Мыслить как безопасник
9.07K subscribers
857 photos
46 videos
61 files
1.06K links
Мои размышления про корпоративную безопасность, расследования, профайлинг, OSINT, ИБ и самооборону

Сайт: https://artemov-security.ru

Читайте закреп
Download Telegram
Forwarded from В адресах
На острие психологической борьбы со здравым смыслом
1🤣216👍2🔥2🫡2🤯1🎉1
🏝 Сезон отпусков - несколько советов по цифровой гигиене

📊 Отключите в настройках устройства автоподключение к открытым Wi-Fi. Чаще всего вы будете сталкиваться с ними в отелях, аэропортах, на пляжах и т.д. Лучше пользуйтесь мобильным интернетом, если есть возможность. Открытые и бесплатные Wi-Fi точки супер уязвимы и, скорее всего, уже давно скомпрометированы.

🛜 Желательно на время отпуска включить функцию отслеживания устройства и поставить пароль на вход и симку, чтобы в случае потенциальной кражи хотя бы немного нивелировать риски.

📥 Сделайте резервную копию устройства заранее.

🏖 Будьте очень внимательны при бронировании отелей: вредоносные сайты часто мимикрируют под популярные букинговые сервисы. Расчет на то, что в расслабленном состоянии у нас все сильно хуже с критическим мышлением.

🗺 Конечно, фотки во время отпуска выкладывает подавляющее большинство людей. Ну если уж вам так хочется и вы не можете потерпеть до дома, то хотя бы не делитесь геолокацией. Для некоторых стран это особенно актуально просто с точки зрения вашей личной безопасности.

#asc_цифровая_гигиена #asc_советы

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
114👍7🔥6👏2🎉1
😀 Данные игроков Pokemon Go применили при разработке навигации для военных дронов

"В течение нескольких лет миллионы игроков активно играли в Pokemon Go, исследуя локации своих городов. Чтобы получить внутриигровые награды, они исследовали пространство с помощью своих смартфонов. Теперь эти данные, возможно, будут использовать для управления военными дронами.

Ранее СМИ сообщали, что собранные игроками данные используют для навигации роботов-доставщиков. Вероятно, их решили использовать и в военных целях.

По
данным Trouw, Niantic Spatial объединилась с компанией Vantor, специализирующейся на разведке местности для оборонных задач. Партнерство позволит Vantor развернуть навигационную систему для дронов и других военных целей."


➡️ Источник

Не буду говорить, что это очевидно и я об этом уже думал, но давайте признаем: факт того, что миллионы людей по всему миру годами фоткают и снимают видео разных объектов (и не ясно, где все это хранится и как обрабатывается), как минимум СТРАННО. Теперь все встало на свои места.

Объемные карты - это следующий шаг, в который сейчас идут все крупные технологические компании.

#asc_обзор_новостей #asc_hack_and_security #asc_osint

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍10🤯5👏3😱3🤔2🫡21
Один – для дел земных и ясных,
Для звонких слов, дорог, забот,
Для карт, для писем ежечасных —
С ним путник день и ночь живет.

Второй – без имени и знака,
Без медной жилы SIM-огня;
Он шепчет в мягком полумраке
С личин, не знающих меня.

Там тайных чатов сеть витая,
Там твинков скрытые врата,
И тень аккаунта, мерцая,
Уходит в серые места.

А третий – чист, как снег на склонах,
Где не ступал ни зверь, ни маг;
Лишь Макс стоит в его чертогах,
Единственный державный знак.

Нет SIM и в нём. Он безмятежен,
Не знает ни друзей, ни драм;
Как меч, что вынут был из ножен
Лишь ради одного врага.

Четвёртый спит за сталью дверцы,
Где сейф хранит немой предел;
В нём SIM, как пламя в тайном сердце,
Двухфакторных для важных дел.

Не для прогулок, не для славы,
Не для мемов, звонков, сетей —
Он страж последней переправы
К сокровищам моих ключей.

