Сумрачная картинка: большое помещение, мало света. Стол и рядом стул, на котором сидит человек. Он работает за ноутбуком. Чувствую его усталость: он сегодня уже долго работает. Его что-то отвлекает: письмо. Электронное письмо. Он нажимает на ссылку, но ничего не появляется на экране. Всё в порядке. Но на сетевом уровне уже поселилось зло: ЧЕРВЬ!!! Спустя неделю червь выкачает данные, из-за чего компания потеряет десятки-сотни миллионов рублей.
Рубрика «социальная инженерия»
Магия вне Хогвартса: как повышать ИБ-грамотность сотрудников
2024-01-29 в 13:39, admin, рубрики: ozon tech, security, security awareness, бесплатно, информационная безопасность, повышение осведомленности, социальная инженерия, фишинг150+ хакерских поисковых систем и инструментов
2022-09-20 в 9:00, admin, рубрики: OSINT, бастион, Блог компании Бастион, информационная безопасность, подборка, подборка инструментов, поиск по открытым источникам, поисковые технологии, разведка по открытым источникам, социальная инженерия, фактчекинг, хакерские инструментыВсе таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. Под катом ссылки на некоторые из них.
Пост состоит из 8 объемных разделов:
Простая агентурная работа: интервью с социальными инженерами
2022-04-12 в 8:56, admin, рубрики: Блог компании Бастион, интервью, информационная безопасность, личный опыт, мошенники, проверки компаний, промышленный шпионаж, социальная инженерия, тестирование на проникновение, шпионаж, шпионские штучки
Проверка системы безопасности компании это не только пентесты и фишинговые рассылки, но и шпионские операции с проникновением на территорию заказчика. Этим занимаются самые законспирированные сотрудники Бастион. Мы поймали их в перерыве между проектами, чтобы задать несколько вопросов об этой нестандартной работе.
По понятным причинам, мы не раскрываем настоящие имена наших спецов, так что в этом разговоре они выступят под псевдонимами Алиса и Боб. Они уже не первый год занимаются этой работой, но впервые согласились рассказать о ней широкой публике.
Осторожно, этот пост может спровоцировать приступы паранойи.
Профессиональный обман: как мы рассылаем фишинговые письма нашим клиентам
2022-03-29 в 9:00, admin, рубрики: email-рассылки, Блог компании Бастион, информационная безопасность, информационная гигиена, кибербезопасность, социальная инженерия, тестирование на проникновение, управление персоналом, фишинг, фишинговые атаки, фишинговые письмаПеред новым годом в приемной компании «А», входящей в состав крупного холдинга, раздался звонок. Трубку подняла секретарь — Марина. Звонивший представился как сотрудник головной компании и сообщил, что, необходимо передать директору персональное приглашение на новогоднюю вечеринку. Марина открыла почту, нашла письмо и распечатала документ, а заодно сообщила e-mail руководителя. Она совершила ошибку.
Чуть позже директор, а заодно и весь высший менеджмент компании получили письмо следующего содержания:
Директор поручил Марине заняться приготовлениями к мероприятию. Секретарь перезвонила, чтобы узнать, как сделать пригласительные для супруги директора, и уточнить дрескод. В ответ прозвучало, что форма одежды карнавальная. Только после этого один из сотрудников заподозрил неладное и позвонил напрямую в головную компанию. Там ответили, что карнавалов сроду не проводили и не планируют...
«Кража» со взломом: пентест финансовой организации
2021-11-30 в 7:53, admin, рубрики: OWASP, аудит безопасности, аудит внутренней сети, аудит сайта, Блог компании Бастион, информационная безопасность, социальная инженерия, Тестирование IT-систем, Тестирование веб-сервисов, тестирование на проникновение, уязвимости, финансы, фишингВ этом посте мы расскажем, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных.
Прямо сейчас в России происходит очень эффективный телефонный фрод, вот его сценарий
2021-11-01 в 14:32, admin, рубрики: информационная безопасность, социальная инженерия, фродТелефонные мошенники прокачались в социальной инженерии и опять на голову впереди служб безопасности с их агитплакатами против фрода.
Предлагаю вашему вниманию сценарий атаки, полученный при опросе нескольких жертв.
Новая версия фрода умеет приковывать внимание жертвы («даже в туалете») и не позволяет перезванивать друзьям/родственникам/службе безопасности.
