😈 Социальная инженерия и фишинг.
• Различные методы сокрытия фишинговых ссылок не сработают, если текст сообщения не вызывает у юзера желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
• Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
💬 Не забывай что фишинг стал самой главной угрозой за прошедший год, как для организаций так и для обычных людей. Обрати внимание на полезный материал и методы которые используют атакующие:
tools: Фишинг социальных сетей с помощью blackeye.
tools: Social Engineering Tools.
tools: Evilginx 2.
Защита: Онлайн песочницы. Защита от вредоносных файлов.
Статья: Фишинг-атаки на биржу Codex.
Статья: Фишинг через Android приложения.
Статья: Оформляем письмо для максимального отклика.
Статья: Методы которые использовали в III квартале 2020 года.
Статья: Атаки на промышленные предприятия.
Статья: Фишинг организаций. Black Hat.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Фишинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему. • Различные методы сокрытия фишинговых ссылок не сработают, если текст сообщения не вызывает у юзера желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
• Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
💬 Не забывай что фишинг стал самой главной угрозой за прошедший год, как для организаций так и для обычных людей. Обрати внимание на полезный материал и методы которые используют атакующие:
tools: Фишинг социальных сетей с помощью blackeye.
tools: Social Engineering Tools.
tools: Evilginx 2.
Защита: Онлайн песочницы. Защита от вредоносных файлов.
Статья: Фишинг-атаки на биржу Codex.
Статья: Фишинг через Android приложения.
Статья: Оформляем письмо для максимального отклика.
Статья: Методы которые использовали в III квартале 2020 года.
Статья: Атаки на промышленные предприятия.
Статья: Фишинг организаций. Black Hat.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Фишинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🧩 ESP8266. Фейковые точки доступа и атака на сеть.
• Deauther v2 — это прошивка для модуля ESP8266, благодаря которой мы получим устройство способное сканировать сети и точки доступа, производить атаки на сети и отключать от них устройства путем деаутентификации.
• Wi-PWN — аналогичная прошивка с функциями детектора деаутентификации, а также удобного приложения для Android. Более подробное описание прошивки есть на GitHub.
📌 Алгоритм использования устройства:
• Сканируешь сеть;
• Выбираешь необходимые найденные сети;
• В меню выбираешь желаемый тип атаки;
• Устройство самостоятельно производит атаку;
👨🏻💻 Ниже будет представлен необходимый материал, благодаря которому ты узнаешь как прошить плату, где купить, как использовать, варианты исполнения и многое другое:
• Купить ESP8266.
• Купить DSTIKE Deauther Watch V2.
• Jammer v2 WI-FI ESP8266.
• Глушилка спаммер на ESP8266.
• ESP8266: прошивка и пример использования.
• Создаем поддельную точку доступа для сбора паролей.
• DSTIKE Deauther Watch Demo - When Smart Watches Attack.
• 2 чата с обсуждением ESP8266 — @pro_esp8266 и @ProEsp8266
‼️ Другую дополнительную информацию ты можешь найти по хештегу #ESP8266 и #Arduino. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Wi-Fi jammer или глушилка Wi-Fi — инструменты, благодаря которым ты можешь отключить беспроводное устройство от хотспота. Сегодня поговорим о модуле ESP8266, различных прошивках, фейковых точках и атаках на сеть.• Deauther v2 — это прошивка для модуля ESP8266, благодаря которой мы получим устройство способное сканировать сети и точки доступа, производить атаки на сети и отключать от них устройства путем деаутентификации.
• Wi-PWN — аналогичная прошивка с функциями детектора деаутентификации, а также удобного приложения для Android. Более подробное описание прошивки есть на GitHub.
📌 Алгоритм использования устройства:
• Сканируешь сеть;
• Выбираешь необходимые найденные сети;
• В меню выбираешь желаемый тип атаки;
• Устройство самостоятельно производит атаку;
👨🏻💻 Ниже будет представлен необходимый материал, благодаря которому ты узнаешь как прошить плату, где купить, как использовать, варианты исполнения и многое другое:
• Купить ESP8266.
• Купить DSTIKE Deauther Watch V2.
• Jammer v2 WI-FI ESP8266.
• Глушилка спаммер на ESP8266.
• ESP8266: прошивка и пример использования.
• Создаем поддельную точку доступа для сбора паролей.
• DSTIKE Deauther Watch Demo - When Smart Watches Attack.
• 2 чата с обсуждением ESP8266 — @pro_esp8266 и @ProEsp8266
‼️ Другую дополнительную информацию ты можешь найти по хештегу #ESP8266 и #Arduino. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👨🏻💻 Roadmap для пентестера. От нуля до профессионала.
• Перейдя по ссылке, ты сможешь понять, с чего начать и на что обратить особое внимание: https://codeby.net/threads/roadmap-dlja-pentestera.74576/
• Обязательно обрати внимание на pentesting roadmap. Данная карта даст много полезной информации и направит тебя в нужное русло.
• Напоминаю тебе, что в нашем канале скопилось огромное количество бесплатной, актуальной и проверенной информации. Благодаря который ты можешь освоить любое направление, касательно информационной безопасности и социальной инженерии. Воспользуйся поиском по хэштегам или ключевым словам и приступай к изучению.
‼️ Всю необходимую информацию ты можешь найти по хештегу #Пентест #СИ #ИБ #Курс и #Книга. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Начинать что-то изучать всегда непросто, и для новых дисциплин вроде информационной безопасности это особенно верно. Вы часто задаете вопросы, чтобы узнать, с чего начать свой путь, на что обратить особое внимание и какие знания в своей дисциплине являются наиболее ценными.
• Перейдя по ссылке, ты сможешь понять, с чего начать и на что обратить особое внимание: https://codeby.net/threads/roadmap-dlja-pentestera.74576/
• Обязательно обрати внимание на pentesting roadmap. Данная карта даст много полезной информации и направит тебя в нужное русло.
• Напоминаю тебе, что в нашем канале скопилось огромное количество бесплатной, актуальной и проверенной информации. Благодаря который ты можешь освоить любое направление, касательно информационной безопасности и социальной инженерии. Воспользуйся поиском по хэштегам или ключевым словам и приступай к изучению.
