своим друзьям, коллегам и интересующимся. Нам надо бить рекорды!
#Полезное
Твой Пакет Безопасности
Судя по количеству репостов прошлого душного поста про трушный кибербез (вот этого), безопасников тут всё еще много, и такой контент пользуется популярностью (аж 118 репостов!). Поэтому предлагаю вдохнуть всем, кто пришел почитать что-то бытовое и задержать дыхание буквально на один пост. Потом можно будет выдохнуть.
Про то, как защищать облака и строить безопасную архитектуру мы с вами недавно уже поговорили, поэтому сегодня обсудим то, с чего всё и должно начинаться. А точнее, с модели угроз. Это именно то, на базе чего и нужно формулировать и выдвигать требования, а не делать это вслепую, с пенного рта доказывая бизнесу, что "ну просто так надо, так делают все". В общем, вы всё поняли, поехали.
Здесь можно почитать про методологии – раз, два
Вот тут можно найти подсказки для создания модели угроз для мобильных приложений – раз, два
Вот тут аналогичная штука, но уже для облаков – ссылка
Тут можно наглядно посмотреть, как модель угроз буквально отрисовывается в формате Майнд-мапа (удобно и красиво) – ссылка
А вот тут вообще целый альманах полезных ресурсов для построения и улучшения вашей модели угроз – ссылка
Ну и на финал – бонус в виде готового плейбука по созданию модели угроз – ссылка
Всё, выдыхайте. А кибербезопасники и айтишники – скорее бегите репостить это своим друзьям, коллегам и интересующимся. Нам надо бить рекорды!
#Полезное
Твой Пакет Безопасности
👍20❤3⚡3🔥1
Как в стране с VPN-ом боролись
Ну что, дамы и господа, запасайтесь VPN-приложениями впрок, потому что у нас тут подъехала новая инициатива, связанная с удалением из магазинов (AppStore, Play Market, само собой RuStore и прочих) всех VPN-клиентов. Думаю, что ребята сначала вычистят всё, что содержит в своем названии или описании те самые три заветные буквы, а потом уже будут дочищать остатки. Начнется всё это 1 марта 2024 года.
И да, судя по всему, блокировка VPN-протоколов уже выкручена на максимум, поэтому мы потихоньку переходим к следующей фазе. После этого, скорее всего, подобные меры коснутся не только мобильных устройств, но и ПК, браузеров (а точнее их плагинов) и вообще всего, до чего сможет дотянутся РКН.
Само собой, инициатива подаётся под соусом недопуска граждан к экстремистским приложениям (ну вы сами поняли, о каком из них идет речь). Ну а мы с вами уже научены опытом с санкицями и банковскими приложениями, поэтому вы знаете, что делать.
#НовостьДня
Твой Пакет Безопасности
Ну что, дамы и господа, запасайтесь VPN-приложениями впрок, потому что у нас тут подъехала новая инициатива, связанная с удалением из магазинов (AppStore, Play Market, само собой RuStore и прочих) всех VPN-клиентов. Думаю, что ребята сначала вычистят всё, что содержит в своем названии или описании те самые три заветные буквы, а потом уже будут дочищать остатки. Начнется всё это 1 марта 2024 года.
И да, судя по всему, блокировка VPN-протоколов уже выкручена на максимум, поэтому мы потихоньку переходим к следующей фазе. После этого, скорее всего, подобные меры коснутся не только мобильных устройств, но и ПК, браузеров (а точнее их плагинов) и вообще всего, до чего сможет дотянутся РКН.
Само собой, инициатива подаётся под соусом недопуска граждан к экстремистским приложениям (ну вы сами поняли, о каком из них идет речь). Ну а мы с вами уже научены опытом с санкицями и банковскими приложениями, поэтому вы знаете, что делать.
#НовостьДня
Твой Пакет Безопасности
💯23😁7👾5❤4👍4⚡2🔥2❤🔥1
Как тг-админов СКАМят
Если среди нас есть владельцы Телеграм-каналов или их админы, то этот пост для вас. Ну а всем остальным думаю тоже будет полезно узнать, что проблемы с интернет-мошенничеством касаются далеко не только подписчиков тг-каналов и участников аналогичных чатов.
