🖖🏻 Приветствую тебя user_name.
• 7 Апреля прошел саммит SANS OSINT, в котором были затронуты очень интересные темы (от тем затрагивающих блокчейн, до поиска информации в даркнете). Выступления спикеров с саммита, в ближайшее время будут загружены в официальный YT канал SANS. Если Вам интересно послушать выступления, то следите за обновлениями: www.youtube.com/c/SANSB…laylists
• Сегодня я делюсь с тобой ссылкой, где уже сейчас ты можешь найти полезные инструменты, ресурсы, статьи и другой полезный материал, который упоминался спикерами на саммите. Это крайне полезная и актуальная информация для тех, кто интересуется #OSINT и Социальной Инженерией.
🧷 https://start.me/p/1kBrw9/sans-osint-2022
Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #СИ #OSINT
Social Engineering. Страница 28
🔑 Социальная инженерия. 📹 Полезный видеоматериал. 📚Лучшая литература о психологии, профайлингу, манипуляции человека. 👓 Анонимность и безопасность. 📰 Новости об информационной безопасности, хакерах, уязвимостях, взломах.
-
Social Engineering
🔖 S.E. Заметка. OSINT collection от SANS. 
-
Social Engineering
Как давно ты планируешь выучить английский язык? Неделю? месяц? Год? Все ждешь волшебного “вжух"? Очнись, чудес не бывает! Хочешь заговорить на английском? Начни говорить❗️ А мы обеспечим тот самый волшебный пинок на нашем онлайн-марафоне .... уже во вторник За 2 часа ты прокачаешь свою мотивацию, поймешь, что все реально! Хватит придумывать отмазки, сделай первый шаг❗️ Бронируй место на БЕСПЛАТНЫЙ href='https://clck.ru/et8qt'>марафон по английскому языку ENGLISH O’CLOCK ⏰ и узнаешь: 💎Как запоминать слова без зубрёжки 💎Как перейти от правил к интуитивному применению грамматики 💎Как преодолеть языковой барьер и постоянно практиковаться Марафон проведёт Андрей Гуляев, полиглот и основатель Школы Don’t Speak. Автор собственной методики эффективного изучения английского языка. Вас ждёт: 🔥7 дней Life-трансляций 🔥домашние задания с обратной связью 🔥индивидуальный 15-минутный урок с преподавателем Уже скоро твой мир перевернется! ➡️ Регистрируйся бесплатно ⬅️ 
-
Social Engineering
📓 Книга: Изучаем PowerShell и используем на практике. 🖖🏻 Приветствую тебя user_name.• Пользователи UNIX и #Linux привыкли к тому, что под рукой всегда есть #Bash — универсальное и мощное средство, при помощи которого всего парой строк можно творить удивительные вещи. • Возвращаясь в Windows (а без этого иногда никак), понимаешь, что скрипты.batхоть и хороши, но спасают не всегда. Windows PowerShell — это расширяемое средство автоматизации с открытыми исходниками, которое состоит из оболочки (командной строки), скриптового языка и имеет крепкие связи с продуктами Microsoft, будь то #Active_Directory или почтовый сервер Exchange. • Благодаря этой книге, ты научишься комбинировать команды, управлять потоком выполнения, обрабатывать ошибки, писать сценарии, запускать их удалённо и даже тестировать их с помощью фреймворка тестирования Pester. Также, вы сможете анализировать структурированные данные, такие как XML и JSON, работать с популярными сервисами, по типу #Active_Directory, Azure или Amazon Web Services. 🧷 Скачать книгу бесплатно, на русском языке, ты можешь в нашем облаке. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #PowerShell
-
Реклама
-
Social Engineering
