#схема
Если информация о возвращении в 2026-м году брендов одежды от испанской компании Inditex (а это, на минуточку, Zara, Massimo Dutti, Bershka, Stradivarius, Oysho, Pull & Bear) будет ещё активнее появляться в сети (например, https://news.1rj.ru/str/url_mash/11292) - то не заставят себя ждать мошенники.
Жертвы будут получать сообщения в мессенджеры и по СМС о том, что можно (нужно) восстановить бонусные карты и баллы любимых магазинов (а ещё, поди, и плюс 100500 баллов в честь возвращения). Ссылки, естественно, будут фишинговые.
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
Если информация о возвращении в 2026-м году брендов одежды от испанской компании Inditex (а это, на минуточку, Zara, Massimo Dutti, Bershka, Stradivarius, Oysho, Pull & Bear) будет ещё активнее появляться в сети (например, https://news.1rj.ru/str/url_mash/11292) - то не заставят себя ждать мошенники.
Жертвы будут получать сообщения в мессенджеры и по СМС о том, что можно (нужно) восстановить бонусные карты и баллы любимых магазинов (а ещё, поди, и плюс 100500 баллов в честь возвращения). Ссылки, естественно, будут фишинговые.
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
🔥3
#инцидент #расследование Левак на стороне.
Обратился директор компании, делающей проекты/чертежи для строительства (ну как-то так). Его запрос был «Есть предположение, что сотрудники левачат. Хочу быть полностью уверенным ла или нет».
Сначала поговорил с ним:
- Что такое в вашем бизнесе «левачат»?
- К нам приходит клиент, говорит нужен проект вентиляции в котельной. Мы заключаем договор, берём предоплату, делаем, сдаём, что-то доделываем, получаем деньги. Клиенту нравится, он приходит второй и третий раз. К десятому заказу клиент уже знает несколько исполнителей в нашей компании, и обращается напрямую с предложением «сделай мне проект как третий был, но с выводом как у пятого…; а деньги я тебе сразу на карту скину – и мне дешевле, и тебе плюсом к зарплате».
Затем обсудили как построен бизнес-процесс работы по проектам.
Примерна такая суть:
* для надёжности все проекты лежат на сетевом хранилище, которое каждую ночь бэкапится и т.д.
* Все проекты имеют сквозную нумерацию, разложены в папках по годам.
* Сетевое хранилище подмаплено на каждый рабочий компьютер как сетевой диск.
Установили в компании сервер и агентов на все рабочие компы и настроил вот такие фильтры:
1. «Работа в приложениях архикад, ревит» + «Файл расположен не на сетевой шаре»
2. «Работа в приложениях архикад, ревит» + «Работа в субботу или воскресенье» или «работа с 19 до 07».
Установил алерты и стали ждать.
Прошло не долго: уже через неделю пришёл алерт, что некий сотрудник работал два часа с файлами не на шаре. Директор глянул скрины и сразу сказал, что это и есть «левак».
Обратился директор компании, делающей проекты/чертежи для строительства (ну как-то так). Его запрос был «Есть предположение, что сотрудники левачат. Хочу быть полностью уверенным ла или нет».
Сначала поговорил с ним:
- Что такое в вашем бизнесе «левачат»?
- К нам приходит клиент, говорит нужен проект вентиляции в котельной. Мы заключаем договор, берём предоплату, делаем, сдаём, что-то доделываем, получаем деньги. Клиенту нравится, он приходит второй и третий раз. К десятому заказу клиент уже знает несколько исполнителей в нашей компании, и обращается напрямую с предложением «сделай мне проект как третий был, но с выводом как у пятого…; а деньги я тебе сразу на карту скину – и мне дешевле, и тебе плюсом к зарплате».
Затем обсудили как построен бизнес-процесс работы по проектам.
Примерна такая суть:
* для надёжности все проекты лежат на сетевом хранилище, которое каждую ночь бэкапится и т.д.
* Все проекты имеют сквозную нумерацию, разложены в папках по годам.
* Сетевое хранилище подмаплено на каждый рабочий компьютер как сетевой диск.
Установили в компании сервер и агентов на все рабочие компы и настроил вот такие фильтры:
1. «Работа в приложениях архикад, ревит» + «Файл расположен не на сетевой шаре»
2. «Работа в приложениях архикад, ревит» + «Работа в субботу или воскресенье» или «работа с 19 до 07».