Как вы все уже успели заметить, в Телегаме появилась новая функция публикации историй (как в одной другой популярной социальной сети). Ну а мы с вами уже уяснили одно правило, что любая новая функция влечет за собой новые схемы мошенничества. Так вот, публиковать истории можно только в том случае, если канал собрал необходимое количество "бустов" от своих премиум-подписчиков. Все каналы тут же начали просить отдать эти "бусты" по специальным ссылкам, но большим каналам набрать этот минимум оказалось не так уж и просто (даже после балансировки процента "бустов"). Это и вызвало появление опции накрутки голосов за счет ботов с оплаченной премиум-подпиской.
Деятельно эта не совсем легальная, а значит никак и ничем не регулируется. По итогу некоторые поставщики этой нелегальной услуги начали банально продавать воздух, получая деньги от отчаявшихся админов. Делают они всё по-умному – через однодневных ботов, либо через подставные тг-аккаунты. Владельцев каналов просят либо ввести данные карты в специальных формах, либо сделать денежный перевод на необходимую сумму. Итог, как и всегда, очевиден – деньги потрачены, услуга не оказана, а пожаловаться-то и некому.
К слову, я пока даже не разбирался, где эту ссылку для сбора "бустов" брать. Ну и да, что публиковать в историях канала я тоже пока не придумал, поэтому, если у вас будут идеи, то накидывайте в комментарии. Всем добра.
#Мнение
Твой Пакет Безопасности
Если среди нас есть владельцы Телеграм-каналов или их админы, то этот пост для вас. Ну а всем остальным думаю тоже будет полезно узнать, что проблемы с интернет-мошенничеством касаются далеко не только подписчиков тг-каналов и участников аналогичных чатов.
Как вы все уже успели заметить, в Телегаме появилась новая функция публикации историй (как в одной другой популярной социальной сети). Ну а мы с вами уже уяснили одно правило, что любая новая функция влечет за собой новые схемы мошенничества. Так вот, публиковать истории можно только в том случае, если канал собрал необходимое количество "бустов" от своих премиум-подписчиков. Все каналы тут же начали просить отдать эти "бусты" по специальным ссылкам, но большим каналам набрать этот минимум оказалось не так уж и просто (даже после балансировки процента "бустов"). Это и вызвало появление опции накрутки голосов за счет ботов с оплаченной премиум-подпиской.
Деятельно эта не совсем легальная, а значит никак и ничем не регулируется. По итогу некоторые поставщики этой нелегальной услуги начали банально продавать воздух, получая деньги от отчаявшихся админов. Делают они всё по-умному – через однодневных ботов, либо через подставные тг-аккаунты. Владельцев каналов просят либо ввести данные карты в специальных формах, либо сделать денежный перевод на необходимую сумму. Итог, как и всегда, очевиден – деньги потрачены, услуга не оказана, а пожаловаться-то и некому.
К слову, я пока даже не разбирался, где эту ссылку для сбора "бустов" брать. Ну и да, что публиковать в историях канала я тоже пока не придумал, поэтому, если у вас будут идеи, то накидывайте в комментарии. Всем добра.
#Мнение
Твой Пакет Безопасности
👍32❤4⚡4❤🔥2🔥1👏1💯1
Сгенерированный заголовок
Сегодняший пост предлагаю посвятить теvе угасающего хайпа искусственного интеллекта. Ажиотаж вокруг этой темы начинает спадать, но, тем не менее, ИИ успел запустить свои щупальца во многие сферы нашей жизни, и, более того, продолжает это потихоньку делать. Так что настало время обсудить, что там нового придумали эти кожаные мерзавцы.
Начнем с японцев, которые продолжают жить в своем 3023 году. Там полицейские начали использовать ИИ для предотвращения преступлений (про Окулус помните?) в интернетах. В целом, ничего сложного, теперь им просто проще будет выявлять провокационные и заведомо опасные фрагменты текста с учетом контекста, на что раньше уходило слишком много времени и ресурсов. Видимо, японские ребята думают, что об анонсах кибератак часто пишут на сайтах и открытых форумах, но, к сожалению, это не так. Но вообще, думаю, что подобные системы предотвращения преступлении на базе нейронок будут усовершенствовать и когда-то мы можем дойти до уровня "Особого мнения" (если кто не смотрел этот фильм, то советую).