👤 Поиск цели по username посредством maigret. 🖖🏻 Приветствую тебя user_name.• Сегодня мы поговорим о maigret, это форк Sherlock'a, адаптированный под RU сегмент. На данный момент является лучшим инструментом для поиска цели по юзернейму. Поддерживается более чем 2700 сайтов (полный список), по умолчанию поиск запускается на 500 популярных сайтах в порядке убывания популярности. Так же, ты самостоятельно можешь добавлять нужные тебе сайты для поиска необходимой информации и выгрузить данные в удобном формате. • Полный список возможностей этого инструмента, ты можешь найти в wiki проекта: maigret.readthedocs.io/en/late…res.html • Информация по установке и другая полезная информация доступна на GitHub. • Так же, существует бот @@maigret_osint_bot который может найти нужную информацию по юзернейму. В боте используется аналогичная база, что и в последней версии инструмента на GitHub, но только ограничена 1500 сайтами. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #OSINT
-
Social Engineering
👤 Социальная Инженерия. Физическая безопасность. Кто будет вне подозрения? 🖖🏻 Приветствую тебя user_name.• Успешность "правильного" для Социального Инженера общения, зависит от актерского мастерства и умения выдавать себя за другого человека с помощью ранее украденных персональных данных. В межличностной коммуникации арсенал пополняется такими методами, как язык телодвижений, жалкий или грозный внешний вид, знакомая форма одежды и т.д. Сегодня поговорим о значимости внешнего вида, который не будет вызывать подозрения у персонала компании. • Помните пост про двух пранкеров, которые смогли проникнуть во многие закрытые места (аквапарк, кинотеатр, выставки и т.д.) в рабочей форме и стремянкой в руках? Если не помните, то рекомендую ознакомиться. Суть в том, что униформа всегда вызывает доверие, и мало кто задается вопросом: “Что здесь делает этот человек?”. А зря, ведь делать он может что угодно, в том числе оставлять технические “закладки” и изучать устройство инфраструктуры. Соответственно, электрики, монтеры, уборщицы – все те, кто носят униформу, будут вне подозрения. • В зависимости от специфики конкретной организации, вне подозрения могут быть работники, ухаживающие за растениями, обслуживающие вендинговые аппараты и т.д. В общем те, кто обеспечивает\поддерживает функционирование офиса. Тут мы можем легко притвориться представителем такого персонала, чтобы пройти в нужный участок здания. А если учесть, что в определенной ситуации мы можем скопировать пропуск настоящего сотрудника, то перемещение по территории организации облегчится в разы. • В пандемию службы доставки еды, документации, различных товаров и услуг, вышли на новый уровень. Атакующий может сделать вид, что ждет заказчика на проходной, и в это время установить фейковую точку доступа Wi-Fi, скопировать пропуски сотрудников и т.п. • Давайте расскажу отличный пример вышеописанного материала: В 2018 году, из Третьяковской галереи украли картину Архипа Куинджи «Ай-Петри. Крым», которую оценивают в 1 млн $. На глазах у посетителей, человек в рабочей одежде снял со стены картину, отнёс за колонну, там вынул её из рамы, а после не спеша проследовал с картиной к выходу и уехал с ней на автомобиле: https://youtu.be/c_B9Z0BNBNU ‼️Таких примеров очень много, но стоит помнить, что такой метод подразумевает высокий риск деанонимизации, а процент успешности проведения любой атаки, зависит только от скилла, сценария и уровня подготовки. Твой S.E. #СИ
-
Social Engineering
-
Social Engineering
😵💫 Тайпсквоттинг. Социальная инженерия. Тайпсквоттинг — регистрация доменных имен, близких по написанию к доменным именам различных интернет-ресурсов, но содержащих ошибки в последовательности написания символов, входящих в доменное имя. 🖖🏻 Приветствую тебя user_name.
