Антифрод-аналитик: почему эта профессия стартует от 150К для джунов
Финансовый фрод ежегодно «съедает» сотни миллиардов рублей, и банки буквально дерутся за специалистов, которые умеют «видеть» мошенников среди тысяч транзакций за миллисекунды.
Антифрод-аналитик — профессия на стыке информационной безопасности, машинного обучения и продуктовой аналитики. И она вышла из тени: штатные вакансии уже стартуют от 150 000 рублей для джунов, а через пару лет реально вырасти до двухсот с лишним.
Выпустили большой материал на форуме. Разобрали:
→ Какие скиллы делают специалиста «золотой жилой»: SQL для витрин данных, Python для автоматизации, фича-инжиниринг для ML-моделей, базовое понимание fraud rule-engines
→ Какие кейсы сейчас в приоритете: скоринг транзакций в реальном времени, когортный анализ живучести клиентов, auto-ML модели против социальной инженерии
→ Типовые ошибки джунов, которые моментально вычисляет руководитель на интервью (спойлер: проблема не в знании SQL, а в понимании баланса между точностью и полнотой детекции)
Материал будет полезен трём аудиториям:
- Аналитикам и ИБ-специалистам, которые думают о смене профиля на более оплачиваемый
- Менеджерам и тимлидам, которые комплектуют антифрод-команды и ищут, где искать таланты
- Студентам и джунам, которые выбирают, куда двигаться в аналитике данных
Кстати, охоту за антифрод-талантами начали уже все крупные банки и финтехи — окно возможностей открыто, но быстро закрывается.
Читать полный разбор на форуме →
https://codeby.net/threads/antifrod-analitika-pochemu-etot-defitsitnyi-spetsialist-na-styke-ib-i-dannykh-stoit-ot-150-000-rublei.91105
Финансовый фрод ежегодно «съедает» сотни миллиардов рублей, и банки буквально дерутся за специалистов, которые умеют «видеть» мошенников среди тысяч транзакций за миллисекунды.
Антифрод-аналитик — профессия на стыке информационной безопасности, машинного обучения и продуктовой аналитики. И она вышла из тени: штатные вакансии уже стартуют от 150 000 рублей для джунов, а через пару лет реально вырасти до двухсот с лишним.
Выпустили большой материал на форуме. Разобрали:
→ Какие скиллы делают специалиста «золотой жилой»: SQL для витрин данных, Python для автоматизации, фича-инжиниринг для ML-моделей, базовое понимание fraud rule-engines
→ Какие кейсы сейчас в приоритете: скоринг транзакций в реальном времени, когортный анализ живучести клиентов, auto-ML модели против социальной инженерии
→ Типовые ошибки джунов, которые моментально вычисляет руководитель на интервью (спойлер: проблема не в знании SQL, а в понимании баланса между точностью и полнотой детекции)
Материал будет полезен трём аудиториям:
- Аналитикам и ИБ-специалистам, которые думают о смене профиля на более оплачиваемый
- Менеджерам и тимлидам, которые комплектуют антифрод-команды и ищут, где искать таланты
- Студентам и джунам, которые выбирают, куда двигаться в аналитике данных
Кстати, охоту за антифрод-талантами начали уже все крупные банки и финтехи — окно возможностей открыто, но быстро закрывается.
Читать полный разбор на форуме →
https://codeby.net/threads/antifrod-analitika-pochemu-etot-defitsitnyi-spetsialist-na-styke-ib-i-dannykh-stoit-ot-150-000-rublei.91105
👍4❤2🔥2
Новый бот-ассистент на форуме Codeby
Специалисты по информационной безопасности тратят до 40% рабочего времени не на анализ угроз или настройку защиты, а на банальный поиск технической информации. Ищут детали CVE, синтаксис команд для конкретного инструмента, разбираются с особенностями эксплойтов. И половина этого времени уходит на то, чтобы отфильтровать устаревшие данные от актуальных.
Проблема в том, что техническая информация в ИБ устаревает стремительно. Патчи выходят еженедельно, уязвимости закрываются, инструменты обновляются. Ты находишь статью трёхлетней давности про эксплуатацию уязвимости, а она уже неактуальна. Или гуглишь синтаксис для Metasploit, а половина флагов изменилась в новой версии.
Классический сценарий: сидишь над анализом малвари, нужно быстро проверить сигнатуры или технику атаки по MITRE ATT&CK. Открываешь десять вкладок, читаешь документацию, сверяешь версии. Пока разберёшься - прошёл час.
А теперь представьте инструмент, который делает эту работу за секунды. Не просто выдаёт первую ссылку из поиска, а анализирует контекст вашего вопроса, проверяет актуальность данных и даёт конкретный технический ответ. Именно для этого на форуме Codeby запустили ИИ-ассистента.
