Historia z Polski. Połączenie wywiadu telefonicznego, użycia ogólno-dostępnych wyszukiwarek oraz narzędzi usprawniających wyszukiwanie. Zaczyna się od tego, że dziewczyna miała wieczorem wrócić do domu z zajęć… ale nie wróciła. Telefon nie działa. Chwilę wcześniej napisała tylko (z nieznanego numeru telefonu) takiego SMSa: OK, ale kim jest Olek? Może też był…
Czytaj dalej »
Tak swój wpis rozpoczyna Natalia. Po tytule już wyczuwacie, że chodzi o opis popularnego oszustwa. A, że popularne oszustwa chyba najlepiej opisują osoby, które (niemal) padły ofiarą cyber-zbójów, zacytujmy większe fragmenty: Wystawiłam pierwszy produkt i dosłownie po kilku minutach dostałam wiadomość, że jakaś miła blondynka chce kupić. Ja uchachana, że…
Czytaj dalej »
Niby dużo osób wie że RSA-512 (chodzi o 512 bitów) już dawno temu został złamany, a chyba najlepszym publicznym wynikiem jest złamanie RSA-829. Gadu, gadu, ale jak konkretnie na podstawie tylko klucza publicznego odzyskać klucz prywatny? Jakich narzędzi użyć? Poradnik krok po kroku dostępny jest tutaj. Autor zaczyna po prostu…
Czytaj dalej »
Ciekawostka, która chyba wielu rozsierdzi. Producenci samochodów zdaje się idą w nowy model biznesowy – kupujesz samochód z dostępnym hardware, obsługującym różne przydatne funkcje, a jeśli chcesz je włączyć – płacisz (lub o zgrozo: płacisz abonament). W przypadku CPU możemy mieć coś podobnego. Tom’s hardware donosi, że Linux od wersji…
Czytaj dalej »
Z czym mamy do czynienia? Z podatnością klasy RCE (remote code execution) w WebKit. Oznacza to, że jeśli ofiara wejdzie na odpowiednio spreparowaną stronę webową, napastnik może uzyskać dostęp na jej telefon. CVE-2022-22620 Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a…
Czytaj dalej »
No więc, dzwoni do Ciebie ktoś, kto przedstawia się jako „konsultant” mBanku. Numer niewiele mówiący, lub nawet numer prawdziwej infolinii bankowej. Ale kto czyta Sekuraka, ten wie że numer dzwoniącego można w łatwy i efektywny sposób podrobić. No więc jak sprawdzić czy rzeczywiście dzwoni do nas osoba z mBanku? Poprosiłem…
Czytaj dalej »
Jak to z każdym dobrym produktem bywa – marketing marketingiem, ale to dopiero demo na żywo potrafi przekonać nieprzekonanych. Vice opisuje właśnie historię dema Pegasusa dla nowojorskiej policji. Ale przy okazji ciekawostka, dziennikarz dotarł do e-maila przesyłanego w ramach „pokazu” możliwości narzędzia. Mail jest wprawdzie z 2015 roku, ale załączony…
Czytaj dalej »
Na wstępie – żeby wykonać weryfikację, musisz posiadać aktywną appkę mobilną banku – IKO. No więc, dzwoni konsultant lub „konsultant” z PKO BP (może nawet widzisz prawdziwy numer infolinii bankowej – może to być spoofing numeru) i prosi Cię o jakieś dane. Grzecznie poproś: chciałbym zweryfikować pana/pani tożsamość w appce…
Czytaj dalej »
O tutaj. Prosty serwis umożliwia prześledzenie hashowania przykładowego ciągu krok po kroku, w wybranym przez siebie tempie. Całość oczywiście zawiera stosowne objaśnienia: Przyznam szczerze, że ten króciutki wpis, powstał również po to, aby mieć pretekst o zapytanie Was o inne tego typu interaktywne, edukacyjne serwisy. Niekoniecznie związane z ITsecurity. Podrzucicie…
Czytaj dalej »
![[historia czytelnika] Radek postanowił podłączyć kilkuletnią drukarkę WiFi do komputera. Podłączył się. Do sprzętu sąsiada.](https://sekurak.pl/wp-content/uploads/2022/02/druk2-150x150.png "[historia czytelnika] Radek postanowił podłączyć kilkuletnią drukarkę WiFi do komputera. Podłączył się. Do sprzętu sąsiada.")
Czytelnik relacjonuje: Opowiem własną, ciekawą historię. Postanowiłem podłączyć kilkuletnią drukarkę przez Wifi do komputera. Pierwsze co mnie bardzo zdziwiło, był fakt, że sieć nie miała hasła (moja przecież ma). Wydało mi się to dość dziwne. Po wejściu do konfiguracji… chwila napięciachwila napięciachwila napięciachwila napięciachwila napięcia okazało się że drukarka jest…
Czytaj dalej »
Makra pakietu MS Office, to chyba jedna częściej wykorzystywanych funkcji w atakach phishingowych. Złośliwe makra w dość łatwy sposób są w stanie zapewnić atakującym przyczółek w sieci ofiary. A później już z górki – może być infekowana cała sieć. Ale powiecie: przecież żeby włączyć Makro (czyli potencjalnie uruchomić złośliwy kod…
Czytaj dalej »
Zanim przejdziemy do szczegółów, odsyłam do opracowania, które relacjonowaliśmy niedawno: Jak negocjować (i czy w ogóle) z operatorami ransomware? Jakie są wpłacane kwoty? Ile średnio kosztuje odszyfrowanie PC-ta? Przechodząc do głównego tematu. Ekipa Coveware opublikowała nowy raport (Q4 2021) dotyczący aktywności ransomware. Jak obecnie ransomware dostaje się do firm? Poniżej…
Czytaj dalej »
Tutaj została właśnie opisana pewna afera, o której dał nam znać jeden z czytelników. Cała historia sprowadza się do kilku kluczowych punktów: Polacy (zapewne szczególnie w dużych miastach) względnie rzadko chodzą do lekarza rodzinnego z NFZ. Jest w końcu szeroka / dobra oferta prywatna. Przychodniom, do których jesteśmy „przypisani” opłaca…
Czytaj dalej »
Rozbudowany, techniczny opis – tutaj. A przy okazji warto zwrócić na jedną ciekawostkę. Pierwszym krokiem przejęcia ukraińskich systemów jest często złośliwy załącznik (Microsoft Office): Gdzie ta ciekawostka? Sam dokument nie jest początkowo złośliwy, ale używa szablonów ładowanych z zewnętrznego serwera. Dopiero sam szablon zawiera złośliwe makro. Dlaczego tak? Ano żeby…
Czytaj dalej »
Rozważanym dostawcą jest Ghost Robotics: 45-kilowy pies ma możliwość przemieszczania się po kamieniach/piasku oraz „strukturach zbudowanych przez człowieka” (np. schodach). Sprzęt przeszedł naprawdę całkiem solidne testy, radził sobie dobrze również na wzgórzach, w jarach. A to wszystko z dodatkowym, modułowym obciążeniem (payload). O którym za chwile. (…) they were tested…
Czytaj dalej »