• В далеком 2015 году, в Великобритании был осужден Нил Мур — мошенник, который занимался обманом сотрудников различных организаций, посредством социальной инженерии. Если совсем коротко, то Нил звонил в различные компании, вёл разговор от лица банка и убеждал наивных сотрудников перевести деньги на его счёт. Таким образом он смог заработать более 1.8 миллиона фунтов стерлингов. • После того как Нила поймали и заключили под стражу, ему удалось обвести вокруг пальца и персонал тюрьмы, причем очень неожиданным способом: при помощи мобильного телефона, тайно пронесенного в камеру другими заключенными, он зарегистрировал доменhmcts-gsi-gov.org.uk— тайпсквоттинг отhmcts.gsi.gov.uk(в прошлом, этот домен использовался правоохранительными органами Великобритании). Домен был зарегистрирован на имя следователя, рассматривавшего его дело, а в качестве адреса владельца домена был указан Королевский судный двор. • Затем Нил Мур с этого домена отправил на адрес тюрьмы поддельное письмо с указанием отпустить его на свободу. Персонал тюрьмы ничего не заподозрил и отпустил мошенника. Обман оставался незамеченным целых три дня, прежде чем мошенник снова оказался в руках полиции. • По итогу, Тайпсквоттинг — это очень крутая штука, которая эксплуатирует опечатки в написании доменных имен и является одним из основных методов фишинга по сей день. Ошибки в написании доменного имени могут быть как механические (например, рядом стоящие клавиши на клавиатуре), так и орфографические. • Помощником в применении этого метода, выступает крутая тулза — Urlcrazy. С ее помощью ты не только сгенерируешь множество фейковых доменных имен по предоставленному оригинальному домену, но и проверишь часть из них на занятость. Битфлип, тайпсквоттинг, ошибки произношения, записи по телефону, опечатки — все это генератор urlcrazy учитывает и выдает тебе целый список доменов, которые можно использовать в фишинге. Каждая мутация снабжена отдельным пояснением, а также информацией о занятости доменного имени: https://github.com/urbanadventurer/urlcrazy ‼️ Прокачать навыки Социальной Инженерии и получить ценную информацию, ты всегда можешь по хештегу #СИ, #Профайлинг #Пентест и #Фишинг. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🎙 Интервью с социальными инженерами. 🖖🏻 Приветствую тебя user_name.• Как попасть внутрь офисного здания и собрать необходимую информацию? На самом деле, тут зависит только от твоей фантазии, как пример, в офисное здание можно попасть под предлогом заинтересованности в аренде помещения или прийти на собеседование. Таким образом можно выяснить подробности об используемом ПО, СЗИ, структуре сети — очень много конкретной чувствительной и конфиденциальной информации. • Вчера на хабре было опубликовано интересное интервью двух социальных инженеров, которые занимаются проникновением на территорию различных компаний и собирают необходимую информацию. Много полезного материала, который позволяет взглянуть на работу специалистов в данном направлении. Рекомендую к прочтению: https://habr.com/ru/company/bastion/blog/660169/ P.S. В статье упоминаются методы, которые применяются социальными инженерами на практике, в ходе проникновения на территорию организации и получения интересующей информации: • Некоторые методы проникновения на территорию офисного здания. • СКУД, Социальная инженерия и физическая безопасность. • Дорожное яблоко. • Легендирование. Стань кем угодно! • Доверие, взаимный обмен и обязательства. • Профайлинг, психология и НЛП. • Социальная инженерия на практике. Разведка. • Социальная инженерия на практике. Подготовка. • Другой материал, который упоминается в статье, ты можешь найти по хештегам: #СИ #Профайлинг #ИБ #OSINT #Психология #НЛП. Твой S.E.
-
Social Engineering
Прокачайте свои навыки администрирования Linux! 🗓 19 апреля в OTUS пройдет открытый урок для Linux-админов с опытом. Мы разберем основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры. 👨💻 Занятие проведет Филиппом Игнатенко, руководитель направления безопасной разработки в компании Digital Energy. Вместе с экспертом мы поговорим о следующих подходах: - Zero Trust Network Access - Security As A Service Edge - Defense In Depth 👉🏻 Для регистрации на занятие пройдите вступительный тест https://otus.pw/RuQW/ Открытый урок состоится в рамках онлайн-курса «Administrator Linux. Professional». 
-
Social Engineering
📦 Песочница для пингвина. Используем изолированную среду для безопасности ОС и запуска сомнительных файлов. 🖖🏻 Приветствую тебя user_name.