Механика простая: заходите в любую тему на форуме и упоминаете @bot_cdb в своём сообщении. Бот читает весь тред перед ответом, понимает контекст дискуссии и выдаёт релевантную информацию. Работает по CVE, инструментам пентеста, техникам атак, малвари, форензике - по всем основным направлениям ИБ.
Вопрос к вам: сколько времени в день вы тратите на поиск технической документации и проверку актуальности инструментов? Считали когда-нибудь эти часы?
Если тема резонирует - на форуме можно протестировать, как это работает на практике. Упоминаете @bot_cdb в любом треде по техническим вопросам, и получаете разбор с учётом всей дискуссии. Детали работы и возможности здесь: https://codeby.net/forums/
Специалисты по информационной безопасности тратят до 40% рабочего времени не на анализ угроз или настройку защиты, а на банальный поиск технической информации. Ищут детали CVE, синтаксис команд для конкретного инструмента, разбираются с особенностями эксплойтов. И половина этого времени уходит на то, чтобы отфильтровать устаревшие данные от актуальных.
Проблема в том, что техническая информация в ИБ устаревает стремительно. Патчи выходят еженедельно, уязвимости закрываются, инструменты обновляются. Ты находишь статью трёхлетней давности про эксплуатацию уязвимости, а она уже неактуальна. Или гуглишь синтаксис для Metasploit, а половина флагов изменилась в новой версии.
Классический сценарий: сидишь над анализом малвари, нужно быстро проверить сигнатуры или технику атаки по MITRE ATT&CK. Открываешь десять вкладок, читаешь документацию, сверяешь версии. Пока разберёшься - прошёл час.
А теперь представьте инструмент, который делает эту работу за секунды. Не просто выдаёт первую ссылку из поиска, а анализирует контекст вашего вопроса, проверяет актуальность данных и даёт конкретный технический ответ. Именно для этого на форуме Codeby запустили ИИ-ассистента.
Механика простая: заходите в любую тему на форуме и упоминаете @bot_cdb в своём сообщении. Бот читает весь тред перед ответом, понимает контекст дискуссии и выдаёт релевантную информацию. Работает по CVE, инструментам пентеста, техникам атак, малвари, форензике - по всем основным направлениям ИБ.
Вопрос к вам: сколько времени в день вы тратите на поиск технической документации и проверку актуальности инструментов? Считали когда-нибудь эти часы?
Если тема резонирует - на форуме можно протестировать, как это работает на практике. Упоминаете @bot_cdb в любом треде по техническим вопросам, и получаете разбор с учётом всей дискуссии. Детали работы и возможности здесь: https://codeby.net/forums/
🔥6❤5👍5
⚠️ Глобальный сбой Cloudflare
18 ноября 2025 года Cloudflare столкнулась с масштабным техническим сбоем, который затронул ключевые интернет-сервисы по всему миру, включая X (Twitter), ChatGPT, Spotify, Facebook и множество других. У пользователей массово возникали ошибки «Internal Server Error», а многие сайты оказались недоступны.
Cloudflare заявила, что причина инцидента — «необычный всплеск трафика», и компания расследует проблему и постепенно восстанавливает работу сервисов. Масштаб сбоя подтверждён ведущими СМИ и официальными заявлениями компании.
Подробнее: сбой затронул не только глобальные платформы, но и менее крупные сайты, работающие через Cloudflare.
18 ноября 2025 года Cloudflare столкнулась с масштабным техническим сбоем, который затронул ключевые интернет-сервисы по всему миру, включая X (Twitter), ChatGPT, Spotify, Facebook и множество других. У пользователей массово возникали ошибки «Internal Server Error», а многие сайты оказались недоступны.
Cloudflare заявила, что причина инцидента — «необычный всплеск трафика», и компания расследует проблему и постепенно восстанавливает работу сервисов. Масштаб сбоя подтверждён ведущими СМИ и официальными заявлениями компании.
Подробнее: сбой затронул не только глобальные платформы, но и менее крупные сайты, работающие через Cloudflare.
👍4
Редизайн хедера Codeby
Делаю общий хедер под всю экосистему: форум + HackerLab + Academy. Запилил 3 варианта — нужна обратная связь.
Твоя роль:
- выбери вариант, который нравится
- напиши, что в нём ок/не ок
- если видишь гибрид из вариантов — тоже пиши
Голосование:
https://codeby.net/threads/nakidal-varianty-khedera-nuzhen-vash-fidb-ek.91589/
Дедлайн неделя. По результатам фидбэка запускаю финальный хедер.