‼️ Всю необходимую информацию ты можешь найти по хештегу #Пентест #СИ #ИБ #Курс и #Книга. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👨🏻💻 Python Backdoor.
Основной функционал:
• Отправить сообщение • Открыть сайт • Получить файл от пользователя • Отправить файл пользователю • Сделать скриншот • Запустить автозагрузку • Посмотреть файлы • Узнать информацию о ПК • Открыть CMD • Отключить диспетчер задач • Функции кейлоггера • Переместить соединение в фоновый режим • Закрыть соединение.
• Инструкция по установке: https://www.instructables.com/Simple-Python-Backdoor/
• Скачать Python Backdoor: https://github.com/xp4xbox/Python-Backdoor
📌 Ещё немного полезной информации:
• TheFatRat. Генерируем Backdoor для удалённого доступа.
• Blackrota, самый обфусцированный backdoor, написанный на Go.
• Androspy-backdoor для сессии Android.
• Делаем USB-Backdoor из Raspberry Pi Zero W и P4wnP1.
• Weevely или оставляем дверь приоткрытой.
‼️ Дополнительную информацию ты можешь найти по хештегу #Backdoor. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Буквально несколько дней назад листал GitHub, в надежде найти годные проекты и нашел простой Backdoor на Python, который имеет большой функционал, простое использование и легкую установку.
Основной функционал:
• Отправить сообщение • Открыть сайт • Получить файл от пользователя • Отправить файл пользователю • Сделать скриншот • Запустить автозагрузку • Посмотреть файлы • Узнать информацию о ПК • Открыть CMD • Отключить диспетчер задач • Функции кейлоггера • Переместить соединение в фоновый режим • Закрыть соединение.
• Инструкция по установке: https://www.instructables.com/Simple-Python-Backdoor/
• Скачать Python Backdoor: https://github.com/xp4xbox/Python-Backdoor
📌 Ещё немного полезной информации:
• TheFatRat. Генерируем Backdoor для удалённого доступа.
• Blackrota, самый обфусцированный backdoor, написанный на Go.
• Androspy-backdoor для сессии Android.
• Делаем USB-Backdoor из Raspberry Pi Zero W и P4wnP1.
• Weevely или оставляем дверь приоткрытой.
‼️ Дополнительную информацию ты можешь найти по хештегу #Backdoor. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
📨 Фишинг и "Почта России".
• Рассылка производилась с подменного домена
• В условиях пандемии, службы доставки стали отличным инструментом в применяемых схемах обмана, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.
• Напоминаю что фишинговая рассылка по сей день остается самым применяемым и эффективным способом получения интересующей информации для атакующего. Она хорошо работает и применима практически всегда. Но для успеха важна каждая деталь. В результате успешно проведенных работ ты можешь получить данные от учёток корпоративной сети — это может быть доступ к VPN, RDP, почте и т.д. но и другую интересную информацию. Самое главное понимать, какую цель ты преследуешь.
📌 Предлагаю тебе более подробно ознакомиться с этой новостью и изучить дополнительный материал:
Статья: Фейковая курьерская доставка.
Статья: Социальная инженерия и фишинг.
Статья: Социальная инженерия. Warshipping.
Статья: Советы по созданию письма + LifeHack.
Статья: Оформляем письмо для максимального отклика.
Статья: Спам-письмо. Факторы, влияющие на количество и качество отклика.
Инструменты: Evilginx 2.
Инструменты: Social Engineering Tools.
Подборка: Онлайн песочницы и дешифраторы URL.
‼️ Дополнительную информацию ты можешь найти по хэштегам #СИ и #Фишинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Многие сотрудники крупных российских компаний, получили фейковую рассылку от имени "Почты РФ", в письмах содержалась информация о том, что посылка задерживается и что бы ускорить доставку, необходимо заплатить небольшую сумму денег. Разумеется что после оплаты, жертва раскрывала данные своих банковских карт.• Рассылка производилась с подменного домена
Mail.ru Group. В поле «от кого» у получателей отображался принадлежащий Mail.ru Group домен corp.mail.ru, а не тот, с которого фактически происходила рассылка.• В условиях пандемии, службы доставки стали отличным инструментом в применяемых схемах обмана, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.
• Напоминаю что фишинговая рассылка по сей день остается самым применяемым и эффективным способом получения интересующей информации для атакующего. Она хорошо работает и применима практически всегда. Но для успеха важна каждая деталь. В результате успешно проведенных работ ты можешь получить данные от учёток корпоративной сети — это может быть доступ к VPN, RDP, почте и т.д. но и другую интересную информацию. Самое главное понимать, какую цель ты преследуешь.
📌 Предлагаю тебе более подробно ознакомиться с этой новостью и изучить дополнительный материал:
Статья: Фейковая курьерская доставка.
Статья: Социальная инженерия и фишинг.
Статья: Социальная инженерия. Warshipping.
Статья: Советы по созданию письма + LifeHack.
Статья: Оформляем письмо для максимального отклика.
Статья: Спам-письмо. Факторы, влияющие на количество и качество отклика.
Инструменты: Evilginx 2.
Инструменты: Social Engineering Tools.
Подборка: Онлайн песочницы и дешифраторы URL.
‼️ Дополнительную информацию ты можешь найти по хэштегам #СИ и #Фишинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👾 Социальная инженерия в Telegram. Угон каналов. v2.
• До сегодняшнего дня в Telegram участились хакерские атаки на владельцев каналов. Атакующие пытаются завладеть учетными записями администраторов, рассылая им зараженные файлы под видом рекламной презентации. Вредоносный файл чаще всего имеет расширение: «
❓ Наверное тебя интересует вопрос, с помощью чего угоняют каналы? Ответ: В атаке используется Stealer Hunter, который имеет определенный функционал:
• Стиллер нативный (без каких либо зависимостей по типу .NET Framework
• Написан на С++
• Полностью анонимная работа в Telegram, без каких либо сайтов в качестве хранения логов.
• Не нужен хостинг и домен,панель уже стоит на хостинге. Нужен только Telegram для работы со стиллером (у жертвы он не нужен).
• Можно поставить свою задержку повторов на получение лога с определенного ПК.
• Возможность создавать билд в любое время в Telegram панели.