Четыре телефона-брата,
У каждого – своя судьба:
Для света, полумрака, злата,
И башни Мордора врата.
2🤣27🔥168👍4👏3😭1🫡1
Почему важно определить базовую линию поведения, прежде чем анализировать реакции человека?

Подходов к определению базовой линии поведения (БЛП) много. Об этом мы подробно пишем в отдельной статье.

Если говорить простыми словами, БЛП — это то, как человек ведет себя в обычном состоянии: его привычные жесты, мимические движения, манера речи, особенности проявления эмоций и т.д.

Набор таких поведенческих характеристик уникален, как и каждый человек.

Например, некоторые люди практически не жестикулируют, часто стоят или сидят со скрещенными руками. Другие же активно размахивают руками, задевая все, что оказывается рядом.

Кто-то всегда говорит медленно, кто-то громко. У кого-то речь изобилует словами-паразитами.

Чтобы выявить и проанализировать БЛП, иногда требуется немало времени. Однако без этого этапа нельзя переходить к анализу и интерпретации реакций.

Почему?

Очень наглядно это объясняет Джо Наварро в своей книге «Я вижу, о чем вы думаете»:
«Если вы не будете знать, какие элементы поведения являются базовыми, то окажетесь похожими на родителей, которые не заглядывают в горло своему ребенку, пока тот не заболеет. Такие люди вызывают врача и пытаются описать, что увидели, но им не с чем сравнить, потому что они не имеют понятия, как выглядело горло ребенка, когда тот был здоров.

Только изучив то, что нормально, мы сможем заметить и понять то, что нормой не является».


От себя добавим: определение базовой линии поведения помогает не оценивать реакции собеседника через распространенные клише вроде «если человек скрестил руки, значит, он что-то скрывает».

Ведь если ему так удобно, или он в принципе отличается стеснительностью, – это его норма. Следовательно, такие признаки сами по себе не говорят ни о значимости темы, ни об обмане.

#анализповедения #профайлинг

🛡 Сайт | Дзен | 🌐 ВК | 🔴 МАХ
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍16🔥54👏2🎉1🙏1
🎬 Материнский инстинкт / Maternal Instinct (2026) 18+

Жанр: документальный, криминал

Описание: В центре сюжета жуткая история из Техаса: женщина рожает в машине, её везут в больницу, и там выясняется, что ни ребёнок, ни кровь на ней ей не принадлежат. Далее начинается расследование, которое раскрывает страшные детали и пытается объяснить, как такое вообще могло произойти.

https://www.imdb.com/title/tt42863533/

В сети уже окрестили это самой мрачной документалкой у Netflix. Для того, чтобы немного ввести вас в контекст, ложная беременность - это сложное психофизиологическое расстройство, при котором женщина считает, что она беременна и даже испытывает множество "симптомов" как при реальной беременности. Это очень редкое эндокринное отклонение, усугубляющееся разными психологическими факторами.

Очень сильно, подойдет не для всех.

#asc_кино

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
111🔥4👍3👏1😱1🎉1
📃 Paged out! - бесплатный журнал об ИБ и технологиях

Подсмотрел тут у одного канала пост о том, что уже какое-то время издается журнал об ИБ с очень интересной концепцией: "1 страница - 1 статья". Такой подход должен очень дисциплинировать авторов, потому что нет возможности растекаться мыслью по древу. Да и для читателей хорошо - небольшой объем контента позволяет не утратить концентрацию и сохранить качество понимания текста (да-да, такие времена).

➡️ Читать

Пишут энтузиасты со всего мира, распространяется журнал бесплатно и без всяких подписок (по крайней мере, пока что, принимаются просто пожертвования на добровольной основе). На данный момент вышло 8 выпусков. Я полистал и поймал себя на мысли, что это как Хакер, только бесплатно и с вполне себе не плохой версткой!

