🖖🏻 Приветствую тебя user_name.• Использование подходящих словарей во время проведения тестирования на проникновение, во многом определяет успех подбора учетных данных. Не может быть одного самого лучшего словаря – под разные ситуации требуются разные словари. • Атака по словарю, значительно ускоряет и в целом повышает шансы успешности взлома пароля методом перебора. Ниже ты найдешь небольшой список словарей и генераторов, которые помогут тебе в этом не легком деле: • https://github.com/D4Vinci/CWFF • https://github.com/Bo0oM/fuzz.txt • https://github.com/Josue87/gotator • https://github.com/sc0tfree/mentalist • https://github.com/LandGrey/pydictor • https://github.com/skahwah/wordsmith • https://github.com/six2dez/OneListForAll • https://github.com/ignis-sec/Pwdb-Public • https://github.com/1N3/IntruderPayloads • https://github.com/fuzzdb-project/fuzzdb • https://github.com/danielmiessler/SecLists • https://github.com/FlameOfIgnis/Pwdb-Public • https://github.com/berzerk0/Probable-Wordlists • https://github.com/laconicwolf/Password-Scripts • github.com/initstr…wordlist • github.com/random-…ce-lists • github.com/govolut…passlist • github.com/insidet…sernames • utkusen.com/blog/ge…ordlists • https://github.com/sorokinpf/cth_wordlists/tree/master/keyboard • Для генерации собственных словарей, ещё можно использовать программы Hashcat, John the Ripper, crunch, statsprocessor, maskprocessor и другие. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #hashcat #Patator #Пентест #Взлом
Social Engineering. Страница 23
🔑 Социальная инженерия. 📹 Полезный видеоматериал. 📚Лучшая литература о психологии, профайлингу, манипуляции человека. 👓 Анонимность и безопасность. 📰 Новости об информационной безопасности, хакерах, уязвимостях, взломах.
-
Social Engineering
🔖 S.E. Заметка. Словари для брута. 
-
Social Engineering
Как быстро начать карьеру в IT в новых условиях без навыков программирования? SkillFactory проводят бесплатный мастер-класс, на котором вы узнаете: как быстро стартовать в IT и начать зарабатывать уже через 3−4 месяца — даже если вы не умеете кодить, в чем преимущества профессии тестировщика ПО и в каких направлениях можно развиваться дальше. 🎁Подарок за регистрацию: чек-лист «10 советов для тех, кто хочет сменить профессию» ❗️Регистрация — https://clc.to/q3fTaQ 
-
Social Engineering
💰 Сколько стоит доступ к инфраструктуре компании? 🖖🏻 Приветствую тебя user_name.• Сегодня предлагаю ознакомиться с интересным исследованием и узнать, по какой цене киберпреступники продают данные крупных компаний в даркнете — статья-обзор предложений на теневых форумах по категориям. Будет интересно, приятного чтения: • Основным мотивирующим фактором для злоумышленников были и остаются деньги. К самым распространенным способам монетизации кибератак относятся продажа украденных баз данных и вымогательство денег с помощью программ-шифровальщиков. • Однако в теневом интернете существует спрос не только на данные, полученные в результате атаки, но и на данные и услуги, необходимые для ее организации (например, для выполнения определенного этапа многоступенчатой атаки). • В сложных атаках почти всегда можно выделить несколько этапов, таких как разведка, первоначальный доступ к инфраструктуре, получение доступа к целевым системам и/или привилегий и непосредственно вредоносная активность (кража, уничтожение или шифрование данных и т. д.). Это один из примеров разделения атаки на шаги, которые могут выполняться несколькими подрядчиками — хотя бы потому, что для реализации разных шагов требуются разные компетенции и опыт. • Опытные злоумышленники заинтересованы в непрерывном развитии своего бизнеса и постоянно нуждаются в новых данных для первоначального доступа к инфраструктуре организаций. Им выгоднее заплатить за готовый доступ, чем инвестировать свое время в поиск первичных уязвимостей и проникновение внутрь периметра. 🧷 Продолжение: securelist.ru/initial…b/105499 Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Реклама
-
Social Engineering