Делаю общий хедер под всю экосистему: форум + HackerLab + Academy. Запилил 3 варианта — нужна обратная связь.
Твоя роль:
- выбери вариант, который нравится
- напиши, что в нём ок/не ок
- если видишь гибрид из вариантов — тоже пиши
Голосование:
https://codeby.net/threads/nakidal-varianty-khedera-nuzhen-vash-fidb-ek.91589/
Дедлайн неделя. По результатам фидбэка запускаю финальный хедер.
Forwarded from Hacker Lab
🎄 Сегодня стартовал новогодний CTF от HackerLab × «Хакер»!
С 21 декабря в нашем боте каждый день будет появляться новая задача дня. Решил задачу — получил ключ. Чем больше ключей ты соберешь, тем выше шансы выиграть призы.
🧩 Решай задания → 🗝 собирай ключи → 🎁 участвуй в розыгрыше призов.
Что мы разыгрываем:
Деньги: 10 000 рублей.
Подписки: HackerLab Plus и Pro, годовая подписка на журнал «Хакер».
Мерч: футболки HackerLab, бумажная книга «Хакеры.РУ».
Обучение: 10 промокодов на скидку 10% на курсы Академии Кодебай.
🕛 Первое задание уже доступно в боте!
➡️ Заходи в бота и решай задачи: @HLxXakepBot
С 21 декабря в нашем боте каждый день будет появляться новая задача дня. Решил задачу — получил ключ. Чем больше ключей ты соберешь, тем выше шансы выиграть призы.
🧩 Решай задания → 🗝 собирай ключи → 🎁 участвуй в розыгрыше призов.
Что мы разыгрываем:
Деньги: 10 000 рублей.
Подписки: HackerLab Plus и Pro, годовая подписка на журнал «Хакер».
Мерч: футболки HackerLab, бумажная книга «Хакеры.РУ».
Обучение: 10 промокодов на скидку 10% на курсы Академии Кодебай.
🕛 Первое задание уже доступно в боте!
➡️ Заходи в бота и решай задачи: @HLxXakepBot
👍1
Forwarded from Codeby
🎄 НОВОГОДНЯЯ ЛОТЕРЕЯ CODEBY 🎄
Дорогие друзья!
Команда CODEBY поздравляет вас с наступающим Новым годом! Спасибо, что выбираете нас — нам очень приятно видеть, как наши студенты превращаются в специалистов высшего класса.
Именно поэтому мы решили сделать вам новогодние подарки! 🎁
📣 ОБЪЯВЛЯЕМ ЛОТЕРЕЮ
Как участвовать:
• Купите любой курс, стартующий в 2026 году
• Получите индивидуальный номер участника
• Чем больше курсов — тем выше шансы на победу!
Период проведения:
🗓 26 декабря 2025 — 12 января 2026
⭐ Розыгрыш в прямом эфире 12 января в 21:00 МСК
🏆 ПРИЗОВОЙ ФОНД
🥇 1 место — iPhone 17
🥈 2 место — Apple Watch
🥉 3 место — AirPods
🎁 4-10 места — подписка HackerLab PRO на 1 месяц
Итого: 10 победителей!
🚀 Успей принять участие — времени остается все меньше!
➡️ Выбрать курс
🥇 Для связи с менеджером @CodebyAcademyBot
Всем желаем удачи!🚀
Ознакомиться с условиями розыгрыша здесь!
#онлайнобучение #курсыиб #розыгрыш #кодебай #cybersecurity
Дорогие друзья!
Команда CODEBY поздравляет вас с наступающим Новым годом! Спасибо, что выбираете нас — нам очень приятно видеть, как наши студенты превращаются в специалистов высшего класса.
Именно поэтому мы решили сделать вам новогодние подарки! 🎁
Как участвовать:
• Купите любой курс, стартующий в 2026 году
• Получите индивидуальный номер участника
• Чем больше курсов — тем выше шансы на победу!
Период проведения:
🥇 1 место — iPhone 17
🥈 2 место — Apple Watch
🥉 3 место — AirPods
🎁 4-10 места — подписка HackerLab PRO на 1 месяц
Итого: 10 победителей!
Всем желаем удачи!
Ознакомиться с условиями розыгрыша здесь!
#онлайнобучение #курсыиб #розыгрыш #кодебай #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Сколько служб прячется в твоей Windows?
Большинство не задумывается, сколько служб и драйверов крутится в системе прямо сейчас. А их там сотни.
🔍 Чтобы получить полный список, нужна одна функция —
🛠 В статье автор не остановился на консольном
💾 Внутри: работа с SCM, двойной вызов
Полный разбор с исходниками:
https://codeby.net/threads/sluzhby-windows-perechisleniye-i-sbor-informatsii.92512/
Большинство не задумывается, сколько служб и драйверов крутится в системе прямо сейчас. А их там сотни.
