Архив метки: HumanVM

В России будет создан федеральный оперативный штаб по противодействию кибермошенничеству

Добавить комментарий

В России будет создан федеральный оперативный штаб по противодействию кибермошенничеству

В России будет создан федеральный оперативный штаб по противодействию кибермошенничеству. Предложения по его созданию и персональному составу должны представить до 2 марта 2026 года Минцифры, МВД, ФСБ и Роскомнадзор при участии Администрации Президента, заинтересованных органов исполнительной власти, Банка России, Генпрокуратуры и Следственного комитета. Сбор и анализ данных по цифровым преступлениям будет производиться на базе ГИС «Антифрод».

До 10 апреля проработают доп. меры по борьбе с кибермошенниками:

🔻 активизация обмена данными банков, операторов связи, цифровых платформ и ведомств через ГИС «Антифрод»;
🔻 ужесточение противодействия дропперам;
🔻 усиление ответственности операторов связи за нарушение требований при заключении договоров и отсутствие антифрод-мер;
🔻 солидарная ответственность операторов связи и банков за ущерб от мошенничества при отсутствии мер противодействия.

Давно было пора выводить борьбу с кибермошенниками на высший уровень. 👍🔥

Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год

Добавить комментарий

Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год
Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 годПришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год

Пришёл новогодний подарочек от коллег из StopPhish - настенный календарь на 2026 год. Иллюстрации в календаре - афиши известных голливудских фильмов, переработанные в awareness-материалы по антифишингу. Качественно и остроумно сделано. Главное, что картинки бросаются в глаза, привлекают внимание. Рассматривать и читать текст интересно. 👍 А правильные мессаджи подспудно откладываются. Иллюстрации можно легко отделить по перфорации и развесить по офису как плакаты.

Календариком уже пользуюсь, повесил рядом со своим рабочим местом. 🙂 Спасибо большое, StopPhish! Всего вам хорошего в новом году! 🎄

Горизонтальные связи у людей обычно развиты гораздо лучше иерархических

Добавить комментарий

Горизонтальные связи у людей обычно развиты гораздо лучше иерархических

Горизонтальные связи у людей обычно развиты гораздо лучше иерархических. В подозрительной ситуации люди скорее спросят не начальника, и тем более не ИБ-шника, а своего равного коллегу.

В фишинговых атаках это приводит к своеобразному social lateral movement: когда попавшийся на фишинг пользователь не успокаивается и начинает пересылать зловредный файл или ссылку коллегам с комментарием а-ля: "у меня не открывается - попробуй у себя".

Коллеги из StopPhish поделились кейсом:

🎣 Учебный фишинг отправили девяти сотрудникам. Шаблон: "Коллеги, добрый день! С 1 октября повышаем зарплату, подпишите допсоглашение на портале по ссылке ниже". Трое открыли и… Начали пересылать коллегам, закинули ссылку в общий чат и т.д. Итого: 688 открытий, 140 уникальных пользователей, рост охвата в 16 раз и общая эффективность атаки 7644%. 🤦‍♂️

В понедельник у StopPhish будет вебинар, собираюсь заглянуть. Они у них обычно толковые и много бесплатных полезных материалов раздают. 😉

Очень злой мир

Добавить комментарий

Очень злой мир

Очень злой мир. Невольно отслеживаю схемы IT-мошенничества (давно уже не только "телефонного"). С каждым днём схемы всё изощрённее. Нет такой гнусности на которую не пойдут злодеи, чтобы получить доступ к банковским счетам и госуслугам жертв. Звонки "от следователя" примелькались? Так вот вам про "код от домофона". И ещё миллион сценариев. 😕

На всё более сложные схемы безопасники выдают всё более сложные рекомендации. Вот, например, хабропост от коллег по PT ESC-у про угон аккаунтов в Telegram. Очень крутой. 👍 Но там ~40к символов! 😨 "Схемы, о которых все должны знать". Бабушка в преддеменции, которой смартфон с телегой нужен для общения с внучкой тоже должна это проштудировать? 🙄

Какая-то жуткая гонка на выживание. Не отвечай, не нажимай, подозревай, не расслабляйся, будь в курсе всех схем. А чуть отстал и не уяснил очередной злодейский тренд - сам виноват, лох и мамонт.

