Рубрика «социальная инженерия»

Художественные детские книги про социнжиниринг - 1

Привет!
Я три года назад читал в детском лагере лекцию про социнжиниринг, троллил детей и немного бесил вожатых. В итоге испытуемые спросили, что почитать. Мой дежурный ответ про две книги Митника и две книги Чалдини, вроде, убедителен, но только для примерно восьмиклассника и старше. Если младше — то надо сильно чесать голову.

В общем, ниже — очень короткий список самых обычных художественных произведений. Лёгких, простых, детских. Но про социальную инженерию. Потому что в каждой культуре есть персонаж-джокер, который немного психопат, немного шут и немного эффективный специалист. Список неполный, и я хочу попросить вас его продолжить. Читать полностью »

image

Мечта любого пиарщика и маркетолога — разместить статью о своей компании на Википедии, ведь это и авторитетность, и высокая поисковая выдача, а значит и больше внимания со стороны потенциальных клиентов.

Но написать статью на Википедии – это только половина дела, нужно еще и не допустить ее удаления, что в случае, если вы маленький стартап или начинающий блогер, бывает непросто.

Требования Википедии понятны – это сетевая энциклопедия, для нее важна уникальность материала, а главное — его значимость для вики-сообщества, поэтому если на вас не ссылаются на «значимом» вебсайте, то и для энциклопедии информация о вашей компании или персоне не нужна.

Вот что написано об этом в правилах Википедии:

«Предмет значим, если описывается множественными нетривиальными публикациями авторитетных и независимых источников. Все объекты должны обладать минимальным уровнем требуемой значимости для того, чтобы статья о них была включена в Википедию. В это требование входит необходимость наличия достаточного количества источников для написания проверяемой и энциклопедичной статьи. Статья, не удовлетворяющая критериям значимости, может быть выставлена на удаление.»

Читать полностью »

Сегодня, буквально несколько часов назад, я обнаружил новый для меня способ мошенничества: попытку получить доступ к личному кабинету моего сотового оператора.

Оперативный поиск в сети, а также опрос знакомых айтишников показал, что никто пока этот способ еще не видел в работе. Отсутствие общеизвестности, а также неочевидность обывателям всех угроз применения полученного доступа делает его более опасным.

Внимание! Данный пост написан с целью предупредить сообщество о возможной опасности и новом виде мошенничества. Повторение действий, описанных в статье, с любыми аккаунтами, кроме своих собственных, влечёт ответственность в соответствие с законодательством РФ.

Читать полностью »

Мета-игры: Мой опыт создания конкурсов для менеджеров по продажам - 1

Я работаю в сфере, где IT подразделение хоть и играет заметную роль, но все-таки лишь обслуживает основной бизнес. По своей должности я провоцирую всякие инновации и сую нос в самые разнообразные бизнес-процессы. В этой статье я поделюсь своим опытом создания конкурсов для менеджеров по продажам.

Чтобы сразу продемонстрировать своё отношение к предмету, в заголовок я вынес понятие “мета-игры”. В современном мире компьютерных приложений “мета-игры” понимаются, как механики, направленные в первую очередь на выполнение целей разработчика, а не на развлечение игрока (источник).

Перенося данную идею на работу отдела продаж, можно сформулировать следующее положение:

Конкурс для продающих сотрудников конструируется для достижения конкретных результатов, нехарактерных в рамках обычной окладно-премиальной мотивации. Читать полностью »

image
Хакеры десятилетиями эксплуатируют человеческую доверчивость и невнимательность. Большинство пользователей без раздумий открывают безобидное, на первый взгляд, почтовое вложение и, сами того не зная, запускают вредоносное ПО. Чтобы защититься от подобных атак, нужно знать врага в лицо. Сегодня мы попробуем разобраться, как устроены три новые техники выполнения кода в офисных приложениях, обнаруженные в этом году, и какие способы защиты от них существуют.

Читать полностью »

Опасное приглашение, или Как работает боевая нагрузка к фишинговому письму - 1

Недавно специалисты PT ESC обнаружили документ формата Publisher с названием «Приглашение 29–30 ноября 2018.pub» (1edd5b6a02ec82cec381c1a1ec74a67e). В этом материале мы расскажем, как обычный с виду документ превращается в троян, позволяющий злоумышленнику захватывать изображение с веб-камер, записывать звук по команде или при обнаружении окна Skype, запускать PowerShell-скрипты, делать скриншоты экрана, копировать файлы с медиаустройств.Читать полностью »

Мы с племянником решили внести свою лепту в дело противодействия фишингу и подготовили памятку. Распространяется безвозмездно. Вы можете скачать её и, распечатав, повесить у себя в офисе; разместить в посте в социальных сетях, добавить в буклет или книгу.

Вот памятка:

Памятка по разновидностям фишинга - 1

A теперь пояснения, почему фишинг всё ещё актуален, и почему он останется таковым и в будущем.

Читать полностью »

Введение

Доброго времени суток, друзья. Кто читал мои предыдущие статьи, должны понимать, что это будет еще один увлекательный взлом. Вот только взламывать мы будем магазин еды. Скажу сразу, что это не просто взлом. Мы не будем использовать дыры в коде системе. Мы возьмем эту систему и просто посмотрим на нее с другой стороны. Иначе говоря: «глазами хакера».

Супермаркет «Перекресток» позиционирует себя как интернет-магазин продуктов. Возможно, это очень умно и удобно в наше время, когда можно заказать продукты, сидя дома на диване. Но все это выглядит слишком гладко, чтобы стать реалией. Везде есть минусы, какие-то недочеты и, собрав их воедино, мы получаем огромную дыру в системе…

image
Читать полностью »

Открыть нельзя игнорировать - 1

Моя работа связана с тем, что я вру людям и эксплуатирую их доверчивость, любопытство, жадность и так далее. Работу я свою люблю и стараюсь подходить к ней творчески. Специфика моей деятельности связана с проведением атак методом социальной инженерии. И в этом посте я бы хотела рассказать о вредоносных вложениях.
Читать полностью »

Приветствую, %username%. Ты готов к экшену? Поехали!

Человек по своей природе не враждебен. Ему склонно решить проблемы мирно и не
вступать в конфликтные ситуации. Мы пытаемся завоевать доверие человека и наладить
общение с ним. Социальный инженер делает все то же самое, только для собственных
корыстных целей. Он манипулирует людьми, не испытывая настоящих чувств. Социальная
инженерия – один из самых опасных типов атак.

ПРЕДИСЛОВИЕ
«Only for fun» — такой девиз мы часто использовали, атакуя какие-либо
системы. За довольно короткий период своей деятельности скопилось большое
количество материала. Передо мной встала задача, как его упорядочить. Целью
данной статьи не является обучение взлому. Это просто истории, в которых
лишь поверхностно описывается атака методом социальной инженерии. В
основном, это взлом каких-либо веб-систем, в которых важную роль играет
человеческий фактор. Сама концепция, что можно взломать что-то без единой
строчки кода, делает взлом системы интересным и уникальным. Социальная
инженерия – это не просто наука. Нет единой универсальной схемы взлома этим
способом. В каждом отдельном случае хакер разрабатывает собственный путь
к достижению конкретного результата. В данной статье раскрыты некоторые приемы социальной инженерии, и я делюсь этим с вами.
Читать полностью »