«Социальная инженерия, это не про взлом паролей, а про взлом людей. Самый надёжный замок бесполезен, если ключ от него лежит на видном месте. В этой статье я покажу, как за семь минут в обеденный перерыв можно получить доступ к корпоративной CRM, не взламывая ни одного сервера, а просто поговорив с человеком, который им доверяет.» Почему … Читать далее
«Парольная политика, это не про запреты, а про понимание. Угрозы увольнением работают до первого инцидента, а потом люди просто находят способы обойти правила. Настоящая безопасность начинается там, где пользователь перестаёт видеть в ней обузу и начинает видеть смысл.» Почему угрозы не работают Требование создать сложный пароль под страхом дисциплинарного взыскания — классический подход во многих … Читать далее
«То, что вы принимаете за безопасность, часто оказывается простой иллюзией. Тихий скрипт на Python или наблюдательность у входа могут обойти дорогие пропускные системы. Давайте посмотрим, как это работает в реальности.» Слепая зона пропускных систем Современные офисные здания полагаются на сложные системы безопасности: карты доступа, турникеты, вахтёры. Однако эти системы часто страдают от фундаментального уязвимости — … Читать далее
Медицинские записи — не цифровая валюта, но их цена на чёрном рынке многократно превосходит стоимость номеров банковских карт. Этот дисбаланс в первую очередь вытекает из природы самих данных и их применения. Речь идёт не о сиюминутной краже денег, а о долгосрочной эксплуатации человека через шантаж, мошенничество и доступ к закрытым системам. Для специалистов по информационной … Читать далее
«Когда речь заходит о кибербезопасности, два термина звучат чаще других: пентест и анализ уязвимостей. Но между ними не просто разница в названии, это принципиально разные стратегии, которые отвечают на разные вопросы. Один пытается ответить «а можно ли взломать компанию», другой — «а какие в компании дырки». Смешивая их, можно потратить бюджет, не получив ни реальной … Читать далее
Получил смс «Ваша посылка ждёт в отделении» — кликнул по ссылке. Что произошло за 2 минуты Звенит телефон. Короткий смс от «Службы доставки»: сообщают, что за посылкой нужно заехать, не забывайте маску, ждём вас. Самое время нажать на ссылку и узнать номер отделения. Только что вы передали злоумышленнику всё, что у вас было: доступ к … Читать далее
«Многие думают, что номер телефона в Telegram скрыт. Но он становится публичным активом, как только вы вступаете в канал или группу. Это не баг, а следствие архитектуры мессенджера, и этим пользуются сборщики данных.» Как номер телефона становится видимым в Telegram При регистрации в Telegram вы привязываете аккаунт к номеру телефона. Это основной и единственный идентификатор. … Читать далее
«Это выглядит как безобидная игра на публику — поставить лайк, сделать репост, оставить комментарий, чтобы выиграть смартфон или поездку. Но по сути это аукцион, на котором вы продаёте свой цифровой профиль, связи и репутацию за приз, стоимость которого часто несоизмерима с той ценой, которую вы платите. Вы считаете, что участвуете в розыгрыше, а на самом … Читать далее
«Мы зациклились на защите статичными правилами динамической системы под названием мозг. Реальная кибербезопасность, это не правила в голове, а перестройка инстинктов. Нейропластичность объясняет, как превратить человека из слабого звена в адаптивный фильтр угроз, изменяя не знания, а структуру его нейронных сетей.» Почему инструктажи не работают Типичная программа обучения основам кибербезопасности построена на устаревшей парадигме передачи … Читать далее
“Если ты пытаешься объяснить кибератаку словами — ты уже проиграл. Картинки и графы говорят лучше. Здесь я покажу, как взять каталог MITRE ATT&CK и превратить его из справочника в работающую модель для автоматизированного анализа.” Почему ATT&CK недостаточно Каталог MITRE ATT&CK, это обширная база знаний о тактиках и техниках киберугроз. Его используют для составления профилей угроз, … Читать далее