☄️Deloitte возвращает деньги австралийскому правительству за отчёт стоимостью $440K из-за галлюцинаций GPT-4o

Если вкратце, то Deloitte подготовили отчёт с ошибками:
❌ три несуществующие академические ссылки
❌ выдуманная цитата из решения Федерального суда
❌ неправильно написанное имя судьи.

😂Deloitte признали использование ИИ в отчёте и даже исправили его, но:

Вместо того чтобы заменить одну галлюцинированную ссылку на реальную, они заменили её на пять-шесть-семь-восемь новых. Это говорит о том, что исходное утверждение в отчёте вообще не базировалось ни на каком конкретном источнике.

😡Заявление сенатора-лейбориста Деборы О'Нил:

У Deloitte проблемы с человеческим интеллектом. Это было бы смешно, если бы не было так печально. Частичный возврат выглядит как частичное извинение за работу ниже стандарта. Возможно, вместо большой консалтинговой фирмы покупателям лучше оформить подписку на ChatGPT.

😳 Для Deloitte это особенно неловкая ситуация, потому что компания зарабатывает часть годовой выручки на консультациях по ИИ, хвастается широким использованием технологии и при этом подчёркивает необходимость человеческой проверки любого вывода ИИ.

Когда пользуешься искусственным интеллектом, главное не забывать про настоящий 🧠

➡️ ЧИТАТЬ ОРИГИНАЛ

#ИИ #ИИневсегдаинтеллект #оффтоп

🩸
Когда спрашивают, как DLP перехватывает http(s)?

#DLP #memes #пятничное

Жуликам придется искать другую работу, потому что мы открываем доступ к фрод-рулетке «Ловушка для мошенников» для всех 📱 

Как это работает: фрод-рулетка в реальном времени перехватывает звонки мошенников и анонимно перенаправляет их на подготовленных пользователей.

Как играть: задача — как можно дольше удерживать афериста на связи. Он будет думать, что общается с очередной жертвой, тогда как жертвой (как минимум кражи времени) будет он сам. Каждый день вы можете сразиться с мошенником несколько раз, ожидание звонка — до 5 минут.

Главное правило: мошенник не должен знать, что попал в игру. Чем естественнее вы себя ведете, тем дольше удержите его на линии.

Как помогает бороться с мошенниками: за время тестового запуска игроки приняли больше 3 млн звонков и удерживали преступников на линии 44 тысячи часов. Теперь, когда играть могут все, в ловушку попадет еще больше аферистов.

➡️ Запустить фрод-рулетку и переиграть мошенника: https://u.tbank.ru/roulette

С Днём Защиты информации! 🛡

Разбирал завалы на выходных и наткнулся на этот раритет, аж олдскулы свело. 👾

Удивительно, как некогда единственный рубеж защиты информации теперь где-то пылится. Да, много времени прошло и сколько всего поменялось - задумался...
У меня вообще с этим диском забавная история связана. Расскажу как-нибудь. 🥸

А какие эмоции вы испытываете от таких находок?

#раритет #день_защиты_информации #30_ноября

👻 Атака Scattered Lapsus$ Hunters на облачную экосистему. Не зря многие недоверяют облаку 💭

Анализ вектора атаки
1️⃣Злоумышленники скомпрометировали инфраструктуру Salesloft — поставщика решений для чат-ботов. Это позволило им получить критические токены авторизации.
2️⃣Используя полученные токены, хакеры получили несанкционированный доступ к приложению Gainsight, которое интегрируется с CRM-платформой Salesforce.
3️⃣Доступ к Gainsight потенциально открыл им путь к данным более 200 корпоративных клиентов, которые использовали связанные инстансы Salesforce для клиентской поддержки.

💬Хакеры заявили о краже данных таких крупных игроков, как Atlassian, CrowdStrike, DocuSign, GitLab, LinkedIn и Verizon.

⚠️Похоже на классический путь атаки на цепочку поставок! Компрометация слабого доверенного кусочка, потом развитие атаки 😵

Реакция и превентивные меры
✅Gainsight подтвердила инцидент и привлекла Google Mandiant для расследования.
✅Salesforce отреагировала отзывом активных токенов доступа у приложений, подключенных через Gainsight.
Это подтверждает, что скомпрометирован был именно механизм авторизации через сторонние приложения.
✅CrowdStrike сообщила о сохранности клиентских данных, но подтвердила увольнение сотрудника, что намекает на возможный инсайд или неправомерную передачу информации на одном из этапов атаки.
*Это как взлома не было, но пароли на всякий случай поменяйте 😂
✅DocuSign отключила интеграции с Gainsight в превентивных целях, демонстрируя осознание риска, связанного с «цепью доверия».