🔖 S.E. Заметка. Подсказки и обучающий материал по терминалу Linux. 🖖🏻 Приветствую тебя user_name.• Быть профессионалом в области информационной безопасности и не ориентироваться в #Linux сегодня попросту невозможно. Поэтому сегодня я хочу поделиться с тобой полезной информацией и ресурсами для изучения командной строки и ОС в целом: •Cheat.sh— это онлайн сервис, к которому можно обращаться из командной строки и искать по внушительной коллекции подсказок (CheatSheet), собранных силами сообщества. Сюда входит около тысячи команд Unix/Linux и 56 языков программирования: https://github.com/chubin/cheat.sh • explainshell — этот сервис предоставит тебе информацию по любой команде Linux. Очень удобно и познавательно, обязательно добавляйте в закладки: https://explainshell.com • Linux Command Library — различные однострочники, библиотека команд, шпаргалки и многое другое: linuxcommandlibrary.com/basic/o…ers.html • Linux Command Library (приложение на #Android) — Приложение представляет собой нечто среднее между шпаргалкой, энциклопедией и самоучителем. Здесь собраны все основные команды, используемые при работе с UNIX-подобными системами. Все команды разбиты по разделам. Например для работы с файлами, папками, сетью и тд. Ищите хакерские примочки? Пожалуйста! Скачать можно у Джаза в паблике: https://t.me/tvoijazz/887 или найти в PM. • На сайте hackware есть отличная подборка материала, которая поможет в освоении командной строки: Азы работы в командной строке Linux: Часть 1 • Часть 2 • Часть 3 • Часть 4 • Часть 5 • Часть 6 • Часть 7 • ‼️ Надеюсь, что данный материал пригодиться в изучении терминала и ОС #Linux. Дополнительную информацию ищи по хештегам. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
Что сейчас ждёт российские технологии? Будет ли «процессорный локдаун»? Трезво, без истерик и эмоций разбираемся в ситуации — анализируем данные и собираем для вас обоснованные прогнозы развития отрасли. С нами эксперты-разработчики, которые уже много лет драйвят развитие российской ИТ-инфраструктуры. Как активный участник разных ИТ-ассоциаций и консорциумов (АРПЭ, АРПП, РосСХД), мы вместе с другими игроками рынка доносим свою позицию до государства и прислушивается к своему сообществу. Присоединяйтесь, чтобы быть услышанными 👉 Имортозамещение здорового человека. 
-
Social Engineering
🔖 S.E. Заметка. OSINT library. 🖖🏻 Приветствую тебя user_name.• Продолжаем пополнять нашу коллекцию #OSINT. Сегодня я собрал для тебя полезное чтиво, благодаря которому ты сможешь освоить методы и полезные трюки по поиску информации о цели из открытых источников. • Материал достаточно полезный и несомненно заслуживает твоего внимания. Разумеется на русском языке, все как ты любишь =) Если говорить о первой книге ☝🏻 то это "Практическое руководство по онлайн-разведке", которое содержит 400 страниц полезной информации, на тему OSINT. Можно даже не расписывать описание, просто качай и смотри в содержание книги. Хватит не на одну неделю изучения. ➖➖ -
Social Engineering
👨🏻💻 Roadmap для обучения пентесту с нуля. 🖖🏻 Приветствую тебя user_name.
• Начинать что-либо изучать всегда непросто, и для таких дисциплин вроде информационной безопасности и пентеста это особенно верно. Вы часто задаете вопросы: "С чего начать свой путь?", "На что обратить особое внимание?", "Какие знания в определенной дисциплине являются наиболее значимыми?". • Сегодня я поделюсь с тобой отличной Roadmap, которая поможет тебе начать изучение в том или ином направлении (смотри файл выше) и сможет ответить на все вышеперечисленные вопросы. А для тех, кто уже прошел этот нелегкий путь, советую обратить внимание на Roadmap по сертификации для #ИБ специалистов: https://t.me/Social_engineering/2191. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #ИБ #Пентест -
Social Engineering
Бесплатный вебинар «Как защитить объекты КИИ в условиях жёсткого импортозамещения» от Академии информационных систем ⚡️Расскажем простыми словами о сложных вопросах обеспечения безопасности информации значимых объектов критической информационной инфраструктуры (ЗОКИИ) в настоящий момент⚡️ ⏰ 15 июня в 16:00 онлайн Вы узнаете: 🔹Актуальные изменения в законодательстве 🔹Правоприменительную практику последних лет 🔹Правила категорирования ОКИИ 🔹Нюансы взаимодействия с ГосСОПКой 🔹Способы обеспечения защиты ОКИИ 🔹Аудит ЗОКИИ Регистрируйтесь: https://clck.ru/kNJUT 
-
Social Engineering
🧠 Я вижу, о чем вы думаете. Как агенты ФБР читают людей. 🖖🏻 Приветствую тебя user_name.• Джо Наварро, бывший агент ФБР и эксперт в области невербального общения, учит моментально "сканировать" собеседника, расшифровывать едва заметные сигналы в его поведении, распознавать завуалированные эмоции и сразу же подмечать малейшие подвохи и признаки лжи. • Отличная книга для повышения навыков в межличностной коммуникации, что дает социальным инженерам преимущество в общении со своей целью, соответственно повышая шанс на проведение успешной атаки. Рекомендуем к прочтению. ❗️Хочу заметить, что после прочтения данной книги, в первую очередь ты научишься обращать внимание на свои собственные сигналы поведения и научишься интерпретировать их. 🧷 Скачать книгу на русском языке, ты можешь в нашем облаке. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #СИ, #НЛП, #Профайлинг
-
Social Engineering
🔖 20 полезных приемов OSINT. 🖖🏻 Приветствую тебя user_name.