Этот наш чудный IT-мирок фундаментально сломан, ребята. 🤷‍♂️ И вина безопасников в этом тоже, безусловно, есть.

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги

Добавить комментарий

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги

Про кейс с телефонным разводом топ-менеджера Kaspersky на деньги. Имею сказать следующее.

1. Никто не застрахован. Обвинять жертву неправильно. Системная проблема требует системного решения.

2. Такие кейсы бьют не только по кошельку жертвы, но и по имиджу компании, сотрудник которой стал жертвой. Компаниям нужно развивать awareness. Наряду с антифишинговыми рассылками привычными должны стать антивишинговые звонки.

3. "В любой непонятной ситуации информируй непосредственного руководителя и службу безопасности компании!" Это должно быть на подкорке, 24/7. Сначала проинформировать работодателя, получить одобрение и лишь потом что-то предпринимать.

4. Возраст человека и его высокое положение в корпоративной иерархии - факторы риска. Максимальное внимание и заботу нужно проявлять к тем, кто является наиболее интересной целью для злоумышленников.

5. Телефонная связь - главный инструмент мошенников. С особой осторожностью следует относиться к звонкам с незнакомых номеров.

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов

Добавить комментарий

Новый выпуск "В тренде VM": 4 горячие уязвимости октября, скандал в The Linux Foundation, социальная "атака на жалобщика", "метод Форда" для мотивации IT-специалистов. Конкурс на лучший вопрос по теме VM-а продолжается. 😉🎁

📹 Ролик на VK Видео, RUTUBE, YouTube
🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Содержание:

🔻 00:43 Уязвимость повышения привилегий в Microsoft Streaming Service (CVE-2024-30090)
🔻 01:53 Уязвимость повышения привилегий в Windows Kernel-Mode Driver (CVE-2024-35250)
🔻 02:43 Уязвимость спуфинга в Windows MSHTML Platform (CVE-2024-43573)
🔻 03:48 Уязвимость удаленного выполнения кода в XWiki Platform (CVE-2024-31982)
🔻 04:50 Скандал с удалением мейнтейнеров в The Linux Foundation, его влияние на безопасность и возможные последствия
🔻 05:28 Социальная "Атака на жалобщика"
🔻 06:41 "Метод Форда" для мотивации IT-специалистов к исправлению уязвимостей: будет ли он работать?
🔻 08:10 Про дайджест, хабр и конкурс вопросов 🎁
🔻 08:34 Бэкстейдж

Тренды фишинга, бесплатные материалы и инструменты от StopPhish

Добавить комментарий

Тренды фишинга, бесплатные материалы и инструменты от StopPhish

Тренды фишинга, бесплатные материалы и инструменты от StopPhish. Вебинар был насыщенный. 👍

Подсветили тренды:

🔻 Использование QR-кодов (квишинг), которые не проверяются автоматом.
🔻 Сценарий "FIND-TRAP" - провокация поиска в интернет-поисковике уникальной строки, которая есть только на зловредном сайте.
🔻 Атаки от имени контрагентов, "отклики на вакансии" и т.п.
🔻 Атаки через мессенджеры и соцсети.
🔻 Использование ИИ (в т.ч. аудио- и видео-дипфейки топ-менеджеров).

🔮 Атак через мессенджеры и кейсов с ИИ ожидается всё больше.

⚡️ Важно подсвечивать выгоду сотрудников от антифишингового обучения. Обучать регулярно. Вместо тестовых атак можно использовать тренажёры "определи фишинг" (отработка сразу нескольких кейсов).

🆓 Бесплатная раздатка от StopPhish. 2 курса по распознанию фишинга, ПО для проведения учебных атак, плагин для Outlook, чек-лист защиты от СИ, классификатор онлайн-векторов СИ, генератор сценариев СИ, памятки, плакаты, скринсейверы. 😇