🖖🏻 Приветствую тебя user_name.
• Сегодня ты узнаешь о полезных инструментах для поиска информации в сегменте Onion. Описание каждого инструмента доступно на GitHub:
Darkdump — https://github.com/josh0xA/darkdump
Katana — https://github.com/adnane-X-tebbaa/Katana
OnionSearch — https://github.com/megadose/OnionSearch
Ahmia Search Engine — https://github.com/ahmia/ahmia-site
DarkSearch — https://github.com/thehappydinoa/DarkSearch
Инструменты сканирования:
Onioff — https://github.com/k4m4/onioff
Onionscan — https://github.com/s-rah/onionscan
Onion-nmap — github.com/milesri…ion-nmap
Краулеры:
TorBot — https://github.com/DedSecInside/TorBot
TorCrawl — https://github.com/MikeMeliz/TorCrawl.py
VigilantOnion — https://github.com/andreyglauzer/VigilantOnion
OnionIngestor — https://github.com/danieleperera/OnionIngestor
Другое:
Поисковики — https://t.me/Social_engineering/1677
DeepDarkCTI — https://github.com/fastfire/deepdarkCTI
‼️ Список не претендует на полноту, другую дополнительную информацию ты можешь найти по хештегу #OSINT. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
Social Engineering. Страница 27
🔑 Социальная инженерия. 📹 Полезный видеоматериал. 📚Лучшая литература о психологии, профайлингу, манипуляции человека. 👓 Анонимность и безопасность. 📰 Новости об информационной безопасности, хакерах, уязвимостях, взломах.
-
Social Engineering
🔎 OSINT в Onion. Подборка инструментов. 
-
Social Engineering
👺 Attack Samples. 🖖🏻 Приветствую тебя user_name.
• Red Team специалистам, всегда нужно понимать, насколько их действия будут заметны и как на это будут реагировать различные средства защиты. Помимо этого, нужно всегда помнить и думать о том, какую информацию при атаках получат Blue Team из журналов событий. • Во время проведения пентестов, Red Team и Blue Team специалисты, понимают цель и механизмы атаки. Но в большинстве случаев возникают проблемы при прочтении данных из журналов событий Windows. Поскольку в журнал событий Windows записывается очень много информации. • Для того, чтобы понимать что искать - нужна практика. Да, ты можешь создать виртуальную лабораторию, провести разного рода атаки, с использованием различных инструментов и эксплойтов, после чего начать изучать журналы событий и учиться благодаря полученной информации. Но ты представляешь сколько ты можешь потратить на это времени и сил? • Сегодня я представляю тебе репозиторий от Samir (@SBousseaden) который включает в себя наборEventLogиPCAPфайлов Windows собранных во время различных типов атак: github.com/sbousse…-SAMPLES Информация будет полезна как Blue Team, так и Red Team. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #Пентест #ИБ.
-
Social Engineering
В наше время "приватность" - забытое слово. Соцсети следят за каждым вашим действием: за тем, что вы пишите, сохраняете и даже говорите вслух. Чтобы защититься, читайте телеграм-канал 🔰 Cyber Security. Это канал про приватность, слежку в сети и способы защиты от нее. 👾 Также внутри вы найдёте: полезные расширения, малоизвестные сервисы и лайфхаки на любые случаи жизни. Подпишись, чтобы не потерять: https://t.me/+FXfCC0N0rJU4ODNi -
Реклама
-
Social Engineering
Conti тем временем пошифровали новую жертву из Перу. На этот раз с ransomware познакомились сотрудники перуанской спецслужбы. Национальное разведывательное управление располагается теперь на почетном месте DLS банды, ожидающий от секретной службы выкуп, пусть даже символического. -