• Всем нам приходится иметь дело с приложениями, файлами или скриптами, которые не вызывают доверия и могут нанести вред системе. Или когда требуется запустить браузер в максимально изолированном окружении, чтобы в случае взлома твоей системе ничто не угрожало и ты не потерял важные данные. Сегодня как раз поговорим о песочнице для #Linux и аналоге, для тех кто использует win. • Firejail — гибкий и мощный инструмент изоляции, который не просто контролирует доступ к файловой системе, а полностью отрезает приложение от основной системы с помощью механизма Linux Namespaces. Запущенное в песочнице Firejail приложение имеет доступ только к заранее определенным файлам и функциям системы. Например, можно запретить приложению доступ ко всем файлам, кроме собственных конфигов, открыть некоторые файлы только на чтение или только на запись, запретить поднимать свои привилегии до root, запретить подключаться к определенным портам, запретить небезопасные системные вызовы и т.д. Подробное описание этого инструмента, ты можешь найти по ссылкам ниже:•Оф. сайт проекта: https://firejail.wordpress.com/•Загрузка и установка: https://firejail.wordpress.com/download-2/•Особенности: https://firejail.wordpress.com/features-3/•Документация: https://firejail.wordpress.com/documentation-2/•FAQ: github.com/netblue…uestions•Wiki: https://github.com/netblue30/firejail/wiki•GitLab-CI: gitlab.com/Firejai…ipelines•Видеоматериал: https://odysee.com/@netblue30:9?order=new • Что касается песочницы для win, то существует решение Sandboxie Plus — которое позволяет запустить любое приложения в отдельном окружении, идентичном операционной системе. Песочница представляет собой своего рода виртуальную машину: выбранное вами приложение запустится в изоляции от основной системы и не сможет иметь доступ к вашим документам и системным файлам. ‼️ Запустить софт в песочнице довольно просто, и для этого можно использовать множество инструментов, а не только те которые перечислены в этом посте. Существует десятки аналогов, которые хороши по своему и имеют ряд преимуществ. Эту информацию легко найти если у тебя есть потребность в настройке изолированной среды. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🔖 S.E. Заметка. Обратная социальная инженерия. 🖖🏻 Приветствую тебя user_name.• Кевин Митник сделал популярным термин «социальная инженерия» и подробно описал ее разновидности. Среди них особого внимания заслуживает тактика Reverse SE. В общем случае она заключается в том, что жертва попадает в условия, при которых сама сообщает необходимые данные — без лишних вопросов со стороны атакующего. • Это может быть эффектной трёхходовкой: мы инициируем проблему, обеспечиваем контакт с собой, затем проводим атаку. Пример: если прийти на охраняемый периметр в качестве уборщика, заменить номер технической поддержки в распечатке на стене на свой, а затем организовать мелкую неполадку. Уже через день нам начнут звонить сотрудники, готовые поделиться с нами нужной информацией. Наша авторизация проблем не вызовет — ведь человек сам знает, кому и зачем он звонит. • Я уже писал пост, в котором приводил пример, про девушку на ресепшене и что мы успеем сделать за 30 секунд, если она отлучиться от своего рабочего места. Одним из вариантов был стикер с номером левой технической поддержки, по которому она и перезвонит. Такие методы и называются обратной социальной инженерией: https://t.me/Social_engineering/2070 • P.S. Благодаря методу обратной социальной инженерии, Эдвард Сноуден смог заполучить более полутора миллионов файлов из сети АНБ. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #СИ
-
Social Engineering
Linux для чайника - Разбор утилит / инструментов ОС Linux - Новости / факты о ОС - Опросы для проверки знаний и навыков и многое другое. (p.s. А тут книги для программистов) -
Social Engineering
📓 Книга: Linux 2022. 🖖🏻 Приветствую тебя user_name.• Быть профессионалом в области информационной безопасности и не ориентироваться в #Linux сегодня попросту невозможно. Сегодня, я хочу поделиться с тобой одной из полезных книг, для изучения этой ОС. • Цель книги — помочь тебе быстро приступить к работе на простых и наглядных примерах. Автор приводит рецепты с объяснениями для конкретных ситуаций, а также ссылки для дополнительного изучения. 🧷 Скачать книгу на русском языке, ты можешь в нашем облаке. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #Linux
-
Social Engineering
👺 Red Team Resources. 🖖🏻 Приветствую тебя user_name.