Еще, я тут пока изучал нейросетевые инфоповоды, наткнулся на немного запылившуюся новость о том, что (внимание) администрация Байдена-Харрис скоро запустит киберсоревнования с искусственным интеллектом (AI Cyber Challenge) для защиты критически важного программного обеспечения. Курировать это мероприятие будут большие дяди, такие как Google, Microsoft и OpenAI. Лично я не могу не порадоваться за то, что в кибербез (а точнее, в AppSec) будет вложено столько сил и денег, что привлечет к сфере еще больше внимания. В общем, радуюсь и надеюсь, что у нас тоже что-то такое когда-нибудь устроят.
Ну и напоследок – новость про то, что Bing (это тот самый поисковик от Microsoft со встроенным ИИ) не ограничивает себя в том, чтобы в своих сгенерированных ответах на вопросы пользователей отображать ссылки на зараженные сайты, файлы и прочие интернет-ресурсы. В общем, доверчивые пользователи могут запросто перейти на вредоносный сайт в поисках ответов на свои вопросы, а Bing будет не против. В целом, ничего нового (что-то подобное мы уже обсуждали тут), нужно просто всегда держать в голове, что в интернетах доверять нельзя даже искусственному интеллекту, который может обучаться на тех же вредоносных данных.
#Мнение
Твой Пакет Безопасности
Сегодняший пост предлагаю посвятить теvе угасающего хайпа искусственного интеллекта. Ажиотаж вокруг этой темы начинает спадать, но, тем не менее, ИИ успел запустить свои щупальца во многие сферы нашей жизни, и, более того, продолжает это потихоньку делать. Так что настало время обсудить, что там нового придумали эти кожаные мерзавцы.
Начнем с японцев, которые продолжают жить в своем 3023 году. Там полицейские начали использовать ИИ для предотвращения преступлений (про Окулус помните?) в интернетах. В целом, ничего сложного, теперь им просто проще будет выявлять провокационные и заведомо опасные фрагменты текста с учетом контекста, на что раньше уходило слишком много времени и ресурсов. Видимо, японские ребята думают, что об анонсах кибератак часто пишут на сайтах и открытых форумах, но, к сожалению, это не так. Но вообще, думаю, что подобные системы предотвращения преступлении на базе нейронок будут усовершенствовать и когда-то мы можем дойти до уровня "Особого мнения" (если кто не смотрел этот фильм, то советую).
Еще, я тут пока изучал нейросетевые инфоповоды, наткнулся на немного запылившуюся новость о том, что (внимание) администрация Байдена-Харрис скоро запустит киберсоревнования с искусственным интеллектом (AI Cyber Challenge) для защиты критически важного программного обеспечения. Курировать это мероприятие будут большие дяди, такие как Google, Microsoft и OpenAI. Лично я не могу не порадоваться за то, что в кибербез (а точнее, в AppSec) будет вложено столько сил и денег, что привлечет к сфере еще больше внимания. В общем, радуюсь и надеюсь, что у нас тоже что-то такое когда-нибудь устроят.
Ну и напоследок – новость про то, что Bing (это тот самый поисковик от Microsoft со встроенным ИИ) не ограничивает себя в том, чтобы в своих сгенерированных ответах на вопросы пользователей отображать ссылки на зараженные сайты, файлы и прочие интернет-ресурсы. В общем, доверчивые пользователи могут запросто перейти на вредоносный сайт в поисках ответов на свои вопросы, а Bing будет не против. В целом, ничего нового (что-то подобное мы уже обсуждали тут), нужно просто всегда держать в голове, что в интернетах доверять нельзя даже искусственному интеллекту, который может обучаться на тех же вредоносных данных.
#Мнение
Твой Пакет Безопасности
👍19🔥6❤🔥3⚡3❤1😱1