Social Engineering
👨🏻💻 Картинки с секретом. Прячем информацию. 🖖🏻 Приветствую тебя user_name.• Стеганография — впервые этот термин упоминался в 1499 году и уже тогда под этим словом подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде хакеров, хотя нельзя сказать, чтобы к ней не прибегли вовсе. • Например, недавно была обнаружена фишинговая кампания, которая была нацелена на зарубежные организации в сфере недвижимости и гос. учреждения. Хакеры использовали сложную цепочку заражений, состоящую из документов Microsoft Word, менеджера пакетов Chocolatey и стеганографии. • По классике, атака начиналась с рассылки фишинговых писем, которое содержало документ word с вредоносным макросом. Если жертва открывала этот документ, вредоносный макрос извлекал на ПК изображение, которое скрывает под собой PowerShell-скрипт. Скрипт грузит диспетчер пакетов Windows Chocolatey, который затем будет использован для установки Python и установщика пакетов PIP. Далее в систему жертвы загружается второе стеганографическое изображение для загрузки бэкдора, представляющего собой написанную на Python малварь. Когда скрипт полностью отработает, хакеры получают возможность удаленного управления зараженным устройством: www.proofpoint.com/us/blog…ck-chain • Предлагаю попробовать изучить стеганографию в деле и перейти к практике использования определенных инструментов:•OpenStego — инструмент имеет поддержку шифрования AES, поддерживает различные плагины и совместим с такими ОС как Windows и Linux. Ознакомиться можно тут: https://github.com/syvaidya/openstego•SilentEye — софт обладает множеством плагинов и использует современные алгоритмы стеганографии и маскировки. Полное описание: https://achorein.github.io/silenteye/•imagejs — инструмент можно использовать только в ОС LInux. Однако софт позволяет создать картинки, которые одновременно представляют собой JavaScript - скрипты. Это нужно, чтобы упростить проведение более опасных XSS-атак, в которых иногда требуется подгрузить скрипт именно с атакованного домена. Вот тут на помощь приходит возможность загрузить туда аватарку, которая одновременно содержит JavaScript payload для дальнейшей атаки. Программа поддерживает внедрение в форматы BMP, GIF, WEBP, PNG и PDF. Подробнее: https://github.com/jklmnn/imagejs•Steghide — консольная утилита, которая скрывает информацию в стандартных файлах форматов JPEG, BMP, WAV и AU. Инструмент умеет не просто упаковывать данные в картинку или трек, а еще и шифровать секретную нагрузку. Ознакомиться: https://github.com/StefanoDeVuono/steghide•CloakifyFactory — умеет маскировать что угодно не просто в картинках, а еще и в видео, музыке и даже программах. Особенность инструмента в том, что перед маскировкой нагрузки она кодируется в Base64. • Настоящие стеганографические утилиты не меняют размер файла. Они «растворяют» скрываемое сообщение по алгоритму LSB или более продвинутому, стремясь сделать распределение измененных байтов неотличимым от наложения случайных шумов. Продвинутые утилиты умеют использовать шифрование, но добавить его можно и самому — например, используя VeraCrypt или тот же RAR. • Стеганографию эффективнее всего использовать не вместо криптографии, а вместе с ней. Такое сочетание позволяет скрыть как саму информацию, так и факт ее хранения или передачи. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #Стеганография
-
Social Engineering
📮 Одноразовые почтовые ящики. 🖖🏻 Приветствую тебя user_name.
