Zapis całej akcji (oraz komentarze) cały czas dostępny jest na Facebooku. Pani Doda w sympatycznym, zimowym swetrze opowiada luźne historie (film został ukradziony przez scammerów), ale chyba odwiedzających transmisję bardziej zaintrygował „konkurs”: Jeśli zerkniemy na szczegóły konta „𝘿𝒐𝙙𝒂-𝑸𝙪𝒆𝙚𝒏”, okazuje się być ono „sklepem z deserami”: Co się dzieje jeśli ktoś…
Czytaj dalej »
TLDR: z zastrzeżonym PESELem nikt nie weźmie na Twoje dane kredytu. Tzn. jeśli ktoś taki kredyt udzieli – nie będzie mógł się do Ciebie zwrócić o zwrot pieniędzy. Więcej detali oraz niuansów całej operacji opisywaliśmy w tym miejscu. W każdym razie od dzisiaj (4.1.2024) można dokonać zastrzeżenia również z poziomu…
Czytaj dalej »
Tim Longin, znany z ataków na protokół DNS, we współpracy z SEC Consult, opublikował informację o możliwości ataku SMTP Smuggling na popularne serwery i usługi pocztowe. Cała historia rozpoczyna się w czerwcu 2023 roku, kiedy to przedstawiono pierwszy PoC (Proof of Concept) ataku SMPT Smuggling działającego w systemie pocztowym firmy…
Czytaj dalej »
Taką informację przekazał The Record powołując się na ukraińskie źródło. Przykładowo mowa jest o kamerze zlokalizowanej na balkonie jednego z mieszkań, która normalnie służyła do monitorowania osiedla. Wg doniesień, atakujący po zhackowaniu urządzenia mieli możliwość poruszania kamerą; ustawili ją też w taki sposób, aby streamowała obraz na YouTube. Całość jest…
Czytaj dalej »
Cóż groźnego może być w dość prostym, a popularnym (300k instalacji) pluginie, który ma spowodować żeby fonty Googlowe używane w danym serwisie webowym były „GDPR Compliant” ? Otóż dużo ;-) Cert EU donosi bowiem o podatności stored XSS, którą może wykorzystać nieuwierzytelniony atakujący: On January 2, 2024, an unauthenticated Stored…
Czytaj dalej »
Daniel Stenberg, twórca narzędzia curl właśnie pochwalił się swoimi „przygodami” z AI. Jaki tu mamy problem, ano taki, że w międzynarodowym środowisku często zgłoszenia błędów bezpieczeństwa są niejasne, skrótowe, często niestety mają też postać tzw. beg bounty („zgłoszę coś, co nie jest podatnością, a nuż wypłacą mi parę dolarów”). Wszystko…
Czytaj dalej »
Ta bitwa trwała już od czterech lat – przeciwko firmie Google został złożony pozew zbiorowy, w którym zarzucono firmie korzystanie z Google Analytics, Google Ad Manager oraz różnych innych wtyczek do aplikacji i witryn internetowych w trybie incognito. W skardze złożonej w 2020 r. stwierdzono, że Google „śledzi i gromadzi…
Czytaj dalej »
Wstęp Tekst przygotował jeden z naszych czytelników. Całość opracowania jest z punktu widzenia administratora rozwiązań z zakresu bezpieczeństwa, podczas incydentu, w firmie posiadającej ~2000 komputerów. Wszystko zaczęło się tak: otrzymujemy powiadomienie o incydencie wysokiego poziomu z naszego oprogramowania EDR. Nie zdążyliśmy zalogować się na konsolę a otrzymaliśmy już kolejne 2…
Czytaj dalej »
Koniec starego roku i początek nowego, to zazwyczaj czas na podsumowania. Nie da się ukryć, że w ostatnim czasie temat cyberbezpieczeństwa staje się coraz bardziej popularny, i jest to istotny aspekt życia dla coraz większej liczby ludzi. Są to zarówno prywatni użytkownicy, szukający praktycznych informacji o tym, jak skutecznie chronić…
Czytaj dalej »
W wyniku działań policji namierzone zostały scam-centra aż w 16 regionach Ukrainy: W ramach operacji wykonano około 150 przeszukań i skonfiskowano ~4000 jednostek rozmaitego sprzętu IT/telefonów. Służby szacują że w scam-procederze brało udział około 2500 osób – 50-200 per dana regionalna jednostka… Film z akcji: ~ms
Czytaj dalej »
Barracuda Email Security Gateway (ESG) to rozwiązanie enterprise do filtrowania poczty przychodzącej. Upraszczając, to połączenie firewalla i antywirusa, które ma chronić klientów przed otrzymywaniem niechcianej poczty (spamu, phishingu) oraz zapewnić ciągłość działania poczty czy poufność przesyłanych informacji. Już w drugim kwartale 2023 roku, Mandiant donosił o wykryciu, we współpracy z…
Czytaj dalej »
Czy samo otwarcie PDFa może cokolwiek zainfekować? Najczęściej nie. Czy samo wysłanie PDFa może cokolwiek zainfekować? Tym bardziej nie! Jednak ta historia to wyjątek od wyjątku. Badacze z Kasperskiego analizowali przez ~pół roku skuteczny, praktycznie niewidzialny atak na firmowe iPhone-y. Od strony atakującego-infekującego sprawa była prosta (tzn. prosta w momencie…
Czytaj dalej »
Bohaterami całej historii jest trójka: Redford, q3k oraz PanKleszcz. Jeśli chcecie od razu przejść do pobierania nagrania wczorajszej prezentacji – oto link (start około 16 minuty). Impulsem do całej akcji były „tajemnicze awarie polskich pociągów„, które po analizie wyżej wymienionych hackerów stały się mniej tajemnicze… Badacze w całej prezentacji bardziej…
Czytaj dalej »
Opis scamu z perspektywy ofiary możemy zobaczyć tutaj. W skrócie: rezerwujesz pobyt w hotelu na Booking, niedługo potem otrzymujesz informacje o konieczności aktualizacji informacji o karcie płatniczej (informacja przesyłana jest oficjalnym chatem Booking). Jeśli teraz nie zauważysz, że podany link prowadzi do „lewej strony” i podasz dane karty płatniczej –…
Czytaj dalej »
Wzrost świadomości po stronie administracji centralnej, firm i instytucji publicznych przekładający się na większe zainteresowanie wiedzą i inwestycje w zabezpieczenia – finansowane również ze środków publicznych. Towarzyszy temu rosnąca presja ze strony przestępców na sektory obejmowane systemowym wsparciem. Między innymi te aspekty w obszarze cyberbezpieczeństwa wymieniają eksperci Stormshield w podsumowaniu…
Czytaj dalej »
