Social Engineering

2021-02-19 12:00:25 Какое направление в кибербезопасности выбрать: Red Team или Blue Team?

24 февраля пройдет вебинар «Pentester vs. IT-Security Expert» от HackerU, на которым вы узнаете особенности каждого из направлений кибербезопасности, что необходимо для работы в каждом из них, а также разницу в знаниях двух экспертов в вопросах технологий и подходов в обеспечении ИБ и их ежедневные задачи.

Кому он будет полезен? Для желающих развиваться в кибербезопасности и IT-специалистов любого уровня.

Кто спикеры? Два руководителя Red Team и Blue Team команд, которые расскажут о ключевых технологиях в ИБ и пентесте, а также реальные истории из практики, свои ошибки и победы

Во сколько начинаем? 24 февраля в 19:00. Вебинар продлится 1,5 часа.

Сколько стоит? Бесплатно.

Примите участие в вебинаре и получите полезные лайфхаки для успешного развития в двух востребованных направлениях ИБ! Регистрируйтесь по ссылке: https://is.gd/eTgBHM Открыть/Комментировать

2021-02-18 14:00:00 ​ Одноразовые почтовые ящики.

Приветствую тебя user_name.

Отличная подборка сервисов, которые предоставят тебе временный почтовый ящик. Подробно расписывать предназначение временной почты не имеет смысла, думаю каждый из Вас, понимает зачем нужен такой ящик и в каких случаях применяется. Функционал каждого сервиса ты можешь найти по ссылкам ниже. Удачи user_name.

• http://xkx.me
• https://M.kuku.lu
• https://maildrop.cc
• https://tempail.com
• https://anonbox.net
• http://od.obagg.com
• https://smailpro.com
• https://generator.email
• https://www.moakt.com
• https://owlymail.com/en
• http://www.yopmail.com
• https://temp-mail.org/en
• https://en.getairmail.com
• https://www.mohmal.com
• https://10minutemail.com
• https://www.mailinator.com
• http://www.yopmail.com/en
• https://www.emailondeck.com
• http://www.throwawaymail.com/en
• https://www.trash-mail.com/inbox/

Дополнительные подборки:
• Сервисы для приема SMS.
• Площадки для практики хакинга.
• Сервисы для сбора информации.
• Сервисы для поиска утечек IP адреса.
• Подборка лучших сайтов для поиска уязвимостей.
• Подборка ресурсов для проверки безопасности в сети.

Дополнительную информацию ты можешь найти по хештегу #Malware #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-17 20:00:26 ​ Методы, применяемые при фишинговых атаках.

Приветствую тебя user_name.

• Сегодня я собрал для тебя подборку методов, которые использовали фишеры в течении этого месяца и будут использоваться еще долгое время. Такие подборки будут публиковаться на постоянной основе, около 1 раз в месяц и будут включать в себя весь актуальный материал по данной теме. Список не претендует на полноту. Подробный разбор каждого из метода, ты можешь найти по ссылкам ниже.

• Угон Telegram каналов. v2.
• Фейковая курьерская доставка.
• Фишинг сообществ криптовалютных трейдеров в Discord.
• Фейковая рассылка от "Почты РФ" для российских компаний.
• Фейковые рассылки от продюсеров российских «звезд».
• Фишеры используют морзянку, чтобы маскировать вредоносные URL.
• Выплата компенсаций. Рассылка фишинговых ссылок на альбомы с Google Фото.
• Фишинговая кампания, нацеленная на высшее руководство крупных компаний разных стран.

• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.

• Пандемия является источником вдохновения для мошенников, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.

Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-17 14:00:04 https://t.me/artemov_security - канал действующего специалиста в различных областях безопасности и расследований.

Реальные кейсы расследований, разбор актуальных новостей из мира безопасности, авторские статьи, полезная литература и видео.

Основные темы:

 Бытовая информационная безопасность и цифровая гигиена;

 OSINT;

Частные и корпоративные расследования;

 Профайлинг, анализ поведения;

 Самооборона.

Подпишись, исследуй, будь в теме Открыть/Комментировать

2021-02-16 14:00:00 ​ Payloads Collection.

Приветствую тебя user_name.

Сегодня я представляю тебе подборку ресурсов в которых собраны: инструменты, литература, payload'ы, видеоуроки, способы эксплуатации различных web-уязвимостей и многое другое...