• Подборка сервисов, которые предоставят тебе временный почтовый ящик. Подробно расписывать предназначение временной почты не имеет смысла, думаю каждый из Вас, понимает зачем нужен такой ящик и в каких случаях применяется. Функционал каждого сервиса ты можешь найти по ссылкам ниже: • http://xkx.me • https://maildrop.cc • https://tempail.com • https://anonbox.net • https://smailpro.com • https://www.moakt.com • http://www.yopmail.com • https://temp-mail.org/en • https://en.getairmail.com • https://www.mohmal.com • https://www.emailondeck.com • http://www.throwawaymail.com/en • https://www.trash-mail.com/inbox/ Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
Крупнейший портал о кибербезопасности стал в три раза дешевле! XAKEP.RU доверяют 130 000 ИТ-специалистов, и не просто так. В их базе 66 000 обучающих технических материалов - и для профи и начального уровня. Чтобы быть в курсе и разбираться в теме кибербезопасности, ИТ-спецу просто необходим XAKEP.RU. А сейчас у них еще и огромная скидка! Подробно о подписке: https://xakep.ru/about-magazine/ 
-
Social Engineering
🔑 LockPicking. Лучшие типы замков для практики взлома. 🖖🏻 Приветствую тебя user_name.• Физический взлом замка отмычками или другими подручными средствами, без вывода его из строя называется локпикингом. На эту тему я уже писал много статей, которые ты можешь найти по соответствующему хештегу: #LockPicking. • Тема локпикинга очень тесно связана с социальной инженерией. Изучение того, как взламывать замки, окажется крайне полезным навыком для получения доступа к компаниям, сейфам, офисам, лифтам и другим местам, где будет храниться необходимая информация. Но где получить практические навыки и необходимые знания? • Хочу поделиться с тобой отличным материалом, в котором описаны различные типы замков для быстрого обучения взлому замков: www.art-of-lockpicking.com/best-lo…-picking • Не удивляйся, но в этой статье нет прозрачного замка, который можно встретить в рекомендациях различной литературы или мануалов. Прозрачный замок не даст нужного опыта в отличии от замков, которые представлены в статье выше, более подробно о плюсах и минусах прозрачного замка, ты можешь прочитать тут: www.art-of-lockpicking.com/transpa…ks-truth Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #LockPicking #СИ
-
Social Engineering
🔖 S.E. Заметка. Поиск информации по электронной почте. 🖖🏻 Приветствую тебя user_name.• Я уже публиковал полезную подборку сервисов и инструментов, с помощью которых ты мог найти нужную информацию о цели, зная только адрес электронной почты. Возможно, на данный момент, некоторые ресурсы стали не совсем актуальными, поэтому сегодня я поделюсь с тобой некоторыми полезными ссылками, и в скором будущем постараюсь актуализировать список ресурсов для поиска информации по email. • https://tools.epieos.com/ — достаточно интересный и полезный инструмент. Можем получить много информации если знаем адрес электронной почты. В том числе, можем узнать в каких сервисах зарегистрирована наша цель (например Twitter, Spotify, Nike, Google, Eventbrite, Amazon). • Ряд ресурсов, с помощью которых ты можешь проверить информацию о email адресе на утечку пароля по слитым базам данных: https://intelx.io/ https://leakcheck.io https://dehashed.com https://breachalarm.com https://sitecheck.sucuri.net https://monitor.firefox.com https://haveibeenpwned.com • https://grep.app/ — поиск информации в репозиториях GitHub. • https://thatshem.com — учитывайте что результаты относятся к людям, проживающим в Соединенных Штатах. Маловероятно, но возможно что сервис станет для кого-то полезным. Выводит имя, номер телефона и другую полезную информацию. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #OSINT
-
Social Engineering
В поисках надёжного корпоративного файрвола следующего поколения в условиях импортозамещения? Регистрируйтесь на вебинар «Импортозамещение сетевой безопасности: всё о UserGate», который пройдёт 5 мая в 12:00. Мы проработали более 100 вопросов с наших прошлых вебинаров и готовы представить вам обновлённый практический вебинар о UserGate. На этом вебинаре расскажем и продемонстрируем: 🔹 как UserGate может разграничивать доступ пользователей 🔹 как на UserGate работает контроль приложений и сайтов, а также контроль содержимого 🔹 как при помощи UserGate создать отказоустойчивый VPN между филиалами 🔹 как правильно настроить на UserGate SSL-инспекцию 🔹 как внедрить многофакторную аутентификацию при помощи TOTP 🔹 как при помощи Log Analyzer легко настроить сбор и анализ логов для отчётности 🔹 как централизованно управлять устройствами через Management Centre ✅ услышите ответы на ваши вопросы Регистрируйтесь на вебинар: «Импортозамещение сетевой безопасности: всё о UserGate» ⏩ https://clck.ru/gMDDM 
