🖖🏻 Приветствую тебя user_name.• В августе 2014 года известные исследователи Карстен Нол и Якоб Лелл из консалтинговой компании Security Research Labs сообщили о «фундаментальной уязвимости устройств USB». В октябре того же года они опубликовали на GitHub код программы для взлома компьютера по USB. Фактически, этот класс атак по сей день позволяет захватить контроль над многими устройствами, у которых есть порт USB. Атакующий может эмулировать любую периферию, хотя чаще всего предпочтение отдается клавиатурам. • Разумеется, что большинство пользователей привыкли к тому, что доверять найденному USB-устройству не следует. Но одновременно с этим, народная мудрость гласит, что самый уязвимый компонент любой информационной системы располагается между компьютерным креслом и клавиатурой. Уязвимости патчатся, технологии меняются, а люди — нет. • Казалось бы, схема очень древняя и ее мало кто использует, однако с августа 2021 года, в ФБР начали поступать письма от различных организаций, с информацией о посылках содержащих вредоносные USB-устройства. Дело в том, что хак-группа FIN7, широко известная своими шифровальщиками Darkside и BlackMatter, рассылала вредоносные USB-устройства различным американским компаниям в надежде заразить их системы и получить отправную точку для последующих атак. • FIN7 использовали 2 варианта посылок: 1. Письма отправлялись от лица Министерства здравоохранения США, в которых содержится информация с рекомендацией по защите от Covid-19. 2. Красивая коробка (подарок) от Amazon, содержащая поддельное письмо, подарочную карту и USB-устройство. • Если жертва подключала полученный девайс к ПК, устройства выполняли атаку типа BadUSB, в ходе которой устройство использовало HID, регистрировало себя как клавиатуру и передавало серию предварительно заданных нажатий клавиш машине пользователя. • Эти нажатия клавиш запускали команды #PowerShell, которые загружали и устанавливали различный вредоносный софт, действовавший как бэкдор. Далее FIN7 получала административный доступ, а затем атаковала другие локальные системы. • Что тут можно сказать, схема очень старая, но актуальная. Например в 2018 году целями атак #BadUSB стали восемь банков в Восточной Европе, а примерный ущерб от таких атак составил несколько десятков миллионов долларов. • Вариантов для таких атак на самом деле великое множество и ограничиваются они только фантазией социальных инженеров. Можно не только рассылать вредоносные USB, но и поддельные лайтнинги \ USB type-C кабели и другие устройства. ‼️ О различных методах, которые применяют социальные инженеры, о методах при фишинговых атаках, различные статьи на тему социальной инженерии, манипуляции и т.д., ты можешь найти по хештегам #СИ #Пентест #BadUSB #HID #Пентест #Red_Team и #Hack. Твой tle="Social Engineering" href="/channels/@Social_engineering">@S.E.
Social Engineering. Страница 36
🔑 Социальная инженерия. 📹 Полезный видеоматериал. 📚Лучшая литература о психологии, профайлингу, манипуляции человека. 👓 Анонимность и безопасность. 📰 Новости об информационной безопасности, хакерах, уязвимостях, взломах.
-
Social Engineering
🔌 Социальная инженерия и BadUSB. Чем масштабнее разводка — тем она древнее и ее проще провернуть. По двум причинам: людям кажется, что разводка не может быть такой древней и масштабной. Не могло ведь так много людей повестись на нее. И наконец, когда жертва начинает сомневаться, что соперник ей равен, на самом деле она начинает сомневаться в своих собственных интеллектуальных способностях, но никто в этом не признается. Даже самому себе. «Револьвер», 2005. 