🔖 Сбор:
• Пароли, кукисы, автофил популярных браузеров, Крипта, Steam (ssfn, config, текстовик в котором будут ссылки на аккаунты) Discord, Telegram Session, Скриншот рабочего стола, Время запуска, Путь с которого был запущен файл, IP, Город,Страна, Карты, Файлы рабочего стола.
💸 Подписка на лицензионное использование Stealer Hunter стоит 700 рублей в месяц, либо 4000 рублей бессрочная лицензия. Исходя из этой информации, более менее понятно как был угнан Telegram канал посвященный Reddit.
‼️ Большую роль в распространении вредоносного ПО играет Социальная Инженерия, о всех методах СИ и мерах предосторожности я уже неоднократно рассказывал в нашем канале, с этой информацией ты можешь ознакомиться по хештегу #СИ, #Фишинг #tools и #Взлом. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• 12 ноября 2020 года, я опубликовал статью, в которой разобрал тему угона Telegram каналов и методов, с помощью которых, атакующий смог добиться от жертвы отклика для установки вредоносного ПО, благодаря которому был угнан Telegram канал посвященный интернет-ресурсу Reddit.• До сегодняшнего дня в Telegram участились хакерские атаки на владельцев каналов. Атакующие пытаются завладеть учетными записями администраторов, рассылая им зараженные файлы под видом рекламной презентации. Вредоносный файл чаще всего имеет расширение: «
.scr», «.com», реже — «.doc». и имеет название вроде «условия_сотрудничества» или «промо-видео».❓ Наверное тебя интересует вопрос, с помощью чего угоняют каналы? Ответ: В атаке используется Stealer Hunter, который имеет определенный функционал:
• Стиллер нативный (без каких либо зависимостей по типу .NET Framework
• Написан на С++
• Полностью анонимная работа в Telegram, без каких либо сайтов в качестве хранения логов.
• Не нужен хостинг и домен,панель уже стоит на хостинге. Нужен только Telegram для работы со стиллером (у жертвы он не нужен).
• Можно поставить свою задержку повторов на получение лога с определенного ПК.
• Возможность создавать билд в любое время в Telegram панели.
🔖 Сбор:
• Пароли, кукисы, автофил популярных браузеров, Крипта, Steam (ssfn, config, текстовик в котором будут ссылки на аккаунты) Discord, Telegram Session, Скриншот рабочего стола, Время запуска, Путь с которого был запущен файл, IP, Город,Страна, Карты, Файлы рабочего стола.
💸 Подписка на лицензионное использование Stealer Hunter стоит 700 рублей в месяц, либо 4000 рублей бессрочная лицензия. Исходя из этой информации, более менее понятно как был угнан Telegram канал посвященный Reddit.
‼️ Большую роль в распространении вредоносного ПО играет Социальная Инженерия, о всех методах СИ и мерах предосторожности я уже неоднократно рассказывал в нашем канале, с этой информацией ты можешь ознакомиться по хештегу #СИ, #Фишинг #tools и #Взлом. Твой S.E.
😈 Атаки на ИБ-экспертов.
• Атакующие используют ряд профилей в социальных сетях чтобы связаться с исследователями, используя вымышленные личности. После того как контакт с экспертом будет установлен, хакеры предлагают своей жертве вместе поработать над неким исследованием и предоставляют доступ к проекту Visual Studio.
• Разумеется, этот проект содержал вредоносный код, который заражал систему эксперта малварью. Вредонос, который позже удалось связать с известной хак-группой Lazarus, работал как обычный бэкдор, связываясь с удаленным сервером в ожидании команд.
• Образцы, которые участвовали в атаке на ИБ-экспертов, доступны на сайте https://vx-underground.org/archive/tmp/
• Отчет аналитиков Google Threat Analysis Group — New campaign targeting security researchers.
📌 Дополнительная информация:
• Lazarus атакует цели в России.
• Lazarus атакует банки в Латинской Америке.
• Группа Lazarus использует для атак фреймворк MATA.
• Северокорейских хакеров связали с атаками MageCart.
• Lazarus использует TrickBot и Anchor для заражения целей.
• Lazarus использовала малварь FASTCash для опустошения банкоматов.
• Lazarus использует малварь Dtrack для атак на индийские финансовые организации.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Взлом. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Согласно отчету аналитиков Google Threat Analysis Group, «правительственные» хакеры из Северной Кореи нацелились на ИБ-экспертов, которые занимаются исследованиями уязвимостей.
• Атакующие используют ряд профилей в социальных сетях чтобы связаться с исследователями, используя вымышленные личности. После того как контакт с экспертом будет установлен, хакеры предлагают своей жертве вместе поработать над неким исследованием и предоставляют доступ к проекту Visual Studio.
• Разумеется, этот проект содержал вредоносный код, который заражал систему эксперта малварью. Вредонос, который позже удалось связать с известной хак-группой Lazarus, работал как обычный бэкдор, связываясь с удаленным сервером в ожидании команд.
• Образцы, которые участвовали в атаке на ИБ-экспертов, доступны на сайте https://vx-underground.org/archive/tmp/
• Отчет аналитиков Google Threat Analysis Group — New campaign targeting security researchers.
📌 Дополнительная информация:
• Lazarus атакует цели в России.
• Lazarus атакует банки в Латинской Америке.
• Группа Lazarus использует для атак фреймворк MATA.
• Северокорейских хакеров связали с атаками MageCart.
• Lazarus использует TrickBot и Anchor для заражения целей.
• Lazarus использовала малварь FASTCash для опустошения банкоматов.
• Lazarus использует малварь Dtrack для атак на индийские финансовые организации.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Взлом. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👨🏻💻 Информационная безопасность. Функционал и отличия команд.
• Red Team — Атакующая команда, обеспечивающие симуляцию атак с целью оценки всех существующих процессов защиты организации и повышения осведомленности задействованных в этом процессе лиц.
• Blue Team — Команда защитников. Является частью SOC (Security Operation Center) анализирует сетевой трафик реагирует, предотвращает атаки.
• Purple Team — Помогает другим командам дружить, позволяя синей команде разрабатывать стратегию и технические меры для защиты инфраструктуры на основе обнаруженных красной командой уязвимостей и недостатков.
• Yellow Team — Команда софтдевелоперов. От разработчиков ПО до системных архитекторов.
• Orange Team — Помогают Yellow Team взглянуть на свою разработку с точки зрения атакующего.