• В докладе представлены 20 практических приемов #OSINT c применением новых возможностей цифрового мира: например, поиск по фото с использованием нейронных сетей, сбор информации из даркнета, обнаружение утечек в облачных хранилищах, фиксация цифрового следа пользователя по данным его гаджетов (на реальных примерах) и многое другое... 🧷 https://youtu.be/Al_pCdEz7UA Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #OSINT -
Social Engineering
👨🏻💻 Бесплатный курс по пентесту от разработчиков Kali Linux. 🖖🏻 Приветствую тебя user_name.• 8 июня, создатели Kali Linux опубликовали объявление, в котором предлагаю каждому желающему ознакомиться с бесплатным обучающим курсом PEN-200 который будет транслироваться на Twitch. • На сайте offensive-security, разработчики указывают, что курс будет ориентирован на прохождение и подготовку к экзамену OSCP. Первый урок запланирован на 22 Июня и будет транслироваться каждую среду и пятницу. Трансляции будут длиться до 30 ноября. 🧷 Подробнее: www.offensive-security.com/offsec/…sec-live • Не упустите возможность получить знания на бесплатной основе, в настоящее время это редкость. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #ИБ #Пентест
-
Social Engineering
👾 Этичный хакер - Уроки по хакингу. Канал c инструкциями по взлому, деанону, защите устройств и бесплатными курсами по информационной безопасности. -
Social Engineering
Из года в год статистика потерпевших от ransomware не утешительная и не отличается позитивной динамикой, о чем в очередной раз сообщают специалисты из Cybereason. Исследование показало, что 80% жертв ransomware снова подверглись атаке и возникает вопрос о целесообразности оплаты выкупа, если с большой долей вероятности вас отаудируют снова. Такой ликбез по инфобез обходится всегда дорого, а абонемент со скидками или ежегодная фиксированная дань с пактом о ненападении пока у хакеров не предусмотрена. Суровая правда жизни такова и если вас проглотили, то у вас есть два выхода. Совет не платить вымогателям дается часто, но редко выполняется, поэтому просто немного статистики: ⁃ 80% компаний, заплативших выкуп, пострадали во второй раз. ⁃ 40% заплатили повторно, из которых 70% более высокую сумму, чем в первый раз. ⁃ 73% организаций пострадали как минимум от одной атаки программ-вымогателей за последние 24 месяца, что на 33% больше, чем в прошлом году. ⁃ 80% компаний признали, что злоумышленники находились в их сети от одного до шести месяцев до того, как они были обнаружены. Почти 200 000 компаний так и не получили свои данные после оплаты и они все равно остаются у преступников при любом раскладе. В 35% компаний отправили в отставку руководителей высшего звена из-за атаки ransomware. Как видите это не та проблема, которую можно игнорировать со смутным убеждением, что с вами этого не случится. Другие ключевые результаты исследования свидетельствуют о том, что 64% компаний были атакованы через одного из своих поставщиков или деловых партнеров (цепочку поставок). Срыв бизнес-процессов неизбежен. 31% компаний были вынуждены временно или навсегда приостановить свою деятельность после атаки, и, как следствие, почти 40% компаний уволили персонал. При этом 42% сказали, что платеж привел к восстановлению всех систем и данных (по сравнению с 51% в прошлом году). Кроме того, в 54% случаев часть данных была повреждена после расшифровки. Самым шокирующим показателем бесполезности платежей является повторяющийся характер атак. Есть и те кто заплатили и третий выкуп, коих 10% и четвертый - 1%. Повторные атаки происходят быстро, пока компания еще слаба и не оправилась от первой атаки, и обычно требуют более высокой платы. 68% фирм заявили, что вторая атака произошла менее чем через месяц после первой. Эволюция ransomware не остановится на повторном вымогательстве. Раз атаки с продолжают прогрессировать, значит жертвы идут на требования злоумышленников и готовы платить повторно. Как ни парадоксально, но 78% организаций, которые не платили выкуп смогли полностью восстановить системы и данные без ключа дешифрования. В общем, думайте сами, решайте сами… -
