#оффтоп
Ничего так хорошо не восстанавливает физическое и ментальное здоровье человека 🧓, как свежий воздух 💨. Организму просто необходимо получать разрядку, после активных физических и интеллектуальных нагрузок, а прогулки и активная работа на улице ⚽ отлично с этим справляются.
Проводите больше времени на свежем воздухе!
Ничего так хорошо не восстанавливает физическое и ментальное здоровье человека 🧓, как свежий воздух 💨. Организму просто необходимо получать разрядку, после активных физических и интеллектуальных нагрузок, а прогулки и активная работа на улице ⚽ отлично с этим справляются.
Проводите больше времени на свежем воздухе!
❤9
🧑💻 Обо мне:
🕵️ Русский 🇷🇺 исследователь безопасности, участник багбаунти, CTF и всего просветительского, что связано с ИБ.
🧑🎓 Написать мне: @kolyasik_infosec
Standoff365: https://standoff365.com/ru-RU/profile/pozeslamix/
BI ZONE bugbounty: https://bugbounty.bi.zone/profile/kolyasik/hackactivity
ТГ канал: https://t.iss.one/kosecchannel
🕵️ Русский 🇷🇺 исследователь безопасности, участник багбаунти, CTF и всего просветительского, что связано с ИБ.
🧑🎓 Написать мне: @kolyasik_infosec
Standoff365: https://standoff365.com/ru-RU/profile/pozeslamix/
BI ZONE bugbounty: https://bugbounty.bi.zone/profile/kolyasik/hackactivity
ТГ канал: https://t.iss.one/kosecchannel
🦄7❤2
Forwarded from Вестник Киберполиции России
Принцип нулевого доверия: как защитить себя от мошенников
💬 Для обеспечения безопасности можно использовать простой, но эффективный принцип: никому не доверяй без проверки. Эта концепция, известная как Zero Trust (нулевое доверие), возникла из необходимости защищаться в мире, где угрозы могут подстерегать буквально везде.
Примеры правильного использования данного принципа:
❗️ Не доверяйте «официальным» сообщениям вслепую. Получили звонок из «банка» с просьбой обновить данные? Или сообщение от «друга» с просьбой перевести деньги? Не торопитесь выполнять инструкции. Перезвоните в банк или другу и уточните, действительно ли они это отправляли.
❗️ Не доверяйте даже своим паролям. Если ваш пароль «Qwerty123» или «123456», то это подарок для хакеров.
❗️ Задавайте больше вопросов. Интернет-услуга требует паспортных данных? Магазин просит полное имя, адрес и номер телефона? Подумайте: действительно ли это необходимо? Если нет — не предоставляйте.
❗️ Не стесняйтесь просить собеседника подтвердить свои слова. Если вам звонят от имени организации с какими-нибудь требованиями, спросите у звонящего юридический и фактический адрес, ФИО руководителя, или, в случае со звонками из правоохранительных органов, номер телефона дежурной части. Перепроверьте всю полученную информацию.
❗️ Доверяйте своим сомнениям. Если любая информация кажется вам странной, несвоевременной, неуместной или поступающей по необычным каналам связи – остановитесь. Заставить вас торопиться и принимать необдуманное решение – это задача мошенников. Не стоит им помогать!
🫡 Подписаться на Киберполицию России
📲 Вконтакте I 📲 Одноклассники
🇷🇺 Чат-бот Киберполиции России
🫡 Поддержать канал
Примеры правильного использования данного принципа:
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔 telegram 0day
На днях в тематических телеграм каналах, распространилась информация об уязвимости в телеграмм, которая якобы позволяет читать информацию из частных сообществ (??) - формулировка уже достаточно размытая. Все ссылаются на исследование китайской организации Huangdou Security Lab, однако в открытых источниках найти упоминания этой организации не удается. Первоисточником информации является данная статья на китайском портале кибербезопасников. В качестве пруфов публикуются 3 замазанных скрина, где не совсем понятно, в чем вообще проблема. Приводится скриншот частного канала, где говорится, что это семейный канал случайного пользователя. В общем, информация не особо вызывает доверия и выглядит как весьма странный вброс, цели которого тоже не совсем понятны :)
На днях в тематических телеграм каналах, распространилась информация об уязвимости в телеграмм, которая якобы позволяет читать информацию из частных сообществ (??) - формулировка уже достаточно размытая. Все ссылаются на исследование китайской организации Huangdou Security Lab, однако в открытых источниках найти упоминания этой организации не удается. Первоисточником информации является данная статья на китайском портале кибербезопасников. В качестве пруфов публикуются 3 замазанных скрина, где не совсем понятно, в чем вообще проблема. Приводится скриншот частного канала, где говорится, что это семейный канал случайного пользователя. В общем, информация не особо вызывает доверия и выглядит как весьма странный вброс, цели которого тоже не совсем понятны :)
🔥8
Какими приложениями вы обходитесь в ходе тестирования?