Установил алерты и стали ждать.
Прошло не долго: уже через неделю пришёл алерт, что некий сотрудник работал два часа с файлами не на шаре. Директор глянул скрины и сразу сказал, что это и есть «левак».
👍6🔥3
#матчасть по "цветам команд"
RedTeam (КРАСНАЯ) - Атакующие, взломщики.
BlueTeam (СИНЯЯ) - Обороняющиеся, защищающие.
PurpleTeam (ПУРПУРНАЯ) - "Защитники с ножами", ищут как оборонятся атакуя.GreenTeam (ЗЕЛЕНАЯ) - можно назвать "защитники бай дизайн", продумавыют защиту не в во время атаки, а на этапе построения.
YellowTeam (ЖЕЛТАЯ) - Строители и архитекторы всего ландшафта
OrangeTeam (ОРАНЖЕВАЯ) - Организуют взаимодействие и обучение.
WhiteTeam (БЕЛАЯ) - Обеспечивающее звено
Когда у общества нет цветовой дифференциации штанов, то нет цели (с) Кин-дза-дзаRedTeam (КРАСНАЯ) - Атакующие, взломщики.
BlueTeam (СИНЯЯ) - Обороняющиеся, защищающие.
PurpleTeam (ПУРПУРНАЯ) - "Защитники с ножами", ищут как оборонятся атакуя.GreenTeam (ЗЕЛЕНАЯ) - можно назвать "защитники бай дизайн", продумавыют защиту не в во время атаки, а на этапе построения.
YellowTeam (ЖЕЛТАЯ) - Строители и архитекторы всего ландшафта
OrangeTeam (ОРАНЖЕВАЯ) - Организуют взаимодействие и обучение.
WhiteTeam (БЕЛАЯ) - Обеспечивающее звено
🔥2
#схема
Очень сложная и красивая схема как закинуть трояна вам на ПК (а если повезёт - на рабочий АРМ).
https://habr.com/ru/articles/928026/
Краткое описание: предлагают работу, следом тестовое, которое требует доустановить / линкануть что-то, затем приезжает обновление уже с malware.
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
Очень сложная и красивая схема как закинуть трояна вам на ПК (а если повезёт - на рабочий АРМ).
https://habr.com/ru/articles/928026/
Краткое описание: предлагают работу, следом тестовое, которое требует доустановить / линкануть что-то, затем приезжает обновление уже с malware.
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
Хабр
Head Hunters на LinkedIn — они очень хотят, чтобы вы сделали тестовое задание
Знакомая ситуация: неизвестный вам контакт пишет на LinkedIn, предлагает работу мечты: шикарная зарплата, удаленка, интересный стартап, о котором вы ни разу не слышали, но какая...
🔥3👍2
#инцидент #расследование #матчасть
Вы же когда-то задумывались, что номер банковской карты – это не просто 16 цифр?
Одна из цифр – по сути контрольная, чтобы алгоритм проверки сошёлся. Таким образом можно отличить просто 16 цифр подряд от номер банковской карты. Это всё упаковано в стандарт ISO/IEC 7812 (ИСО/МЭК 7812) а сам алгоритм придумал Ханс Питер Лун.
Если нужен сам алгоритм – легко загуглить.
Ну так вот, переходим к расследованиям: «база» - ввести проверку в передаваемой информации на наличие сработок алгоритма Луна, т.е. когда не какие-то данные идут, а именно номер карты появился. В 99% случаем попадётся какая-нибудь ведомость от бухгалтерии (но тоже есть вопросики), а в 1% встречается номер карты, связанный с какой-нибудь схемой или утечкой. Повторюсь, «не надо недооценивать человеческую глупость и жадность» (с).
Вы же когда-то задумывались, что номер банковской карты – это не просто 16 цифр?
Одна из цифр – по сути контрольная, чтобы алгоритм проверки сошёлся. Таким образом можно отличить просто 16 цифр подряд от номер банковской карты. Это всё упаковано в стандарт ISO/IEC 7812 (ИСО/МЭК 7812) а сам алгоритм придумал Ханс Питер Лун.
Если нужен сам алгоритм – легко загуглить.