Social Engineering
💬 true story от Group IB... Ложная тревога. 🖖🏻 Приветствую тебя user_name.• Сегодня я нашел для тебя очередную и интересную историю от Group IB, принятого чтения: • На одном из проектов никак не удавалось проникнуть в офис компании, которая занимала в бизнес-центре все этажи с третьего до последнего. На втором этаже находился банк, через который мы попытались получить временный пропуск в здание, но не получилось. Изучив поэтажные планы здания и пообщавшись с сотрудниками, а также сделав предварительную разведку вживую, мы определили два вектора проникновения в здание: через центральный вход и через пожарный выход. • Проникновение через центральный вход было осложнено чрезвычайно бдительной охраной. В качестве сценария мы придумали актерскую сценку о приступе сахарного диабета, в которой один из исполнителей протискивается между стеной и турникетами к лифтам, пока второй отвлекает внимание охраны. • Другим сценарием являлось проникновение через пожарный выход, который находился в задней части здания вместе с грузовым лифтом, ведущим на нужный этаж. • Время было зимнее, исполнители прибыли на место примерно в 9 часов вечера, на улице скрипел мороз. Сперва решили проверить заднюю дверь и узнать обстановку вокруг. При подходе к зданию обнаружили, что дверь была открыта, но за ней наблюдала охрана, выполнявшая патрулирование. Из разговоров охраны стало понятно, что произошла какая-то нештатная ситуация и дверь просто не закрывалась на электромагнитный замок. • Внезапно наступило затишье: патруль ушел греться в свою сторожку и на пару минут перестал ходить вокруг двери. Отличная возможность погреться в офисе заказчика! В мгновение ока исполнители оказались внутри коридора, ведущего к лифту и лестницам, но уже в лифте поняли, что он не работает, а время, потраченное на его проверку, оказалось роковым: когда исполнители перебегали к лестницам из лифта, их заметил один из охранников. • Как мы уже писали ранее, крайне важно уметь в любой ситуации вовремя прикинуться дурачком или отыграть нужную роль, сохраняя спокойствие: при общении с охраной дрожащий голос еще никому не помогал.•Охранник: Что здесь делаем?•Исполнители: Мы в страховую компанию. Нам же в эту дверь? • Офис страховой компании находился чуть дальше, а мы сделали вид, будто думали, что дверь вела как раз в нее. • Охранник прищурился, но, судя по всему, поверил в эту легенду и сказал, что искомое место находится дальше и уже не работает, так как время позднее. • После неудачной попытки мы решили вернуться через полчаса. Аварийная ситуация к тому времени сохранялась, и дверь все еще была открыта нараспашку. Но в этот раз никого из охраны рядом не было. Один из исполнителей вбежал в дверь и сразу направился к лестнице. Там было очень шумно: судя по звуку, активно работала принудительная вентиляция, а магнитные замки были открыты. И тут мы поняли: в здании сработала пожарная тревога или идет проверка пожарной сигнализации — именно поэтому не закрывалась входная дверь. Сразу стоит отметить, что никто из наших специалистов не нажимал на заветную кнопку (в следующий раз обязательно предложим заказчику подобный сценарий) — это оказалось для нас просто счастливой случайностью. • Наш сотрудник попал на нужный этаж. К тому времени все уже ушли домой, и на этаже нигде не горел свет. Попасть в офисные помещения через пожарный выход не составило труда: оба замка электромагнитные, а все СКУД были отключены из-за пожарной тревоги. Затем исполнитель подошел к рабочему месту одного из сотрудников и установил устройство для атаки “man-in-the-middle”. После этого пентестер без труда покинул бизнес-центр. Операция была признана успешной. 🧷 Источник: habr.com/ru/comp…g/668846 Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #Пентест #СИ
-
Social Engineering
🧩 Red Team Operations with Cobalt Strike. Бесплатный курс по изучению фреймворка CS. 🖖🏻 Приветствую тебя user_name.