#asc_hack_and_security

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
110👍5🔥2🙏2👏1💔1
🔵 Social Engineering in Red Team Operations: Technical Setup and Tools 🔵

💬 "Let's talk about social engineering and OSINT in modern red team operations. Despite all the fancy security tech out there, humans still make decisions based on trust, authority, and urgency. That's why social engineering remains one of the most reliable ways to breach an organization's defenses.

In this article, I'll walk you through the technical infrastructure needed for effective social engineering campaigns. I'll focus on practical implementations with code examples you can adapt to your own assessments. Whether you're building phishing domains, setting up email infrastructure, or creating convincing landing pages, you'll learn the techniques that make these operations successful."


➡️ Читать

Супер обширный гайд по социалке (почти на 30 мин прочтения), который поделен на 3 части:

🔷Подготовка инфраструктуры для атаки;
🔷OSINT инструменты для разведки;
🔷Автоматизация OSINT для разных задач.

Основной акцент, естественно, для пентестеров (все в легальном поле, не забываем).

#asc_статья #asc_hack_and_security #asc_osint #asc_profiling

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍85🔥4👏2🤔1🙏1
Forwarded from Гуляй-Город
Запускаем сбор средств на пре-альфу игры «Осовец 1915»!

Итоги конкурса в ИРИ объявят лишь в конце октября. Мы, конечно, верим в победу, но не хотим сидеть сложа руки и планируем провести эти месяцы с пользой.

Нам нужно собрать 2.000.000 (с учётом комиссий и налогов) рублей. На что пойдут эти деньги?

Пре-альфу делаем на движке Godot. Разобьём задачи на три ключевых направления:

Техническая часть:
— Экран крепости, перемещение персонажей внутри и строительство;
— Добыча ресурсов и шкала ресурсов;
— Экран региона, взаимодействие армий, работа артиллерии и «туман войны»;
— Экран диалогов.

Художественная часть:
— Глобальная карта, экран карты, объекты: от населённых пунктов до крепости;
— Сражения, разведка и «туман войны»;
— Механика артобстрела/пушки;
— Карта крепости, визуализация крепости и построек, ландшафт и объекты ресурсов;
— Юниты, главные герои и войска;
— Визуальные концепты путей развития: Священник, Квартирмейстер и Офицер.

Нарративная часть:
— Биографии, судьбы и особенности главных героев;
— Сюжет игры;
— Идеологическая и патриотическая составляющая. Исторические консультации.


Как нам можно помочь:

Оформить ежемесячную подписку на один из трёх тиров на Gapi.

Отправить любое единоразовое пожертвование на Gapi или указать любую сумму в разделе «пожертвование» с ежемесячным списанием.

Если хотите поддерживать проект ежемесячно от 10.000 рублей, пишите Савве @savva_fedoseev: он добавит вас в закрытый ТГ-канал с отчётами и инсайдами о ходе разработки.

Становитесь инвестором или меценатом проекта. Пишите Савве @savva_fedoseev — вы всегда сможете созвониться или встретиться с командой лично.

Делайте репосты в своих соцсетях!

Собрано 71.873 из 2.000.000 (45.000 остаток со сбора на презентацию)

Спасибо большое!
👍65🔥2🤮2👎1🤯1
🫢 6 принципов легендирования для безопасника

Безопаснику иногда нужно быть тем, кем он не является. Это полезно уметь для лучшего сбора информации на местах, для деанона в отдельно взятых кейсах, для создания доверительных отношений и прочее. Все это можно назвать обобщенным словом "легендирование". Только не надо путать с разведкой - цели хоть и похожи, но методы из-за степени важности задач, все-таки, разные.

У меня до всех этих ваших межгалактических бигтехов был довольно неплохой опыт "коммерческих внедрений". Это когда руководитель компании просит вас "устроиться под легендой" к нему на работу и ответить на какие-то вопросы: найти инсайдера, понять климат в коллективе, выявить деструктивные эллементы, улучшить командное взаимодействие, выявить скрытых лидеров и многое другое. Короче, опыт имеется более чем. По хорошему, тут нужно писать прямо дотошную статью, потому что внедрение в компанию на месяц-два или проникновение в офис для проведения физ.пентеста (легальный способ проверки защищенности контура организации) - это ОЧЕНЬ разные подходы.

