За последние дни количество моих знакомых и друзей, пострадавших от угона их телеграм-аккаунта, значительно выросло. Схема далеко не новая, я даже считал, что уж про нее слышали все, но оказалось это не так, и память людей довольно коротка.

В этой статье мы разберем двухэтапную схему с угоном и монетизацией tg-аккаунтов, а именно:

— Как именно происходит угон? Важен ли нарратив, используемый в социальной части?
— Достаточно ли только одной ошибки пользователя?
— Как именно аккаунты монетизируют?
— В чем главные фишки автоматизации работы злоумышленников на базе нейросетей?
— Как именно злоумышленники противодействуют жертве и попыткам вскрыть обман?
— Почему схема настолько успешна и что можно с этим сделать?
— Применима ли она к иным мессенджерам?

Интересно? Добро пожаловать под кат, а если посчитаете полезным — распространите.

Нам каждый раз рассказывают про то, что если подключиться к публичному Wi-Fi, то может случиться что-то ужасное. А, собственно, что? 

• Трафик перехватят;
• Пароли утекут;
• Смартфон будет взломан;
• Установят какой-то мессенджер без вашего согласия.

Причем транслируют инструкции «не пользоваться публичными/открытыми Wi-Fi» множество ИБ-компаний, включая вполне именитых экспертов. Но, кажется, это карго-культ 2015 года, и давайте попробуем разобраться, почему и как так вышло!

Дисклеймер! В статье умышленно рассматривается самый частый сценарий — подключение к Wi-Fi смартфона обычного человека. А не того, кто находится в розыске ФСБ/ФБР/Интерпола. Подключение ноутбука же ныне значительно более редкий и очень детерминированный сценарий, ведь выстрелить себе в ногу с небезопасной настройкой ноута значительно проще, особенно если ты из IT.

Итак, обычный человек, обычный современный смартфон. Поехали?

Абсолютно легальные инструменты за смешные деньги могут позволить вам: звонить всем активным клиентам ваших конкурентов, построить десяток эффективных мошеннических схем, или даже позвонить предполагаемому любовнику вашей девушки/жены, а заодно проверить где она была вчера вечером! Обнаружил я это в ходе одного из расследований утечек заявок клиентов. И я твердо уверен, что такого быть не должно. Инструмент использующийся в статье эффективнее всех утечек вместе взятых, нашими данными не должны так легко легально торговать практически в режиме онлайн. Можно найти любого и позвонить любому из нас. Почему и как это работает, какие риски это несет и как этому противодействовать?

Эта статья про физическое проникновение в один из банков Ливана. Легальный проект, с неожиданной концовкой, который выполнял один из самых известных специалистов по физическому тестированию на проникновение Jason E. Street! Вся история — это набор фактов, смешанный с его личными комментариями с выступлений, интервью и общения в кулуарах. Поэтому подробности на личной совести эксперта, но я предлагаю ему поверить! Уж слишком громкая вышла история :)

Если вам интересно как проверяли физическую безопасность банка с помощью социальной инженерии, добро пожаловать под кат!

Любите консервы? Или Виагру? Вы можете приобрести их у нас!

Сегодня мы хотим рассказать вам о спаме — о том, как он появился, как с ним пытались бороться и как развивалась эта криминальная индустрия. Мы также обсудим, почему именно спам стал движущей силой развития киберпреступности во всём мире. И, возможно, без него не было бы современного мира кибербезопасности. Но обо всём по порядку!

Дисклеймер. Сам конкурс и каждая строчка его правил были согласованы. Участникам конкурса, даже в случае их задержания охраной, ничего не грозило. Однако мы настоятельно не рекомендуем повторять подобное в обычной жизни, например на других мероприятиях!

Приветствую всех!

Это статья о SEQuest — первом квесте по социальной инженерии на городском киберфестивале PHDays Fest 2, который прошел в конце мая. Идея квеста принадлежит Антону Бочкареву, основателю и генеральному директору компании «Третья Сторона» (3side.org). Квест был проведен командой 3side, и мы хотим выразить благодарность организаторам фестиваля — компании Positive Technologies, команде зоны квестов и особенно Дмитрию Савловичу за терпение! Также мы благодарим наших прекрасных волонтеров и всех участников квеста.

Сама идея SEQuest появилась примерно за два месяца до начала фестиваля. Мы обсуждали, что на PHDays почти все конкурсы технические и имеют довольно высокий порог вхождения, поэтому многие участники, не могут в них участвовать. Особенно учитывая, что на фестиваль приходят не только технические специалисты, но и менеджеры по продажам, маркетологи, руководители и многие другие. Мы подумали, что было бы неплохо предложить организаторам конкурс по социальной инженерии в стиле управляемого взлома фестиваля.

Когда мы представили структурированную и описанную идею, мы были уверены, что нам откажут. Ведь эта идея была слишком смелой для, как нам казалось, консервативной индустрии и могла принести много проблем организаторам. Но внезапно идея настолько понравилась, что ее сразу одобрили! За несколько встреч мы обсудили список заданий, возможные решения, позиционирование, ограничения и правила.

Компании стремятся обеспечить свою безопасность. Они следят за периметром, фильтруют почту и сообщения, контролируют рабочие станции. Для этого используются разнообразные инструменты для защиты: от сканеров уязвимостей, до Endpoint Protection и NGFW. На все это тратятся огромные деньги!

Но есть то, что остаётся вне зоны контроля компаний и их средств защиты — это личные устройства и аккаунты топ-менеджмента. Зачастую это самая уязвимая, но при этом критическая точка, которую компании почти никогда не могут контролировать. Что же с ней делать? Разберем в статье.

Вас также раздражает, когда в СМИ или в Telegram-каналах появляются новости о “новых” мошеннических схемах? Я не в восторге от таких новостей, потому что они редко содержат что-то действительно новое. Обычно в них говорится о том, что мошенники начали использовать другой способ маскировки, например, представляться не МВД, а ФСБ. И на этом все.

Такие новости появляются уже пару лет, с тех пор как тема телефонного мошенничества стала действительно важной для СМИ. Неужели журналисты думают, что после этой новости люди перестанут верить звонящему из "ФСБ", а если бы не эта новость, они бы поверили? Нет, СМИ лишь стремятся к "хайпу", и зачастую не могут отличить схему от скрипта. Так в чем же ключевая разница? Давайте разберемся.

Телеграмм старается быть безопасным, но как написано в их BugBounty программе, социальная инженерия - вне скоупа. В этом я с ними абсолютно согласен. Но они считают, что под это попадают и все небезопасно реализованные функции, которые могут использоваться только для социальной инженерии. В этом уже я с ними не согласен.

В этой статье я расскажу вам про две "фичи", которые исправлять мессенджер не намерен, но которые могут быть легко использоваться для социальной инженерии, особенно в связке.

• Заказ еды домой. Необычная задача, найти работающий на доставку ресторан, позвонить им по телефону, продиктовать заказ, обязательно приготовить наличные без сдачи.
• Оплатить коммунальные услуги, придется идти на почту или в банк, а как иначе?
• Открыть в банке счет. Простоять очередь в отделении в рабочие часы, без этого никак!
• Получить государственную услугу? По этому писались целые гайды, где и какую бумагу надо получить, куда и когда нужно идти.

• Как безопасность может поспевать за отраслями, если не меняется сама?
• Причем тут кадровый голод и в нем ли дело?
• Что с этим нужно делать и причем тут такси?