3SIDE запускает первый курс по персональной кибербезопасности

Всем привет. Мы с одним замечательным партнером через пару недель запускаем линейку курсов по персональной кибербезопасности. Сразу оговоримся: заниматься обучением профильных ИБ-специалистов мы не планируем, а вот запрос на системное обучение не-специалистов внезапно появился.

Курс, как положено, будет сертифицированный — под образовательную лицензию, без инфоцыганства, только качественная практика от профессионалов с рынка. То есть от ИБ-специалистов, профильных юристов и "тех кого нельзя называть". Благо, на площадке 3side достаточно и тех, и других.

В итоге, все это будет структурированно в две "классические" лекции и несколько десятков коротких "мини-лекций", текстов и заданий. Тут наша задача — не "прочитать материал и забыть", а вот буквально поменять привычки и "погрузить" человека не из ИБ в безопасность. Хотя "сокращенный" вариант для корпоративного обучения точно будет, он делается параллельно. Отдельный вопрос — сколько все это будет стоить, но в "базовой" версии без выездов к заказчику и настройки всего руками ценник точно будет более чем адекватный.

К курсу точно будет прикручен "консъерж-сервис" — условно, это возможность в любой момент времени в течение года после прохождения получить консультацию, если что-то пошло не так. Ну, просто потому, что невозможно за 9 академических часов рассказать все то, чему люди учатся по 5 лет. А помощь бывает нужна.

По плану, уже в марте должен быть такой же курс по персбезу для крипто-индустрии, и b2b курс для МСБ "как заниматься ИБ без бюджета". Но это уже попозже:лучше хорошо сделать что-то одно, чем распыляться.

🔥 CISO FORUM 2026: 392 участника из 330 топовых компаний уже в списке!
Это не просто форум — это ваша возможность выйти на прямой диалог с лидерами кибербезопасности России. 28 апреля 2026 года в Центре международной торговли (Москва) соберётся более 1000 специалистов: CISO, CIO, архитекторы ИБ и руководители SOC.

Что внутри:
- 4 трека: стратегия, атаки, защита данных, практики;
- кейсы от топ‑25 российских CISO 2025;
- нет маркетинга — только живые обсуждения и решения.

Зачем вам это:
- Найти партнёров для пилотных проектов.
- Презентовать свои продукты ИТ‑ и ИБ‑руководителям.
- Узнать, как строить защиту в эпоху, когда атака — вопрос времени.

Ваш шаг: скачайте PDF со списком компаний‑участников, чтобы оценить масштаб аудитории. Потом выбирайте формат участия — и будьте там, где принимаются ключевые решения.
Организатор: компания Р-Конф.

⚠️ Места ограничены! Регистрируйтесь, пока есть слоты.

Скачать PDF

Регистрация на форум

3side информационный партнер форума, обязательно на нем будем!

Чат переезжает? Нет, ваш аккаунт угоняют

Сейчас крайне активна схема, которая использует только экосистему Телеграмм для угона ваших аккаунтов.
Для угона вашего аккаунта, вам даже не нужно переходить по внешним ссылкам.

Как оно маскируется?
Чаще всего в любые чаты одним из уже взломанных ранее пользователей присылается ссылка с надписью "Чат переезжает! Вступить в новый чат", либо что-то подобное.
Ссылка ведет на https://t[.]me/{ИМЯ БОТА}/?startapp={НОМЕР}, где номер, это уникальный номер чата из которого вас затащили, а бот нужен как раз для угона аккаунта.

Как оно работает?
Бот просто добавляет новое устройство в ваше аккаунт, по сути делает то, что ранее делали фишинговые сайты.
Запрашивает код и пароль.
Но в боте это проще и выглядит безопаснее для жертвы!

Сейчас подобная схема активно распространяется по всем чатам, но особое внимание злоумышленникам уделяется закрытым военным чатам, куда оно неизбежно попадает из открытых чатов.

