Social Engineering

2021-02-09 13:00:24 ​ Новый вид фишинговых атак. Образцы малвари.

Приветствую тебя user_name.

• Появился новый вид фишинговых атак, который включает в себя новую технику обфускации, которая заключается в использовании кода Морзе для сокрытия вредоносных URL-адресов во вложениях электронной почты, чтобы обойти системы безопасности почтовых шлюзов и почтовых фильтров.

Впрочем, все по классике. Атака начинается с электронного письма, которое отправляется на адреса атакуемых компаний с темой вроде «Название_компании_Счет_номер_Февраль_09/03/2021» и содержит вложения в формате HTML с правдоподобным названием, которое выглядит как оригинальный счет к компании в формате Excel.

• При просмотре присылаемого файла в текстовом редакторе можно заметить, что у него внутри есть JavaScript, который сопоставляет буквы и цифры с азбукой Морзе. После открытия пользователем присланного файла запускается скрипт, который вызывает функцию decodeMorse (). Функция декодирует строки кода Морзе в шестнадцатеричную строку. Далее эта шестнадцатеричная строка декодируется в теги JavaScript, которые вставляются в окончательно сформированную фишинговую HTML-страницу.

• Эти внедренные скрипты в сочетании с вложением HTML содержат ссылки на различные сторонние ресурсы, используемые для отображения поддельной электронной таблицы Excel, в которой указано, что время сессии пользователя истекло. Ему предлагается ввести пароль еще раз.

• Если пользователь введет свой пароль, то скрипт отправляет эти данные на удаленный сайт, где атакующие собирают учетные данные сотрудников различных компаний для выполнения следующих этапов сетевой атаки.

Скачать и изучить малварь, ты можешь на сайте VX-Underground (companyname_invoice_8101._xsl_x.zip).

Дополнительный материал:
• Anubis. Исходный код.
• Cerberus. Исходный код.
• MosaicRegressor. Буткит для UEFI.
• Ragnar Locker. Вымогательство из Виртуальной Машины.

Дополнительную информацию ты можешь найти по хештегу #Malware #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-08 20:00:09 Извлекаем метаданные.

Приветствую тебя user_name.

• EXIF — стандарт, позволяющий добавлять к изображениям и прочим медиафайлам дополнительную информацию, комментирующую этот файл, описывающий условия и способы его получения.

• Сегодня мы поговорим о том, какую информацию можно получить из файлов, какие инструменты помогут нам при сборе и извлечении информации.

Читать в telegra.ph | Зеркало

Дополнительный, полезный материал...

• Изменяем метаданные.
• Хакеры используют Google CDN для размещения малвари.
• Социальная инженерия на практике. Разведка.
• Социальная инженерия на практике. Подготовка.
• Социальная инженерия на практике. Рассылка.
• Социальная инженерия на практике. Итоги.

Другую дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-08 12:01:13 ​С чего начать свой путь в кибербезопасности?

На интенсиве «Кибербезопасность: Level 0» от HackerU вы получите первые знания о сетевых атаках и опыт их предупреждения, а также разберетесь с базовыми принципами построения системы защиты. Как проходит обучение?

— 3 дня и 12 ак.часов с действующими ИБ-специалистами, среди которых руководители и специалисты SOC
— Закрытые видеоконференции и возможность получить записи занятий
— Неограниченное общение и обратная связь от экспертов
— Только практика и разбор реальных кейсов

После интенсива вы сможете создавать тестовые стенды для анализа безопасности, перехватывать и анализировать сетевой трафик, разворачивать систему обнаружения и многое другое. Кроме того, вы получите сертификат и бонусы при поступлении на любые практические курсы!

Записывайтесь на интенсив и сделайте первый шаг к карьере в кибербезопасности! Запись по ссылке: https://is.gd/EmO8Ks Открыть/Комментировать

2021-02-07 12:00:00 ​ Nmap for Penetration Testing.

Приветствую тебя user_name.

• Сегодня я предлагаю тебе ознакомиться со свежим курсом, который поможет тебе быстро и легко освоить #Nmap. В данном курсе, ты освоишь фундаментальные концепции сети, создашь собственную виртуальную лабораторию для тестирования своих навыков на практике и познакомишься с Nmap Scripting Engine (NSE).

• После прохождения этого курса, ты получишь ключевые навыки, необходимые для использования #Nmap и сможешь применять полученные знания на практике.

Скачать курс бесплатно, можешь в нашем облаке.

• Подробное описание: https://www.packtpub.com
• Дата публикации: Январь 2021 г.
• Продолжительность: 6 ч. 31 мин.
• Язык: Eng.

• Дополнительный материал:

Статья:Анализ дампа сетевого трафика.
Статья:Хак в один клик. Сканеры уязвимостей.
Статья:Анонимное сканирование с NMAP через Tor.
Статья: Используем Nmap для DOS-Атак, брутфорса, обхода фаерволов и многого другого.
Статья:Находим ПК и другие устройства в сети. Сканируем порты, получаем нужную информацию о хосте.

Курс: Полный курс по этичному хакингу с Nmap. Нэйтан Хаус.
Курс: Полный курс по WireShark - От Начального до Продвинутого Уровня!

tools: Nmap в Termux.
tools: Toolkit пентестера. Инструменты которые помогут тебе при пентесте внутренней сети.

Книга: Nmap Essentials.
Книга: Network Scanning Cookbook.
Книга: Mastering the Nmap Scripting Engine.
Книга: Quick Start Guide to Penetration Testing.