• Green Team — Команда, которая пытается внедрить мониторинг и логирование событий на этапе построения какой-либо системы, а также упростить интеграцию новых систем в существующие системы мониторинга.
• White Team — Команда которая следит за прогрессом, выстраивает процессы в каждой команде, расставляет приоритеты и помогает во взаимодействии.
• Black Team — Организовывает работу команд в одном направлении, формирует одинаковый взгляд на ИБ в компании, определяет модель угроз для организации, тенденции в ИБ и т.д.
💬 Уверен что ты понял, за что отвечает та или иная команда, предлагаю тебе ознакомиться с более полными определениями, задачами и различиями между Red Team и Blue Team:
• 5 Мифов о Red Teaming.
• Red/Blue Team – детальный обзор.
• Как хакеры врываются в энергосистему США.
• Проект Red Team: организация, управление, скоуп.
• Red Team: командное взаимодействие при проведении тестирования на проникновение.
‼️ Дополнительную информацию ты можешь найти по хештегу #ИБ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• В информационной безопасности чаще всего встречается два типа команд - Red Team и Blue Team. Однако, если учитывать зарубежную практику, то перед нами открываются другие команды: Purple Team, Yellow Team, Orange Team, Green Team, White и Black Team, о функционале которых мы сегодня и поговорим.
• Red Team — Атакующая команда, обеспечивающие симуляцию атак с целью оценки всех существующих процессов защиты организации и повышения осведомленности задействованных в этом процессе лиц.
• Blue Team — Команда защитников. Является частью SOC (Security Operation Center) анализирует сетевой трафик реагирует, предотвращает атаки.
• Purple Team — Помогает другим командам дружить, позволяя синей команде разрабатывать стратегию и технические меры для защиты инфраструктуры на основе обнаруженных красной командой уязвимостей и недостатков.
• Yellow Team — Команда софтдевелоперов. От разработчиков ПО до системных архитекторов.
• Orange Team — Помогают Yellow Team взглянуть на свою разработку с точки зрения атакующего.
• Green Team — Команда, которая пытается внедрить мониторинг и логирование событий на этапе построения какой-либо системы, а также упростить интеграцию новых систем в существующие системы мониторинга.
• White Team — Команда которая следит за прогрессом, выстраивает процессы в каждой команде, расставляет приоритеты и помогает во взаимодействии.
• Black Team — Организовывает работу команд в одном направлении, формирует одинаковый взгляд на ИБ в компании, определяет модель угроз для организации, тенденции в ИБ и т.д.
💬 Уверен что ты понял, за что отвечает та или иная команда, предлагаю тебе ознакомиться с более полными определениями, задачами и различиями между Red Team и Blue Team:
• 5 Мифов о Red Teaming.
• Red/Blue Team – детальный обзор.
• Как хакеры врываются в энергосистему США.
• Проект Red Team: организация, управление, скоуп.
• Red Team: командное взаимодействие при проведении тестирования на проникновение.
‼️ Дополнительную информацию ты можешь найти по хештегу #ИБ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👾 Metasploitable3.
• Metasploitable3 является бесплатной виртуальной машиной, которая позволяет эмулировать атаки в значительной степени используя #Metasploit. Она применялась людьми, работающими в сфере безопасности, по многим причинам: таким как обучение правильной эксплуатации сети, разработка эксплойтов, тестирование программного обеспечения, проведение технических собеседований, демонстрации продаж или просто используется фанатами CTF ради собственной забавы.
🧷 https://github.com/rapid7/metasploitable3
📎 Более подробное описание, требования и мануал по установке, есть на Codeby: https://codeby.net/threads/metasploitable3-umyshlenno-ujazvimaja-mashina-dlja-provedenija-testirovanija-na-vzlom.65591/
• Рекомендую к изучению дополнительный материал:
Статья: История Metasploit Framework.
Статья: Основы работы с Metasploit Framework.
Статья: Устанавливаем Metasploit-Framework на Android.
Ресурс: Официальный сайт Metasploit.
Ресурс: Крупнейшая в сети база паблик эксплоитов.
Курс: Metasploit Unleashed.
Курс: Хакинг с Metasploit. RU.
Курс: Metasploit Penetration Testing Recipes.
Книга: Metasploit 5.0 for Beginners. 2020.
Книга: Metasploit Penetration Testing Cookbook.
Книга: Руководство пользователя Metasploit. RU
‼️ Дополнительную информацию ты сможешь найти по хэштегу #Metasploit. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Metasploit — мощный открытый фреймворк с продуманной архитектурой, который включает в себя тысячи модулей для автоматизации эксплуатации огромного количества уязвимостей.
• Metasploitable3 является бесплатной виртуальной машиной, которая позволяет эмулировать атаки в значительной степени используя #Metasploit. Она применялась людьми, работающими в сфере безопасности, по многим причинам: таким как обучение правильной эксплуатации сети, разработка эксплойтов, тестирование программного обеспечения, проведение технических собеседований, демонстрации продаж или просто используется фанатами CTF ради собственной забавы.
🧷 https://github.com/rapid7/metasploitable3
📎 Более подробное описание, требования и мануал по установке, есть на Codeby: https://codeby.net/threads/metasploitable3-umyshlenno-ujazvimaja-mashina-dlja-provedenija-testirovanija-na-vzlom.65591/
• Рекомендую к изучению дополнительный материал:
Статья: История Metasploit Framework.
Статья: Основы работы с Metasploit Framework.
Статья: Устанавливаем Metasploit-Framework на Android.
Ресурс: Официальный сайт Metasploit.
Ресурс: Крупнейшая в сети база паблик эксплоитов.
Курс: Metasploit Unleashed.
Курс: Хакинг с Metasploit. RU.
Курс: Metasploit Penetration Testing Recipes.
Книга: Metasploit 5.0 for Beginners. 2020.
Книга: Metasploit Penetration Testing Cookbook.
Книга: Руководство пользователя Metasploit. RU
‼️ Дополнительную информацию ты сможешь найти по хэштегу #Metasploit. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🧠 Социальная инженерия. НЛП. Профайлинг. Психология.