Поэтому:
1. Не вводите никакие коды/пароль в ботах.
2. Знайте об этой схеме.
3. Если ваш знакомый по чату начал распространять такое - он взломан, свяжитесь с ним если есть альтернативный канал связи и предупредите!

Интервью с Антоном Бочкаревым

Мы наконец выложили интервью с Антоном Бочкарёвым. (Сюда в TG не стал вставлять само видео по понятным соображениям, выложил только на Youtube. Кому-то кроме Youtube еще что-то нужно?)

Было приятно познакомиться с Антоном. Мне очень нравится моя деятельность потому, что позволяет знакомиться с классными представителями молодого поколения. Всегда рад встречаться с такими людьми. У меня после таких встреч приходит спокойствие за будущее своих детей. Честно говорю, восхищаюсь некоторыми из них. В мои годы таких вундеркиндами называли, а они тут все через одного такие.

Антон делает IT-бизнес в кибербезе. Поговорили с ним о разном. Это было знакомство в прямом эфире. Спонтанный разговор. Зацепили тему про хакеров. Пооворили о том,
почему хакеры любят именно малый бизнес. И какой самый максимальный выкуп просили хакеры у жертвы за всю историю взломов.

Хороших выходных!

PS. Неделя была огонь! 🔥🔥 @Катя, @Матвей, @Тата, @Сергей, @Даурен, @Антон делитесь новостями. Раскачаем radio_brainbox 🫵

MAX активно используется мошенниками

Изучая мошеннические схемы и работу колл-центров мы с коллегами заметили, что переход со звонков в Телеграмме на Макс занял у них меньше недели.

А стоимость аккаунтов в Максе для них значительно дешевле, раз так в 5!
Арестовать владельца аккаунта, конечно проще, но какое дело до этого мошенникам? Попадут под это другие люди.

Вот и родственникам коллег приходят сообщения, тут уже и схема интересная, я бы сказал «олдовая», которая еще в эпоху до мессенджеров звучала в трубке как «мама, я попал в аварию, поговори с товарищем капитаном!»

Вебинар по киберстрахованию переносится!

Друзья, запланированный вебинар по киберстрахованию переносится на неопределённый срок.

Приносим извинения за изменения в расписании и благодарим всех за интерес. О новом времени проведения сообщим дополнительно.

Как ломать API?

Изучил недавно переведенную на русский язык книгу по веб-пентесту, а также спросил о ней моего хорошего товарища олдового пентестера.
И вот наш консолидированный отзыв:

"Эту книгу можно считать SoK (Systematization of Knowledge) для начинающих веб-пентестеров!
Она дает самый нужны минимум, от того как оно устроено и какие бывают уязвимости, до того как собрать свою лабу и как оно бывает на практике.

Это хорошая обзорная книга для начинающих!"

Купить можно в целом где угодно, удобнее всего на Озоне.

Наши друзья приглашают 26 февраля на онлайн-подкаст по теме Персональных данных.

Вы узнаете, как не преступить черту закона и какие технические средства можно использовать на примере реальных кейсов.

Встреча будет полезна CISO, CIO и DPO, которые ежедневно балансируют между привычной механикой разработки и требованиями регуляторов.

Фокус — обезличивание персональных данных в тестовых и dev-средах. В эфире обсудим, где компании чаще всего ошибаются, разберем недавние инциденты и покажем, как происходит обезличивание реальных данных на примере решения от «Перфоманс Лаб».

Почему стоит подключиться:
- узнаете, как минимизировать риск утечек и претензий надзорных органов;
- увидите живую демонстрацию деперсонализации в действии;
сможете задать свои вопросы экспертам и обсудить специфику ваших систем.

Спикеры:
Егор Говорков — специалист по продуктовому маркетингу "Перфоманс Лаб"
Василий Жидков — эксперт по защите персональных данных
Петр Мельченко — техлид Датасан

Для трёх участников предусмотрен бесплатный пилотный проект решения Датасан на реальных данных.