Поэтому, очень верхнеуровнево проговорим 6 базовых принципов, которые будут полезны для любой ситуации:

1️⃣ Разведка, как бы это не звучало банально: что за организация, мероприятие, кто руководитель, чем занимаются, какой сайт, какие соцсети, что пишут в СМИ, как устроен офис и далее по тексту. OSINT - наше все.

2️⃣ Ваша легенда должна давать максимально возможное кол-во полномочий/возможностей. Пример из физ.пентеста: вам надо попасть на 10 этаж в офис гендира и сделать снимок его PC (просто в качестве учебной цели). Может показаться, что хороший вариант легенды - это какой-нибудь техник или электрик, так как не вызовет подозрений, находясь на этаже. А вот если он зайдет в кабинет гендира - это уже сомнительно. И, например, уборщица - может зайти на этаж и зайти в кабинет гендира, вызывая сильно меньше подозрений. Иными словами - конгруэнтность и больше свободы без подозрений.

3️⃣ Личный опыт переживания. Супер неочевидный совет, который я усвоил в свое время лучше всего, после одного "почти провала". Любое поведение и легенда будет считываться доверительно окружающими только в том случае, если вы когда-то уже делали то или иное действие. Иными словами, если вы хотите прикинуться пожарным и никогда в жизни не имели дела с этой отраслью, это будет смотреться смешно даже со стороны не разбирающихся людей. Вы будете выделяться как "битый пиксель". Поэтому всегда надо готовиться заранее и "входить в образ" заблаговременно. И еще желательно иметь несколько готовых ролей-шаблонов на все случаи жизни, которые у вас будут хорошо отрепетированы.

4️⃣ Не стоит использовать избыточное кол-во деталей при создании легенды (вы не в посольство другой страны внедряетесь для сбора разведданных, все-таки). Очень легко можно завраться и попасть в ситуацию, когда какой-то факт, который вы придумаете, легко можно перепроверить и это вас скомпрометирует:

"Откуда вы родом?
"О, я из далекой деревни в Сибире Савошки!"
"Не бывает таких совпадения, вы не поверите, и я тоже! А помните сторожа
дядю Васю?..." и как бы все.

5️⃣ Тренируйте память (особенно зрительную). Использовать диктофоны в некоторых ситуациях - это очень большой риск компрометации.

6️⃣ Тренируйте стрессоустойчивость и гибкость в коммуникациях. Всегда все может пойти не по плану и нужно уметь быстро адаптироваться к изменениям и каверзным вопросам. Для этого тоже хорошо бы тренироваться заранее и не только саму легенду, но и в принципе коммуникации.

Местами, мое видение пересекается с известным специалистом по соц.инженерии Кристофером Хэднеги, который как раз описывал свои советы по легендированию в книге "Искусство обмана: социальная инженерия в мошеннических схемах". Тоже очень советую почитать для общего развития.

Ну и в заключении скажу, что можно придумать еще очень много всего, но я сразу оговорился, что в этом посте ограничимся верхнеуровневыми и более-менее универсальными советами.

#asc_советы #asc_profiling #asc_osint #asc_security

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
113👍8🔥5👏2🎉2😱1🙏1
🪄 Пост о подгорании моей пятой точки

Как же меня бомбануло...скинули мне тут статью:

➡️ Источник

💬 "Новоявленный целитель Валерий Кустов наделал много шуму на ТВ. Он берётся лечить любого и от любой болезни."

Когда я вижу подобное, особенно, на главном канале нашей страны, я не верю, что в 2026 году мы возвращаемся в 90-е к формату Кашпировского. Объяснение простое - сейчас непростое время и всегда в такие времена вылезают подобные персонажи, потому что у народа есть потребность в чуде - это закономерность. Ну и я искренне не понимаю, почему подобными эпизодами до сих пор не занимаются уполномоченные органы. Более того, у нас есть ОКВЭД для ИП 96.09 - Предоставление прочих персональных услуг, не включенных в другие группировки. В первом же предложении в расшифровке, там указано следующее: деятельность астрологов и медиумов.

Называть всякими нехорошими словами я этого персонажа не буду и обращу ваше внимание лишь на один "примечательный факт", на который обратили и журналисты из статьи выше:

💬 "У Валерия Кустова есть собственный сайт. На нём опубликовано сообщение, что записаться на приём можно строго в письменном виде через специальную форму. Обращающийся должен указать свои ФИО, возраст, город проживания, номер мобильного телефона, электронную почту и подробно описать свой недуг, а ещё желательно приложить медицинское заключение и другие документы из своей лечебной организации."

Иными словами, современные "экстрасенсы" просто могут использовать ботов для пробива и утечки, чтобы получить исчерпывающий набор фактов о своем клиенте и выдавать это потом за сверхспособности. Схема стара как мир, просто раньше с этим было чуть сложнее, а сейчас, когда доступ к подобным системам стоит копейки, проблем нет никаких. К сожалению, подавляюшее большинство людей не знают, что такое OSINT и как устроен "нелегальный рынок продажи перс.данных" у нас в стране.

Про все остальное говорить смысла не вижу, достаточно просто включить критическое мышление.

Ну и на всякий случай, я напомню, почему экстрасенсов не существует. В 1996 в США организовали фонд Джеймса Рэнди. Фонд занимался исследованием и научным подтверждением способностей подобных персонажей. Фонд гарантирует 1 миллион долларов тому, кто сможет доказать свои способности, пройдя ряд простых тестов. Все, что вам нужно знать это то, что за всю историю существования победителей не было.

Спасибо, выговорился.

#asc_profiling #asc_osint

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍208🤔5👏4🤯3🙏2🫡2
📖 БЕЗОПАСНОСТЬ В ПУТЕШЕСТВИЯХ

Лето - сезон отпусков. Любой отпуск - это всегда про расслабленность и про сниженное критическое мышление и это прекрасно знают злоумышленники во всех частях мира.

Цель статьи - попробовать систематизировать базовые советы по безопасности, когда вы едите в отпуск в незнакомую страну и культуру. Все детально разобрать невозможно, но направления зададим.

⏱️ Время прочтения: 12 мин

Читать: https://artemov-security.ru/tpost/80mcmurtg1-bezopasnost-v-puteshestviyah

#asc_статья #asc_security #asc_survival #asc_лонгрид

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥9👍73👏1🫡1
🇷🇺 Австралийское разведывательное агентство использует журнал Vogue для поиска новобранцев

В последние годы и МИ-6, и ЦРУ начали кампанию по набору персонала. Первая использовала социальные сети для привлечения женщин в STEM, в то время как вторая запустила кампанию, направленную на то, чтобы придать своему секретному агентству человеческое лицо, и в результате получила жесткий прием.

Похоже, что ASIS не стала исключением, поскольку запустила обновленный веб-сайт и новые аккаунты в социальных сетях. Кроме того, ее генеральный директор Керри Хартленд, которая почти никогда не выступает публично, неоднократно появлялась в СМИ, включая подкасты Seize the Yay и Vogue Australia.


➡️ Источник

На самом деле, ничего нового в этом подходе нет, так делали все и всегда. Сама Хартленд заявила, что ASIS ищет не только квалификацию, но и качества, такие как навыки межличностного общения и умение взаимодействовать с аудиторией.

#asc_обзор_новостей #asc_security #asc_osint #asc_profiling

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥6🤔42👍1👏1
Forwarded from ДМК Пресс
Бизнес-разведка 3.0 + OSINT и AI вышла из печати!

Дорогие читатели, мы наконец получили обновлённое печатное издание "Бизнес-разведки" на нашем складе. Книга официально выпущена!

Кто уже заказал - ждите скорого отправления, или приходите к нам за своими заказами

Если Вы случайно пропустили и подумываете заказать ли книгу сейчас - можно ознакомиться в информационном посте-анонсе по ссылке
👍126🔥6👏3🎉1
Сотрудники кликают на фишинг, учебные рассылки раздражают, а руководству нужны цифры?

🗓️ 15 июля в 12:00 МСК пройдет бесплатный вебинар StopPhish «Как снизить клики на фишинг в 20 раз и не настроить сотрудников против ИБ».

Участники узнают, как выстроить awareness-программу на год: учебные атаки, короткое обучение после ошибки, работа с группами риска и метрики для C-level.

🎤 Спикер: Юрий Другач, CEO StopPhish, эксперт по социальной инженерии и awareness, 10+ лет в ИБ.

О чем вебинар:


- Как получить одобрение руководства;
- Как планировать учебные атаки без токсичных сценариев;
- Что делать с теми, кто попался;
- Какие показатели показывать руководству;
- Как собрать дорожную карту на 12 месяцев.

Все, кто подключится к вебинару, получат методологию запуска awareness-программы, которую можно сразу внедрить в своей компании.

👉 Участие бесплатное, зарегистрироваться по ссылке
7👍3🔥3👏1
🎬 Шпион среди друзей / A Spy Among Friends (мини-сериал 2022) 18+

Жанр: триллер, драма

Описание: В 1963 году, когда Кима Филби заподозрили в шпионаже, его близкий друг, офицер британской разведки Николас Эллиотт, вызвался поговорить с ним один на один и добиться признания.

🍿 https://www.kinopoisk.ru/series/4673262

Далеко не все тут достоверно (очевидно, потому что это художественное произведение, а не хроника), но выглядит очень не плохо. Всем любителям спецслужб и около точно зайдет!

#asc_кино

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍12🔥4🫡2👏1
🔍 П - преемственность!

Когда вы уже на просто сообщество, а реально семья @osint_mindset ❤️

#asc_osint

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
221🥰7👍5🎉2😱1
🧠 Несколько моих избранных статей на тему репутации и фейков:

1️⃣ Простой гайд по определению фейков

💬 "В последние годы слово “фейк” стало одним из самых упоминаемых во всем мире. Могу предположить, что в последний месяц этот термин приобрел новый виток популярности. Количество фейков сейчас просто зашкаливает и, порой, очень трудно разобраться, что из новостей правда, а что нет. В этой короткой заметке я дам несколько простых советов о том, как можно фильтровать бесконечный поток новостей на предмет правдивости.

PS: так как я понимаю примерный возраст своей аудитории, призываю вас показать эту статью своим родителям тоже. Возможно, для них она будет еще полезнее."


2️⃣ Атаки на репутацию — интересные примеры из практики

💬 "Репутационные атаки – очень популярный способ сегодня испортить жизнь конкретному человеку или организации. В этой статье я разберу несколько интересных случаев из своей практики, которые наглядно продемонстрируют простоту этого типа атак.

PS: речь пойдет про репутационные атаки на физических лиц и мы не будем обсуждать наши шаги в расследовании. Основной акцент сделаем именно на самих примерах и их последствиях.

PSS: все кейсы видоизменены в целях конфиденциальности."


3️⃣ Выявление нейросетей в текстах

💬 "В силу того, что мы уже почти вошли в эпоху, когда у нас, как у человечества, фундаментально меняется подход к поиску информации (замена стандартных поисковых машин на нейросети), возникают новые риски и прикладные задачи. В данном случае - это валидация информации, потому что нейросети прекрасно умеют генерировать тексты. Есть ощущение, что в скором времени мы вообще можем столкнуться с ситуацией, когда подавляющая часть информации будет сгенерирована (звуки брюзжания).

В общем, если уйти от мрачных картин будущего, то сегодня точно нужно иметь в арсенале навык по определению "человечности текста". Вот об этом мы и поговорим."


#asc_статья #asc_profiling #asc_information_wars

📱 Канал | 🌐 ВК | 🔷 Сайт
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍73🔥3👏1🙏1