• О Red Team я писал уже очень много, сегодня хочу представить тебе полезный и актуальный репозиторий, в котором собраны полезные инструменты и ресурсы. Список разделен по направлениям:•OSINT;•Облачная разведка;•Пассивный сбор данных;•Атаки на Windows;•Web App;•Фишинг;•Password Spraying;•Cobalt Strike;•Постэксплуатация;•Exploit Dev; 🧷 Список является актуальным и постоянно обновляется, ознакомиться можно тут: https://github.com/J0hnbX/RedTeam-Resources 📌 В дополнение могу предложить подобные репозитории, в которых ты сможешь найти тысячи инструментов. Тут есть всё, от готовых ВМ для практических занятий до полезной литературы: • https://kwcsec.gitbook.io/the-red-team-handbook/ • github.com/tcostam…-control • github.com/marcosV…red-team • github.com/yeyintm…-Teaming • github.com/Marshal…tack_lab • github.com/r3p3r/y…-Teaming • github.com/mishmas…-Teaming Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #Red_Team
-
Social Engineering
🔖 S.E.Заметка. Дорки на любой вкус. Часть 2. 🖖🏻 Приветствую тебя user_name.• Dorking является неотъемлемой частью процесса сбора конфиденциальной информации и процесса ее анализа. Его по праву можно считать одним из самых корневых и главных инструментов #OSINT. Операторы Google Dorking помогают как в тестировании своего собственного сервера, так и в поиске всей возможной информации о потенциальной жертве. Это действительно очень яркий пример корректного использования поисковых механизмов в целях разведки конкретной информации. • Сегодня ты узнаешь о полезных ресурсах, благодаря которым ты сможешь найти полезную информацию о цели или объекте: github.com/cipher3…ons-list ‼️ Прокачать навыки поиска информации из открытых источников, ты можешь с помощью материала в нашем канале, который можно найти по хештегу #OSINT. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Реклама
-
Social Engineering
Python теперь в телеграм! Python — второй по популярности язык в мире. Он очень универсален: можно писать сайты, а можно искусственный интеллект. Теперь у Python есть русскоязычный канал. Это первоисточник всего, что появляется в платных курсах и остальных ресурсах. Стоит подписаться! 
-
Social Engineering
💬 true story... Social Engineering. 🖖🏻 Приветствую тебя user_name.• Сегодня мы говорим о социальной инженерии, а именно о взломе американской тюремной системы с помощью #СИ. Кевин Митник утверждал, что никакая технология в мире не может противостоять социальному инженеру, так как людьми просто манипулировать, и даже в самых защищённых системах именно люди могут оказаться слабым звеном. • В 2018 году, Конрад Войц использовал #СИ и #фишинг для обмана сотрудников Американской тюрьмы и установки вредоносного ПО с целью хищения учётных данных и уменьшения тюремного срока своего друга. • В ходе своей атаки, Войц создал копию сайта тюрьмы(ewashtenaw.org), изменив в названии буквуWна 2 буквыVV(ewashtenavv.org). После чего, Войц использовал Вишинг, представляясь сотрудником отдела ИТ, предлагал своим жертвам ввести их учётные данные на фишинговом сайте, тем самым он получил доступ к более чем 1600 паролям. Однако, Войц был обнаружен прежде, чем сумел что-либо сделать, и был приговорен к 87 месяцам тюрьмы. В чем смысл данного поста? Смысл в том, что тюрьма использовала передовое, на то время, ПО для анализа угроз, тюрьма окружена стальными дверьми и сотрудниками (самым слабым звеном в любой системе) которые доверились атакующему. Да, атакующего смогли поймать, но что бы было, если бы уровень #СИ был на более высоком уровне и была организована более тщательная подготовка перед атакой? • Для того что бы прокачать свои навыки социальной инженерии, ты можешь воспользоваться хештегом #СИ. Обрати внимание на тему: #Профайлинг — это поможет тебе в межличностной коммуникации, а так же не забывай про #Фишинг — самый популярный вид атаки, в связи с обостренной обстановкой в мире. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
В середине марта мы писали про то, что иностранные Bugbounty-платформы отказываются работать с российскими компаниями (а мы в текущих условиях и не советуем) и сетовали, что аналогичных крупных российских площадок просто нет (да простят нас площадки некрупные). Так вот, как подсказывают анонимные анонимы, упомянутая в посте Positive Technologies таки вышла из сумрака и подтвердила запуск своего Bugbounty-проекта в грядущем мае. Предполагаем, что презентуют на очередном PHD. Нам даже скинули скриншоты, на которых предположительно изображена новая платформа. Дело - хорошее, рынок - есть, Позитивы - вендор уважаемый. Будем посмотреть. 