Дата: 26.02.2026 11:00 МСК
Формат: онлайн, с живым диалогом и Q&A
Регистрация обязательна. После заявки участники получают персональную ссылку на подключение.

Простые ошибки личной и корпоративной безопасности

Держите два свежайших, хоть и теневых, но интересных кейса.

Кейс 1.

48 российских теневых компаний, торгующих санкционной нефтью, смогли связать между собой, и схема их взаимодействия была раскрыта.

Компании открывались в разных юрисдикциях, на разных людей, они не фигурировали одновременно в таможенных документах, но использовали один сервер почты (mx.phoenixtrading.ltd)!

Да, он был не публичный (Yandex, Mail.ru), и, посмотрев на общий IP-адрес/домен, связь между компаниями становилась очевидной. А что, если бы этот сервер еще и взломали? Единая точка отказа?

Кейс 2.

Сына украинского «авторитета»/друга владельца сети мошеннических колл-центров похитили на Бали. Утверждается, что с целью выкупа, уже записали требования под видео. Говорят, якобы отрубили пальцы, переломали ребра и сделали еще много чего плохого, хотя на видео видно только синяки на лице.

Но нам интереснее, как похитители нашли жертву! Он отдыхал в компании того самого владельца сети колл-центров и его подруги/модели Евы М. Собственно, Ева и выложила фоточки со своими друзьями в соцсеть, геолокацию установить по ней было несложно, похитители выехали. Мораль проста: даже если вы контролируете, что постите сами, не факт, что вас не выложат члены семьи/друзья/близкие. Это тоже нужно контролировать, и если постить, то с задержкой.

Мы же уже в марте запускаем курсы по личной безопасности для топ-менеджеров, криптанов и блогеров и по личной и корпоративной для МСБ. Без инфоцыганства, с образовательной лицензией и экспертизой. Где будем в том числе и разбирать такие ошибки, ведь под угрозой далеко не только люди, занимающиеся «теневыми» делами! Более подробный анонс будет в ближайшее время!

Видимо снова шифрование, смогут восстановить самое критичное за сутки, как Аэрофлот? Увидим

«Аэрофлот Техникс» подвергся масштабной хакерской атаке.

В ночь с 23 на 24 февраля произошла серьёзная кибератака на ИТ-инфраструктуру компании «Аэрофлот Техникс» — крупнейшего в России провайдера услуг по техническому обслуживанию и ремонту воздушных судов, входящего в группу «Аэрофлот».

Источники, знакомые с ситуацией, сообщают, что всех срочно попросили перегрузить компьютеры и сменить пароли, а потом вырубили всё серверное оборудование. На данный момент сотрудники предприятия по-прежнему не имеют доступа ни к интернету, ни к рабочим компьютерам.

Вырубили всё, сети нет, все программы упали, телефония не работает, — описывают масштаб бедствия работники. — Связь со всеми службами теперь поддерживается исключительно через личные мобильные телефоны. На личных серверах «Аэрофлот Техникса» ничего нет.

Кроме того, из-за технического сбоя в расчётной системе была перенесена выплата премий за выполнение особо важных заданий — начисления заморожены до полного восстановления инфраструктуры.

ИТ-специалисты сейчас в авральном режиме пытаются восстановить работоспособность систем и «поднять» сети. Пока же производственные процессы переведены на «ручное» управление. Техников попросили по максимуму отрабатывать все замечания кабинного экипажа, записанные в бортовых журналах (CLB), а информацию о времени прилёта и вылета «своих» бортов, их регистрационных номерах и местах стоянок теперь приходится отслеживать самостоятельно — через онлайн-табло аэропорта Шереметьево и сервис FlightRadar. Распределение техников по самолётам и объёму работ сейчас также ведётся в ручном режиме. Впрочем, техническая документация и планы по самолётам есть на компьютерах «Аэрофлота».

