Badacz bezpieczeństwa Dave McDaniel z firmy Cisco Talos opublikował szczegóły dotyczące dość “nietypowych” podatności. Dlaczego nietypowych? Luki (CVE-2020-28593 & CVE-2020-28592) dotyczą bowiem inteligentnej frytkownicy marki “Cosori”. Aby przejąć kontrolę nad urządzeniem, wystarczy wysłać do niego odpowiednio spreparowany “pakiet” z odpowiednim obiektem JSON. W ten sposób atakujący może zmieniać temperaturę, czas…
Czytaj dalej »
Firma FireEye wydała ostrzeżenie dotyczące wykorzystywania nowych podatności w Pulse Secure VPN przez grupy APT (advanced persistent threat): Krytyczna luka CVE-2021-22893 pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu: Jedna z grup wykorzystujących tę podatność – UNC2630 – została powiązana z chińskim rządem, a jej głównym celem były podmioty z sektora…
Czytaj dalej »
Bitfinex to giełda kryptowalut z siedzibą w Hongkongu, której właścicielem i operatorem jest iFinex Inc. Firma generalnie miała w swojej historii kilka “incydentów”, jednak jednym z głośniejszych był “hack” z 2016 roku, w wyniku którego skradziono ~ 119.756 BTC. Większość skradzionych środków należała do samych użytkowników serwisu: * Jeden z…
Czytaj dalej »
Tutaj cały temat: Zostałam oszukana (olx). Prosze o wsparcie. W tym miejscu – w nieco przystępniejszej formie do oglądnięcia. Istotę całego oszustwa „na dostawę OLX” widać na zrzucie poniżej. Po krótkim wstępie oszust proponuję sposób dostawy przedmiotu, który niby chce zakupić. Ma to być „OLX dostawa”, która rzekomo wymaga podania…
Czytaj dalej »
Jeden z czytelników podesłał nam takie zdjęcie: „pól litra advocatu” ewentualnie „pół litra koniaku” – do tego jeszcze darmowa dostawa… wystarczy zadzwonić, a później podać pewne dane. Możecie się spodziewać… braku dostawy. Sam Lidl ostrzega przed tą akcją w ten sposób: Widzieliście kiedyś podobną akcję? Dajcie nam znać na sekurak@sekurak.pl…
Czytaj dalej »
Jakiś czas temu ostrzegaliśmy przed nowym wariantem kampanii SMS: Oczywiście odnośnik prowadzi do strony, która wyłudza dane uwierzytelniające, potrzebne np. do kradzieży pieniędzy z konta bankowego. Innym popularnym wariantem oszustw wykorzystujących SMS jest metoda “na dopłatę”: Autorzy tych ataków nie są jednak bezkarni – grupa odpowiedzialna między innymi za kampanię…
Czytaj dalej »
O hacku Solarwinds pisaliśmy niejednokrotnie. Tymczasem tutaj można przeczytać oświadczenie wydane przez Biały Dom: Dzisiaj USA formalnie uznaje Służbę Wywiadu Zagranicznego Federacji Rosyjskiej jako sprawcę szeroko zakrojonej kampanii szpiegowskiej, która wykorzystywała [hack] oprogramowania Solar Winds Orion. Operacja wykonana przez Rosjan dała im możliwość szpiegowania i potencjalnego uszkadzania ponad 16 000…
Czytaj dalej »
Niebawem startujemy z takim szkoleniem: Sekretne sztuczki hackerów – oraz jak się przed nimi obronić? Pokazy na żywo, realne ataki, skuteczna ochrona. (19.04.2021). Całość kierowana jest do osób nietechnicznych i umożliwia zapoznanie się z aktualnymi zagrożeniami w świecie cyberbezpieczeństwa: Aktualne częste ataki na polskie firmy / pracowników / zwykłych internautów…
Czytaj dalej »
To chyba największa kampania w tym roku (mamy info od dużej liczby czytelników). Całość wygląda tak: Czy np. tak: Jak widzicie linki kierują do różnych domen, które są prawdopodobnie zhackowanymi serwisami (a nie przygotowanymi specjalnie na potrzeby tego ataku). Po wejściu na linka następuje prośba pobrania appki, a całość jest…
Czytaj dalej »
Taka historia jest opisywana w Holandii. W luźnym tłumaczeniu: Wiele rodzajów sera nie mogło być dowiezionych zeszłego tygodnia z powodu zhackowania firmy transportowej Bakker. Ten hack to najprawdopodobniej ransomware. Przedstawiciel zhackowanej firmy dodaje: W naszych magazynach nie widzieliśmy gdzie co się dokładnie znajduje. Same magazyny są bardzo duże, więc nie…
Czytaj dalej »
Rok 2021 jest dość niefortunny dla Microsoft Exchange, a wszystko za sprawą “ProxyLogon” – krytycznej podatności pozwalającej na zdalne wykonanie kodu. Jak to zwykle bywa, tego typu exploity są wykorzystywane również przez cyberprzestępców: Nie wszyscy są jednak świadomi zagrożenia, ignorując dostępność łatek zabezpieczających. Z pomocą przychodzi FBI: Jak informuje Departament…
Czytaj dalej »
O temacie pisaliśmy niedawno, ale cały czas pojawiają się nowe warianty, a kolejne osoby informują nas że dostają tego typu SMSy: Jak widzicie sfałszowany jest nadawca SMS-a (SprawyKarne), jeśli z kolei klikniecie (czy tapniecie) w link traficie na stronę, która spróbuje wyłudzić od Was dane logowania do waszego banku. Nie…
Czytaj dalej »
Steam to jedna z najpopularniejszych platform dystrybucji cyfrowej i zarządzania prawami cyfrowymi, system gry wieloosobowej oraz serwis społecznościowy stworzony przez Valve Corporation. Jeśli jesteś graczem, to prawdopodobnie korzystasz z tego serwisu na co dzień lub przynajmniej go kojarzysz… * Według SimilarWeb steam zajmuje 10. miejsce w kategorii gier komputerowych Tak…
Czytaj dalej »
Chodzi o to 4-godzinne szkolenie prowadzone przez Dorotę Kulas: https://socjo.sekurak.pl/Całość jest realizowana on-line (15.04.2021r.) – jeśli nie zdążysz, to dostępne będzie przez miesiąc nagranie (również dla „zwykłych” uczestników). Jak zdobyć uczestnictwo? Wystarczy napisać maila na szkolenie-socjo@securitum.pl z firmowego adresu e-mail. Uwaga, mamy dwie kategorie: Firmy zatrudniające powyżej 200 osób (mamy…
Czytaj dalej »
Tutaj można by postawić kropkę. No może jeszcze dodając tego czy tego linka. Ale na pewno nasi czytelnicy pogniewaliby się za zbytnią lakoniczność ;-) Zatem przypomnijmy jeszcze niedawną serię podatności o kryptonimie ProxyLogon – tutaj w dość tajemniczych okolicznościach wyciekł exploit, który był wykorzystywany bojowo. Niedawno z kolei ekipa Devcore (ta…
Czytaj dalej »