Anonymous Poll
11%
Только Браузер
55%
Бурп+рекон тулзы+сканеры
28%
Только Бурп
6%
Другое
🙄 bb
Интересный подход к обработке и принятию отчетов. В который раз на удивление вижу, что компании принимают в качестве отчетов ссылки на массивы скомпрометированных различными способами данных. Хоть с одной стороны это может помочь сбросить пользователям, чьи данные утекли креды, с другой это не совсем похоже на то, что несется в бб и попадает в скоуп. Конечно, я бы такое искать и сдавать не стал и вам бы не советовал.
Интересный подход к обработке и принятию отчетов. В который раз на удивление вижу, что компании принимают в качестве отчетов ссылки на массивы скомпрометированных различными способами данных. Хоть с одной стороны это может помочь сбросить пользователям, чьи данные утекли креды, с другой это не совсем похоже на то, что несется в бб и попадает в скоуп. Конечно, я бы такое искать и сдавать не стал и вам бы не советовал.
🔥3
🫢 Раскрытые отчеты
Какое-то время назад я запросил раскрытие части своих отчетов. Сегодня был частично раскрыт отчет моей ХСС-ки в сервисе VK Деньги. К сожалению тела отчета не видно, так как раскрытие я запросил частичное. Однако, лично для меня данная XSS весьма примечательная. Сдал я ее почти 2 года назад (в ноябре 2023), когда только-только узнал про багбаунти и инфобез в целом, и это был мой второй или третий оплаченный отчет и первый полноценный (предыдущее были из рода открытые метрики и т.д). Тогда, я очень удивился, что мне удалось найти хсску на вк деньгах и был весьма доволен.
Какое-то время назад я запросил раскрытие части своих отчетов. Сегодня был частично раскрыт отчет моей ХСС-ки в сервисе VK Деньги. К сожалению тела отчета не видно, так как раскрытие я запросил частичное. Однако, лично для меня данная XSS весьма примечательная. Сдал я ее почти 2 года назад (в ноябре 2023), когда только-только узнал про багбаунти и инфобез в целом, и это был мой второй или третий оплаченный отчет и первый полноценный (предыдущее были из рода открытые метрики и т.д). Тогда, я очень удивился, что мне удалось найти хсску на вк деньгах и был весьма доволен.
🔥5
😏 Генерация случайных чисел от нейросетей
Так-как скоро ивент, пока можно побаловаться. В итоге, в ходе случайных манипуляций я заметил, что по причине того, что модели обучаются на готовых данных, иногда (практически всегда) если вы попросите ГПТ-модель сгенерировать случайное число, то она с этим не справится. Например, моделька от Mistral будет выдавать вам число 73, так как в статьях, указано, что самое популярное число от 1 до 100 это 73, если вы попросите написать случайное число от 1 до 100. А ии-поиску гугла, случайное число можно указать через разделитель |.
P.S Я не эксперт по нейронкам, просто поделился забавным фактом.
Так-как скоро ивент, пока можно побаловаться. В итоге, в ходе случайных манипуляций я заметил, что по причине того, что модели обучаются на готовых данных, иногда (практически всегда) если вы попросите ГПТ-модель сгенерировать случайное число, то она с этим не справится. Например, моделька от Mistral будет выдавать вам число 73, так как в статьях, указано, что самое популярное число от 1 до 100 это 73, если вы попросите написать случайное число от 1 до 100. А ии-поиску гугла, случайное число можно указать через разделитель |.
P.S Я не эксперт по нейронкам, просто поделился забавным фактом.
🔥8
Forwarded from Doom SE
Техника «Запрос по нарастающей»
Позиционируется как метод постепенного сближения и наращивания доверия, основанный на классических принципах социальной психологии.