Ну так вот, переходим к расследованиям: «база» - ввести проверку в передаваемой информации на наличие сработок алгоритма Луна, т.е. когда не какие-то данные идут, а именно номер карты появился. В 99% случаем попадётся какая-нибудь ведомость от бухгалтерии (но тоже есть вопросики), а в 1% встречается номер карты, связанный с какой-нибудь схемой или утечкой. Повторюсь, «не надо недооценивать человеческую глупость и жадность» (с).
🔥3👍1
#матчасть
На случай заумных и душных презентаций. Если нужно описать что после внедрения EMS / IRM / DLP системы сотрудники начинают более продуктивно работать (какое-то время) – то назови, что это Хоторнский эффект.
Хоторнский эффект — это психологическое явление, при котором люди начинают работать лучше и продуктивнее, когда знают, что за ними наблюдают или их действия оцениваются. Это связано с желанием показать себя с лучшей стороны и получить положительную оценку со стороны окружающих или руководства
На случай заумных и душных презентаций. Если нужно описать что после внедрения EMS / IRM / DLP системы сотрудники начинают более продуктивно работать (какое-то время) – то назови, что это Хоторнский эффект.
Хоторнский эффект — это психологическое явление, при котором люди начинают работать лучше и продуктивнее, когда знают, что за ними наблюдают или их действия оцениваются. Это связано с желанием показать себя с лучшей стороны и получить положительную оценку со стороны окружающих или руководства
👍3🔥3
#схема
Мошенники звонят жертве и говорят что она вызвана для участия в заседании присяжных.
А дальше возможны варианты:
А) диктуйте чтобы заполнить ваши паспортные данные и снилс
Б) продиктуйте СМС с Госуслуг что вы подтверждаете участие
В) продиктуйте СМС с Госуслуг чтобы подтвердить ваш отказ
Г) пройдите по ссылке и заполните всякое
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
Мошенники звонят жертве и говорят что она вызвана для участия в заседании присяжных.
Дальше рассказ с целью накрутить сложность и срочность: ...это всё сложно...писали же в газете....ехать через весь город...принимать сложные решения...
А дальше возможны варианты:
А) диктуйте чтобы заполнить ваши паспортные данные и снилс
Б) продиктуйте СМС с Госуслуг что вы подтверждаете участие
В) продиктуйте СМС с Госуслуг чтобы подтвердить ваш отказ
Г) пройдите по ссылке и заполните всякое
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
👍4🔥2
#инцидент #расследование
В одной компании на пилоте смотрели дашборд по использованию ПО (тоже входит в рекомендуемую мной «базу»). Глаз зацепился за использование ТимВьювера. Директор компании сказал «странно, у нас сис.админ обычно ногами ходит».
«Провалились» глубже – оказалось интереснее – ТимВьювер использовала бухгалтер. Дальше уже в азарте расследования глянули скрины – увидели, что бухгалтер подключается удалённо куда-то, и там работает в какой-то 1С.
Довольно частое явление, что бухгалтер ещё отдельно от работы ведёт каких-нибудь упрощёнщиков, как доп.доход. Но тут несколько часов в день, каждый день, в рабочее оплачиваемое время….
В одной компании на пилоте смотрели дашборд по использованию ПО (тоже входит в рекомендуемую мной «базу»). Глаз зацепился за использование ТимВьювера. Директор компании сказал «странно, у нас сис.админ обычно ногами ходит».
«Провалились» глубже – оказалось интереснее – ТимВьювер использовала бухгалтер. Дальше уже в азарте расследования глянули скрины – увидели, что бухгалтер подключается удалённо куда-то, и там работает в какой-то 1С.
Довольно частое явление, что бухгалтер ещё отдельно от работы ведёт каких-нибудь упрощёнщиков, как доп.доход. Но тут несколько часов в день, каждый день, в рабочее оплачиваемое время….
🤔3
#матчасть надёжность и устойчивость
Для продукта - это не синонимы.
Надёжность - это внутренняя мера. Устойчивость - по отношению к внешним воздействиям.
Для надёжности обычно метрики – это:
• количество багов и индекс их критичности
• частота багов
• среднее время наработки до отказа
• задержки ответов
Для устойчивости обычно – это:
• время восстановления после атаки (MTR)
• uptime
• частота инцидентов от внешнего воздействия за период времени
Для продукта - это не синонимы.
Надёжность - это внутренняя мера. Устойчивость - по отношению к внешним воздействиям.
