Архив метки: HumanVM

Очень злой мир

Очень злой мир. Невольно отслеживаю схемы IT-мошенничества (давно уже не только "телефонного"). С каждым днём схемы всё изощрённее. Нет такой гнусности на которую не пойдут злодеи, чтобы получить доступ к банковским счетам и госуслугам жертв. Звонки "от следователя" примелькались? Так вот вам про "код от домофона". И ещё миллион сценариев. 😕

На всё более сложные схемы безопасники выдают всё более сложные рекомендации. Вот, например, хабропост от коллег по PT ESC-у про угон аккаунтов в Telegram. Очень крутой. 👍 Но там ~40к символов! 😨 "Схемы, о которых все должны знать". Бабушка в преддеменции, которой смартфон с телегой нужен для общения с внучкой тоже должна это проштудировать? 🙄

Какая-то жуткая гонка на выживание. Не отвечай, не нажимай, подозревай, не расслабляйся, будь в курсе всех схем. А чуть отстал и не уяснил очередной злодейский тренд - сам виноват, лох и мамонт.

Этот наш чудный IT-мирок фундаментально сломан, ребята. 🤷‍♂️ И вина безопасников в этом тоже, безусловно, есть.

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги

Добавить комментарий

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги. Имею сказать следующее.

1. Никто не застрахован. Обвинять жертву неправильно. Системная проблема требует системного решения.

2. Такие кейсы бьют не только по кошельку жертвы, но и по имиджу компании, сотрудник которой стал жертвой. Компаниям нужно развивать awareness. Наряду с антифишинговыми рассылками привычными должны стать антивишинговые звонки.

3. "В любой непонятной ситуации информируй непосредственного руководителя и службу безопасности компании!" Это должно быть на подкорке, 24/7. Сначала проинформировать работодателя, получить одобрение и лишь потом что-то предпринимать.

4. Возраст человека и его высокое положение в корпоративной иерархии - факторы риска. Максимальное внимание и заботу нужно проявлять к тем, кто является наиболее интересной целью для злоумышленников.

5. Телефонная связь - главный инструмент мошенников. С особой осторожностью следует относиться к звонкам с незнакомых номеров.

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Добавить комментарий

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

Тренды фишинга, бесплатные материалы и инструменты от StopPhish

Добавить комментарий

Тренды фишинга, бесплатные материалы и инструменты от StopPhish. Вебинар был насыщенный. 👍

Подсветили тренды:

🔻 Использование QR-кодов (квишинг), которые не проверяются автоматом.
🔻 Сценарий "FIND-TRAP" - провокация поиска в интернет-поисковике уникальной строки, которая есть только на зловредном сайте.
🔻 Атаки от имени контрагентов, "отклики на вакансии" и т.п.
🔻 Атаки через мессенджеры и соцсети.
🔻 Использование ИИ (в т.ч. аудио- и видео-дипфейки топ-менеджеров).

🔮 Атак через мессенджеры и кейсов с ИИ ожидается всё больше.

⚡️ Важно подсвечивать выгоду сотрудников от антифишингового обучения. Обучать регулярно. Вместо тестовых атак можно использовать тренажёры "определи фишинг" (отработка сразу нескольких кейсов).

🆓 Бесплатная раздатка от StopPhish. 2 курса по распознанию фишинга, ПО для проведения учебных атак, плагин для Outlook, чек-лист защиты от СИ, классификатор онлайн-векторов СИ, генератор сценариев СИ, памятки, плакаты, скринсейверы. 😇

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Добавить комментарий

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

29 октября пройдёт вебинар StopPhish про новые угрозы фишинга и социальной инженерии

Добавить комментарий

29 октября пройдёт вебинар StopPhish про новые угрозы фишинга и социальной инженерии. Это в продолжение темы социальных атак.

Обещают рассказать про
🔻 современные методы и тенденции фишинга
🔻 8 бесплатных инструментов и 5 бесплатных онлайн-сервисов для предотвращения фишинговых атак

Кроме того пришлют набор awareness-памяток по ИБ.

Ну и про свои коммерческие продукты для защиты от фишинга тоже расскажут, как же без этого. 😉

Мероприятие выглядит интересно, собираюсь посмотреть и отписать по итогам. Канал "Управление Уязвимостями и прочее" в информационных партнёрах. 🙂

Атака на жалобщика

Добавить комментарий

Атака на жалобщика. Допустим, вы заказали товар или услугу в какой-то организации (маркетплейсе, интернет-магазине, сервисном центре - не суть) и что-то пошло не так. Товар не доставили или услугу не предоставили, или к качеству есть претензии. Вполне естественное желание найти официальное сообщество этой организации в социальной сети и накатать жалобу. Общение со службой поддержки хорошо, а вместе с публичной стимуляцией - лучше, так ведь? 😉

Только раз жалоба публичная, то и читать её могут не только представители организации, но и злоумышленники. 🤷‍♂️ Они могут написать вам в личку, выдавая себя за представителя организации, пообещать решить все вопросы.

Нужно только
🔻 перейти на сайт (фишинговый 🪝)
🔻 заполнить анкету (с перс. данными и данными карты 💳)
🔻 подтвердить отправку анкеты кодом из смс (правда смс почему-то придёт от Госуслуг 🛂)
🔻 скачать и запустить "приложение-помощник" (малварь 👾)

Сценариев атак может быть множество. А противодействие им одно - бдительность.