-
Social Engineering
🔖 S.E.Заметка. Ресурсы для поиска Google дорков. 🖖🏻 Приветствую тебя user_name.• Google Dorks - мощный инструмент, при помощи которого можно скомпрометировать устройство или найти нужную нам информацию о цели, используя Google и правильный запрос. Так как этот поисковик умеет индексировать почти все, что подключено к интернету, можно найти файлы, оказавшиеся доступными случайно и содержащие конфиденциальную информацию. • Ниже ты найдешь ссылки, благодаря которым сможешь найти полезные и интересные дорки для поиска интересующей информации, ресурсы постоянно актуализируются и дополняются новым материалом: • http://www.google-dorking.com/ • 'https://www.exploit-db.com/google-hacking-database'>www.exploit-db.com/google-…database #Заметка #OSINT. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
👨🏻💻 no system is safe — канал с бесплатными обучающими материалами для IT специалистов. - Новости из сферы IT. - Сотни статей и публикаций с обучающим материалом для ИБ специалистов. - Подборки полезного материала для IT специалистов любого уровня и направления. - Хакинг и способы защиты от него. 
-
Реклама
-
Social Engineering
📓 Книга: Компьютерные сети. Нисходящий подход. 🖖🏻 Приветствую тебя user_name.
• В книге подробно описаны базовые компоненты компьютерной сети, ключевые подходы к передаче данных в телекоммуникационных сетях, принципы взаимодействия сетей друг с другом, подробно рассмотрены важнейшие службы и протоколы всех уровней сетевой архитектуры. • Будут затронуты важные аспекты сетевой безопасности и разнообразные принципы, методы и приемы, обеспечивающие безопасный обмен информацией. В заключительной части книги рассмотрены инструменты и средства, которыми необходимо владеть, чтобы грамотно управлять механизмом под названием «компьютерная сеть». 🧷 Скачать книгу бесплатно, на русском языке, ты можешь в нашем облаке. Дополнительный материал: • Основы компьютерных сетей. • Учебный курс: Компьютерные сети. • Практический курс для новичков в мире сетевых технологий. Рекомендуемая литература: • Э.Таненбаум, Д.Уэзеролл. Компьютерные сети. • В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. • Обнаружение вторжений в компьютерные сети (сетевые аномалии) ‼️ Другую дополнительную информацию ты можешь найти по хештегам #Сети и #Книга. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🔐 Password Spraying || Распыление паролей. Многие знают, что один из проверенных методов получения авторизационных данных — это брутфорс. Неэстетично, но надежно. В любой компании найдутся пользователи, у которых пароль встречается в списке самых популярных паролей и его можно сбрутить. 🖖🏻 Приветствую тебя user_name.
• Распыление пароля или Password Spraying относится к методу атаки, который принимает большое количество имен пользователей и перечисляет их с помощью одного пароля или малого количества паролей. • Так как допустимое количество попыток ввода пароля обычно невелико, этот метод позволяет избежать блокировок политикой паролей, и он часто более эффективен для обнаружения слабых паролей. • Очень удобно применять Password Spraying на Office365 и Azure. Однако у Microsoft есть такая интересная вещь, которая детектирует применение такого рода атак. Называется Azure Smart Lockout. Это интеллектуальная блокировка, которая будет блокировать аккаунт пользователя если:•Было 10 неудачных попыток входа в аккаунт. После этого аккаунт блокируется на одну минуту. Дальше с геометрической прогрессией растет время блокировки аккаунта и уменьшается количество неверно введенных паролей.