Архив метки: HumanVM

Тренды фишинга, бесплатные материалы и инструменты от StopPhish

Добавить комментарий

Тренды фишинга, бесплатные материалы и инструменты от StopPhish

Тренды фишинга, бесплатные материалы и инструменты от StopPhish. Вебинар был насыщенный. 👍

Подсветили тренды:

🔻 Использование QR-кодов (квишинг), которые не проверяются автоматом.
🔻 Сценарий "FIND-TRAP" - провокация поиска в интернет-поисковике уникальной строки, которая есть только на зловредном сайте.
🔻 Атаки от имени контрагентов, "отклики на вакансии" и т.п.
🔻 Атаки через мессенджеры и соцсети.
🔻 Использование ИИ (в т.ч. аудио- и видео-дипфейки топ-менеджеров).

🔮 Атак через мессенджеры и кейсов с ИИ ожидается всё больше.

⚡️ Важно подсвечивать выгоду сотрудников от антифишингового обучения. Обучать регулярно. Вместо тестовых атак можно использовать тренажёры "определи фишинг" (отработка сразу нескольких кейсов).

🆓 Бесплатная раздатка от StopPhish. 2 курса по распознанию фишинга, ПО для проведения учебных атак, плагин для Outlook, чек-лист защиты от СИ, классификатор онлайн-векторов СИ, генератор сценариев СИ, памятки, плакаты, скринсейверы. 😇

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников

Добавить комментарий

Сентябрьский выпуск "В тренде VM": 7 трендовых уязвимостей, фальшивая рекапча, ливанские пейджеры, годовые премии IT-шников. Начиная с этого месяца, мы решили несколько расширить тематику и увеличить длительность роликов. Я рассказываю не только про трендовые уязвимости сентября, но и про примеры использования социальной инженерии, эксплуатацию уязвимостей реального мира и практики процесса Управления Уязвимостями. В конце объявляем конкурс вопросов по Управлению Уязвимостями с подарками. 🎁

📹 Ролик "В тренде VM" на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре на основе сценария ролика "В тренде VM"
🗒 Компактный дайджест с техническими деталями на официальном сайте PT

Содержание:

🔻 00:58 Elevation of Privilege - Windows Installer (CVE-2024-38014) и уточнения по этой уязвимости
🔻 02:49 Security Feature Bypass - Windows Mark of the Web "LNK Stomping" (CVE-2024-38217)
🔻 03:57 Spoofing - Windows MSHTML Platform (CVE-2024-43461)
🔻 05:14 Remote Code Execution - VMware vCenter (CVE-2024-38812)
🔻 06:27 Remote Code Execution - Veeam Backup & Replication (CVE-2024-40711), пока монтировали ролик появились данные об эксплуатации вживую
🔻 08:40 Cross Site Scripting - Roundcube Webmail (CVE-2024-37383)
🔻 09:38 SQL Injection - The Events Calendar plugin for WordPress (CVE-2024-8275)
🔻 10:40 Человеческие уязвимости: фальшивая reCAPTCHA
🔻 11:57 Уязвимости реального мира: взрывы пейджеров и других электронных устройств в Ливане, последствия для всего мира
🔻 14:53 Практики процесса управления уязвимостями: привязать годовые премии IT-специалистов к выполнению SLA по устранению уязвимостей
🔻 16:10 Финал и объявление конкурса
🔻 16:31 Бэкстейдж

29 октября пройдёт вебинар StopPhish про новые угрозы фишинга и социальной инженерии

Добавить комментарий

29 октября пройдёт вебинар StopPhish про новые угрозы фишинга и социальной инженерии

29 октября пройдёт вебинар StopPhish про новые угрозы фишинга и социальной инженерии. Это в продолжение темы социальных атак.

Обещают рассказать про
🔻 современные методы и тенденции фишинга
🔻 8 бесплатных инструментов и 5 бесплатных онлайн-сервисов для предотвращения фишинговых атак

Кроме того пришлют набор awareness-памяток по ИБ.