Дополнительную информацию ты можешь найти по хештегу #Nmap #Книга и #Курс. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-06 18:00:02 ​ Социальная инженерия в кино.

Приветствую тебя user_name.

Одни техники атак приходят на смену другим, но кое-что остается неизменным: пока компьютерами пользуются люди, социальная инженерия будет оставаться в арсенале хакеров.

• Сегодня выходной день, и мне очень не хочется грузить тебя сложным материалом и загружать твой мозг по максимуму. Предлагаю тебе ознакомиться с подборкой топовых фильмов которые затрагивают тему социальной инженерии и хакерства в целом.

• 7 фильмов, по которым можно изучать социальную инженерию.

• Если ты уже знаком с этими фильмами, то у меня найдется для тебя другой мотивирующий материал: 15 документальных фильмов о хакерах и хакерстве.

• Также, обрати внимание на подборку фильмов которые должен посмотреть каждый хакер: https://github.com/k4m4/movies-for-hackers

Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-05 20:00:20 Охота на «мамонта».

Приветствую тебя user_name.

• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.

• Пандемия является источником вдохновения для мошенников, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.

Купить вакцину от COVID-19 и авиабилеты с огромной скидкой, унаследовать состояние заграничного дяди, почившего от коронавируса, и получить финансовую компенсацию.... о новых способах отъема денег и о других методах читайте в статье https://www.mn.ru/articles/ohota-na-mamonta

О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хэщтегам #СИ и #Фишинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-05 13:00:11 Изучи новые виды манипуляций простыми словами

Отец лжи - канал, где рассказывают и показывают как незаметно обмануть любого человека

Автор канала - делает уникальный контент, он подскажет, как не поддаваться манипуляциям других людей и как самому влиять на подсознание человека.

Открой для себя:
- Теории манипуляций и их влияние на человека.
- Как может всего одна идея кардинально повлиять на человека
- Как защититься от психологических воздействий, не дать манипулировать собой.
- 3 простых способа узнать кто тебя обманывает

Это всего часть того, что можешь найти на канале Отец лжи . Открыть/Комментировать

2021-02-04 12:00:08 Социальная инженерия и физическая безопасность. Взламываем Bluetooth Smart Lock.

Приветствую тебя user_name.

• Физическая безопасность — важный аспект социального инженера. Изучение того, как взламывать замки, может быть полезно для получения доступа к компаниям, сейфам, офисам или другим местам, где будет храниться необходимая информация.

• В этой статье мы рассмотрим коммерческий умный навесной замок и поговорим об этапах, которые должен пройти каждый пентестер во время тестирования на проникновение устройства с поддержкой BLE (Bluetooth Low Energy).

• В сегодняшнем материале будет использоваться BLE:Bit, который облегчает работу, особенно для пентестеров-новичков. BLE:Bit – это инструмент оценки безопасности Bluetooth Low Energy. Он поставляется вместе с BLE:Bit SDK, комплектом программного обеспечения от Java, который поможет управлять вашим устройством.

Читать в telegra.ph | Зеркало

Дополнительный, полезный материал...

• Awesome Lockpicking.
• Социальная инженерия. Lockpicking.
• Социальная инженерия и физическая безопасность.
• Практическое руководство по взлому сейфов и замков.

Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать

2021-02-03 20:00:01 ​ Социальная инженерия. НЛП. Профайлинг. Психология.

Приветствую тебя user_name.

• Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов.

• Ещё в 1906 году в предместье Берлина безработный Вильгельм Фогт купил на рынке изношенную форму прусского капитана и направился к ближайшим казармам. Там он встретил незнакомого сержанта с четырьмя гренадерами и приказал им захватить ратушу. Фогт забрал у сдавшегося бургомистра без малейшего сопротивления всю городскую казну — четыре тысячи марок. Затем он отдал распоряжение всем оставаться на местах еще полчаса, после чего уехал из города на поезде уже в гражданской одежде.

• Социальная инженерия включает в себя много аспектов, именно поэтому, я рекомендую тебе не только изучать полезные и вспомогательные инструменты, читать статьи по пентесту, фишингу, взломам, но и уделить время таким направлениям как #профайлинг, #психология, #НЛП. Если ты будешь изучать эти направления, то шанс получить необходимую информацию при межличностной коммуникации повышается в несколько раз. Все зависит от уровня твоей подготовки. Я собрал для тебя небольшой список статей, который поможет тебе прокачать свой скилл:

Профайлинг: Взламываем людей.
Профайлинг: Анализ поведения.
Профайлинг: Как правильно читать человека?
Профайлинг: Тактика допроса: искусство изобличения во лжи.
Профайлинг: Как ведет себя лжец ? Читаем людей.

Психология: Учимся убеждать людей.
Психология: Психология Высшей Школы КГБ.
Психология: Ограничение выбора и Механизмы воздействия.
Психология: Особенности оценки личности в процессе общения.
Психология: Методы психологического воздействия на человека.

НЛП: Метод подстройки в НЛП.
НЛП: Тактические приемы влияния НЛП.
НЛП: Подборка сложных приемов манипуляции сознанием.
НЛП: Социальная инженерия и НЛП. Как вызвать нужное состояние.
НЛП: Осторожно, манипуляция! 12 примеров из популярных фильмов.

Это лишь малая доля информации с которой тебе следует начать, дополнительную информацию ты сможешь найти по хэштегам #НЛП #Психология и #Профайлинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. Открыть/Комментировать