•Незнакомое местоположение, с которого пользователь пытается войти в систему. Для знакомого и незнакомого местоположений - разные счетчики неудачных попыток. Таким образом, пользователь может ввести неверный пароль 10 раз с известного местоположения и 10 раз с неизвестного. • Такие блокировки очень усложняют жизнь при бруте. Однако, есть инструменты, которые пытаются такие ограничения обойти. Об этих инструментах мы сегодня и поговорим. Но для начала разберемся с этапами. • После успешного получения списка действительных пользователей, атакующие нередко проверяют частые или известные пароли или благодаря накопленным в процессе разведки данным пробуют ОДИН тщательно продуманный пароль для ВСЕХ известных учетных записей пользователей. • Распыление паролей проводится, как правило, на одном из начальных этапов без наличия привилегий. Этапы атаки распыления паролей:•Включение в сеть (в случае теста на проникновение) или компрометация учетной записи пользователя (для атакующего).•Перечисление групповой политики и политики паролей.•Перечисление имен пользователей.•Распыление паролей. • Для выполнения данной атаки написан скрипт Spray, который позволяет указать парольную политику. Spray дает возможность проводить атаку на SMB, OWA (веб-клиент для доступа к серверу совместной работы Microsoft Exchange), Lync, CISCO Web VPN. Для работы скрипт требует список пользователей и паролей. • Альтернативное автоматическое решение — PowerShell-скрипт DomainPasswordSpray. Он требует только пароль либо список паролей. При этом он автоматически перечисляет пользователей домена и парольные политики. Кроме того, скрипт позволяет узнать список всех пользователей. • MSOLSpray — #powershell скрипт, который основан на использовании Microsoft Graph API и предоставляет информацию об аккаунте (включен ли MFA, существует ли пользователь, заблокирована или отключена учетная запись). • TREVORspray — инструмент, написанный на #python, основанный на MSOLSpray (также использует Microsoft Graph API). Однако добавлена еще возможность распараллеливать через ssh доступ к своим VPS. ‼️ Другую дополнительную информацию ты можешь найти по хештегам #hack и #Пентест. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🔖 Подборка полезного материала для Red Team. 🖖🏻 Приветствую тебя user_name.
• Существует много видов процессов наступательной безопасности, и у каждого свои задачи. Здесь и Vulnerability Assessment, и Penetration Testing, и Red Teaming. Чаще всего их отличия заключаются в скоупе, глубине продвижения в процессе анализа защищенности и показателях, которые будут использоваться Blue Team для выработки защитных мер. • Поговорим о Red Teaming — это непрерывный процесс симуляции атак с целью оценки всех существующих процессов защиты организации и повышения осведомленности задействованных в этом процессе лиц. Это определение звучит академически, но зато исчерпывающе. • Красная команда свободна в выборе тактик, техник и процедур для реализации своих целей. И сегодня, я нашел для тебя отличную подборку крайне интересного материала. Подборка включает в себя основные направления и инструменты, разбитые по категориям. Рекомендую к ознакомлению: 🧷 github.com/paulvei…red-team ‼️ Дополнительную информацию ты можешь найти по хештегу #Purple_Team, #Red_Team и #Blue_Team. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
Большая IT-Библиотека для каждого айтишника - BZD • Книги для программистов. 👉Больше 3500 книг; 👉Хорошая категоризация книг на английские и русские; 👉Литература по программированию Python, Java, C, C++, JavaScript, C#, R, Go, информационной безопасности и других IT направлений. Работаем для вас! Подписывайтесь @bzd_channel 
-
Social Engineering
🔖 S.E.Заметка. Passphrase wordlist. 🖖🏻 Приветствую тебя user_name.