Ну и про свои коммерческие продукты для защиты от фишинга тоже расскажут, как же без этого. 😉

Мероприятие выглядит интересно, собираюсь посмотреть и отписать по итогам. Канал "Управление Уязвимостями и прочее" в информационных партнёрах. 🙂

Атака на жалобщика

Добавить комментарий

Атака на жалобщика

Атака на жалобщика. Допустим, вы заказали товар или услугу в какой-то организации (маркетплейсе, интернет-магазине, сервисном центре - не суть) и что-то пошло не так. Товар не доставили или услугу не предоставили, или к качеству есть претензии. Вполне естественное желание найти официальное сообщество этой организации в социальной сети и накатать жалобу. Общение со службой поддержки хорошо, а вместе с публичной стимуляцией - лучше, так ведь? 😉

Только раз жалоба публичная, то и читать её могут не только представители организации, но и злоумышленники. 🤷‍♂️ Они могут написать вам в личку, выдавая себя за представителя организации, пообещать решить все вопросы.

Нужно только
🔻 перейти на сайт (фишинговый 🪝)
🔻 заполнить анкету (с перс. данными и данными карты 💳)
🔻 подтвердить отправку анкеты кодом из смс (правда смс почему-то придёт от Госуслуг 🛂)
🔻 скачать и запустить "приложение-помощник" (малварь 👾)

Сценариев атак может быть множество. А противодействие им одно - бдительность.

Фальшивая reCAPTCHA

Добавить комментарий

Фальшивая reCAPTCHA

Фальшивая reCAPTCHA. Наверное самый интересный пример эксплуатации человеческой уязвимости за последний месяц. Этот финт работает по двум причинам:

🔹 Разнообразные сервисы капчи приучили людей делать самые странные вещи: нажимать на картинки с определенным содержимым, перенабирать слова, решать какие-то головоломки. Многие люди даже не задумываются когда видят очередное окно "докажи, что не робот" и безропотно делают то, что от них просят. 🤷‍♂️

🔹 Веб-сайты имеют возможность записывать произвольный текст в буфер обмена посетителя сайта. 😏

Фальшивая капча призывает пользователя запустить окно Run в Windows (Win + R), затем вставить в это окно зловредную команду из буфера обмена (Ctrl + V) и запустить команду (Enter). Очень примитивно, но работает! 🤩 Таким образом злоумышленники обманом заставляют жертв запускать зловредные PowerShell скрипты и HTA приложения. 👾

John Hammond воссоздал код такой "капчи". Вы можете использовать его в антифишинговом обучении.

Потрясающее видео из "Вкусно – и точка"

Добавить комментарий

Потрясающее видео из Вкусно – и точка

Потрясающее видео из "Вкусно – и точка". Среди бела дня какой-то левый мужик вскрывает терминал самообслуживания и устанавливает туда аппаратную закладку "малинку". При этом работники ресторана несколько раз проходят мимо и никак не реагируют.

Напомнило советскую комедию "Старики разбойники", в которой герои Никулина и Евстигнеева выносят из музея картину Рембрандта. Но в фильме похитители были одеты в рабочие халаты. Здесь же мужик в обычной одежде. 🤪

А если бы на нём был комбинезон с большими буквами "СЕРВИСНАЯ СЛУЖБА" и папка-планшет с какими-нибудь бумажками в руках? Он бы не то, что в терминал залез, он бы по всем техническим помещениям ходил беспрепятственно. 😏

Отличная демонстрация необходимости в организациях Human Vulnerability Management-а. Чтобы не боялись лишний раз задать вопрос "ты вообще кто такой?", не придерживали и не открывали двери перед незнакомцем с коробкой, знали что делать в подозрительной ситуации и т.д.

Сценарии таргетированного фишинга от имени службы поддержки

Добавить комментарий

Сценарии таргетированного фишинга от имени службы поддержки

Сценарии таргетированного фишинга от имени службы поддержки. Материал от Известий и R-Vision.

✉️ Письмо от поддержки о смене доменного адреса внутренних рабочих систем. Просят перейти по ссылке и проверить доступ к своим проектам.

✉️ Письмо от поддержки о "выборочном тестировании перехода пользователей на новый алгоритм шифрования при работе с почтой". Также просят перейти по ссылке.

В обоих случаях собирают доменные учётки.

Маячки:

🪝 письмо от настоящего сотрудника компании
🪝 письмо персонифицированное
🪝 реальные имена сервисов, используемых в компании

Про "алгоритм шифрования" мне раньше не встречалось. А вот аналогичное про "ящик переполнен, нажмите, чтобы увеличить размер" или "переход на новый Exchange" - прямо классика с очень высокой эффективностью попадания. 🤷‍♂️ Обязательно попробуйте такие сценарии в своих антифишинговых рассылках и курсах.