🔍 Чтобы получить полный список, нужна одна функция —
EnumServicesStatus() из Advapi32.dll. Но есть нюанс: размер буфера под данные заранее неизвестен, поэтому функцию вызывают дважды — первый раз вхолостую, чтобы узнать нужный размер, второй — уже с выделенной памятью.🛠 В статье автор не остановился на консольном
printf(), а собрал полноценный GUI: кастомное окно с элементом ListView в режиме таблицы — как в Total Commander. Все службы, драйверы, статусы — в одном окне.💾 Внутри: работа с SCM, двойной вызов
EnumServicesStatus(), структуры ENUM_SERVICE_STATUS, и сборка ListView на чистом Win32API.Полный разбор с исходниками:
https://codeby.net/threads/sluzhby-windows-perechisleniye-i-sbor-informatsii.92512/
❤1
⚡ 70% кибератак начинаются не со взлома кода — а со взлома человека
Представь такую картину: тебе звонит «сотрудник банка». Называет твоё имя, последние цифры карты, сообщает о подозрительном переводе. Сердце колотится. Через минуту деньги уже ушли. Никакого вируса, никакого брутфорса. Взломали не систему — взломали тебя.
По данным Verizon, более 70% успешных кибератак включают элемент социальной инженерии. Это означает одно: самый дорогой файрвол бесполезен, если сотрудник продиктовал код из SMS незнакомцу по телефону.
🧠 Почему это работает даже на умных людей
Социальные инженеры не эксплуатируют уязвимости в коде — они эксплуатируют когнитивные ярлыки. Те самые автоматические реакции, которые помогают нам быстро принимать решения в обычной жизни.
Вот пять рычагов, на которые давят атакующие:
• Авторитет — уверенный тон, профессиональный жаргон, «корочка». Критическое мышление выключается.
• Срочность — «ваш аккаунт заблокируют через 15 минут». Мозг переключается в режим «делай, потом думай».
• Страх потери — угроза лишиться денег или данных вызывает панику и желание немедленно действовать.
• Взаимность — кто-то «помог» тебе, и теперь ты чувствуешь моральный долг ответить.
• Любопытство — «смотри, какие фото с корпоратива утекли!» — рука сама тянется кликнуть.
🎣 Три метода, о которых стоит знать
Фишинг — самая массовая угроза. Поддельное письмо от «почтовой службы»: «ваша посылка задержана, подтвердите адрес». Ссылка ведёт на сайт-клон, где жертва вводит данные карты. Отдельно выделяют спир-фишинг — точечную атаку на конкретного человека с персонализированным письмом после изучения его соцсетей.
Вишинг — телефонный фишинг. Живой голос в трубке работает мощнее любого письма: сложнее остановиться и проверить, когда тебе говорят, что деньги уже уходят.
Претекстинг — создание легенды. Атакующий заранее изучает жертву и выстраивает убедительный сценарий: «я из IT-отдела, проверяем учётные записи после инцидента». Всё выглядит правдоподобно, потому что атакующий знает детали.
🛡 Как защититься
Знание этих рычагов — уже половина защиты. Несколько правил, которые реально работают:
1. Любая «срочная» просьба — сигнал притормозить, а не ускориться.
2. Перезванивай по официальному номеру, а не тому, с которого позвонили.
3. Банк и техподдержка никогда не просят коды из SMS и пароли.
4. Проверяй адрес
Представь такую картину: тебе звонит «сотрудник банка». Называет твоё имя, последние цифры карты, сообщает о подозрительном переводе. Сердце колотится. Через минуту деньги уже ушли. Никакого вируса, никакого брутфорса. Взломали не систему — взломали тебя.
По данным Verizon, более 70% успешных кибератак включают элемент социальной инженерии. Это означает одно: самый дорогой файрвол бесполезен, если сотрудник продиктовал код из SMS незнакомцу по телефону.
🧠 Почему это работает даже на умных людей
Социальные инженеры не эксплуатируют уязвимости в коде — они эксплуатируют когнитивные ярлыки. Те самые автоматические реакции, которые помогают нам быстро принимать решения в обычной жизни.
Вот пять рычагов, на которые давят атакующие:
• Авторитет — уверенный тон, профессиональный жаргон, «корочка». Критическое мышление выключается.
• Срочность — «ваш аккаунт заблокируют через 15 минут». Мозг переключается в режим «делай, потом думай».
• Страх потери — угроза лишиться денег или данных вызывает панику и желание немедленно действовать.
• Взаимность — кто-то «помог» тебе, и теперь ты чувствуешь моральный долг ответить.