• Использование подходящих словарей во время проведения тестирования на проникновение, от выбора хорошего словаря зависит многое, а именно успех подбора учетных данных. Не может быть одного самого лучшего словаря – под разные ситуации требуются разные словари. • Сегодня делюсь с тобой сочным репозиторием. Этот репо включает в себя список фраз (более 20 миллионов) и два файла правил #hashcat для брута на GPU. Правила создадут более 1000 вариантов каждой фазы. 🧷 ='https://github.com/initstring/passphrase-wordlist'>github.com/initstr…wordlist • Для генерации собственных словарей можно использовать программы Hashcat, John the Ripper, crunch, statsprocessor, maskprocessor и другие. ‼️ Другую дополнительную информацию ты можешь найти по хештегам #hashcat #hack и #Пентест. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🧩 Находим метаданные в социальных сетях. 🖖🏻 Приветствую тебя user_name.• EXIF — стандарт, позволяющий добавлять к изображениям и прочим медиафайлам дополнительную информацию, комментирующую этот файл, описывающий условия и способы его получения. • Хотя Exif хорошо известен, есть вероятность, что изображение содержит атрибуты IPTC или метаданные XMP, это два других стандарта, широко используемых в настоящее время. Сегодня мы рассмотрим несколько различных способов получения метаданных и их содержимого, на примере YT и Instagram. • Читать статью. 📌 Дополнительная информация: • Пентест и метаданные. Извлекаем полезную информацию из документов. • Извлекаем метаданные. • Изменяем метаданные. ‼️ Другую дополнительную информацию ты можешь найти по хештегу #OSINT. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
Если ты рядовой юзер, то видишь лишь верхушку айсберга сети. Но ты точно слышал о теневой стороне Интернета. 🗝Настолько ли она темна, как все о ней говорят? ⚡️ LOLZTEAM - это канал крупнейшего в мире форума по социальной инженерии на стыке клирнета и даркнета! Тонна полезной информации: от бесплатных курсов и программ до реальных способов заработка в сети. Только авторские статьи и материалы, аналогов которым нет на прострах Telegram! И они делятся с тобой этим совершенно бесплатно! 🔥А прямо сейчас они разыгрывают 1 OOO OOO рублей среди своих подписчиков, успей принять участие - https://t.me/+hwD2LULvLvgwMjgy 
-
Social Engineering
📈 CVE Trends. 🖖🏻 Приветствую тебя user_name.
• Ежедневно, сотнями хакеров обнаруживаются тысячи уязвимостей, — после чего взламывается куча сайтов, и детали багов выкладываются в багтрак на всеобщее обозрение. Сегодня мы поговорим о ресурсе, который отслеживает популярность CVE в реальном времени. • CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени. Система собирает все необходимые данные из Twitter и объединяет с данными NIST NVD. • Информация на сайте обновляется каждую минуту. • Мы можем настроить вывод данных о CWE, информации о CVE, настроить автоматическое обновление, и оценки CVSS v2.0 и CVSS v3.0 • Есть оценка уязвимости. Показано кол-во твитов\ретвитов для каждой CVE. 🧷 CVE Trends — ='noreferrer nofollow' href='https://cvetrends.com/'>https://cvetrends.com/ ‼️ Другую дополнительную информацию ты можешь найти по хештегу #ИБ. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🧩 Intercepter-ng 1.1 || Сетевые отпечатки. 🖖🏻 Приветствую тебя user_name.• Недавно вышло обновление легендарного Intercepter-ng, о котором я уже ни раз упоминал в нашем канале. Сегодня предлагаю тебе ознакомиться с описанием обновления этого сниффера и узнать про сетевые отпечатки операционных систем (фингерпринты). 🧷 https://youtu.be/gwRZysX5jmw Изменения: Added:+ Captive Portal mode (killer feature!) + Smart Scan is GREATLY improved (speed and quality) + Loopback live capture + TZSP encapsulation support + SSL support for built-in web-server (FATE\Captive Portal) + Whitelist for Auto Poison (misc\whitelist.txt)
