Około 50 stronicowy materiał ma kategorię wiekową 10+ (skorzystają też dorośli). Link do pobrania: https://cdn.sekurak.pl/ebook/ebook-sekurak-bezpieczenstwo-2022.pdf Na grafice poniżej: spis treści: PSJeśli nie chcesz przegapić podobnych okazji w przyszłości (często jako pierwszy dostaniesz info m.in. o naszych darmowych publikacjach / materiałach), dopisz się bezpłatnie do listy sekurak premium (sprawdź też awaryjnie…

W skrócie: holenderski pracownik wg amerykańskiej firmy softwarowej słabo pracował, więc zaproponowano plan naprawczy. Pracownik miał mieć włączoną cały dzień kamerę w swoim laptopie oraz jego ekran był nagrywany. Trochę duża ingerencja w prywatność, prawda? Tak też rozumował pracownik, który po 2 dniach odmówił pozostawienia włączonej kamery, zatem został ostatecznie…

Nietypowe przestępstwo opisuje India Times. Najpierw ofiara otrzymała telefon od fałszywego konsultanta z banku i informacją o rzekomym przyznaniu super eksluzywnej karty kredytowej z dużym limitem. Wystarczyło całość potwierdzić w appce. Appkę należało ściągnąć z oficjalnego sklepu, przy czym ofiara miała iPhone, więc appka nie działała… (ew. w ogóle jej…

Jak czytamy: Celem regulacji jest  ustanowienie standardów w zakresie zasad cyberbezpieczeństwa urządzeń łączących się z internetem (…)  Rozporządzenie wprowadzi wymogi dla producentów oprogramowania i sprzętu, w szczególności: zapewnienie, że przez przewidywany okres użytkowania produktu lub przez pięć lat po wprowadzeniu na rynek – podatności na zagrożenia będą skutecznie usuwane; powiadamianie…

Dobre wieści są takie, że podatność właśnie została załatana (tutaj informacje o załatanych wersjach OS), przy czym lista potencjalnie podatnych modeli jest dość spora: Od strony technicznej wygląda na to, że mamy do czynienia z podatnościami w webowych panelach administracyjnych urządzeń, a wykorzystanie podatności sprowadza się do wysłania odpowiednich żądań…

Tym razem ktoś próbuje podszyć się pod jednego z pracowników Comarchu: Niewiele wcześniej otrzymaliśmy informację od jednego z czytelników – z alertem o podszywanie się pod pracownika BNP Paribas: Jeszcze wcześniej donosiliśmy o dość zaawansowanym ataku celowanym, który rozpoczynał się właśnie propozycją rekrutacji a kończył infekcją komputera. W tym przypadku…

Zobaczcie jak w praktyce potrafią działać grupy APT. Zaczęło się od rzekomej rekrutacji do Amazona oraz pliku MS Office ze szczegółami. Niektórzy czytelnicy już pewnie kręcą nosem – znowu złośliwe makro, co w tym „zaawansowanego”. No więc dokument nie zawierał makra, zawierał za to zewnętrzny template (ładowany z serwerów atakujących)…

O szczegółach CVE-2022-41040 (SSRF) oraz CVE-2022-41082 (RCE) Microsoft donosi tutaj. Od razu warto zaznaczyć, że wykorzystanie luk (i przejęcie serwera) wymaga posiadania konta dowolnego użytkownika (trzymamy kciuki za odpowiednio silne hasła Waszych użytkowników – jeśli chodzi o dostęp do Exchange): At this time, Microsoft is aware of limited targeted attacks…

„Gotowe”. Znaczenie tego słowa zapewne znają ci, którzy spotkali się ze scamami na Facebooku polegającymi na stworzeniu wpisu o ogromnej liczbie polubień, komentarzy. A następnie kontakt z ofiarami, które chcą otrzymać darmowy: telewizor/telefon/komputer/węgiel/niepotrzebne skreślić. W każdym razie zobaczcie na fejkowy profil Samsunga: Mamy tutaj informację, że FB współpracuje z organizacjami…

Amerykański SEC (Securities and Exchange Commission) się nie patyczkuje. Ukaranych zostało w sumie 16 firm: Od stycznia 2018 r. do września 2021 r. pracownicy banków rutynowo komunikowali się ze współpracownikami, klientami i innymi doradcami zewnętrznymi w sprawach biznesowych, takich jak transakcje zadłużenia / kapitałowe, korzystając z aplikacji na swoich urządzeniach…

Czy w świecie aplikacji coś się zmieniło w ostatnim roku? Czy rozwiązania dużych firm są bezpieczne? Czy do hackowania aplikacji potrzebna jest wiedza tajemna? Czy odkryto ostatnio jakieś nowe trupy w szafie? (aka, podatności, które czekały na odkrycie latami, a były zakopane w tysiącach projektów). Czy z bezpieczeństwem paneli webowych…

Podatności zostały załatane niedawno: CVE-2022-27492 An integer overflow in WhatsApp for Android prior to v2.22.16.12, Business for Android prior to v2.22.16.12, iOS prior to v2.22.16.12, Business for iOS prior to v2.22.16.12 could result in remote code execution in an established video call. CVE-2022-27492 An integer underflow in WhatsApp for Android…

O świeżym scamie informuje Policja: Kilka dni temu, do 39-latki zadzwonił mężczyzna i podał się za pracownika banku, w którym kobieta posiada konto. Na telefonie wyświetlił się numer infolinii banku, dlatego połączenie nie wzbudziło jej podejrzeń. O co tutaj chodzi? Zhackowano bank? Nie, ktoś przeprowadził spoofing GSM (czyli podszył się…

Według opublikowanego raportu Mandiant, za ten wektor ataku odpowiedzialna jest grupa UNC4034 operująca głównie z Korei Północnej. Atak tak naprawdę jest kampanią phishingową polegającą na kontaktowaniu się za pośrednictwem e-mail z osobami poszukującymi prace i oferowaniu im wysokiego wynagrodzenia w Amazon. Na etapie rekrutacji, rekruter za pośrednictwem komunikatora WhatsApp prosi…

Pomimo, że w badacze z CTU publicznie ujawnili taktyki, techniki i wewnętrzne procedury grupy jeszcze w maju 2022 r. to do dzisiaj wykazują oni wiele powtarzalnych zachowań. Rys. 1. Ujawniona aktywność grupy COBALT MIRAGE, źródło. Przestępcy jednak próbowali usunąć ślady swoich działań poprzez likwidację webshelli, logów oraz narzędzi. Jednak kilka…