• Ещё в 1906 году в предместье Берлина безработный Вильгельм Фогт купил на рынке изношенную форму прусского капитана и направился к ближайшим казармам. Там он встретил незнакомого сержанта с четырьмя гренадерами и приказал им захватить ратушу. Фогт забрал у сдавшегося бургомистра без малейшего сопротивления всю городскую казну — четыре тысячи марок. Затем он отдал распоряжение всем оставаться на местах еще полчаса, после чего уехал из города на поезде уже в гражданской одежде.
• Социальная инженерия включает в себя много аспектов, именно поэтому, я рекомендую тебе не только изучать полезные и вспомогательные инструменты, читать статьи по пентесту, фишингу, взломам, но и уделить время таким направлениям как #профайлинг, #психология, #НЛП. Если ты будешь изучать эти направления, то шанс получить необходимую информацию при межличностной коммуникации повышается в несколько раз. Все зависит от уровня твоей подготовки. Я собрал для тебя небольшой список статей, который поможет тебе прокачать свой скилл:
Профайлинг: Взламываем людей.
Профайлинг: Анализ поведения.
Профайлинг: Как правильно читать человека?
Профайлинг: Тактика допроса: искусство изобличения во лжи.
Профайлинг: Как ведет себя лжец ? Читаем людей.
Психология: Учимся убеждать людей.
Психология: Психология Высшей Школы КГБ.
Психология: Ограничение выбора и Механизмы воздействия.
Психология: Особенности оценки личности в процессе общения.
Психология: Методы психологического воздействия на человека.
НЛП: Метод подстройки в НЛП.
НЛП: Тактические приемы влияния НЛП.
НЛП: Подборка сложных приемов манипуляции сознанием.
НЛП: Социальная инженерия и НЛП. Как вызвать нужное состояние.
НЛП: Осторожно, манипуляция! 12 примеров из популярных фильмов.
‼️ Это лишь малая доля информации с которой тебе следует начать, дополнительную информацию ты сможешь найти по хэштегам #НЛП #Психология и #Профайлинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов.
• Ещё в 1906 году в предместье Берлина безработный Вильгельм Фогт купил на рынке изношенную форму прусского капитана и направился к ближайшим казармам. Там он встретил незнакомого сержанта с четырьмя гренадерами и приказал им захватить ратушу. Фогт забрал у сдавшегося бургомистра без малейшего сопротивления всю городскую казну — четыре тысячи марок. Затем он отдал распоряжение всем оставаться на местах еще полчаса, после чего уехал из города на поезде уже в гражданской одежде.
• Социальная инженерия включает в себя много аспектов, именно поэтому, я рекомендую тебе не только изучать полезные и вспомогательные инструменты, читать статьи по пентесту, фишингу, взломам, но и уделить время таким направлениям как #профайлинг, #психология, #НЛП. Если ты будешь изучать эти направления, то шанс получить необходимую информацию при межличностной коммуникации повышается в несколько раз. Все зависит от уровня твоей подготовки. Я собрал для тебя небольшой список статей, который поможет тебе прокачать свой скилл:
Профайлинг: Взламываем людей.
Профайлинг: Анализ поведения.
Профайлинг: Как правильно читать человека?
Профайлинг: Тактика допроса: искусство изобличения во лжи.
Профайлинг: Как ведет себя лжец ? Читаем людей.
Психология: Учимся убеждать людей.
Психология: Психология Высшей Школы КГБ.
Психология: Ограничение выбора и Механизмы воздействия.
Психология: Особенности оценки личности в процессе общения.
Психология: Методы психологического воздействия на человека.
НЛП: Метод подстройки в НЛП.
НЛП: Тактические приемы влияния НЛП.
НЛП: Подборка сложных приемов манипуляции сознанием.
НЛП: Социальная инженерия и НЛП. Как вызвать нужное состояние.
НЛП: Осторожно, манипуляция! 12 примеров из популярных фильмов.
‼️ Это лишь малая доля информации с которой тебе следует начать, дополнительную информацию ты сможешь найти по хэштегам #НЛП #Психология и #Профайлинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🔒 Социальная инженерия и физическая безопасность. Взламываем Bluetooth Smart Lock.
• В этой статье мы рассмотрим коммерческий умный навесной замок и поговорим об этапах, которые должен пройти каждый пентестер во время тестирования на проникновение устройства с поддержкой BLE (Bluetooth Low Energy).
• В сегодняшнем материале будет использоваться BLE:Bit, который облегчает работу, особенно для пентестеров-новичков. BLE:Bit – это инструмент оценки безопасности Bluetooth Low Energy. Он поставляется вместе с BLE:Bit SDK, комплектом программного обеспечения от Java, который поможет управлять вашим устройством.
👨🏻💻 Читать в telegra.ph | Зеркало
📌 Дополнительный, полезный материал...
• Awesome Lockpicking.
• Социальная инженерия. Lockpicking.
• Социальная инженерия и физическая безопасность.
• Практическое руководство по взлому сейфов и замков.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Физическая безопасность — важный аспект социального инженера. Изучение того, как взламывать замки, может быть полезно для получения доступа к компаниям, сейфам, офисам или другим местам, где будет храниться необходимая информация.• В этой статье мы рассмотрим коммерческий умный навесной замок и поговорим об этапах, которые должен пройти каждый пентестер во время тестирования на проникновение устройства с поддержкой BLE (Bluetooth Low Energy).
• В сегодняшнем материале будет использоваться BLE:Bit, который облегчает работу, особенно для пентестеров-новичков. BLE:Bit – это инструмент оценки безопасности Bluetooth Low Energy. Он поставляется вместе с BLE:Bit SDK, комплектом программного обеспечения от Java, который поможет управлять вашим устройством.
👨🏻💻 Читать в telegra.ph | Зеркало
📌 Дополнительный, полезный материал...
• Awesome Lockpicking.
• Социальная инженерия. Lockpicking.
• Социальная инженерия и физическая безопасность.
• Практическое руководство по взлому сейфов и замков.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Telegraph
Социальная инженерия и физическая безопасность. Взламываем Bluetooth Smart Lock.
Эта статья является частью подборки, благодаря которой людей обучают тому, как правильно проводить пентест устройств Интернета вещей. Давайте начнем наше путешествие в мир хакерства и сперва познакомимся с протоколом Bluetooth Low Energy. В этой статье мы…
🐘 Охота на «мамонта».
• Пандемия является источником вдохновения для мошенников, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.