Кибератака затронула только инфраструктуру дочерней компании «Аэрофлот Техникс» и не коснулась головной авиакомпании и других структур группы благодаря изолированности сетей. К тому же на этот раз атаку удалось быстро заметить и своевременно «потушить сеть», что позволило избежать более серьёзных последствий. Однако пока невозможно оценить, что именно пострадало и какой объём данных безвозвратно утерян. Всё, что можно будет восстановить, станет понятно лишь после того, как сеть начнут постепенно поднимать. Восстановление нормального функционирования ИТ-ландшафта — дело не одного дня и даже не недели.

БЕСПЛАТНЫЙ VPN ПРЕВРАЩАЕТ АЙФОН В КИРПИЧ. ИЛИ НЕТ?

На днях SHOT написал: мошенники раздают бесплатный VPN через App Store. Ставишь, пару дней работает нормально. Потом айфон блокируется. На экране — требование заплатить 100 тысяч рублей. Не заплатишь — телефон останется кирпичом.

Звучит страшно. Но давайте разберёмся.

VPN из App Store не может заблокировать ваш айфон. Технически — не может. У него нет таких прав. Apple не даст. Это не Android, где можно поставить .apk с левого сайта и получить полный доступ к системе.

Тогда как это работает?

Скорее всего, при установке VPN вам подсовывают корпоративный MDM-профиль. Это штука, которой компании управляют рабочими телефонами сотрудников. Через MDM можно заблокировать устройство, стереть данные, установить ограничения. Мощная вещь. В руках вашего работодателя — нормально. В руках мошенника — проблема.

Маскируют это под "настройку сети" или "добавление VPN-конфигурации". Вы нажимаете "разрешить", вводите пароль. Всё. Контроль у них.

Что делать, если вам предлагают VPN:

1. Не ставьте бесплатные VPN от неизвестных разработчиков. Бесплатный VPN — это не благотворительность. Если вы не платите за продукт, вы и есть продукт. Или жертва.

2. При установке любого приложения читайте, что именно оно просит. "Добавить конфигурацию VPN" — нормально. "Установить профиль управления устройством" — нет. Это разные вещи.

3. Проверьте прямо сейчас: Настройки → Основные → VPN и управление устройством. Если там есть профили, которые вы не устанавливали — удаляйте.

4. Если айфон уже заблокирован и требует деньги — не платите. Обратитесь в Apple Support или к специалисту. Через DFU-режим устройство можно восстановить.

И да, 100 тысяч рублей мошенники не получат. Получат ваши нервы и пару дней без телефона. Тоже неприятно, но не катастрофа.

Не каждая страшная новость — правда. Но за каждой страшной новостью стоит реальная схема. Просто обычно она проще и тупее, чем пишут в заголовках.

Коротко про Иран

Во-первых, кибератаки на средства связи, инфраструктуру, СМИ и прочее — это уже вполне привычная и понятная часть современного обеспечения боевых действий. Мы уверены, что 90% действий "атакующих" по Ирану сейчас останется неизвестной.

Из того, что стало публичным — взлом иранских СМИ, приложения для определения времени намаза и (вроде как) нескольких телеграмм каналов. Но это все лирика "на сдачу". Повторимся, мы уверены, что главный пласт атак остался вдалеке от глаз.

Про Иран от коллег из Securitylab — мы не хотели это комментировать, но ...

Тут уважаемые коллеги из Securitylab написали до крайности ... специфичный текст про текущий американо-иранский конфликт. Мы обычно не комментируем вещи, напрямую не относящиеся к ИБ, без особого повода. Мы делаем это по одной простой причине — мы обычно не хотим касаться того, в чем ничего не понимаем.

Но так вышло, что один из двух фаундеров 3side за последние лет 7 объездил почти весь Ближний Восток (без одной страны) и в свое время довольно много чего написал о нем. Так вот. Когда уважаемые коллеги начинают оперировать штампами и стереотипами, это немного ... смущает. Не надо так делать.

