[recovery mode] Телефонные мошенники: как не потерять деньги
Приветствую всех! Сегодня я хочу рассказать, как не столкнуться с мошенниками, которые хотели бы опустошить ваши банковские счета. Есть несколько часто использующихся мошеннических схем и я опишу одну из них. Начнем с того, что у любого программного обеспечения есть слабые места. Каким бы...
Простая агентурная работа: интервью с социальными инженерами
Проверка системы безопасности компании это не только пентесты и фишинговые рассылки, но и шпионские операции с проникновением на территорию заказчика. Этим занимаются самые законспирированные сотрудники Бастион. Мы поймали их в перерыве между проектами, чтобы задать несколько вопросов об этой...
Профессиональный обман: как мы рассылаем фишинговые письма нашим клиентам
Перед новым годом в приемной компании «А», входящей в состав крупного холдинга, раздался звонок. Трубку подняла секретарь — Марина. Звонивший представился как сотрудник головной компании и сообщил, что, необходимо передать директору персональное приглашение на новогоднюю вечеринку. Марина открыла...
Использование социальной инженерии в комплексных атаках на автоматизированные системы
Целью этой статьи является объединение информации о самых распространенных атаках с помощью социальной инженерии. Существует множество различных материалов, посвященных теме социальной инженерии, но они в большинстве своем либо имеют вид достаточно крупных произведений, таких как, например, работы...
На Бали без рисков информационной безопасности
Нынешние условия удалёнки дарят возможность совмещать работу c живописными видами из любой точки мира. Правда, бонусом с тропическим бризом вы получаете тележку с дополнительными рисками безопасности для корпоративных данных. Для того чтобы успешно практиковать работу в условиях all inclusive...
«Кража» со взломом: пентест финансовой организации
В этом посте мы расскажем, как сломанная логика, самописные сервисы и графические пароли могут привести к захвату сетевой инфраструктуры компании, полной потере денег и пользовательских данных. Это реальная история. События, о которых рассказывается в посте, произошли не так уж давно. По просьбе...
Прямо сейчас в России происходит очень эффективный телефонный фрод, вот его сценарий
Телефонные мошенники прокачались в социальной инженерии и опять на голову впереди служб безопасности с их агитплакатами против фрода. Предлагаю вашему вниманию сценарий атаки, полученный при опросе нескольких жертв. Новая версия фрода умеет приковывать внимание жертвы («даже в туалете») и не...
[Перевод] Как стать пентестером, если ты ноль в IT – четыре истории из жизни «взломщицы человеческих голов»
В этом тексте не будет технических подробностей, рассказов про вредоносный или полезный код – мы предупредили. Это почти даже не про компьютеры. И тем очевиднее отличие «отечественное» понимание пентеста от американского: в США все чаще к тестам на проникновение привлекают не хакеров, а социальных...
Как управлять FM-вещанием через iPhone
Кто сейчас вообще слушает радио? Может показаться, что в современном мире не осталось места для радио, однако мы сумели отыскать несколько кейсов его реального использования и немного поиграли с этим: В этой статье мы хотели бы рассказать, как не будучи радиотехниками, можно реализовать механизм...
Социальная инженерия: а вы точно курьер?
В одной из последних статей мы рассуждали об изменениях в сценариях социальной инженерии, которые спровоцировала мировая пандемия COVID-19. Разумеется, все тонкости рассмотреть в рамках одной публикации невозможно, поэтому сегодня продолжим нашу беседу и расскажем об особенностях физического...
Осторожно! Развод и фишинг одновременно по нескольким каналам
На прошлой неделе на РБК была статья, в которой некоторые крупные российские банки в последнее время отмечают значительный рост числа попыток хищений денежных средств клиентов по сравнению аналогичным периодом прошлого года. Об этом рассказали сразу несколько банков, причем было отдельно отмечено,...
Рыбаки атакуют: фишинг
"Взломать" человека, сидящего перед компьютером, намного проще, чем сам компьютер. Этим активно пользуются злоумышленники. Атакам подвергаются как обычные пользователи, так и крупные компании. Мы не стали исключением и поэтому сегодня рассмотрим один из примеров фишинговой атаки, которые регулярно...
Социальная инженерия в эпоху социальной изоляции
Мир изменился. Я чувствую это в воде, чувствую это в земле, ощущаю в воздухе Многое из того, что было — ушло. И не осталось тех, кто помнит об этом. Пандемия изменила привычный уклад жизни огромного количества людей и подкинула проблем в самых разных сферах. Одна из этих сфер — информационная...
Хакеры создали подставную фирму SecuriElite, чтобы атаковать исследователей безопасности и других хакеров
Сайт несуществующей компании SecuriElite В январе 2021 года специалисты Google Threat Analysis Group (TAG) рассказали об атаке на исследователей ИТ-безопасности по всему миру. Теперь опубликованы некоторые подробности этой необычной операции. Злоумышленники использовали новые 0-day, которые...
[recovery mode] Фишинг и с чем его едят
Почти каждый из нас слышал это страшное слово, но далеко не каждый понимает, что же это такое❓? Давайте разберемся вместе с Вами с этим вопросом и найдем ответы о том, как не попасть в лапы коварных киберпреступников. ? Читать далее...
(не)Безопасный дайджест: потерянные миллионы и телефонные мошенники
Обычно в конце месяца мы предлагаем вам дайджест самых интересных ИБ-инцидентов. Но в феврале нам встретилось столько совершенно потрясающих историй на вечную тему «вам звонят из банка», что мы решили собрать их в отдельный пост. И хоть в телефонном мошенничестве нет ничего нового, мы не устаем...
Верить ли глазам
На что обращать внимание при оценке невербальных проявлений лжи В прошлой статье мы разобрали, какие когнитивные искажения мешают определить обман. Как и обещал, хочу развить тему безынструментальной детекции лжи. Этот метод можно разделить на 2 категории: 1) оценка невербальных реакций; 2) оценка...
[Перевод] Борьба с инсайдерской угрозой на примере Among Us
Как ИБ-специалисты могут использовать знаменитую игру для обучения сотрудников Говорить с сотрудниками о безопасности бывает сложно, особенно если в компании высоки риски инсайдерских угроз. Могут ли игры на социальную дедукцию сломать этот лёд? Могут, считают авторы блога Security through...