• Фреймворк #Cobalt_Strike, созданный для пентестеров и #red_team, ориентированный на эксплуатацию и постэксплуатацию, давно любим хакерами, начиная от правительственных APT-группировок и заканчивая операторами шифровальщиков. • CS предоставляет полный комплект функций для управления загруженным модулем, а соответственно, и зараженным компьютером – кейлоггер, снимки экрана, удаленный доступ по VNC, инжекты в процессы, обход системы безопасности UAC, средство mimikatz, используемое с целью компрометации реквизитов доступа для учетных записей ОС Windows, возможность сканирования открытых портов на компьютерах организации и др. • Сегодня я поделюсь с тобой отличным и бесплатным обучающим курсом: Red Team Operations with Cobalt Strike, на английском языке, но с русскими субтитрами. 🧷 Источник: www.youtube.com/playlis…playlist Твой S.E. #Cobalt_Strike -
Реклама
-
Social Engineering
Держал ли ты когда-нибудь в руках журнал «Хакер»? Это культовое издание, которым зачитывались те, кто создал российскую ИБ-индустрию. Сегодня Xakep.ru — это крупнейший русскоязычный ресурс о кибербезопасности. Здесь по-прежнему нет фуфла и левой рекламы, а есть проверенные новости из мира cybersecurity, исследования лучших специалистов и разборы последних уязвимостей. Ты можешь узнавать о них прямо в Telegram! Подписывайся на телеграм канал Хакера, и пополняй свой инструментарий хакерских приемов! : https://t.me/xakep_ru 
-
Social Engineering
👾 Awesome CVE PoC. 🖖🏻 Приветствую тебя user_name.
• Каждый день появляются новые уязвимости, которые затрагивают различный софт, сервисы и ОС. Думаю ты помнишь, крайнюю новость о Confluence Server и Data Center и их критической уязвимости (CVE-2022-26134), о которой писали 99% всех новостных ресурсов, освещающих тему #ИБ. • Сегодня, я поделюсь с тобой крутым репозиторием, который включает в себя почти все CVE, начиная с 1999 года. Но для начала, немного теории. • Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей, компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке. В данной базе для каждой уязвимости используется следующий атрибут записиCVE- YYYY-NNNN, гдеYYYY— это год обнаружения уязвимости, аNNNN— ее порядковый номер. • Если у тебя возник вопрос "А откуда берутся эти ваши CVE?" то вот ответ: Представим, что ты нашел очередную уязвимость и хочешь рассказать о ней всему миру. Для этого тебе требуется заполнить определенную форму на сайте mitre. И, по сути, это всё)) * Весь процесс описан тут: https://www.cve.org/ResourcesSupport/FAQs • Теперь перейдем к репозиторию о котором я говорил в самом начале. Делюсь ссылкой: https://github.com/trickest/cve, тут собраны почти все CVE, начиная с 1999 года, присутствует удобная сортировка (по годам) и есть ежедневные обновления. Надеюсь, что данная информация будет полезной каждому из Вас. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #CVE
-
Social Engineering
🔑 Lockpick - устройство замков и их уязвимости. 🖖🏻 Приветствую тебя user_name.• Локпикинг — это не только преступное деяние на пути к чужим ценным вещам, но и популярное развлечение среди специалистов по информационной безопасности и важный навык социальных инженеров. • Всех кого интересует тема локпикинга, рекомендую изучить сегодняшний материал. В дополнение, обратите внимание на дополнительный материал, там ты найдешь массу информации касательного данной темы. Приятного просмотра: https://youtu.be/BBnhZnQkuA0 Дополнительный материал: • Социальная инженерия и физическая безопасность. • Социальная инженерия. Lockpicking. • СКУД и Социальная инженерия. • Социальная инженерия, физическое проникновение на территорию организации. • Делаем копию карты-пропуска по фото. • Lockpick - устройство замков и их уязвимости. • Взлом лифтов - Из шахты в пентхаус. • Взламываем Bluetooth Smart Lock. • Red team: пентест одновременно двух организаций. • S.E. Заметка. Создаем набор отмычек. • RFID и Социальная Инженерия. • Как взломать замок: подробное руководство. • Lock Picking. Руководство по типу отмычек. • KeyDecoder. Дубликат ключа по фото. • Качаем LockPicking. Делаем дубликат ключа. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #LockPicking