Начнем с простого. В Израиле по-сути живут потомки репатриантов из Европы и из арабских стран. И собственно сефарды ближе к семитам, а ашкеназы — менее. И вот собственно никакого офигенно близкого "родства" между арабами и евреями зачастую нет. Есть общие предки. А еще есть фалаши, которые вообще изначально агавские народы Эфиопии, но при этом евреи. А персы — так вообще не-семитский народ, завоеванный арабами в 7 веке (если очень грубо). Короче, это лоскутное одеяло, которое плохо упрощать.

Никакого культа жертвенности в Израиле толком нет, в отличие от шиитского Ирана, где он имеет сильнейший вплетенный в бытовуху религиозный аспект (гуглить "Ашура", "имам Хусейн" и "Кербела"). Не вдаваясь в детали, основа современного шиитского нарратива — это мученичество. Найдете в Израиле хоть что-то подобное (осторожно, специфический видеоряд) — пишите. Собственно культура Израиля (как и христианского Ливана, например) — она наоборот, очень средиземноморски-витальная.

Дальше. Конфликт за территорию, про которую говорит автор — он действительно есть. Только это конфликт между арабами и евреями, а не конфликт между Ираном и Израилем. И тут какбы вспоминаем: крайний раз евреи воевали с персами ... в Пурим около 2500 лет назад. Все. После этого всем было как-то не до того.

И вот тут главное. До революции 79 года Иран был ... крупнейшим союзником Израиля. И даже после, Израиль поставлял уже исламскому Ирану, например, минометные мины (которые потом падали на север Израиля, но это частности). Экзистенциального "конфликта Ирана и Израиля" нет — есть конфликт Ирана и США, а Израиль, ОАЭ, Саудия и прочие — это только его составные части.

И текущий конфликт — он между США и Ираном. К ближневосточным разборкам арабов и Израиля он имеет отношение до крайности опосредованное. И решение конфликта — в переговорах между Ираном и США.

Цифровой колониализм: кто построил вашу защиту — тот и владеет вашей страной

28 февраля 2026 года, когда первые ракеты США и Израиля ещё только летели к Тегерану, Иран уже проигрывал другую войну — невидимую. Одновременно с авиаударами Тегеран подвергся нескольким кибератакам, направленным против систем командования и управления КСИР. Годами израильские и американские спецслужбы сидели в инфраструктуре Ирана. Даже перемещения аятоллы Хаменеи отследили с помощью взломанных камер. А общая цель состояла в том, чтобы парализовать способность иранской армии обнаружить угрозу и скоординировать ответный удар.

Тут индонезийская The Jakarta Post вышла со прекрасной статьей, адресованной индонезийским читателям: а что означает эта война для конкретно вашей кибербезопасности? Вопрос правильный. Ответ — тревожный. Потому что Иран был не первым. И не последним.

В 2010 году на иранском заводе по обогащению урана в Натанзе начали ломаться центрифуги. Одна за другой, без видимой причины. Персонал не понимал, что происходит, системы мониторинга показывали норму. Только спустя месяцы выяснилось: завод был заражён Stuxnet — червем, использовавшим четыре (!) уязвимости нулевого дня одновременно, проникавшим через USB-носители в изолированные от интернета сети, целенаправленно искавший промышленные контроллеры Siemens S7-315 и S7-417 и незаметно модифицировавший частоту вращения центрифуг — разрушая их физически, пока операторам на экранах отображались нормальные показатели. Это была одна из сложнейших атак на тот момент в мире.

Stuxnet стал первым задокументированным случаем, когда программный код уничтожил физическую инфраструктуру суверенного государства. Его создание приписывают совместной операции США и Израиля.
Иран тогда получил первый урок, но, судя по тому, что произошло в феврале 2026-го, усвоил его лишь частично.

В 2023 году сотрудники «Лаборатории Касперского» обнаружили, что их собственные iPhone заражены. Не вирусом в привычном смысле — чем-то принципиально иным. Атака использовала цепочку из четырёх уязвимостей нулевого дня в iOS. Атака была "бесконтактной" — жертве не нужно было ни на что нажимать. Цель — шпионаж: извлечение сообщений и паролей, запись разговоров, отслеживание геолокации. Заражение началось как минимум в 2019 году и оставалось незамеченным четыре года.