Updated:* Code for X-Scan, SSLStrip, HSTS Spoofing and GP Hijack * Fingerprints database updated and is in use for scanning process * OUI and fingerprints files are now available in misc\* folder * fixed bug in DNS Spoofing and ARP Cage code * Native pcapng support (npcap) * OpenSSL\Npcap\Zlib updated * Tested on Windows 11GitHub: intercepter-ng.github.io Официальный сайт: http://sniff.su/ Интервью: Intercepter-NG. Интервью разработчика. Статья: MITM атаки и перехват трафика. Статья: Инструменты для MITM — атак. Статья: Intercepter-NG 2.5 на Android. Статья: Intercepter-NG. Получение удаленного доступа в локальных сетях. ‼️ Дополнительную информацию ты можешь найти по хештегам #intercepter #Пентест #mitm #hack #ИБ и #СИ. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🗞 Сертификаты информационной безопасности для ИТ-специалистов. 🖖🏻 Приветствую тебя user_name.• Даже если просто просматривать заголовки новостей, то этого достаточно, чтобы понимать: в сфере #ИБ постоянно появляются новые угрозы и уязвимости. А потому предприятиям крайне важно иметь возможность осуществлять подготовку своих профессионалов в области безопасности в таком объеме, как того требует их стратегия ИТ-управления. • Это означает, что существует только один вопрос: как лучше всего, с одной стороны, специалистам получить адекватное обучение (что сделает их более востребованными на рынке труда), а с другой стороны, предприятиям улучшить свои протоколы и процедуры безопасности (и продемонстрировать своим клиентам чувство безопасности)? • Правильные решения – это сертификаты безопасности, которые допускают сочетания минимальных требований, стандартизированного языка и профессионального кодекса этики. В связи с ростом спроса на квалифицированных специалистов по безопасности, сертификация является логическим способом подтвердить Ваш опыт и компетенции. • Сегодня, я нашел для тебя отличный #roadmap по сертификации #ИБ специалистов, а также, ты узнаешь о некоторый основных (на мой взгляд) сертификатов, на которые стоит обратить особое внимание. Данная информация будет полезная всем, кто планирует развиваться в сфере #ИБ. 1. CompTIA Security+ — Сертификат подтверждает необходимые для любой роли в области кибербезопасности фундаментальные навыки и служит ступенькой к позициям среднего уровня. Security+ включает передовой опыт практического устранения неполадок и навыки решения проблем безопасности.•Цена: от $400. 2. CEH (Certified Ethical Hacker) — Сертификация Certified Ethical Hacker признана во всем мире и подтверждает наличие соответствующего уровня знаний в сфере безопасности сетей. Сертифицированный этичный хакер является квалифицированным специалистом, который понимает и знает, как искать слабые места и уязвимости в целевых системах и использует те же знания и инструменты, что и хакер.•Цена: от $900 до $1300. 3. CISA и CISM — это две основные аккредитации, выдаваемые ассоциацией ISACA (Information Systems Audit and Control Association) – международной ассоциации, которая занимается сертификацией и методологией с 1967 года. - CISM (Certified Information Systems Manager) появилась позже, чем CISA, и предлагает аккредитацию в знании и опыте управления IT-безопасностью. - CISM предлагает основные стандарты компетенции и профессионального развития, которыми должен обладать директор по IT-безопасности, чтобы разработать и управлять программой IT-безопасности.•Цена: от $500 до $800. 4. CISSP (Certified Information Systems Security Professional) — это один из самых ценных сертификатов в отрасли. Такие организации, как АНБ или Министерство обороны США используют его в качестве эталона. Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ.•Цена: от $600. 5. CCNA, CCNP, CCIE Security — Сертифицированный профессионал по безопасности #Cisco может внедрять и обслуживать новейшие решения Cisco в области защиты сетевой инфраструктуры, включая шлюзы безопасности, шлюзы сервисов web и e-mail с учетом особенностей организации работы мобильных пользователей и удаленных сотрудников. Программа сертификации предусматривает несколько уровней компетентности специалиста:•CCNA Security - базовый уровень;•CCNP Security – профессиональный уровень;•CCIE Security – эксперт. Она ориентирована на совершенствование навыков и умений в работе с различными протоколами безопасности, обеспечении их взаимодействия с протоколами маршрутизации и построении сквозных безопасных сетей.•Цена: от $400 до $700. 6. Как и обещал, отличная #roadmap, которая поможет понять с чего начать, какую сферу охватывает та или иная сертификация и т.д: certification.comptia.org/docs/de…-roadmap ‼️ Другую дополнительную информацию ты можешь найти по хештегу #ИБ. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
😈 Убежище Хакера. Сборник статей + прохождение #CTF. 🖖🏻 Приветствую тебя user_name.