🟢Не забывайте проводить аудит всех токенов авторизации и их срока действия, а так же уровня доступа, предоставляемого сторонним приложениям, - и будете в безопасности (правда, только для этого кейса 🙂)!

#всембезопасности

📱 Вход в приложение «Госуслуги» можно подтвердить разными способами

Двухфакторная аутентификация эффективно защищает информационные ресурсы от несанкционированного доступа. На Госуслугах можно выбрать один из нескольких вариантов подтверждения входа.

Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.

Варианты второго фактора защиты
➖ с помощью одноразового кода в мессенджере МАХ
➖ с помощью одноразового кода из специального приложения
➖ по биометрии
➖ СМС — только для пользователей десктопной версии Госуслуг

Преимущества кода в МАХ
Этот способ имеет дополнительную защиту от социальной инженерии — перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника. Если ответы вызовут подозрение — он не выдаст код и предупредит об опасности. Подключить в качестве второго фактора защиты одноразовый код в МАХ можно на баннере при входе на портал или в приложение «Госуслуги».

В разделе «Безопасность» можно выбрать другие варианты дополнительной защиты вместо кода в Max — одноразовый код из приложения на вашем устройстве или вход по биометрии.

❗️ Обратите внимание, вводить логин, пароль и второй фактор защиты при каждом входе в мобильное приложение «Госуслуги» не нужно — сессия длится 6 месяцев.

🟪 Подписывайтесь на Минцифры в MAX

@mintsifry #госуслуги

🇪🇺 ЕС оштрафовал X* (Twitter*) на €140 млн

Еврокомиссия вынесла первое серьезное решение в рамках Digital Services Act (DSA), оштрафовав соцсеть Илона Маска на 140 млн евро.
Интересный прецедент: регулятор фактически признал текущую бизнес-модель платформы незаконной в Европе.

Три главные причины штрафа:
❌ Введение в заблуждение («Синие галочки»): Синюю (верификацию АКА доверенный аккаунт) галочку можно просто купить.
ЕС считает это манипуляцией, которая снижает бдительность пользователей к мошенникам.
❌Непрозрачность рекламы: Отсутствие доступного репозитория рекламных объявлений, что мешает отслеживать дезинформацию.
❌Блокировка исследователей: X закрыла доступ к данным, необходимым для независимого аудита рисков.

Вот так, манипулируешь ожиданием пользователей и получаешь штраф. ⚠️

А вы учли это в своей модели угроз? 🥸

*Признаны экстремистскими организациями и запрещены на территории РФ

#штрафы

🤪Поговорили о предновогодних разводах в мессенджерах и не только.

Без моих комментариев статья тоже не обошлась. 😏

Если коротко, то:
🎁 Фейковые скидки на фейковых сайтах
🔒Фейковые билеты на «Щелкунчика»
⛔️ Подарки в Telegram
🥶«Срочные задачи, ааааа»

↪️ Читать статью про предновогодние схемы мошенников!

#статья #известия #мошенники

Расписал некоторые схемы мошенничества на живых примерах!

Без воды, без лишних слов - чистый концентрат. 🤤

↪️ Читаем

#статья #мошенничество

⚠️ МВД пресекло серию киберкраж

👮‍♀️Полиция задержала участников межрегиональной группы, которую считают причастной к более чем 600 эпизодам хищений средств с банковских карт.

📈По данным МВД, ущерб превышает 200 млн рублей.

⚙️Метод кражи
Злоумышленники распространяли вредоносные приложения через WhatsApp и Telegram, маскируя их под программы банков и госорганов.

🔗Сценарий: после звонка «из банка» жертву просили установить «официальное» приложение и для подтверждения поднести карту к телефону и ввести PIN-код. После этого мошенники получали доступ к средствам на счёте и могли снимать наличные в любом регионе.

⚠️ Напоминаю: официальные службы никогда не просят установить программы через мессенджеры или вводить PIN-код вне банкомата!

#мошенничество

☄️17 декабря в 11:00 буду модерировать вебинар «От хаоса к контролю: как за неделю закрыть основные риски в СУБД с помощью Гарда DBF»

О чем поговорим?
🟢 Как хаос мешает защищать СУБД?
🟢 Почему энтропия - это неизбежно, но управляемо?
🟢 Как обуздать хаос и превратить его в сильную силу?

➡️Регистрируйтесь, если любите зарубы!

#вебинар

Готовимся к #вебинару 🎙

✋ Руки на стол!

Еду я на оранжево-черном такси после вебинара, никого не трогаю, учитываю всё подряд в модели угроз, чтобы ничего не забыть, и вижу новость:

Хакеры, связанные с группировкой ShinyHunters, заявили о краже данных пользователей PornHub и попытке вымогательства у компании

- Об этом сообщает издание SecurityAffairs (SA)

✉️Утекла история поиска и просмотров пользователей. Утечка произошла через компрометацию аналитической платформы Mixpanel, которую используют многие технологические компании для анализа поведения пользователей на сайтах и в приложениях.