💬 Купить вакцину от COVID-19 и авиабилеты с огромной скидкой, унаследовать состояние заграничного дяди, почившего от коронавируса, и получить финансовую компенсацию.... о новых способах отъема денег и о других методах читайте в статье https://www.mn.ru/articles/ohota-na-mamonta
‼️ О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хэщтегам #СИ и #Фишинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему. • Пандемия является источником вдохновения для мошенников, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.
💬 Купить вакцину от COVID-19 и авиабилеты с огромной скидкой, унаследовать состояние заграничного дяди, почившего от коронавируса, и получить финансовую компенсацию.... о новых способах отъема денег и о других методах читайте в статье https://www.mn.ru/articles/ohota-na-mamonta
‼️ О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хэщтегам #СИ и #Фишинг. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Московские новости
Охота на «мамонта»
В пандемию в арсенале мошенников появилась фиктивная продажа «вакцин от ковида» и другие инновационные методы «развода» населения на деньги.
🧠 Социальная инженерия в кино.
• Сегодня выходной день, и мне очень не хочется грузить тебя сложным материалом и загружать твой мозг по максимуму. Предлагаю тебе ознакомиться с подборкой топовых фильмов которые затрагивают тему социальной инженерии и хакерства в целом.
• 7 фильмов, по которым можно изучать социальную инженерию.
• Если ты уже знаком с этими фильмами, то у меня найдется для тебя другой мотивирующий материал: 15 документальных фильмов о хакерах и хакерстве.
• Также, обрати внимание на подборку фильмов которые должен посмотреть каждый хакер: https://github.com/k4m4/movies-for-hackers
‼️ Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Одни техники атак приходят на смену другим, но кое-что остается неизменным: пока компьютерами пользуются люди, социальная инженерия будет оставаться в арсенале хакеров.
• Сегодня выходной день, и мне очень не хочется грузить тебя сложным материалом и загружать твой мозг по максимуму. Предлагаю тебе ознакомиться с подборкой топовых фильмов которые затрагивают тему социальной инженерии и хакерства в целом.
• 7 фильмов, по которым можно изучать социальную инженерию.
• Если ты уже знаком с этими фильмами, то у меня найдется для тебя другой мотивирующий материал: 15 документальных фильмов о хакерах и хакерстве.
• Также, обрати внимание на подборку фильмов которые должен посмотреть каждый хакер: https://github.com/k4m4/movies-for-hackers
‼️ Другую дополнительную информацию ты можешь найти по хештегам #СИ и #Hack. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🔖 Извлекаем метаданные.
• Сегодня мы поговорим о том, какую информацию можно получить из файлов, какие инструменты помогут нам при сборе и извлечении информации.
👨🏻💻 Читать в telegra.ph | Зеркало
📌 Дополнительный, полезный материал...
• Изменяем метаданные.
• Хакеры используют Google CDN для размещения малвари.
• Социальная инженерия на практике. Разведка.
• Социальная инженерия на практике. Подготовка.
• Социальная инженерия на практике. Рассылка.
• Социальная инженерия на практике. Итоги.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.• EXIF — стандарт, позволяющий добавлять к изображениям и прочим медиафайлам дополнительную информацию, комментирующую этот файл, описывающий условия и способы его получения.
• Сегодня мы поговорим о том, какую информацию можно получить из файлов, какие инструменты помогут нам при сборе и извлечении информации.
👨🏻💻 Читать в telegra.ph | Зеркало
📌 Дополнительный, полезный материал...
• Изменяем метаданные.
• Хакеры используют Google CDN для размещения малвари.
• Социальная инженерия на практике. Разведка.
• Социальная инженерия на практике. Подготовка.
• Социальная инженерия на практике. Рассылка.
• Социальная инженерия на практике. Итоги.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
Telegraph
Тестирование на безопасность организаций с помощью метаданных.
Метаданные представляют собой, как бы это просто не звучало, информацию о других данных. В компьютерных системах они используются для правильной интерпретации файлов и хранения их описательных атрибутов. Хотя метаданные не всегда видны, они хранят гораздо…
📚 OSCP.
• Данная статья рекомендуется к прочтению всем, кто хочет расти и развиваться в сфере ИБ. Приятного чтения:
🧷 https://habr.com/ru/company/avito/blog/540738/
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #ИБ
P.S. Дополнительная информация от нашего читателя: https://www.netsecfocus.com/oscp/2019/03/29/The_Journey_to_Try_Harder-_TJNulls_Preparation_Guide_for_PWK_OSCP.html
🖖🏻 Приветствую тебя user_name.
• Многие из Вас, очень часто задают вопросы про OSCP и просят рассказать, каким образом и как пройти один из самых сложных экзаменов в сфере ИБ. Сегодня представляю тебе статью, в которой подробно расписано что предстоит пройти и к чему следует готовиться для получения заветного сертификата.• Данная статья рекомендуется к прочтению всем, кто хочет расти и развиваться в сфере ИБ. Приятного чтения:
🧷 https://habr.com/ru/company/avito/blog/540738/
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #ИБ
P.S. Дополнительная информация от нашего читателя: https://www.netsecfocus.com/oscp/2019/03/29/The_Journey_to_Try_Harder-_TJNulls_Preparation_Guide_for_PWK_OSCP.html
Хабр
OSCP: как я сдавал самый известный экзамен по информационной безопасности
Offensive Security Certified Professional отличается от других сертификаций по информационной безопасности адски сложным экзаменом. Ребята из Offensive Security бегают по интернету и пристально следят...
📲 SIM SWAP. Обман на 100 000 000 $.
• Cуть таких атак заключается в том, что атакующий обращается к оператору сотовой связи и с помощью социальной инженерии, добивается переноса номера на новую SIM карту. После того как номер был перенесен, атакующий получает доступ ко всем привязанным к номеру учетным записям. Разумеется перехватить код 2ФА становится крайне легко. Соответственно атакующий может похитить криптовалюту, угнать аккаунты социальных сетей и т.д.
• Новость о задержании ты можешь прочитать тут: https://www.securitylab.ru/news/516520.php
• Sim Swap очень распространенная схема, которая приносит атакующим большой профит. Напоминаю что Twitter аккаунт Джека Дорси (создателя Twitter) взломали именно таким способом. После чего, в Twitter появилась возможность отключать двухфакторную аутентификацию по SMS и использовать другие методы двухфакторной аутентификации.
