Сотрудника LastPass атаковали с помощью дипфейка
Компания LastPass обнаружила, что злоумышленники атаковали одного из ее сотрудников при помощи голосовой фишинговой атаки. Н…
Разработчик F-Droid чуть не стал жертвой атаки на цепочку поставок, аналогичной атаке на xz Utils
Тщательно спланированная атака на xz Utils и обнаружение в пакете бэкдора, который успел проникнуть в крупные дистрибутивы L…
Новая цель фишеров в Telegram — медиаменеджеры, маркетологи, журналисты и пиарщики
Аналитики компании FACCT предупредили, что в Telegram набирает обороты новая волна угона аккаунтов. На этот раз злоумышленни…
Canonical будет вручную проверять приложения в Snap Store из-за фальшивых криптокошельков
Магазин приложений Snap Store, через который распространяются Snap-пакеты для Ubuntu, несколько месяцев атакуют фейковые кри…
Выносим мозг. Как работают эксплоиты социальной инженерии
Социальную инженерию часто применяют при комплексных пентестах, и зачастую успешно, но, понимая принципы психологии и составив сценарий с их учетом, можно значительно повысить процент успешных взаимодействий. В этой статье мы разберем основные уловки и причины, по которым они работают.
Мыльная история. Как я нанял злого хакера для взлома электронной почты
Однажды самый известный в нашей стране почтальон по фамилии Печкин сказал: «Вот до чего бывают люди до чужого добра жадные!» И он был прав, причем не в последнюю очередь применительно к пользовательским учеткам. За минувший год у двоих моих знакомых увели аккаунты в наиболее популярной российской соцсети, а еще у троих ломанули электронную почту. И я задумался: а сколько сейчас стоит взлом почтового ящика и каким образом обычно действуют злоумышленники?
Go offline. Используем социальную инженерию в реальном мире
Самая захватывающая и романтизированная часть социальной инженерии — это, конечно, офлайн‑атаки. Фишинг по электронной почте — интересный процесс, но в офлайне пентестер по‑настоящему раскрывается как творческая личность. Вот об этой стороне искусства социальной инженерии мы сегодня и поговорим, разберем практические методы работы пентестера в офлайне, а также обсудим примеры успешных атак.
В xz Utils нашли бэкдор, затронувший многие дистрибутивы Linux
В популярном пакете xz Utils для сжатия данных без потерь и работы с форматом .xz обнаружили бэкдор. Проблема затрагивает пр…
Мошенники используют ИИ для создания голосовых фейков в Telegram
СМИ сообщают, что пользователи Telegram столкнулись с новым видом мошенничества. Взломав чужой аккаунт, хакеры начинают писа…
Cloud Atlas атакует российские компании под видом поддержки участников СВО
Специалисты компании FACCT зафиксировали новые атаки шпионской группы Cloud Atlas, направленные на российское агропромышленн…
Телефонные мошенники выманивают данные под предлогом продления номера
Специалисты «Лаборатории Касперского» сообщают, что осенью 2023 года пользователи Kaspersky Who Calls стали чаще жаловаться …
Мошенники получают до 50 000 долларов в день, выдавая себя за криптовалютных экспертов
Исследователи обнаружили в социальной сети X (бывший Twitter) несколько фальшивых аккаунтов, операторы которых выдают себя з…
Microsoft: северокорейские хакеры создают фейковые порталы для оценки навыков
Microsoft сообщила, что северокорейская хакерская группа BlueNoroff создает новую инфраструктуру для предстоящих атак с испо…
Фишинг в соцсетях. Как социальные сети помогают хакерам
При пентестах социальные сети часто обходят стороной — они считаются личным пространством пользователя. Тем не менее для злоумышленников социальные сети — незаменимый источник информации. Сегодня мы поговорим о том, как пентестеры могут использовать их в своей работе.
Через викторины в Google Forms рассылают спам
Аналитики Cisco Talos предупреждают, что мошенники придумали еще один способ выманивания денег у людей. Теперь злоумышленник…
У облачного игрового сервиса Shadow украли данные 530 000 человек
Компания Shadow, которая владеет облачным игровым сервисом, сообщила, что хакеры применили социальную инженерию против одног…
ТрюкиДля начинающих
Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью
По статистике значительная часть заражений малварью происходит из‑за того, что пользователь сам запустил на своей машине вредоносный файл. Именно в этом и заключается основная задача злоумышленников, использующих социальную инженерию. Давай посмотрим, какие технические уловки и хитрости они применяют.
ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота
ChatGPT сейчас разве что в котлеты не кладут. В этой статье мы расскажем, как в проекте по социальной инженерии с помощью форка библиотеки для Gophish рассылать QR-коды вместо обычных ссылок, чтобы вытащить сотрудников из защищенного рабочего окружения на личные девайсы. В качестве catchy-сценария рассылки мы рассмотрим «Telegram-бот IT-поддержки с ChatGPT» и на самом деле используем эту нейросеть для генерации кода бота, а также подключим интеграцию с API OpenAI для общения с пользователями.