Это удар ниже пояса, товарищи хакеры 😁

↪️ Подробности

#Киберугрозы #ShinyHunters #УтечкаДанных #PornHub #Инфобез

Мы часто говорим о безопасности детей в цифровом мире, но редко говорим о конкретных мерах технической безопасности.

🛡Шаг 1: Базовая защита устройства.
Установите PIN-код, графический ключ или биометрию:
💻Android: Настройки > Безопасность > Блокировка экрана
💻 iOS: Настройки > Face ID и код-пароль.

🔒Шаг 2. Антивирус нужен всегда и всем. Если ребёнок всё же скачал вредоносный файл, нужен «защитник», который его заблокирует. Если ребёнок потерял телефон, должна быть возможность его заблокировать и т.д.
Рекомендуемые антивирусы:
🟢 Kaspersky: Антивирус и защита (бесплатный/платный) - мощная защита с показателями обнаружения 99,9%.
🟢 Dr. Web Security Space (не путать с Light-версией) - аналогично предыдущему, но есть только в GooglePlay.
🟢 Bitdefender Mobile Security - мощная защита с показателями обнаружения, близкими к 99,8%. Производитель - Румыния.
🟡 Встроенный модуль безопасности в телефон (не самый надёжный, но для базового уровня пойдёт)

🌎 Шаг 3: Родительский контроль нужен, чтобы ограничить посещения нежелательных сайтов, знать, с каких номеров звонят ребёнку и т.д.
Рекомендуемые приложения
🟢 ГДМ (Где мои дети) - имеется учёт статистики по приложениям, статистика по входящим/исходящим звонкам ребенка, гео-локация и разметка по зонам (школа, дом, кружки).
🟢 Kids360 (устанавливается родителю)/Alli360 (устанавливается ребенку) - в целом, похожий функционал, но есть интересная система поощрения ребенка при выполнении заданий.
🟢 Dr. Web Family Security - можно обернуть в экосистему и антивирус, и РК для удобства.
Аналоги:
❌ Bitdefender Parental Control от создателя антивируса выше, поэтому если пользуетесь антивирусом, то можно обернуть в экосистему, но нужно быть готовым к потенциальной блокировке сервиса, т.к. сервис зарубежный.
❌Microsoft Family Safety - часть зарубежной экосистемы. Аналогично предыдущему пункту.
❌Kaspersky Safe Kids (1,9 звёзд на RUSTORE, постоянные жалобы на возможность ребенка отключить приложение «рандомными» действиями), поэтому не рекомендую.

🔔Шаг 4: Защита звонков нужна, чтобы помечать/сбрасывать номера мошенников автоматически:
🟢 Kaspersky Who Calls (4,7 RUSTORE): блокировка мошенников, рейтинг абонента, защита от вредоносных ссылок в смс.
🟢 Определитель номера от Яндекс (для базовых задач - пойдет)
Платные услуги операторов связи:
🟢 МТС-Защитник+
🟢 Билайн
🟢 Мегафон: Антиспам и другие

Пройдите все 4 шага и обезопасьте себя и своих близких!

И помните, что лучше не ставить мониторинг на телефон ребенка скрыто. Предварительно проговорите с ребенком, что основная цель - безопасность. Как это сделать, вы знаете лучше меня ✨

P. S.
❓В целом, можно пользоваться и другими аналогами указанных приложений, главное помните, что подобные приложения должны быть от доверенных и проверенных разработчиков, т.к. вы даёте им определенные разрешения на телефоне (например, доступ к контактам).
⚠️Недобросовестный разработчик может их использовать в своих целях.

#безопасность_наших_близких
#детская_безопасность
#защита_от_мошенников

Посмотрел список дел на 2025 и с удивлением понял, что почти все планы выполнил! 💪

🧑‍💻 Итоги в цифрах:
✅Провёл 3️⃣ тренинга по защите от мошенников
✅Публично выступил4️⃣раза на открытых конференциях
✅ Провел3️⃣вебинара
✅ Написал3️⃣статьи на Habr
✅ Посетил1️⃣новый для меня город России (Екатеринбург)
✅ Посетил1️⃣новую страну (Япония)
✅ Отметил 3️⃣0️⃣0️⃣ подписчиков!
✅ Поучаствовал в ИБ-подкасте
✅ Завел RUTUBE-канал и загрузил первое видео!

Заметил, что почти все цифры кратны «трём», а 3, как известно, число счастливое! На следующий год снова планов громадьё. Чего и вам желаю, дорогие подписчики! 🍀

Берегите себя, всем безопасности и с наступающим Новым Годом! 🎄

#итоги2025