Для надёжности обычно метрики – это:
• количество багов и индекс их критичности
• частота багов
• среднее время наработки до отказа
• задержки ответов
Для устойчивости обычно – это:
• время восстановления после атаки (MTR)
• uptime
• частота инцидентов от внешнего воздействия за период времени
🔥1
#схема
Сто лет такого не было - и вот опять :) бот в телеге пишет что вы, как участник домового чата/новостного канала/канала про здоровье/житель района выиграли микроволновку/звёзды в телеге/запись на приём ... возможны всякие другие вариации
Всего лишь нужно пройти по ссылке, подтвердить боту что это вы, ввести смс подтверждения, затем обрадовать всех друзей что вам не хватает пятьтыщь на выкуп заказа на WB :)
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
Сто лет такого не было - и вот опять :) бот в телеге пишет что вы, как участник домового чата/новостного канала/канала про здоровье/житель района выиграли микроволновку/звёзды в телеге/запись на приём ... возможны всякие другие вариации
Всего лишь нужно пройти по ссылке, подтвердить боту что это вы, ввести смс подтверждения, затем обрадовать всех друзей что вам не хватает пятьтыщь на выкуп заказа на WB :)
Предупреждён - вооружён (с). Знайте о такой схеме и не попадитесь на неё. А ещё защитите близких и знакомых.
👍3🔥2😁2
#инцидент #расследование «Хьюстон! У вас проблемы!»
Давайте разберём инцидент с Дэвисом Лу, разработчиком ПО в Eaton Corporation (что-то про энергопотребление, типа нашего РЭС) из города Хьюстон, Техасского автономного округа. История вообще не претендует на что-то новое, просто это пример который имел место быть и который закончился уголовным делом; география, по сути, не важна.
В 2007 году Дэвис Лу, уроженец Китая, поживающий в Штатах, устроился в Eaton Corporation на должность разработчика внутреннего системного ПО. Жил, поживал, добра наживал. Но в 2018-м году в компании началась реструктуризация и оптимизация, и эффективные менеджеры понизили Дэвиса в должности и зарплате и пошли дальше оптимизировать компанию. Дэвис, видимо, хорошо запомнил этот момент и в ответ разработал свою систему повышения эффективности своего производства, а точнее решил стать незаменимым сотрудником:
• Дописал в системное ПО несколько бесконечных циклов, которые грузили CPU и поджирали память.
• Написал скриптец с каким-то алгоритмом удаления файлов у коллег.
• Мужественно боролся с утечками памяти и высоким потреблением CPU системного ПО.
• Самоотверженно помогал коллегам в восстановлении данных.
• Написал скриптец с ироничным названием IsDLEnabledinAD (Is Davis Lu enabled in Active Directory), который проверял а не заблокировали ли в AD учётку Дэвиса. И, если она была заблокирована, то блокировал учётки всех сотрудников.
• Ноут был зашифрован битлокером, пароль от которого знал только Дэвис.
В сентябре 2019-го году Дэвиса Лу уволили…и затем учётки тысяч сотрудников Eaton по всему миру заблокировались, компании был нанесён ущерб в сотни тысяч долларов (есть оценка в $365К).
Во время следствия спалился Дэвис на глупом (а как иначе!): пароль от битлокера он потерял, но компания не потеряла логи как в рабочее время он искал в интернете способы повышения привилегий, сокрытия процессов и быстрого удаления файлов. Доступы к некоторым серверам были только у него одного.
В августе 2025 суд приговорил Дэвиса Лу к четырем годам лишения свободы, и ещё три года оставаться под надзором после.
https://habr.com/ru/news/889534/
https://habr.com/ru/news/939888/
https://www.tadviser.ru/index.php/Персона:Дэвис_Лу_(Davis_Lu)
Давайте разберём инцидент с Дэвисом Лу, разработчиком ПО в Eaton Corporation (что-то про энергопотребление, типа нашего РЭС) из города Хьюстон, Техасского автономного округа. История вообще не претендует на что-то новое, просто это пример который имел место быть и который закончился уголовным делом; география, по сути, не важна.
В 2007 году Дэвис Лу, уроженец Китая, поживающий в Штатах, устроился в Eaton Corporation на должность разработчика внутреннего системного ПО. Жил, поживал, добра наживал. Но в 2018-м году в компании началась реструктуризация и оптимизация, и эффективные менеджеры понизили Дэвиса в должности и зарплате и пошли дальше оптимизировать компанию. Дэвис, видимо, хорошо запомнил этот момент и в ответ разработал свою систему повышения эффективности своего производства, а точнее решил стать незаменимым сотрудником:
• Дописал в системное ПО несколько бесконечных циклов, которые грузили CPU и поджирали память.