Part 1:

https://github.com/foospidy/payloads
https://github.com/terjanq/Tiny-XSS-Payloads
https://github.com/payloadbox/rfi-lfi-payload-list
https://github.com/payloadbox/csv-injection-payloads
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/xxe-injection-payload-list
https://github.com/hahwul/XSS-Payload-without-Anything
https://github.com/payloadbox/open-redirect-payload-list
https://github.com/payloadbox/command-injection-payload-list

Part 2:

https://github.com/sh377c0d3/Payloads
https://github.com/BrodieInfoSec/BIG_XSS
https://github.com/RedVirus0/LFI-Payloads
https://github.com/pgaijin66/XSS-Payloads
https://github.com/emadshanab/LFI-Payload-List
https://github.com/austinsonger/payloadsandlists
https://github.com/secf00tprint/payloadtester_lfi_rfi
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/akalankauk/XSS-SQL-Master-Payloads

Part 3:

https://github.com/cujanovic/SSRF-Testing
https://github.com/omurugur/XSS_Payload_List
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/swisskyrepo/PayloadsAllTheThings
https://github.com/omurugur/OS_Command_Payload_List
https://github.com/omurugur/Open_Redirect_Payload_List

Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #bugbounty #payload Открыть/Комментировать

2021-02-15 20:00:01 ​ Онлайн песочницы. Защита от вредоносных файлов. V2.

Приветствую тебя user_name.

Недавно я публиковал подборку необходимых онлайн ресурсов, благодаря которым ты можешь проверить любой файл, полученный из недостоверного источника. Сегодня мы дополним данный список необходимыми источниками и полезным материалом, с помощью которых ты обезопасишь себя от фишинга.

• Дешифраторы коротких URL-ссылок и проверка ссылок на вирусы:
https://scanurl.net/
https://longurl.info/
https://unshorten.me/
http://www.trueurl.net/
http://checkshorturl.com
http://www.untinyurl.com
https://vms.drweb.ru/online/
https://opentip.kaspersky.com/
https://iplogger.ru/url-checker/
https://www.virustotal.com/gui/home/url

• Онлайн песочницы:
https://any.run
https://cuckoo.cert.ee
https://www.hybrid-analysis.com
http://www.cpcheckme.com/checkme
https://threatpoint.checkpoint.com/ThreatPortal/emulation

• Онлайн-антивирусы:
https://online.drweb.com/
https://www.virustotal.com/ru/
https://opentip.kaspersky.com/
https://www.esetnod32.ru/home/products/online-scanner/

• Проверка анонимности:
https://amiunique.org/fp
http://proiptest.com/test/
https://proxy6.net/privacy
https://webkay.robinlinus.com/
https://coveryourtracks.eff.org/
https://browsercheck.qualys.com/
http://www.hackerwatch.org/probe/
http://www.cpcheckme.com/checkme/
http://www.t1shopper.com/tools/port-scan/

Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #Подборка. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-15 12:01:08 Как начать карьеру на атакующей стороне информационной безопасности?

На интенсиве «Pentesting: Level 0» от HackerU мы разберем типичные задачи RedTeam на практике, а также расскажем, из чего состоят рабочие будни пентестера. Как это будет?

— 3 дня и 12 ак.часов с действующими пентестерами, за плечами которых 200+ проектов в компаниях "Информзащита", "BI.Zone" и "Валарм"
— Закрытые видеоконференции и возможность получить записи занятий
— Неограниченное общение и обратная связь от экспертов
— Только практика и разбор реальных кейсов в формате турнира CTF

Вы изучите основные процессы взлома и инструменты для работы с анализом защищенности, проведете взлом веб-приложения, а также получите сертификат и бонусы при поступлении на любые практические курсы по кибербезопасности!

Записывайтесь на интенсив и сделайте первый шаг к карьере специалиста по пентесту! Запись по ссылке: https://is.gd/YSalc4 Открыть/Комментировать

2021-02-14 14:00:01 ​ Hacking Tools: Kali Linux Tools Tutorial.

Приветствую тебя user_name.

• Если ты хочешь получить знания в области информационной безопасности и пентесту, то эта книга определенно заслуживает твоего внимания: Hacking Tools: Kali Linux Tools Tutorial.

• В книге подробно описаны многие инструменты, которые применяются специалистами в области информационной безопасности. Ты получишь необходимые знания для начала работы с ОС Linux Mint и Kali Linux, научишься собирать необходимую информацию с помощью #NMAP, изучишь #Netcat и разберешь полученные знания на практике.