• В свою очередь, советую ознакомится со статьей: "Sim Swap. Способы защиты от угона sim карт".
✉️ А также, можешь ознакомится с интересным софтом SMS Ping — приложение которое может быть использовано с целью определения, находится ли абонент в сети или нет. Суть заключается в том, что на телефон абонента отправляется тихое SMS сообщение, почему тихое ? потому что абонент, номер которого ты указал в программе его не получит, за то ты получишь результат, в сети абонент или нет. Ссылки для скачивания и подробное описание есть в нашем канале.
‼️ Делись с друзьями, добавляй в избранное и ищи другой полезный материал по хэштегу #СИ. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• В начале текущей недели, была арестована группа из 8 человек, которые активно использовали метод Sim Swap тем самым похищали средства у американских знаменитостей. Общий доход таких атак составил более 100 000 000 долларов США в криптовалюте. Помимо денежных средств, атакующие получили доступ к личной информации и социальным сетям своих жертв.• Cуть таких атак заключается в том, что атакующий обращается к оператору сотовой связи и с помощью социальной инженерии, добивается переноса номера на новую SIM карту. После того как номер был перенесен, атакующий получает доступ ко всем привязанным к номеру учетным записям. Разумеется перехватить код 2ФА становится крайне легко. Соответственно атакующий может похитить криптовалюту, угнать аккаунты социальных сетей и т.д.
• Новость о задержании ты можешь прочитать тут: https://www.securitylab.ru/news/516520.php
• Sim Swap очень распространенная схема, которая приносит атакующим большой профит. Напоминаю что Twitter аккаунт Джека Дорси (создателя Twitter) взломали именно таким способом. После чего, в Twitter появилась возможность отключать двухфакторную аутентификацию по SMS и использовать другие методы двухфакторной аутентификации.
• В свою очередь, советую ознакомится со статьей: "Sim Swap. Способы защиты от угона sim карт".
✉️ А также, можешь ознакомится с интересным софтом SMS Ping — приложение которое может быть использовано с целью определения, находится ли абонент в сети или нет. Суть заключается в том, что на телефон абонента отправляется тихое SMS сообщение, почему тихое ? потому что абонент, номер которого ты указал в программе его не получит, за то ты получишь результат, в сети абонент или нет. Ссылки для скачивания и подробное описание есть в нашем канале.
‼️ Делись с друзьями, добавляй в избранное и ищи другой полезный материал по хэштегу #СИ. Твой S.E.
🧩 RFID Pentester Pack.
• Сегодня я собрал для тебя подборку инструментов для работы с RFID. С этими инструментами, ты можешь выполнить практически любую задачу, связанную с RFID, которая тебе когда-либо понадобится: тестирование, взлом, анализ, эмуляция, чтение, запись, отладка, программирование и т.д.
• DL533N;
• ChameleonTiny;
• LF Antenna Pack;
• HF Antenna Pack;
• RFID Field Detector;
• ChameleonTiny Pro;
• Proxmark Blueshark;
• Proxmark 3 RDV4.01;
• ChameleonMini RevG.
‼️ Описание каждого инструмента, доступно по ссылкам выше. Также, не забывай про другой полезный материал:
Подборка: Social Engineering Tools.
Подборка: Red Teaming Toolkit Collection.
Подборка: 100 лучших хакерских инструментов в 2020 году.
tools: O•MG keylogger.
tools: nRF52840 dongle.
tools: AirDrive Keylogger Pro.
Статья: ESP8266. Фейковые точки доступа и атака на сеть.
Статья: Социальная инженерия и физическая безопасность.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #tools #Пентест #СИ и #RFID. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Несколько месяцев назад, я опубликовал 2 статьи "Арсенал социального инженера" и "Походный арсенал пентестера", в которых описаны инструменты, применяемые на практике для проведения пентеста.• Сегодня я собрал для тебя подборку инструментов для работы с RFID. С этими инструментами, ты можешь выполнить практически любую задачу, связанную с RFID, которая тебе когда-либо понадобится: тестирование, взлом, анализ, эмуляция, чтение, запись, отладка, программирование и т.д.
• DL533N;
• ChameleonTiny;
• LF Antenna Pack;
• HF Antenna Pack;
• RFID Field Detector;
• ChameleonTiny Pro;
• Proxmark Blueshark;
• Proxmark 3 RDV4.01;
• ChameleonMini RevG.
‼️ Описание каждого инструмента, доступно по ссылкам выше. Также, не забывай про другой полезный материал:
Подборка: Social Engineering Tools.
Подборка: Red Teaming Toolkit Collection.
Подборка: 100 лучших хакерских инструментов в 2020 году.
tools: O•MG keylogger.
tools: nRF52840 dongle.
tools: AirDrive Keylogger Pro.
Статья: ESP8266. Фейковые точки доступа и атака на сеть.
Статья: Социальная инженерия и физическая безопасность.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #tools #Пентест #СИ и #RFID. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👨🏻💻 Онлайн песочницы. Защита от вредоносных файлов. V2.