• Написал скриптец с каким-то алгоритмом удаления файлов у коллег.
• Мужественно боролся с утечками памяти и высоким потреблением CPU системного ПО.
• Самоотверженно помогал коллегам в восстановлении данных.
• Написал скриптец с ироничным названием IsDLEnabledinAD (Is Davis Lu enabled in Active Directory), который проверял а не заблокировали ли в AD учётку Дэвиса. И, если она была заблокирована, то блокировал учётки всех сотрудников.
• Ноут был зашифрован битлокером, пароль от которого знал только Дэвис.
В сентябре 2019-го году Дэвиса Лу уволили…и затем учётки тысяч сотрудников Eaton по всему миру заблокировались, компании был нанесён ущерб в сотни тысяч долларов (есть оценка в $365К).
Во время следствия спалился Дэвис на глупом (а как иначе!): пароль от битлокера он потерял, но компания не потеряла логи как в рабочее время он искал в интернете способы повышения привилегий, сокрытия процессов и быстрого удаления файлов. Доступы к некоторым серверам были только у него одного.
В августе 2025 суд приговорил Дэвиса Лу к четырем годам лишения свободы, и ещё три года оставаться под надзором после.
https://habr.com/ru/news/889534/
https://habr.com/ru/news/939888/
https://www.tadviser.ru/index.php/Персона:Дэвис_Лу_(Davis_Lu)
✍2
#матчасть Проходя обучение по ИБ взбодряю старые знания. Расскажу всем, а кому-то напомню:
Состав преступления это:
• Объект
• Субъект
• Объективная сторона
• Субъективная сторона
Отсутствие хотя бы одного из этих четырёх признаков не образует состава преступления, и действие преступлением не считается. Но это звучит душновато, поэтом скажу проще - при описании инцидента тоже следует руководствоваться тем, что описывать все 4 составляющие. А если вам предстоит общаться с органами - сразу формируйте эти четыре сущности.
• Объект – это охраняемое правом общественное отношение, против которого прямо и непосредственно направлено действие. Например, это жизнь, здоровье, собственность, общественная безопасность.
• Субъект – физическое лицо осуществившее воздействие на объект. Важно: субъект – это лицо, достигшее возраста уголовной ответственности.
• Объективная сторона – внешнее (доступные для наблюдения и фиксации) проявление действия (или бездействия) субъекта в отношении объекта. И его сопутствующие признаки; например, время, место, способ, инструменты.
• Субъективная сторона – внутреннее отношение субъекта к действию (или бездействию), устанавливаются на основании показаний, данных лицом, а также на основании анализа и оценки объективных признаков. Например, мотив, цель умысел, неосторожность.
Напомню, неся свет инфобеза, мы не можем не касаться тьмы (https://news.1rj.ru/str/ib_note/4)
Состав преступления это:
• Объект
• Субъект
• Объективная сторона
• Субъективная сторона
Отсутствие хотя бы одного из этих четырёх признаков не образует состава преступления, и действие преступлением не считается. Но это звучит душновато, поэтом скажу проще - при описании инцидента тоже следует руководствоваться тем, что описывать все 4 составляющие. А если вам предстоит общаться с органами - сразу формируйте эти четыре сущности.
• Объект – это охраняемое правом общественное отношение, против которого прямо и непосредственно направлено действие. Например, это жизнь, здоровье, собственность, общественная безопасность.
• Субъект – физическое лицо осуществившее воздействие на объект. Важно: субъект – это лицо, достигшее возраста уголовной ответственности.
• Объективная сторона – внешнее (доступные для наблюдения и фиксации) проявление действия (или бездействия) субъекта в отношении объекта. И его сопутствующие признаки; например, время, место, способ, инструменты.
• Субъективная сторона – внутреннее отношение субъекта к действию (или бездействию), устанавливаются на основании показаний, данных лицом, а также на основании анализа и оценки объективных признаков. Например, мотив, цель умысел, неосторожность.
Напомню, неся свет инфобеза, мы не можем не касаться тьмы (https://news.1rj.ru/str/ib_note/4)
👍2🔥2