Но самое поразительное — не это. Исследователи обнаружили, что атака использовала недокументированную аппаратную функцию в процессорах Apple — ту, о существовании которой, по всей видимости, не знали даже большинство инженеров компании. Функция, вероятно, предназначалась для внутреннего тестирования или отладки. Ни в каких публичных документах она не фигурировала. Каким образом атакующие знали о её существовании — неизвестно до сих пор. Исследователи «Касперского» назвали это «самой сложной атакой, которую они когда-либо видели».

А если бы у России не было достаточных компетенций в ИБ?

Колониализм XIX века был прост и очевиден: метрополия контролировала территорию физически, вывозила ресурсы, ставила своих губернаторов. Новая зависимость устроена иначе. Она невидима, она добровольна, она оформлена как сервисный контракт.

Страна покупает телекоммуникационное оборудование у иностранного вендора. Берёт облачную инфраструктуру у американских или китайских гигантов. Нанимает иностранных консультантов для построения систем кибербезопасности. Подписывает лицензионные соглашения на программное обеспечение критической инфраструктуры. Всё это — разумные, рациональные решения. Нередко — единственно доступные.

Но когда наступит кризис — не обязательно война, достаточно жёсткого политического конфликта, санкций, смены режима у партнёра — вы можете обнаружить, что ваша собственная инфраструктура работает против вас. Или просто перестаёт работать в самый неподходящий момент.

О камерах в Иране

Многие СМИ, включая профильные по кибербезопасности, написали, что Израиль взломал систему видеонаблюдения и распознавания лиц, используемую в Иране. Именно она использовалась как важный источник разведданных.

Поставлял эту систему известный вендор с российскими корнями - NtechLab, на технологиях которого и строится система распознавания лиц системы "Безопасный город", развернутая во многих городах России.

Но давайте разберемся, а в чем взлом?
И были ли такие прецеденты в России?

А на самом деле, такой прецедент был, но не взлом, а покупка, смотрите скриншот от 2020 года. Также в 2020 году о продаже доступов писали журналисты Коммерсанта. А автор этого поста предсказывал, что доступы будут продавать еще в 2019 году.

Цена вопроса была - 30 тысяч рублей за аккаунт!

Почему так произошло?
Недостаточный контроль и массовость предоставления доступа сотрудникам силовых структур. Чем бОльшему числу силовиков мы даем доступы, тем выше шанс, что кто-то начнёт его "монетизировать".

И если внимательно прочесть исходные источники, окажется, что подтверждений взлома системы никто не привел. Везде говорится что разведка Израиля систему использовала. Вполне могла и просто купить аккаунт кого то из иранских силовиков, это самое простое и надежное решение!

Про теневые форумы киберкриминала мы сами практически не писали, вот хорошая статья про них!

О хранении фоток в MAX

Тут многие отписались, что мол в мессенджере можно посмотреть фотки из диалогов по прямой ссылке.
И раз это касается именно этого мессенджера начался крик, о том что это ужасно небезопасно!

Но это немного не так:
1. Ссылка длинная случайная и не перебираемая. То есть ее нужно передать, что равноценно передаче самой фотки.

2. Также организовано хранение и передача фоток, например в ВК и в некоторых других соцсетях. И никого это не смущает.

3. Можно ли потенциально сделать лучше? Да, как в Web-версии ТГ, где для каждой фотки выставляются права и требуется авторизация.

OWASP считает, что это небезопасный способ передачи данных, но де факто часто использующийся по целому ряду причин.

Но это не критическая уязвимость и она не приводит к каким-либо негативным последствиям, как пишут многие.

P.S. А все благодаря репутации мессенджера и иных его проблемах, теперь повышенное внимание и нулевая толерантность к ошибкам.