Суть техники: цель сначала получает просьбу об оказании малозначительной услуги или предоставлении общей (безопасной) информации. После добровольного согласия на «легкий» запрос вероятность её согласиться на более серьёзный, сугубо целевой запрос возрастает многократно. Большинство в своей жизни сталкивались с ситуацией, когда после оказания нескольких маленьких услуг(по дружбе), мы становимся якобы обязаны кому-то, и отказать нам кажется, неудобно. Опытные манипуляторы, при применении данной техники, уже знают конечную цель, к которой они стремятся. Это может быть, как и заём большой суммы в долг, так и получение конфиденциальной информации. Рассмотрим пример:
– Добрый день! Слушайте, а не подскажете, пожалуйста, в каком формате у вас хранится список сотрудников вашей команды? Делаю запрос в связи с новой политикой безопасности ПДн
– Да, конечно. В бумажном и электронном. В виде таблицы формата xlsx.
(Через час, чтобы жертва почувствовала завершенность маленькой услуги)
– Спасибо большое! А не могли бы вы переслать доступ у внутреннему шаблону отчёта, Ваш коллега уже прислал, но сказал что только у Вас актуальная версия.
(Во время напряжённого рабочего дня, у жертвы уже не остаётся никаких сомнений о легитимности действий "сотрудника безопасности")
Если разбирать технику со стороны психологии:
1. Принцип консистентности
Люди стремятся оставаться последовательными в своих действиях и убеждениях. Оказав малую услугу, они воспринимают себя как «помогающих» и в дальнейшем поддерживают этот образ, соглашаясь на более серьёзные просьбы.
2. Снижение барьеров
Малозначительные запросы кажутся безопасными, поэтому для цели они не вызывают сопротивления. После «первого шага» сопротивление падает.
3. Эффект «лазейки в доверии»
Успешный первый контакт демонстрирует безвредность коммуникатора, что создаёт иллюзию надёжности и снижает необходимость скепсиса.
Будьте бдительны! И проверяйте каждый запрос, который к вам поступает, как новый, чтобы определить степень его опасности🤔🙃
Позиционируется как метод постепенного сближения и наращивания доверия, основанный на классических принципах социальной психологии.
Суть техники: цель сначала получает просьбу об оказании малозначительной услуги или предоставлении общей (безопасной) информации. После добровольного согласия на «легкий» запрос вероятность её согласиться на более серьёзный, сугубо целевой запрос возрастает многократно. Большинство в своей жизни сталкивались с ситуацией, когда после оказания нескольких маленьких услуг(по дружбе), мы становимся якобы обязаны кому-то, и отказать нам кажется, неудобно. Опытные манипуляторы, при применении данной техники, уже знают конечную цель, к которой они стремятся. Это может быть, как и заём большой суммы в долг, так и получение конфиденциальной информации. Рассмотрим пример:
– Добрый день! Слушайте, а не подскажете, пожалуйста, в каком формате у вас хранится список сотрудников вашей команды? Делаю запрос в связи с новой политикой безопасности ПДн
– Да, конечно. В бумажном и электронном. В виде таблицы формата xlsx.
(Через час, чтобы жертва почувствовала завершенность маленькой услуги)
– Спасибо большое! А не могли бы вы переслать доступ у внутреннему шаблону отчёта, Ваш коллега уже прислал, но сказал что только у Вас актуальная версия.
(Во время напряжённого рабочего дня, у жертвы уже не остаётся никаких сомнений о легитимности действий "сотрудника безопасности")
Если разбирать технику со стороны психологии:
1. Принцип консистентности
Люди стремятся оставаться последовательными в своих действиях и убеждениях. Оказав малую услугу, они воспринимают себя как «помогающих» и в дальнейшем поддерживают этот образ, соглашаясь на более серьёзные просьбы.
2. Снижение барьеров
Малозначительные запросы кажутся безопасными, поэтому для цели они не вызывают сопротивления. После «первого шага» сопротивление падает.
3. Эффект «лазейки в доверии»
Успешный первый контакт демонстрирует безвредность коммуникатора, что создаёт иллюзию надёжности и снижает необходимость скепсиса.
Будьте бдительны! И проверяйте каждый запрос, который к вам поступает, как новый, чтобы определить степень его опасности🤔🙃