-
Social Engineering
📓 Книга: Практическое руководство по использованию Wireshark и tcpdump. 🖖🏻 Приветствую тебя user_name.• Эта книга посвящена анализу пакетов в #Wireshark — самом популярном в мире сетевом анализаторе. Начиная с основ организации сетей, описания протоколов для обмена данными в них и способов подключения к сети для перехвата пакетов. • Благодаря этой книге ты сможешь проводить анализ сетевого трафика в реальном времени и его активный перехват, разбираться в перехваченных пакетах, составлять специальные фильтры для перехвата и отображения пакетов, исследовать современные наборы эксплойтов и вредоносных программ на уровне пакетов извлечение файлов, пересылаемых по сети, использовать дополнительные средства Wireshark, позволяющие разобраться в непонятных образцах перехвата сетевого трафика. 🧷 Скачать книгу на русском языке, ты можешь в нашем облаке. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #Wireshark #tcpdump #Сети
-
Social Engineering
🔖 Вредоносное резюме, фишинг и социальная инженерия. Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. 🖖🏻 Приветствую тебя user_name.• В 2020 году, была зафиксирована фишинговая кампания по распространению бэкдораmore_eggsс помощью поддельных предложений о работе, нацеленную на сотрудников зарубежных организаций, которые используют в своей работе торговые порталы и системы online-платежей. • Атака начиналась с отправки личного сообщения в LinkedIn, за которым идет ряд электронных сообщений, включающих либо вредоносное вложение, либо поддельную ссылку на резюме. • В марте этого года история повторилась. Согласно отчету eSentire, хакеры начали выдавать себя за кандидатов на трудоустройство и были нацелены на корпоративных менеджеров по набору персонала. Суть атаки заключалась в том, что менеджеру направлялось резюме, которое было вредоносным и содержало ПОmore_eggs. • Эксперты считают, что разработчикmore_eggsдобавил очередной набор вредоносных программ к существующему арсеналу, который предлагается другим киберпреступным группировкам (формат MaaS (вредонос-как-услуга)), снабдив прежний бэкдор функционалом шифровальщика. Соответственно при успешной атаке, бэкдор позволяет атакующим удаленно контролировать взломанный ПК, шифровать данные, внедрять дополнительное вредоносное ПО и осуществлять перемещение по скомпрометированной сети. • На данный момент, было выявлено и предотвращено 4 инцидента, которые затронули 3 организации на территории США и 1 компанию за пределами Канады. • Год назад мы уже рассматривали вариант с фейк резюме, однако речь шла о физическом проникновении на территорию организации с последующим сбором информации. По сути, вышеописанный метод является аналогичным и классическим с точки зрения социальной инженерии, однако он работает и применяется по сей день. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #СИ
-
Social Engineering
🔖 S.E. Заметка. Полезные инструменты для OSINT от Bellingcat. 🖖🏻 Приветствую тебя user_name.
• Сегодня хочу поделиться с тобой полезными инструментами от Bellingcat, которые помогут найти необходимую информацию о цели. Будет полезно всем, кто увлекается #OSINT и Социальной Инженерией: • telegram-phone-number-checker — проверяет, связан ли определенный номер телефона с аккаунтом Telegram. В случае успеха, тулза возвращает тебе имя пользователя и другую полезную информацию; • Instagram Location Search — поиск локации в Instagram в радиусе указанных координат, показывает фото и видео в этих локациях, опубликованные в указанную дату; 📌 Следите за обновлениями и изучайте другие инструменты на GitHub: https://github.com/bellingcat • 22 страницы полезных инструментов от Bellingcat: Карты, спутники и просмотр улиц, поиск на основе местоположения, проверка изображения и видео, социальные сети, транспорт, дата и время, WhoIs, IP-адреса и анализ веб-сайта, люди и номера телефонов, архивация и загрузка, реестры компании, визуализация данных, онлайн безопасность и конфиденциальность, поиск экспертов, руководства и справочники. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #OSINT
-
Social Engineering
Сисадмин? DevOps? Инфраструктурщик? Подключайся к одному из крупнейших сообществ по IT-инфраструктуре REBRAIN, с нами уже больше 20 000 человек. С нас: Более 20 бесплатных открытых практикумов каждый месяц. Спикеры — профессиональные инженеры из лучших компаний ( Avito / Skyeng / AWS / Luxoft / DataArt и др.). Разбор реальных кейсов автоматизации. Самый актуальный технологический стек — Kubernetes, Docker, Ansible, Gitlab CI, Linux, Kafka , MySQL, Golang и др. Работа в консоли и ответы на вопросы в прямом эфире. Каждый сможет найти для себя интересные практикумы по направлению и уровню компетенций. И да, все это бесплатно! Подключайтесь. 