Скачать книгу бесплатно, можешь в нашем архиве.

Дополнительный материал:

Книга: Kali Linux. Social Engineering.
Книга: Kali Linux. Тестирование на проникновение.
Книга: Kali Linux Cookbook - Книга этичного хакера.
Книга: Настольные книги по Linux на Русском языке.

Статья: Toolkit пентестера.
Статья: Kali Linux в твоем кармане.
Статья: 20 лучших инструментов для хакинга в Kali Linux.
Статья: 10 лучших дистрибутивов для хакинга и пентеста.
Статья: Exploit Database. База данных эксплойтов и уязвимого ПО.

Курс: Полный курс по WireShark.
Курс: Red Team Ops with Cobalt Strike.
Курс: Полный курс по этичному хакингу с Nmap.

Другую дополнительную информацию ты можешь найти по хештегам #Nmap #Kali #Linux #Netcat #hack #Cobalt #СИ #OSINT #Книга и #Курс. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-13 14:00:01 ​ RFID Pentester Pack.

Приветствую тебя user_name.

• Несколько месяцев назад, я опубликовал 2 статьи "Арсенал социального инженера" и "Походный арсенал пентестера", в которых описаны инструменты, применяемые на практике для проведения пентеста.

• Сегодня я собрал для тебя подборку инструментов для работы с RFID. С этими инструментами, ты можешь выполнить практически любую задачу, связанную с RFID, которая тебе когда-либо понадобится: тестирование, взлом, анализ, эмуляция, чтение, запись, отладка, программирование и т.д.

• DL533N;
• ChameleonTiny;
• LF Antenna Pack;
• HF Antenna Pack;
• RFID Field Detector;
• ChameleonTiny Pro;
• Proxmark Blueshark;
• Proxmark 3 RDV4.01;
• ChameleonMini RevG.

Описание каждого инструмента, доступно по ссылкам выше. Также, не забывай про другой полезный материал:

Подборка: Social Engineering Tools.
Подборка: Red Teaming Toolkit Collection.
Подборка: 100 лучших хакерских инструментов в 2020 году.

tools: O•MG keylogger.
tools: nRF52840 dongle.
tools: AirDrive Keylogger Pro.

Статья: ESP8266. Фейковые точки доступа и атака на сеть.
Статья: Социальная инженерия и физическая безопасность.

Другую дополнительную информацию ты можешь найти по хештегам #tools #Пентест #СИ и #RFID. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-12 20:01:34 ​ SIM SWAP. Обман на 100 000 000 $.

Приветствую тебя user_name.

• В начале текущей недели, была арестована группа из 8 человек, которые активно использовали метод Sim Swap тем самым похищали средства у американских знаменитостей. Общий доход таких атак составил более 100 000 000 долларов США в криптовалюте. Помимо денежных средств, атакующие получили доступ к личной информации и социальным сетям своих жертв.

• Cуть таких атак заключается в том, что атакующий обращается к оператору сотовой связи и с помощью социальной инженерии, добивается переноса номера на новую SIM карту. После того как номер был перенесен, атакующий получает доступ ко всем привязанным к номеру учетным записям. Разумеется перехватить код 2ФА становится крайне легко. Соответственно атакующий может похитить криптовалюту, угнать аккаунты социальных сетей и т.д.

• Новость о задержании ты можешь прочитать тут: https://www.securitylab.ru/news/516520.php

• Sim Swap очень распространенная схема, которая приносит атакующим большой профит. Напоминаю что Twitter аккаунт Джека Дорси (создателя Twitter) взломали именно таким способом. После чего, в Twitter появилась возможность отключать двухфакторную аутентификацию по SMS и использовать другие методы двухфакторной аутентификации.

• В свою очередь, советую ознакомится со статьей: "Sim Swap. Способы защиты от угона sim карт".

А также, можешь ознакомится с интересным софтом SMS Ping — приложение которое может быть использовано с целью определения, находится ли абонент в сети или нет. Суть заключается в том, что на телефон абонента отправляется тихое SMS сообщение, почему тихое ? потому что абонент, номер которого ты указал в программе его не получит, за то ты получишь результат, в сети абонент или нет. Ссылки для скачивания и подробное описание есть в нашем канале.

Делись с друзьями, добавляй в избранное и ищи другой полезный материал по хэштегу #СИ. Твой S.E. Открыть/Комментировать