• Любопытство — «смотри, какие фото с корпоратива утекли!» — рука сама тянется кликнуть.
🎣 Три метода, о которых стоит знать
Фишинг — самая массовая угроза. Поддельное письмо от «почтовой службы»: «ваша посылка задержана, подтвердите адрес». Ссылка ведёт на сайт-клон, где жертва вводит данные карты. Отдельно выделяют спир-фишинг — точечную атаку на конкретного человека с персонализированным письмом после изучения его соцсетей.
Вишинг — телефонный фишинг. Живой голос в трубке работает мощнее любого письма: сложнее остановиться и проверить, когда тебе говорят, что деньги уже уходят.
Претекстинг — создание легенды. Атакующий заранее изучает жертву и выстраивает убедительный сценарий: «я из IT-отдела, проверяем учётные записи после инцидента». Всё выглядит правдоподобно, потому что атакующий знает детали.
🛡 Как защититься
Знание этих рычагов — уже половина защиты. Несколько правил, которые реально работают:
1. Любая «срочная» просьба — сигнал притормозить, а не ускориться.
2. Перезванивай по официальному номеру, а не тому, с которого позвонили.
3. Банк и техподдержка никогда не просят коды из SMS и пароли.
4. Проверяй адрес
Один PDF — и агент уже не ваш
70% организаций уже столкнулись с атаками через LLM. А большинство команд безопасности всё ещё ищут SQL-инъекции там, где работает совершенно другая плоскость. 🎯
Главное, что ломает мозг: LLM не разделяет инструкции и данные на архитектурном уровне. Системный промпт, пользовательский запрос, контент из RAG-базы — для модели это одинаковый текст в одном окне. Атаки работают на уровне семантики, а не синтаксиса.
Что внутри разбора:
• Prompt injection: direct, indirect, multimodal
• 7 техник jailbreak, которые работают сейчас
• AI Red Teaming:
• EU AI Act и NIST AI RMF — в технических контролях
• 6 уровней защиты и чеклист для команды 🛡️
Полный разбор:
https://codeby.net/threads/bezopasnost-llm-polnaya-karta-atak-na-yazykovyye-modeli-prompt-injection-i-regulyatornyye-trebovaniya-k-ii-v-2026-godu.92553/
70% организаций уже столкнулись с атаками через LLM. А большинство команд безопасности всё ещё ищут SQL-инъекции там, где работает совершенно другая плоскость. 🎯
Главное, что ломает мозг: LLM не разделяет инструкции и данные на архитектурном уровне. Системный промпт, пользовательский запрос, контент из RAG-базы — для модели это одинаковый текст в одном окне. Атаки работают на уровне семантики, а не синтаксиса.
Что внутри разбора:
• Prompt injection: direct, indirect, multimodal
• 7 техник jailbreak, которые работают сейчас
• AI Red Teaming:
Garak, PyRIT, кастомные фреймворки• EU AI Act и NIST AI RMF — в технических контролях
• 6 уровней защиты и чеклист для команды 🛡️
Полный разбор:
https://codeby.net/threads/bezopasnost-llm-polnaya-karta-atak-na-yazykovyye-modeli-prompt-injection-i-regulyatornyye-trebovaniya-k-ii-v-2026-godu.92553/
🔥1
Forwarded from Hacker Lab
В HackerLab запускается сертификация. На текущий момент сертификат доступен участникам, успешно завершившим курс SQL Injection Master и сдавшим итоговый экзамен.
Экзамен представляет собой практическую эксплуатацию уязвимостей в изолированной инфраструктуре. Вы не отвечаете на вопросы - вы атакуете систему, находите уязвимости и шаг за шагом развиваете атаку.
Это не просто «галочка», а результат, подтверждённый практикой.
PRO20
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🔥1
End-to-end шифрование не защищает, если атакующий стал вашим «вторым устройством»
🔗 Никакого взлома криптографии. Никаких zero-day. Жертва сканирует QR-код, нажимает «подтвердить» — и атакующий читает входящие в реальном времени.
Именно так работали российские APT-группы в 2024–2025 годах против военных, журналистов, чиновников.
🎯 Механизм прост: Signal позволяет привязывать дополнительные устройства через QR. Между «отсканировал» и «скомпрометирован» — одно нажатие. Без рута, без малвари, без следов на устройстве. Группировки UNC5792 и UNC4221 собрали под это специализированный инструментарий: от поддельных group invite до кастомных фишинг-китов, мимикрирующих интерфейс Signal.
🛡 Полный разбор: архитектура linked devices, kill chain из 5 этапов, инструменты red team и чеклист харденинга.