LPE на казенном макбуке. Злоупотребляем установкой VS Code для локального повышения привилегий
Когда тебе нужно заставить сотрудников техподдержки выдать креды и привилегии в macOS, но так, чтобы они при этом ничего не заподозрили, можно смело предлагать завершить установку легитимного ПО, которое ты предварительно кастомизировал. Для примера разберем, как это сделать с любимым всеми Visual Studio Code.
«Умными ссылками» LinkedIn злоупотребляют фишеры
Хакеры используют LinkedIn Smart Links в фишинговых атаках, чтобы обойти email-защиту и избежать обнаружения. Конечной целью…
Фишеры угоняют Telegram-аккаунты блогеров
Исследователи из «Лаборатории Касперского» заметили, что злоумышленники атакуют русскоязычных блогеров, маскируясь под рекла…
Группа Dark River атакует предприятия российского оборонного комплекса
Positive Technologies сообщает о новой хакерской группировке Dark River, которая целенаправленно атакует предприятия российс…
Группировка APT36 строит свои атаки на клонах приложения YouTube
По информации SentinelLabs, в последнее время «правительственные» хакеры из группировки APT36 (она же Transparent Tribe) уже…
Взломанная недавно компания Retool заявила, что Google Authenticator усугубил атаку и помог хакерам
Компания Retool сообщила, что учетные записи 27 ее облачных клиентов были скомпрометированы в результате таргетированной и м…
У крупной сети казино Caesars Entertainment украли данные клиентов, и компания заплатила хакерам
Компания Caesars Entertainment, называющая себя крупнейшей сетью казино в США с самой масштабной программой лояльности в отр…
Microsoft предупреждает о фишерах, действующих через Microsoft Teams
Специалисты Microsoft сообщают, что известный брокер доступов, активно сотрудничающий с операторами программ-вымогателей, ст…
Okta: хакеры применяют социальную инженерию против специалистов техподдержки
Компания Okta, являющаяся крупным поставщиком систем управления доступом и идентификацией, предупредила, что специалисты слу…
«Сбер»: мошенники вовлекают в свои схемы сразу нескольких родственников
Специалисты Сбербанка предупредили о новой мошеннической схеме, основанной на использовании родственных связей.
PowerShell Gallery уязвим перед спуфингом и атаками на цепочку поставок
Исследователи из Aqua Security заявляют, что обнаружили ряд проблем в репозитории Microsoft PowerShell Gallery. По их словам…
Мошенники используют бета-версии приложений, чтобы обманывать пользователей
ФБР предупредило о новой тактике злоумышленников, которые продвигают «бета-версии» вредоносных приложений, якобы предназначе…
Мошенники в мессенджерах притворяются коллегами своих целей
Эксперты «Лаборатории Касперского» рассказали о новой многоступенчатой схеме телефонного мошенничества. Атаки стали более це…
Российские хакеры используют чаты Microsoft Teams для фишинга
Microsoft утверждает, что хакерская группа APT29 атаковала десятки организаций и правительственных учреждений по всему миру,…
Написанный на Rust инфостилер Realst ворует криптовалюту у пользователей macOS
Новая малварь для Mac носит название Realst и уже используется для атак на устройства Apple. Интересно, что некоторые из пос…
Группировка Lazarus нацелилась на разработчиков на GitHub
Специалисты GitHub обнаружили кампанию, направленную на учетные записи разработчиков, которые работают в сферах блокчейна, …
Мошенники генерируют изображения фальшивых банковских карт через чат-боты в Telegram
Специалисты ВТБ обнаружили новую мошенническую схему в Telegram. Злоумышленники все чаще присылают жертвам фотографии фейков…
Мошенники распространяют в мессенджерах фейковые приложения банков
Специалисты обнаружили новый виток в эволюции банковского мошенничества на Android. Теперь злоумышленники активно распростра…
Злоумышленники обновили популярную схему кражи аккаунтов в Telegram
Эксперты «Лаборатории Касперского» обнаружили обновленную и адаптированную под летний сезон схему кражи учетных данных от ак…
Российские хакеры атаковали западных дипломатов через объявление о продаже BMW
Русскоязычная хак-группа APT29 (она же Nobelium и Cloaked Ursa) использует для своих атак необычные приманки, сообщают в Pal…
Скамеры предлагают пользователям поискать мошенников на поддельном сайте
В Сбербанке рассказали, что злоумышленники продолжают изобретать новые способы обмана пользователей. Так как звонки из «служ…
Российские компании атакуют рассылками с шифровальщиком PyCrypter
Центр кибербезопасности FACCT предупреждает о массовой рассылке вредоносных писем, нацеленной на российские промышленные, тр…
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире