#КиберМем

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Итак, настал момент истины! 🎁

Мы подводим итоги нашего розыгрыша с каналом «Пакет Безопасности» — и готовы назвать имена счастливчиков, которые унесут с собой годовые лицензии, фирменный мерч и хорошее настроение в этот вторник!

Победителей выбирал бот-рандомайзер и вот, какие результаты получились:

1. Alex (@k0t0v5k1y) — Kaspersky Premium + Who Calls
2. h8r (@asoIender) — Kaspersky Premium + Who Calls
3. Павлик (@s7_319_3PNDP) — Kaspersky Premium + Who Calls
4. Dmitrii (@NagaevD) — фирменные носки с Мидори
5. digitale (@d1gitale) — футболка
6. ♕︎꧁𝕄𝔸𝕁𝕆ℝ꧂♕︎ — книга о кибербезе в Большом театре
7. Mikhail (@mikhailbronyuk_rtlabs) — книга о кибербезе в Большом театре
8. Northwind. — книга о кибербезе в Большом театре
9. Самеди 🦇 (@Loa_Samedi) — большой игровой ковёр для мыши
10. Arkadoz (@Arkadoz) — кружка
11. ㅤ — варежки

Проверить результаты

Что делать, если я выиграл приз? Ждать и не пропускать сообщение от нас с дальнейшими инструкциями по тому, как получить свой приз! Мы будем ждать вашего ответа в течение трёх дней после завершения конкурса.

Поздравляем победителей и всех участников! Оставайтесь с нами и следите за новостями, чтобы не пропустить следующие розыгрыши! 😎

Менторство в ИБ

Как вы помните, я официально прокачался выгорел. Но, практически сразу после этого поста, мне (внезапно) написало несколько очень крутых безопасников, за опыт и навыки которых я лично готов поручиться.

И спустя некоторое время у нас родилась идея – сделать из личного менторства что-то бОльшее. Формат менторства от этого практически не изменился, но ощутимо расширилось количество направлений и увеличился объем менторского ресурса (из-за недостатка которого я и выгорел).

Собственно, долго тянуть не буду, сделал под это дело отдельный канал, куда приглашаю тех (и только тех), кому интересно менторство в сфере кибербезопасности. Для все тех, кто "стесняется спросить", "никак не может решиться", "ждёт какого-то знака судьбы", "сейчас вот это еще доизучит и пойдёт" и всё в это духе.

Сразу скажу, что я не собираюсь писать вам в личные сообщения, делать холодные продажи или что-то навязывать.

Там я просто хочу в одном месте собрать всю самую важную информацию по менторству (да, я уже устал обновлять Notion), держать вас в курсе того, как оно видоизменяется (обычно только в лучшую сторону), ну а еще рассказывать вам про всякие лайфхаки, связанные с обучением, полезные приёмы и грабли, о которых лучше узнать заранее.

Сделаем еще одну попытку. Получится – значит получится, нет, так нет. Вэлкам – ссылка

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Напоминаю про завтрашний стрим в 20:00 по мск ☝

Готовим свои вопросы, темы и заряжаемся настроением ⌨️

Глубокий поиск

Кажется, что только ленивый не написал в своем телеграм-канале про DeepSeek, разобрав по минутам причины падения котировок всего фондового и крипто-рынков, сравнив эту нейросеть с ChatGPT, параллельно предрекая новую революцию в мире ИИ.

Шумиха поднялась большая, причем по всему миру, что вызвало интерес не только обычных людей, но и тех, кто любит на них нажиться. Собственно, этому и посвящается пост.

Как вы можете догадаться, практически в каждой из новых (на самом деле старых) схем мошенников фигурируют поддельные сервисы, которые полностью имитируют DeepSeek или связь с ним.

Одна из схем строится вокруг того, что пользоваться нейрочатом без регистрации/авторизации нельзя, поэтому на части поддельных ресурсов у вас попытаются угнать ваши логины/пароли, которые якобы будут вас авторизовывать через гугл, например.

Другие же скам-схемы проворачиваются через поддельные криптомонеты, которые якобы принадлежат самому проекту DeepSeek и якобы являются аналогом его акций в криптомире.

Само собой, при попытке получить эти монеты и подписать этот смарт-контракт (а ваш кошелек вас будет даже от этого ограждать), вы будете терять доступ как к кошельку, так и к вашим ресурсам на нём.

Все остальные схемы уж слишком похожи на то, что мы уже и так разбирали в канале, поэтому их трогать не будем.

Параллельно с этим, DeepSeek начинает страдать типовыми болячками других нейросетей и прочих сервисов, которые быстро запускаются и также быстро обретают популярность. Например, доступную для всех базу данных с чувствительной информацией, включая историю чатов пользователей. Так что помните, что всё, что вы пишете в интернет, практически всегда становится общедоступным.

Ну а нас с вами ждет еще много СКАМерских схем, связанных с этой нейросетью, поэтому будьте внимательны, обращайте внимание на адреса сайтов на которые переходите, и скачивайте приложения только из официальных источников. Всем мир.

#Кибергигиена

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Напоминаю, что уже сегодня в 20:00 состоится стрим. Ну а комментарии под этим постом пусть будут нашим с вами чатом для общения на стриме. До встречи в эфире 🐹

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Сколько же этих праздников

Недавно прошел День защиты персональных данных, а у нас это обычно сопровождается тем, что различные компании публикуют что-то полезное в интернеты для того, чтобы повысить свой социальный рейтинг и условно-бесплатно себя попиарить.

Ну а мы только рады на такое посмотреть и получить от этого пользу. В этот раз лично я заметил, как отличились две компании: СёрчИнформ и Яндекс.

Первые выпустили итоги своего исследования по публичным утечкам в России за 2024 год. Там и штрафы, и инфографика, и даже мем есть. Не назвал бы это глубинным исследованием, но почитать можно – ссылка

Яндекс же вложил чуть больше сил и опубликовал целое бесплатное обучение по тому, как работать с персональными данными. Интересно то, что материал этот не столько для обычных граждан (но для нас тоже), сколько для сотрудников компаний и предпринимателей. Такое почитать точно стоит, особенно тем, кто постоянно спорит с тем, что набор "ФИО + любой другой идентификатор" не является персданными – ссылка

Если вы тоже видели что-то полезное, что было приурочено к этому празднику, то делитесь, не сдерживайте себя.

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Во-первых, неделька выдалась насыщенной. Во-вторых, на стриме мы выяснили, что воскресные дайджесты нужны не только мне. А это значит, что мы переходим к основному блюду 👇

⚡ Хорошо залетевший кибермем про пароли – ссылка

⚡ Итоги конкурса (на следующей неделе уже будем рассылать призы) – ссылка

⚡ Пост про новый канал и воскрешение менторства в ИБ – ссылка

⚡ Мошеннические схемы с DeepSeek – ссылка

⚡ Полезности со Дня защиты персональных данных – ссылка

❤ В Пакете Знаний продолжается слив тренажеров для безопасников с менторства – ссылка

❤ В Пакете Вакансий появился рейтинг лучших IT-работодателей России – ссылка

❤ Также на этой неделе я забежал на огонек к ребятам из "Лаборатории Касперского", где они устроили очень крутое празднование китайского нового года. Нам рассказали про тренды в мире кибербеза, поделились полезной статистикой и очень вкусно накормили. В общем, красота

❤ Провели на этой неделе стрим, где обсудили ооочень много всего. Запись сделал, уже начал публиковать на видео-хостингах, скоро выложу в канале

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Ну и в чём он не прав?

#КиберМем

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Минусы есть?

Не знаю, как вы, но лично я заметил, что за последний год в странах СНГ (да, не только в РФ) начинают всё чаще обсуждать и форсить тему багхантерства, этичного хакинга и Bug Bounty (о том, что это такое, я писал пару лет назад). Ах да, дальше будет душно.

Всё больше людей (особенно молодых) пытается заработать денег на легальном поиске уязвимостей, в чем достаточно часто преуспевают – к ним вопросов нет.

А еще, все больше компаний смотрит в сторону выхода на багбаунти (ББ). Кто-то создаёт свои платформы, кто-то повышает выплаты, кто-то публикует там продукт за продуктом. И вся эта история кажется очень крутой, особенно, если не думать о том, что компании могут гнаться скорее за повышением своей ИБшной репутации, нежели за увеличением уровня безопасности самих ресурсов.

В общем, складывается ощущение, что это просто стало модным, поэтому настало время поговорить не только о бенефитах (они очевидны), но и о рисках выхода на Bug Bounty для компаний.

1. Это банально дорого. Да, мы уже убедили бизнес в том, что безопасность это важно и лучше вложить деньги "до", чем терять их "после", но тут придётся подумать над дополнительными аргументами, ведь раньше мы как-то жили и без ББ, а траты на него могут быть не самыми предсказуемыми.

2. Много операционки. Очень много, причем для многих. Прописать правила программы под каждый продукт, чтобы тебе не сломали ничего лишнего; регулярно и оперативно разбирать новые (порой не самые качественные) отчеты багхантеров; вручную обработать и воспроизвести все найденные уязвимости; донести всё это добро с рекомендациями до тех, кто это будет чинить.

3. Ограничения. Сложно найти такой сервис, опубликованый на багбаунти, который вам будет разрещено тыкать без ограничений. И это нормально, ведь все эти продукты многосоставные, части которых принадлежат разным бизнесам и договориться сразу и со всеми сложно. Соответственно, постоянно натыкаешься на продукт, в котором нельзя трогать авторизацию, какие-то отдельные модули, сторонние платежные виджеты и т.д.

4. Призрачная безопасность и зависимость от багхантеров. Может показаться, что вот она, серебряная пуля, которая избавит нас от всех дыр. Сейчас отработаем все отчеты, всё починим и будет безопасно. Но нет, нормальных отчетов на ББ может вообще не быть, а дыры могут быть шире вашего воображения. Нужно помнить, что компания не контролирует, кто и как ищет уязвимости. Нет никакой гарантии, что исследователи будут активно участвовать в программе.

5. Репутация. Да, сам выход на ББ даёт баллов рейтинга на игровой арене, но если программа организована плохо (задержки выплат или игнорирование отчетов), это может навредить репутации компании. А еще публичные баги могут привлечь излишнее внимание к продукту.

На этом всё, вроде ничего не забыл. Не будем только о грустном и негативном, есть и случаи (и их достаточно), когда всё было сделано правильно и осознанно. Как я вообще решил написать этот пост? Да я просто наткнулся на новость о том, что ребята из Авито повысили максимальные выплаты уже до 500 000 рублей, а это явно говорит о том, что результатом выхода на ББ бизнес доволен.

Надеюсь, что эти мысли помогут тем, кто задумывается о выходе на БагБаунти или уже выходит на него. Всем мир.

#Мнение

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Так, я не понял, что это они себе позволяют? 🤬

Студия ZA/UM представила сумку, которая представляет собой копию пакета, в который собирал бутылки главный герой Disco Elysium. Продажи уже стартовали, цена — 159 евро (~16 600 рублей).

Запись стрима

Несмотря на то, что мой ноутбук начал неистово нагреваться и подтормаживать где-то на середине стрима, с записью в этот раз всё отлично, что можно считать успехом.

А вот и ссылки:
- 📹 Youtube
- 📺 VK Video
- 📺 Rutube

Всем еще раз спасибо за то, что зашли поболтать, за вашу обратную связь и доверие.

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Мошенники-работодатели

Сегодня будет достаточно лёгкий, но от этого не менее полезный пост. Да, будет много очевидных и простых вещей, но иногда и основы надо повторять.

Завязка заключается в том, что, платформы по поиску работы снова стали одним из мест обитания мошенников, на них злоумышленники привлекают соискателей вакансиями с очень уж сладкими условиями: высокая зарплата, удалёнка, гибкий график, а затем попросту обманывают их и взламывают.

Как это происходит?
Человеку, желающему найти работу, предлагают пройти короткое обучение с помощью специального приложения. Но, как бы это очевидно не звучало, приложение оказывается заражённым. Через него мошенники получают доступ к вашим персональным данным (конечно же, есть версия как под Андроид, так и для ПК 🙄), включая мессенджеры и банковские приложения.

Ну и что теперь? Работу не искать?
Конечно нет, достаточно соблюдать следующие рекомендации:

▫Тщательно проверяйте работодателя.
Используйте официальные сайты компаний и надежные платформы для поиска работы (про все из них вы уже наверняка знаете).

▫Обращайте внимание на почтовый адрес.
Помните, что корпоративные адреса отличаются от личных, и если с вами связываются с личной почты, то это уже повод задуматься.

▫Не платите за трудоустройство.
Любые «вступительные взносы» — это явный признак того, что вас пытаются обмануть.

▫Не устанавливайте подозрительные приложения.
Если работодатель настаивает на загрузке программного обеспечения, уточните, зачем это нужно, проверьте отзывы о компании в интернете, проверьте сами файлы на наличие вирусов.

▫Будьте осторожны с личными данными.
На начальных этапах трудоустройства не требуется предоставление паспорта, ИНН и других документов.

Если для вас это очевидные вещи, которые грешно даже вслух произносить, то поверьте, не все такие смышлёные. Так что советую переслать это вашим друзьям и близким.

Ну а самые крутые вакансии для кибербезопасников вы сами знаете, где можно найти 😎

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Опять эти ваши ДипСики

Кажется, что уже во всех чатах, каналах и даже личках сегодня завирусился пост Эксплойта про то, что НУЖНО СРОЧНО УДАЛИТЬ DEEPSEEK С ВАШЕГО АЙФОНА.

Пост, судя по всему, основан на вот этой новости от The Hack News (может есть и другие аналоги, но не суть), где описываются результаты аудита того самого мобильного приложения DeepSeek компанией NowSecure. Эти ребята обнаружили, что все запросы, включая данные, которые вводит пользователь в этот чатбот, передаются по сети в незашифрованном виде.

Трагедия? Сомневаюсь. Да, кто-то, если постарается, может получить доступ к вашим запросам, но напомню – всё, что вы пишете в интернет, практически всегда становится общедоступным. Да, теперь кто-то узнает о том, что вы задавали ДипСику вопросы о том, как избавиться от головной боли, какой кофе самый крепкий или увидит то самое поздравление с днем рождения, которое вы решили не придумать сами, а сгенерировать нейросетью.

Ну а если вы вводили туда свои персональные данные (те, что уже слиты скорее всего), данные вашей карты (серьёзно?) или вообще отправляли ему свои фотографии, то у меня вопросы уже больше к вам, чем к тем, кто забыл про безопасность, когда делал приложение ДипСика.

В общем, этот пост Эксплойта выглядит скорее как дешевая реклама в странных Телеграм-каналах, нежели как содержательное предостережение. Если бы мне такое не пересылали, я бы даже внимания не обратил из-за баннерной слепоты на рекламные посты. И есть у меня теория, что так и есть.

Пока читал статью, кстати, заметил одну забавную особенность – данные отправляются с устройств на облачные сервера компании Volcano Engine, которая принадлежит ByteDance, которая владеет ТикТок-ом 🙄

В общем, ничего такого не произошло, живём свою жизнь дальше. Всем мир и хороших выходных.

#НовостьДня

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Воскресный дайджест
Да, без подводки. Удивлены? Я тоже ⌨️

⚡ Кибермем по мотивам одного из лучших сериалов в галактике – ссылка

⚡ Душеизлияние на тему минусов и рисков выхода на БагБаунти – ссылка

⚡ Возрастающая конкуренция в мире пакетов – ссылка

⚡ Запись нашего стрима – ссылка

⚡ Как мошенники работодателями прикидывались – ссылка

⚡ Очередная шумиха вокруг ДипСика – ссылка

❤ В новом канале по менторству в ИБ нас уже почти 300 человек 😌

❤ В Пакете Знаний вышел очередной пост про API – ссылка

❤ В Пакете Мероприятий вышла целая пачка новых анонсов – ссылка

❤ А еще до меня тут дошли новогодние подарки от крутых ребят из Лаборатории Касперского, поэтому делюсь фотографией

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Тоже что ли проект сделать ☺️

#КиберМем

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы

Я тебя найду и позвоню

Знаете ли вы, насколько дёшево стоят наши персональные данные? Очень дешево, а порой и бесплатно. И я сейчас говорю не про те данные, которые после утечек продаются в теневой части интернетов, а про те, что мы отдаём добровольно.

Информацию про абсолютно любое ваше действие можно отследить и купить. И одной из причин возникновения этой проблемы является таргет и существование рекламы в целом.

Если вы сёрфите по интернету, используя мобильные данные, то ваш оператор сотовой связи получает всю историю посещения сайтов и прочие интересные данные, которыми вы обмениваетесь с всемирной паутиной. В свою очередь, эту информацию они продают маркетологам. К слову, обычные интернет-провайдеры делают с вашими данными тоже самое.

Казалось бы, ну продают они эту информацию (причем с нашего согласия), и продают. Но, помимо маркетологов, продажников и рекламных агентов, этой информацией могут воспользоваться и мошенники.

Да, именно так злоумышленники могут узнать, когда вы были в вашем любимом отеле, покупали автомобиль или зашли в какую-то конкретную гео-зону. А нужно это им для того, чтобы как можно эффективнее надавить на вас психологически, докрутить свою легенду и забрать у вас остатки приватной информации или деньги.

Что же с этим делать? Глобально – ничего. Да, можно звонить только через мессенджеры, менять номера или пользоваться только Wi-Fi для уменьшения набора собираемых данных о вас, но это всё не панацея. Кажется, что тут либо нужно принять реальность, либо отказаться от технологий и уехать в жить в лес.

И да, это не я такой умный, просто у меня наконец-то дошли руки до одной из самых хайповых статей на хабре за прошлый год, где всё это подробно разжевано. Так что, если интересно, то советую ее почитать. Авторам – уважение.

Так и живем.

#Кибергигиена

⚡ Пакет Безопасности | 💬 Чат
🛍 Другие каналы