Подробнее:
https://codeby.net/threads/vzlom-signal-akkaunta-polnyi-razbor-atak-cherez-linked-devices-i-qr-fishing.92566/
🔗 Никакого взлома криптографии. Никаких zero-day. Жертва сканирует QR-код, нажимает «подтвердить» — и атакующий читает входящие в реальном времени.
Именно так работали российские APT-группы в 2024–2025 годах против военных, журналистов, чиновников.
🎯 Механизм прост: Signal позволяет привязывать дополнительные устройства через QR. Между «отсканировал» и «скомпрометирован» — одно нажатие. Без рута, без малвари, без следов на устройстве. Группировки UNC5792 и UNC4221 собрали под это специализированный инструментарий: от поддельных group invite до кастомных фишинг-китов, мимикрирующих интерфейс Signal.
🛡 Полный разбор: архитектура linked devices, kill chain из 5 этапов, инструменты red team и чеклист харденинга.
Подробнее:
https://codeby.net/threads/vzlom-signal-akkaunta-polnyi-razbor-atak-cherez-linked-devices-i-qr-fishing.92566/
GitHub как вектор заражения: как Vidar прячется за фейковыми репозиториями
После того как Microsoft и DOJ снесли инфраструктуру Lumma Stealer, освободившуюся нишу занял Vidar — и выбрал неожиданный вектор: сотни фейковых GitHub-репозиториев. 🎯
Почему GitHub? Домен
Что делает Vidar 2.0 особенно неудобным для детекта:
• серверный билдер генерирует уникальный бинарник для каждой раздачи
• хэш каждого образца уникален — детект по SHA-256 бесполезен
• GitHub Releases — слепая зона: бинарники там не сканируются автоматически 🛡
Полный разбор с YARA-правилами и Sigma-запросами:
https://codeby.net/threads/vidar-infostealer-cherez-feikovyye-github-repozitorii-polnyi-razbor-ataki-i-detekshn.92582/
После того как Microsoft и DOJ снесли инфраструктуру Lumma Stealer, освободившуюся нишу занял Vidar — и выбрал неожиданный вектор: сотни фейковых GitHub-репозиториев. 🎯
Почему GitHub? Домен
github.com не блокируется корпоративными прокси, файлы из Releases не вызывают подозрений у EDR, а звёзды и форки создают иллюзию легитимности. Жертва сама скачивает и запускает троян, думая, что это читы для CS2 или утёкший исходник Claude Code. 🔍Что делает Vidar 2.0 особенно неудобным для детекта:
• серверный билдер генерирует уникальный бинарник для каждой раздачи
• хэш каждого образца уникален — детект по SHA-256 бесполезен
• GitHub Releases — слепая зона: бинарники там не сканируются автоматически 🛡
Полный разбор с YARA-правилами и Sigma-запросами:
https://codeby.net/threads/vidar-infostealer-cherez-feikovyye-github-repozitorii-polnyi-razbor-ataki-i-detekshn.92582/
Когда middleware пропускает не тех
Двухуровневая модель прав есть, а owner-check на чувствительных эндпоинтах — нет. Так устроен CVE-2026-32914 в OpenClaw.
🔑 Любой пользователь с базовой command-авторизацией читает и модифицирует
CVSS 8.7 (HIGH), CWE-863 — не «проверки нет», а «проверка не того уровня». Поэтому баг проходит мимо код-ревью: строчка авторизации на месте, просто проверяет не то.
🔍 Схема атаки:
1.
2.
Сетевая атака, низкий аккаунт, никакого взаимодействия с жертвой. Полный контроль над экземпляром.
Разбор и патч:
https://codeby.net/threads/cve-2026-32914-broken-access-control-v-openclaw-eskalatsiya-privilegii-cherez-config-i-debug-handlers.92585/
Двухуровневая модель прав есть, а owner-check на чувствительных эндпоинтах — нет. Так устроен CVE-2026-32914 в OpenClaw.
🔑 Любой пользователь с базовой command-авторизацией читает и модифицирует
/config и /debug — поверхности только для владельца экземпляра.CVSS 8.7 (HIGH), CWE-863 — не «проверки нет», а «проверка не того уровня». Поэтому баг проходит мимо код-ревью: строчка авторизации на месте, просто проверяет не то.
🔍 Схема атаки:
1.
/debug — разведка: переменные окружения, сессии, внутреннее состояние2.
/config — модификация конфигурации под себяСетевая атака, низкий аккаунт, никакого взаимодействия с жертвой. Полный контроль над экземпляром.
Разбор и патч:
https://codeby.net/threads/cve-2026-32914-broken-access-control-v-openclaw-eskalatsiya-privilegii-cherez-config-i-debug-handlers.92585/
«Нас ещё ни разу не взломали» — и бюджет убит
Именно эта фраза три раза уничтожала мой бюджет на бюджетном комитете. Для CFO она означает: «Зачем платить за то, что и так работает?»