Чем опасен ТГ-бот, позволяющий подменять Caller-ID
2021-02-04 в 10:36, admin, рубрики: Блог компании SearchInform, информационная безопасность, мошенничество, подмена номеров, социальная инженерия, телеграм-ботСегодня в СМИ ворвалась новость про бот в Telegram для телефонных звонков с функцией подмены обратного номера. На Хабре тоже уже появилась. Ну а так как я и есть Алексей Дрозд, подумал, что вам может быть интересно узнать немного подробностей про функционал бота и про угрозы, которые он несёт.
Старая песня на новый лад
Криптоанализ резиновым шлангом и методы его предотвращения
2020-12-22 в 12:02, admin, рубрики: защита данных, защита информации, информационная безопасность, криптоанализ, криптография, социальная инженерияЕсли необходимость — мать изобретения, то неблагоприятная обстановка и драматические события — это, пожалуй, мать криптоанализа.
Автор "Книги шифров" - Сингх Саймон.
Какие способы взлома эффективнее? Поиск уязвимостей в программах? Полный перебор? Разгадывание хэша? А вот и не угадали. Именно атаки на уровне пользователя эффективнее всего справляются со своей задачей.
Одна из основных проблем криптографии как раз и состоит в том, что человек является слабым звеном в криптосистеме.
Spoiler The Mandalorian
EDR: откуда взялся и почему это очередной виток защиты от хакеров
2020-12-15 в 10:10, admin, рубрики: edr, ruvds, ruvds_статьи, антивирусная защита, Блог компании RUVDS.com, взлом, информационная безопасность, социальная инженерия, хакеры
Компьютеры всегда были полем боя. Вечная битва взлома и защиты началась с появления первого массового ПК и будет продолжаться пока существует человечество. Первые хакеры были исследователями, они искали способы оптимизировать вычисления, найти более эффективные режимы работы, выжать максимум из скудных возможностей компьютеров. Тогда еще не было термина “хакер”, людей, которые занимались “взломом”, сейчас бы назвали системными программистами и программистами микроконтроллеров, до сих пор бьющихся за каждый лишний байт и пишущих на низком уровне.
Сложно сказать, когда развлечение стало злонамеренным, а потом корыстным. Первоначально, порча данных или железа не приводила к выгоде, потому написание вирусов — был удел одиночек, любителей в хорошем смысле слова, людей не ищущих выгоды.
Все изменила сеть…
Предпосылки возникновения EDR
Очень долго, компьютерные вирусы были чрезвычайно специфическими программами. Им приходилось выживать в очень стесненных условиях слабых компьютеров с ограниченными ресурсами, авторы вирусов были гуру Ассемблера, досконально знали все тонкости работы компьютеров на низком уровне. Но компьютеры становились мощнее, их связала сеть и все это запахло большими деньгами. Взлом был поставлен на поток, теперь это серьезный и крупный бизнес, уязвимости продают за огромные деньги, основной трафик компьютерных сетей — DDoS. Таким же крупным бизнесом стала и защита от атак. Прошли те времена, когда антивирусные программы покупались на дискетах и защищали только один компьютер. Даже сами понятия “вирус” и “антивирус” уже устаревают, целью атак становятся целые организации, а занимаются этим уже не одиночки-энтузиасты.
Читать полностью »
«Программирование лучше секса»
2020-05-24 в 16:23, admin, рубрики: мотивация, мотивация программистов, Программирование, разработка, социальная инженерия, управление командой, управление людьми, управление персоналом, управление разработкой, Управление сообществом
Эту фразу на заре своей трудовой деятельности я услышал от начальника отдела АСУ одного из Советских заводов, когда он предлагал идти работать к нему в отдел.
Естественно, тогда я не считал, да и сейчас не считаю, что программирование может быть заменой хорошему сексу. Но только спустя годы смог в полной мере оценить глубину эмоций, которую он вкладывал в свою крылатую фразу. В том числе и потому, что сам иногда испытываю трепетные чувства при создании совершенной архитектуры или красивого программного кода. И хотя понятия о красоте у каждого человека может быть свое, но тяга к совершенству бывает у всех одинаковая.
Однако, эмоции это одно, а человек инженер разумный, это другое. И меня давно занимал вопрос, а в чем же реальная причина по которой хочется делать код красивым?
Кому интересно размышления о логическом обоснование поиска прекрасного в разработке программного обеспечения и в других технических дисциплинах, прошу под кат.
Читать полностью »