• Если ты давно читаешь и наблюдаешь за различными блогами в Telegram, то должен помнить такой канал как https://t.me/hacker_sanctuary. Канал был создан в 2018 году и к моему сожалению, уже давно заброшен, но в нем остался полезный материал для развития и изучения. • Наш читатель прислал дамп канала Убежище хакера. Более 1000 страниц практики с разборами заданий для любителей этичного хакинга и #CTF, очень полезный и качественный материал, рекомендую к прочтению. Авторские права не нарушены, приятного чтения. 👾 VT. • Язык: RU #CTF #Книга. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. -
Social Engineering
👨🏻💻 no system is safe — канал с бесплатными обучающими материалами для IT специалистов. - Новости из сферы IT. - Сотни статей и публикаций с обучающим материалом для ИБ специалистов. - Подборки полезного материала для IT специалистов любого уровня и направления. - Сливы платных курсов. - Хакинг и способы защиты от него. 
-
Реклама
-
Social Engineering
📓 Книга: Ubuntu Linux с нуля, 2 издание. 🖖🏻 Приветствую тебя user_name.
• Книга о которой сегодня пойдет речь, будет полезна новичкам и тем, кто уже активно работает с Ubuntu. Книга на русском языке, что позволяет изучить материал каждому и Вас. • С позиции пользователя рассмотрена работа в популярной операционной системе Ubuntu Linux, даны советы по использованию графического режима и командной строки. Описаны системные службы Ubuntu Linux, освещены вопросы по пользовательским правам доступа. Приведена информация по поиску неисправностей работы #сети и устранению сбоев системы. Материал книги актуален и применим для работы с другими #Linux-подобными операционными системами. 🧷 Скачать книгу бесплатно, на русском языке, ты можешь в нашем облаке. 📌 Другие книги:•Внутреннее устройство Linux.•Современные операционные системы. Эндрю Таненбаум.•LINUX. Полное руководство по работе и администрированию.•Удаленный сервер. От азов создания до практической работы.•Linux Command Line Environment, Learning to Use Shell Scripting and Commands.•Linux Cookbook: Essential Skills for Linux Users and System & Network Administrators. ‼️ Другую дополнительную информацию и литературу, ты можешь найти по хештегам #Linux и #Книга. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🔖 S.E.Заметка. OSINT. 🖖🏻 Приветствую тебя user_name.
• В продолжении материала "OSINT. Поиск геолокации нашей цели", сегодня делюсь с Вами интересными и полезными инструментами, которые помогут нам получить полезную информацию в определенных случаях:•Пользователь Twitter @truted2 создает интерактивную карту, позволяющую нам видеть, как тени падают в определенном месте, в определенное время и в определенную дату. https://shademap.app/•IPVM Camera Calculator — https://calculator.ipvm.com/ — Инструмент, благодаря которому можно наблюдать угол обзора уличных камер, разрешение и другую полезную информацию.•GEOINT — огромное количество инструментов для определения геолокации объекта \ человека. ohshint.gitbook.io/oh-shin…e-geoint ‼️ Дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.
-
Social Engineering
🔖 Извлекаем информацию о цели из социальных сетей. 🖖🏻 Приветствую тебя user_name.• Социальные сети, предоставляют огромные возможности социальным инженерам. Они помогают найти и собрать нужную информацию о цели, выявить интересы, определить место работы, определить членов семьи и близких друзей, узнать номер телефона, почту, ФИО и т.д., перечислять можно долго и вся эта информация будет крайне полезная для атак с использованием #СИ. • Сегодня я поделюсь с тобой полезной статьей, которая освещает тему поиска и извлечения скрытой информации из социальных сетей. Рекомендую к прочтению, материал будет очень полезным для специалистов в области #OSINT и #СИ: 🧷 Читать статью. ‼️ Дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E.