💡 Проблема не в том, что бизнес не ценит безопасность. Проблема в том, что CISO не умеет говорить на языке денег.
Формула, которая работает:
Если контроль снижает годовые потери на 15 млн, а его TCO — 5 млн, получаем ROSI = 200%. Это язык, который CFO понимает без дополнительных слайдов.
🔢 Ключ — считать ALE (годовые ожидаемые потери) через частоту инцидентов и стоимость одного сбоя. Реальный пример: ransomware-риск на 5,6 млн/год ...
Подробности в статье:
https://codeby.net/threads/roi-kiberbezopasnosti-kak-izmerit-effektivnost-ib-investitsii-i-obosnovat-byudzhet-pered-biznesom.92590/
Именно эта фраза три раза уничтожала мой бюджет на бюджетном комитете. Для CFO она означает: «Зачем платить за то, что и так работает?»
💡 Проблема не в том, что бизнес не ценит безопасность. Проблема в том, что CISO не умеет говорить на языке денег.
Формула, которая работает:
ROSI = (ALE_до − ALE_после − Стоимость) / Стоимость × 100%Если контроль снижает годовые потери на 15 млн, а его TCO — 5 млн, получаем ROSI = 200%. Это язык, который CFO понимает без дополнительных слайдов.
🔢 Ключ — считать ALE (годовые ожидаемые потери) через частоту инцидентов и стоимость одного сбоя. Реальный пример: ransomware-риск на 5,6 млн/год ...
Подробности в статье:
https://codeby.net/threads/roi-kiberbezopasnosti-kak-izmerit-effektivnost-ib-investitsii-i-obosnovat-byudzhet-pered-biznesom.92590/
США инвестируют в то, что сами же санкционируют
561 организация, 46 стран, миллиарды долларов — легальная индустрия слежки. США стали её крупнейшим инвестором, обогнав Израиль.
🔍 За каждым заражённым устройством — корпоративная структура с SLA, техподдержкой и лицензиями. Pegasus продаётся как подписка: квота на 25-50 целей, обновление эксплойтов по мере закрытия.
⚡ Zero-click атаки FORCEDENTRY и BLASTPASS не требуют от жертвы ничего — достаточно получить сообщение. Закрыли вектор через
🏢 Брокеры, реселлеры, фронтовые компании — наименее изученная часть рынка, практически не покрытая регуляторами.
Полный разбор NSO, Intellexa, Candiru и QuaDream — бизнес-модели, CVE, корпоративные структуры:
https://codeby.net/threads/kommercheskoye-shpionskoye-po-razbor-rynka-nso-group-intellexa-candiru-i-quadream.92599/
561 организация, 46 стран, миллиарды долларов — легальная индустрия слежки. США стали её крупнейшим инвестором, обогнав Израиль.
🔍 За каждым заражённым устройством — корпоративная структура с SLA, техподдержкой и лицензиями. Pegasus продаётся как подписка: квота на 25-50 целей, обновление эксплойтов по мере закрытия.
⚡ Zero-click атаки FORCEDENTRY и BLASTPASS не требуют от жертвы ничего — достаточно получить сообщение. Закрыли вектор через
iMessage — NSO переключилась на следующий. Как Whac-A-Mole, только ставки выше.🏢 Брокеры, реселлеры, фронтовые компании — наименее изученная часть рынка, практически не покрытая регуляторами.
Полный разбор NSO, Intellexa, Candiru и QuaDream — бизнес-модели, CVE, корпоративные структуры:
https://codeby.net/threads/kommercheskoye-shpionskoye-po-razbor-rynka-nso-group-intellexa-candiru-i-quadream.92599/
Когда EDR ловит не бинарник, а цепочку вызовов
🔍 Cobalt Strike, PowerShell-однострочники, кастомные .NET-загрузчики — всё сгорело. Агент перехватил не файл, а поведенческую сигнатуру API-цепочки.
Коммерческие EDR работают на трёх уровнях телеметрии — обход одного не отключает остальные:
• User-mode — inline-хуки в
• Kernel —
• ETW + облако — ловит многоэтапные атаки, которые хуки пропускают
⚠️ API Unhooking через маппинг чистой
В статье — разбор с кодом: как устроены SentinelOne, CrowdStrike и Defender for Endpoint изнутри.
🔗 Полный разбор:
https://codeby.net/threads/obkhod-edr-windows-tekhniki-bypass-crowdstrike-sentinelone-i-defender-for-endpoint.92608/
🔍 Cobalt Strike, PowerShell-однострочники, кастомные .NET-загрузчики — всё сгорело. Агент перехватил не файл, а поведенческую сигнатуру API-цепочки.