-
Social Engineering
👨🏻💻 Responder. Подробное руководство. 🖖🏻 Приветствую тебя user_name.• Responder — инструмент для проведения различного рода MiTM и спуфинг атак. Изначально предназначался для проведения «спуфинга» NBNS и LLMNR протоколов, которые служат для резолва имен в локальных сетях windows, где не работает DNS. • Включает в себя фейковые серверы на основные протоколы: HTTP, SMB, MSSQL, FTP, LDAP, SMTP, POP3. и поддерживает NTLM-аутентификацию (все версии NTLM протокола) для них. Можно сграбить NTLM-хеши и потом перебрать их, получив пароли пользователей. • Подробное руководство по использованию этого инструмента, ты можешь найти тут: www.hackingarticles.in/a-detai…oisoning Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #MITM
-
Реклама
-
Social Engineering
👨🏻💻 S.E.Заметка. Готовая инфраструктура для пентеста. 🖖🏻 Приветствую тебя user_name.
• По ссылке ниже, ты найдешь 1 атакующую ВМ на #Linux и 4 уязвимых ВМ на Win Server 2019 с уязвимыми службами, развернутой Active Directory (#AD), уязвимыми MSSQL, Apache Tomcat, Jenkins и т.д. • После установки, можешь использовать полученную инфраструктуру для взлома \ обучения \ тестирования на проникновение. Крутая и полезная инфраструктура для тех, кому нужен практический опыт. 🧷 https://github.com/R3dy/capsulecorp-pentest • В дополнение: OffenOsint — ВМ, которая сочетает в себе различные инструменты Kali Linux для проведения #OSINT, полезные фреймворки, полезные скрипты, инструменты для анонимизации своих действий в сети и многое другое. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #Пентест
-
Social Engineering
В четверг, 28 апреля, стартует наш курс «Python для новичков» Хотите стать ИТ-спецом, но не знаете, с чего начать? Python — один из самых простых и востребованных языков программирования. Мы начнем с абсолютного нуля! «Python для новичков» — практический курс по Python, направленный на изучение основ и базовых концепций программирования. Пройдя курс, в перспективе вы сможете легко углубиться в любую из ИТ-сфер: веб-разработку, анализ данных, безопасность приложений и так далее. Записывайся прямо сейчас по ссылке. Задать вопросы преподавателю можно в нашем Телеграм‑канале. 
-
Social Engineering
📦 Онлайн песочницы. 🖖🏻 Приветствую тебя user_name.• #Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии. Сегодня предлагаю ознакомиться с полезными ресурсами, с помощью которых ты обезопасишь себя от фишинга. • Дешифраторы коротких URL-ссылок и проверка ссылок на вирусы: https://scanurl.net/ https://longurl.info/ https://unshorten.me/ http://www.trueurl.net/ http://checkshorturl.com http://www.untinyurl.com https://vms.drweb.ru/online/ https://opentip.kaspersky.com/ https://iplogger.ru/url-checker/ https://www.virustotal.com/gui/home/url • Онлайн песочницы: https://any.run https://cuckoo.cert.ee https://www.hybrid-analysis.com http://www.cpcheckme.com/checkme threatpoint.checkpoint.com/ThreatP…mulation • Онлайн-антивирусы: https://online.drweb.com/ https://www.virustotal.com/ru/ https://opentip.kaspersky.com/ www.esetnod32.ru/home/pr…-scanner • Проверка анонимности: https://amiunique.org/fp http://proiptest.com/test/ https://proxy6.net/privacy https://webkay.robinlinus.com/ https://coveryourtracks.eff.org/ https://browsercheck.qualys.com/ http://www.hackerwatch.org/probe/ http://www.cpcheckme.com/checkme/ Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.