Historię opisał Bogdan Chadkin na swoim blogu. Pewnego dnia otrzymał wiadomość z propozycją pracy. Joan, przedstawiający się jako CTO pewnego europejskiego startupu fintech, poprosił o przeniesienie rozmowy na Telegram (red flag nr 1). TLDR: Rozmowa miała odbyć się w aplikacji Microsoft Teams. Strona z otrzymanego linku nie działała poprawnie na…
Czytaj dalej »
Paweł podesłał nam historię oszukania swojego taty na ~80000zł. W ramach całego procederu, w pewnej chwili została przesłana do ofiary taka “legitymacja” należąca rzekomo do pracownika departamentu bezpieczeństwa banku. Oczywiście w celu zmylenia ofiary, że rozmawia z prawdziwym pracownikiem banku. Wprawne oko wyłapie, że zostało to wygenerowane przez AI, ale…
Czytaj dalej »
Rozmawiałem wczoraj 40 minut z Markiem, który opisał jak padł ofiarą scamu. Wyglądało to mniej więcej tak. – Scammer dzwoni z losowego numeru: została zaciągnięta pożyczka na pana dane– Ale ja nie brałem pożyczki– To chyba doszło do wycieku danych. W jakim banku ma Pan konto?– W banku X.– OK,…
Czytaj dalej »
Chcesz ogarnąć ze mną niezbędne umiejętności dotyczące AI w 2026 roku i tym samym nie zostać w tyle? 24 kwietnia startuje kolejna edycja szkolenia ze mną, Tomkiem Turbą – Narzędziownik AI 2.0 Reloaded! To najbardziej kompletne szkolenie z AI w Polsce. Składa się z aż czternastu sesji, trwających po dwie…
Czytaj dalej »
Deepfake przestał być eksperymentem badawczym i ciekawostką z laboratoriów AI. W ciągu ostatnich kilku lat stał się narzędziem realnego wpływu: politycznego, finansowego i informacyjnego. W tym zestawieniu zobaczysz dziesięć przypadków deepfake’ów, które miały mierzalny wpływ na rzeczywistość – od mediów społecznościowych, przez procesy wyborcze, po rynki finansowe. Ranking jest ułożony…
Czytaj dalej »
Cyberzbóje wspierani AI właśnie uderzają w jeden z najbardziej wrażliwych punktów e-commerce: zaufanie do zdjęć jako dowodu przy zakupie. Czasami jest to wręcz czynnik decydujący. W mediach i na forach sprzedażowych np. marki Allegro pojawiły się pierwsze dobrze udokumentowane przypadki, w których generatywna AI służy do fałszowania zdjęć rzekomo uszkodzonych…
Czytaj dalej »
Atakujący uzyskali dostęp do konta firmy Trust Wallet – co umożliwiło opublikowanie nowej (złośliwej) wersji rozszerzenia do Chrome: We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69. Nota bene: sam Trust Wallet to jeden z…
Czytaj dalej »
Badacze z Socket analizują kampanię złośliwych pakietów w npm. Od października opublikowano co najmniej 197 złośliwych paczek, a całość zebrała łącznie ponad 31 tys. pobrań. Celem są programiści blockchain i Web3 uruchamiający projekty-zadania podczas fałszywych rozmowów kwalifikacyjnych. Kampania jest przypisywana atakującym z Korei Północnej. TLDR: Badając złośliwy pakiet npm tailwind-magic…
Czytaj dalej »
Badacze bezpieczeństwa z Check Point odkryli nową kampanię phishingową, która wykorzystuje Meta Business Suite do dostarczania wiadomości z linkami do złośliwych stron. Meta Business Suite, to narzędzie dla firm, które skupia najważniejsze funkcje zarządzania Facebookiem i Instagramem w jednym miejscu. Analiza wykazała, że w ramach kampanii rozesłano ponad 40 000…
Czytaj dalej »
Team AXON opublikował raport na temat możliwości wykorzystania Microsoft Teams, jako wektora ataku phishingowego i początkowego dostępu do organizacji. Główną ścieżką dostępu ma być funkcja komunikacji zewnętrznej, wykorzystywana przez atakujących do nawiązania bezpośredniego kontaktu z wybranymi ofiarami. Sprawę mocno ułatwia fakt, że ta opcja jest domyślnie włączona w tenantach Microsoft…
Czytaj dalej »
Rok temu opisywaliśmy działania, które wyglądały trochę jak próba phishingu na Mastodonie, a w praktyce były zabawą z platformą i żartem. Tym razem opisywane oszustwa są prawdziwe i mogą doprowadzić do utraty pieniędzy. TLDR: Dla przypomnienia, Mastodon, to oprogramowanie tworzące sieć społecznościową, która w Fediwersum miała być odpowiednikiem Twittera. Składa się ona z niezależnych instancji,…
Czytaj dalej »
Builder.ai, startup z Londynu wspierany przez Microsoft i wyceniony na 1,5 miliarda dolarów, ogłosił bankructwo po ujawnieniu, że jego platforma “napędzana sztuczną inteligencją” była w rzeczywistości obsługiwana przez około 700 inżynierów z Indii udających chatboty. Sprawa ta jest obecnie określana jako jeden z największych przypadków tzw. “AI washing” w historii…
Czytaj dalej »
TL;DR: Otrzymałem ofertę pracy web3 z pozornie prawdziwego (ale zhakowanego) konta LinkedIn. Przynętą było repozytorium z backendem Node.js, bazujące na skradzionym koncepcie projektu (munity.game). Kluczowy plik, bootstrap.js, dynamicznie pobierał i wykonywał zaciemniony malware. Cel: skanowanie systemu (portfele, pliki .env, dokumenty, hasła z Chrome), kradzież schowka, eksfiltracja danych i instalacja backdoora….
Czytaj dalej »
Standardowy phishing kierowany jest do masowego odbiorcy i polega na ,,zarzuceniu jak największej sieci’’, aby złapać maksymalną liczbę ofiar. Firma Cofense, zajmująca się ochroną przed phishingiem i zagrożeniami związanymi z pocztą elektroniczną, opisała nową technikę selektywnego ataku stosowaną przez cyberprzestępców i jest to jednocześnie dobra oraz zła wiadomość. Czemu dobra?…
Czytaj dalej »
W ostatnich dniach obserwujemy nową kampanię cyber zbójów. Schemat, który zaraz Wam opiszemy nie odbiega za bardzo od innych tego typu, ale tym razem skala działania jest naprawdę imponująca i pojawia się kilka ciekawych elementów. Dużo osób (w tym ekipa sekurak.pl) dostaje połączenia z zagranicznych numerów (kierunkowe, np. +44, +36),…
Czytaj dalej »