Коммерческие EDR работают на трёх уровнях телеметрии — обход одного не отключает остальные:
• User-mode — inline-хуки в
ntdll.dll• Kernel —
PsSetCreateProcessNotifyRoutine и minifilter-драйверы, из user-mode не обойти• ETW + облако — ловит многоэтапные атаки, которые хуки пропускают
⚠️ API Unhooking через маппинг чистой
ntdll.dll — классика, но CrowdStrike и SentinelOne восстанавливают хуки и детектируют само обращение к файлу.В статье — разбор с кодом: как устроены SentinelOne, CrowdStrike и Defender for Endpoint изнутри.
🔗 Полный разбор:
https://codeby.net/threads/obkhod-edr-windows-tekhniki-bypass-crowdstrike-sentinelone-i-defender-for-endpoint.92608/
От фишинга до SWIFT-перевода: как это работает на практике
🏦 Большинство материалов про пентест банка — это номера ГОСТов и положений ЦБ. Но ни один ГОСТ не объяснит, как атакующий проходит путь от письма до несанкционированного перевода.
⚡ Три находки из реальных red team операций:
• REST API между АБС и процессингом — без авторизации, достаточно попасть в нужный VLAN
• JWT мобильного банка с ID клиента в payload — signature не проверялась вообще
• OTP без rate-limiting — предсказуемая генерация, не привязан к операции
🔍 Банк — не плоская корпоративная сеть. Здесь сегменты АБС, процессинга, SWIFT, ДБО и офиса разделены. Пентестер обязан понимать топологию до первого запроса.
Полный kill chain, методика и разбор SWIFT-архитектур A1–A4 — в статье:
https://codeby.net/threads/pentest-banka-vektory-atak-i-tekhniki-proniknoveniya-v-finansovuyu-infrastrukturu.92615/
🏦 Большинство материалов про пентест банка — это номера ГОСТов и положений ЦБ. Но ни один ГОСТ не объяснит, как атакующий проходит путь от письма до несанкционированного перевода.
⚡ Три находки из реальных red team операций:
• REST API между АБС и процессингом — без авторизации, достаточно попасть в нужный VLAN
• JWT мобильного банка с ID клиента в payload — signature не проверялась вообще
• OTP без rate-limiting — предсказуемая генерация, не привязан к операции
🔍 Банк — не плоская корпоративная сеть. Здесь сегменты АБС, процессинга, SWIFT, ДБО и офиса разделены. Пентестер обязан понимать топологию до первого запроса.
Полный kill chain, методика и разбор SWIFT-архитектур A1–A4 — в статье:
https://codeby.net/threads/pentest-banka-vektory-atak-i-tekhniki-proniknoveniya-v-finansovuyu-infrastrukturu.92615/
Эксплойт вслепую не работает — никогда
За 5 лет пентестов правило одно: сначала разведка, потом атака. Но большинство останавливается на банальном `nmap -sV`.
🔍 Разница между «открыт порт 3389» и «Network Service Discovery (T1046) выявил RDP на нестандартном порту 33389 без ограничения по источникам» — это разница между отчётом, который пожмут плечами, и находкой для CISO.
Три этапа, которые нельзя пропускать:
• Обнаружение хостов — ARP надёжнее ICMP в локалке
• Сканирование портов — флаг
• Fingerprinting — версии, ОС, баннеры
⚡ Связка masscan + nmap: masscan находит порты за секунды, nmap делает детальный fingerprint по живым целям.
https://codeby.net/threads/setevaya-razvedka-i-skanirovaniye-portov-prakticheskoye-rukovodstvo-po-nmap-i-masscan.92635/
За 5 лет пентестов правило одно: сначала разведка, потом атака. Но большинство останавливается на банальном `nmap -sV`.
🔍 Разница между «открыт порт 3389» и «Network Service Discovery (T1046) выявил RDP на нестандартном порту 33389 без ограничения по источникам» — это разница между отчётом, который пожмут плечами, и находкой для CISO.
Три этапа, которые нельзя пропускать:
• Обнаружение хостов — ARP надёжнее ICMP в локалке
• Сканирование портов — флаг
-p- обязателен, сервисы на 33389, 8443, 13306 находятся именно так• Fingerprinting — версии, ОС, баннеры
⚡ Связка masscan + nmap: masscan находит порты за секунды, nmap делает детальный fingerprint по живым целям.
https://codeby.net/threads/setevaya-razvedka-i-skanirovaniye-portov-prakticheskoye-rukovodstvo-po-nmap-i-masscan.92635/
👍2