• Дешифраторы коротких URL-ссылок и проверка ссылок на вирусы:
https://scanurl.net/
https://longurl.info/
https://unshorten.me/
http://www.trueurl.net/
http://checkshorturl.com
http://www.untinyurl.com
https://vms.drweb.ru/online/
https://opentip.kaspersky.com/
https://iplogger.ru/url-checker/
https://www.virustotal.com/gui/home/url
• Онлайн песочницы:
https://any.run
https://cuckoo.cert.ee
https://www.hybrid-analysis.com
http://www.cpcheckme.com/checkme
https://threatpoint.checkpoint.com/ThreatPortal/emulation
• Онлайн-антивирусы:
https://online.drweb.com/
https://www.virustotal.com/ru/
https://opentip.kaspersky.com/
https://www.esetnod32.ru/home/products/online-scanner/
• Проверка анонимности:
https://amiunique.org/fp
http://proiptest.com/test/
https://proxy6.net/privacy
https://webkay.robinlinus.com/
https://coveryourtracks.eff.org/
https://browsercheck.qualys.com/
http://www.hackerwatch.org/probe/
http://www.cpcheckme.com/checkme/
http://www.t1shopper.com/tools/port-scan/
‼️ Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #Подборка. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
💬 Недавно я публиковал подборку необходимых онлайн ресурсов, благодаря которым ты можешь проверить любой файл, полученный из недостоверного источника. Сегодня мы дополним данный список необходимыми источниками и полезным материалом, с помощью которых ты обезопасишь себя от фишинга.• Дешифраторы коротких URL-ссылок и проверка ссылок на вирусы:
https://scanurl.net/
https://longurl.info/
https://unshorten.me/
http://www.trueurl.net/
http://checkshorturl.com
http://www.untinyurl.com
https://vms.drweb.ru/online/
https://opentip.kaspersky.com/
https://iplogger.ru/url-checker/
https://www.virustotal.com/gui/home/url
• Онлайн песочницы:
https://any.run
https://cuckoo.cert.ee
https://www.hybrid-analysis.com
http://www.cpcheckme.com/checkme
https://threatpoint.checkpoint.com/ThreatPortal/emulation
• Онлайн-антивирусы:
https://online.drweb.com/
https://www.virustotal.com/ru/
https://opentip.kaspersky.com/
https://www.esetnod32.ru/home/products/online-scanner/
• Проверка анонимности:
https://amiunique.org/fp
http://proiptest.com/test/
https://proxy6.net/privacy
https://webkay.robinlinus.com/
https://coveryourtracks.eff.org/
https://browsercheck.qualys.com/
http://www.hackerwatch.org/probe/
http://www.cpcheckme.com/checkme/
http://www.t1shopper.com/tools/port-scan/
‼️ Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #Подборка. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🧩 Payloads Collection.
Part 1:
https://github.com/foospidy/payloads
https://github.com/terjanq/Tiny-XSS-Payloads
https://github.com/payloadbox/rfi-lfi-payload-list
https://github.com/payloadbox/csv-injection-payloads
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/xxe-injection-payload-list
https://github.com/hahwul/XSS-Payload-without-Anything
https://github.com/payloadbox/open-redirect-payload-list
https://github.com/payloadbox/command-injection-payload-list
Part 2:
https://github.com/sh377c0d3/Payloads
https://github.com/BrodieInfoSec/BIG_XSS
https://github.com/RedVirus0/LFI-Payloads
https://github.com/pgaijin66/XSS-Payloads
https://github.com/emadshanab/LFI-Payload-List
https://github.com/austinsonger/payloadsandlists
https://github.com/secf00tprint/payloadtester_lfi_rfi
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/akalankauk/XSS-SQL-Master-Payloads
Part 3:
https://github.com/cujanovic/SSRF-Testing
https://github.com/omurugur/XSS_Payload_List
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/swisskyrepo/PayloadsAllTheThings
https://github.com/omurugur/OS_Command_Payload_List
https://github.com/omurugur/Open_Redirect_Payload_List
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #bugbounty #payload
🖖🏻 Приветствую тебя user_name.💬 Сегодня я представляю тебе подборку ресурсов в которых собраны: инструменты, литература, payload'ы, видеоуроки, способы эксплуатации различных web-уязвимостей и многое другое...
Part 1:
https://github.com/foospidy/payloads
https://github.com/terjanq/Tiny-XSS-Payloads
https://github.com/payloadbox/rfi-lfi-payload-list
https://github.com/payloadbox/csv-injection-payloads
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/sql-injection-payload-list
https://github.com/payloadbox/xxe-injection-payload-list
https://github.com/hahwul/XSS-Payload-without-Anything
https://github.com/payloadbox/open-redirect-payload-list
https://github.com/payloadbox/command-injection-payload-list
Part 2:
https://github.com/sh377c0d3/Payloads
https://github.com/BrodieInfoSec/BIG_XSS
https://github.com/RedVirus0/LFI-Payloads
https://github.com/pgaijin66/XSS-Payloads
https://github.com/emadshanab/LFI-Payload-List
https://github.com/austinsonger/payloadsandlists
https://github.com/secf00tprint/payloadtester_lfi_rfi
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/akalankauk/XSS-SQL-Master-Payloads
Part 3:
https://github.com/cujanovic/SSRF-Testing
https://github.com/omurugur/XSS_Payload_List
https://github.com/omurugur/SQL_Injection_Payload
https://github.com/swisskyrepo/PayloadsAllTheThings
https://github.com/omurugur/OS_Command_Payload_List
https://github.com/omurugur/Open_Redirect_Payload_List
‼️ Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E. #bugbounty #payload
😈 Методы, применяемые при фишинговых атаках.
• Угон Telegram каналов. v2.
• Фейковая курьерская доставка.
• Фишинг сообществ криптовалютных трейдеров в Discord.
• Фейковая рассылка от "Почты РФ" для российских компаний.
• Фейковые рассылки от продюсеров российских «звезд».
• Фишеры используют морзянку, чтобы маскировать вредоносные URL.
• Выплата компенсаций. Рассылка фишинговых ссылок на альбомы с Google Фото.
• Фишинговая кампания, нацеленная на высшее руководство крупных компаний разных стран.
• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.
• Пандемия является источником вдохновения для мошенников, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Сегодня я собрал для тебя подборку методов, которые использовали фишеры в течении этого месяца и будут использоваться еще долгое время. Такие подборки будут публиковаться на постоянной основе, около 1 раз в месяц и будут включать в себя весь актуальный материал по данной теме. Список не претендует на полноту. Подробный разбор каждого из метода, ты можешь найти по ссылкам ниже. • Угон Telegram каналов. v2.
• Фейковая курьерская доставка.
• Фишинг сообществ криптовалютных трейдеров в Discord.
• Фейковая рассылка от "Почты РФ" для российских компаний.
• Фейковые рассылки от продюсеров российских «звезд».
• Фишеры используют морзянку, чтобы маскировать вредоносные URL.
• Выплата компенсаций. Рассылка фишинговых ссылок на альбомы с Google Фото.
• Фишинговая кампания, нацеленная на высшее руководство крупных компаний разных стран.
• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.
• Пандемия является источником вдохновения для мошенников, о чем я писал самого начала пандемии, ведь в период напряженной обстановки в мире, атакующие могут добиться максимального отклика от своих жертв.
‼️ Другую дополнительную информацию ты можешь найти по хештегам #Фишинг и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.