Целью этой статьи является объединение информации о самых распространенных атаках с помощью социальной инженерии. Существует множество различных материалов, посвященных теме социальной инженерии, но они в большинстве своем либо имеют вид достаточно крупных произведений, таких как, например, работы Кевина Митника, или наоборот, статей и одиночных вебинаров, фокусирующихся на конкретных аспектах. Вдобавок, многие материалы по теме созданы специалистами для специалистов и имеют достаточно высокий порог вхождения. Статей для новичков, дающих общий обзор современного состояния предмета, мне, увы, на глаза не попадалось. Чтобы закрыть этот пробел и была написана эта статья.

Статья нацелена в первую очередь на людей, начинающих знакомство с темой, например, на студентов первых курсов профильных направлений вузов.

В статье будут разобраны основные атаки с применением социальной инженерии, в первую очередь фишинг и рассылка вредоносных вложений. Будут разобраны методы сбора информации о цели перед атакой, маскировки вредоносных нагрузок, и ряд популярных трюков злоумышленников, повышающих эффективность атак. Основное внимание будет уделено атакам с применением электронной почты, не только для простых одношаговых атак, но и для осуществления сложных, многоходовых операций, которых в наше время становится все больше. Однако, атаки с помощью звонков (вишинг) и личного общения также будут упомянуты, пусть и не так подробно.

Хабр не жалобная книга, однако мой опыт может быть полезен другим. Съездил в РБ, отсидел, потерял аккаунт в телеге.

Search4Faces

Эксперт из Project Zero рассказывает об уязвимости, простота и очевидность которой поразили его. Но как же эта уязвимость проникла в тестируемый код Mozilla? Разбираемся под катом, пока стартует наш курс по этичному хакингу.

Для большинства внутренних сетей самых разных компаний компрометация домена по причине злоупотребления привилегированными доменными учетными записями, пожалуй, самая распространенная. Иными словами, висящие налево и направо сессии доменного админа сильно упрощают работу потенциального нарушителя. Ведь как только один такой сервер или рабочая станция будет скомпрометирован до компрометации домена, а значит и всей внутренней инфраструктуры, останется лишь шаг. И именно об этом последнем шаге мы и поговорим.

Думаю, большинство, увидев администратора домена в списке сессий очередного скомпрометированного хоста поспешит расчехлить mimikatz и будет несомненно право. Но мы рассмотрим уже достаточно частые ситуации, когда lsass.exe защищен антивирусом либо же и вовсе перед нами lsaIso.exe с аппаратной изоляцией адресного пространства. Автор mimikatz почти сразу предложил известное решение. Но оно потребует перелогон админа, а значит это не совсем 0-click метод, зависящий от удачного стечения обстоятельств.

На самом деле нам не так уж и нужен пароль администратора домена, и в каждом из перечисленных ниже способов мы захватим контроллер домена без пароля.

2021 год стремительно подходит к концу. Мы решили не обходить стороной новогоднюю традицию и подвести его итоги. Для нас 2021 год прошел еще насыщеннее, чем предыдущий: мы выпустили новые продукты (PT XDR, MaxPatrol O2, MaxPatrol VM), засекли активность парочки новых для России АРТ-группировок и не пропустили ни одной известной, нашли и помогли устранить несколько десятков уязвимостей, мало того —  под конец года мы еще и вышли на биржу в режиме прямого листинга…😄

Но наша сегодняшняя статья о другом: ведь за последние дни вы, наверное, уже устали читать о достижениях и успехах, про которые компании сейчас рапортуют в своих блогах.

Мы же решили рассказать о самых громких и беспрецедентных событиях кибербезопасности уходящего года, которые войдут в историю. Атаки и утечки обрушились как на правительственные организации и государственные структуры, так и на частный бизнес и головы простых граждан — словом, никого не обошли стороной.

Введение

Весь год наши аналитики бледнели и краснели, читая о ИБ-инцидентах в зарубежных и российских СМИ. И в канун Нового года и Рождества мы попросили их поделиться личным топом ИБ-факапов, которые особенно впечатлили их за год. В новогоднем выпуске – «подстава» от Apple Watch на полмиллиона, фейковый Том Круз и рабочий «манифест», который не на шутку испугал руководителей.

Привет, друзья!

В этой статье я покажу вам, как создать полноценный сервис для аутентификации и авторизации (далее — просто сервис) с помощью Auth0.

Auth0 — это платформа, предоставляющая готовые решения для разработки сервисов любого уровня сложности. Auth0 поддерживается командой, стоящей за разработкой JWT (JSON Web Token/веб-токен в формате JSON). Это вселяет определенную уверенность в безопасности Auth0-сервисов.

Бесплатная версия Auth0 позволяет регистрировать до 7000 пользователей.

В этой статье я писал о том, что такое JWT, и как разработать собственный сервис с нуля.

Знакомство с Auth0 можно начать отсюда.

Исходный код Auth0 SDK, который мы будем использовать для разработки приложения, можно найти здесь.

Исходный код проекта, который мы будем разрабатывать, находится здесь.

В статье я расскажу только о самых основных возможностях, предоставляемых Auth0.

В примерах и на скриншотах ниже вы увидите реальные чувствительные данные/sensitive data. Это не означает, что вы сможете их использовать. После публикации статьи сервис будет удален.

Случилось как-то, что рядом с нашим офисом жильцы соседнего дома поставили себе шлагбаум. С парковкой в центре Москвы и так проблемы, а если еще и офисное здание неподалеку...в общем, жильцов можно понять. Но не давало покоя ощущение, что доступ к таким системам могут получить не только жильцы дома.

Как выйти на рынок с программным продуктом для платёжных операций, который удовлетворит потребности пользователей и гарантирует безопасность транзакций? Рассказываем в этой статье.

Привет, Хабр! Сегодня мы хотим рассказать об уязвимости Apache Log4j, которая стала причиной огромной волны атак на веб-серверы по всему миру на протяжении декабря. В пиковые дни мы наблюдали до нескольких десятков тысяч атак в час! И сегодня наша команда хочет поделиться методами простого устранения уязвимости для разных версий библиотеки. Конкретные рекомендации, а также ссылку на вебинар с подробным обсуждением CVE вы найдете под катом.

Декабрь для безопасников выдался насыщенным. Нашумевшая уязвимость Log4j, умные часы и приложения, которые следят за вашими детьми внимательнее вас, блокировка Тора и многое другое — всё это под катом.

Каждый департамент компании, каждая функция бизнеса стремится выполнить свою часть общей задачи по повышению экономической эффективности. При этом у разных отделов есть общий враг – это киберугрозы. Его реальность очевидна не для всех. Кто-то знает о проблеме, но не считает её своей. Этот проект был создан, чтобы рассказать об актуальности вопросов кибербезопасности для руководителей различных департаментов. Особенностью материалов стало обилие сносок, в которых разъясняются те или иные понятия. Но даже таким образом мы охватили не все, поэтому решили составить глоссарий, в котором раскрываются два десятка базовых понятий информационной безопасности.