Channel: PRO:PENTEST
Всем привет!
Рубрика: "А кто из злоумышленников полезет ко мне в компанию что-то там делать?"
Чуваки залезли на базу ВВС Великобритании, просто потому что так это работает везде,
уж не говоря про предприятия и объекты обычного бизнеса.
Рубрика: "А кто из злоумышленников полезет ко мне в компанию что-то там делать?"
Чуваки залезли на базу ВВС Великобритании, просто потому что так это работает везде,
уж не говоря про предприятия и объекты обычного бизнеса.
YouTube
Пропалестинские активисты вывели из строя военные самолеты на базе ВВС Великобритании
Пропалестинские активисты проникли на крупнейшую авиабазу Великобритании — RAF Brize Norton — и вывели из строя два военных самолета. Как утверждают активист...
🔥6👍2🤝1
Социалка от банкомата Raif
Стою в торговом центре, спешу. Вижу знакомый жёлто-чёрный банкомат. Думаю - ну, Т-Банк. Точнее так, банкомат слева это Т-банк, а справа была очередь пару человек. Вставляю карту, снимаю деньги. Потом приходит смс: комиссия. Смотрю повнимательнее — а это Райффайзен.
Что ж, с кем не бывает.
Но давайте разберёмся в этой хитрой социалке.
Что не так?
- Цвета: фирменный жёлтый и чёрный.
- Дизайн экрана: минимализм, QR-коды, мультики, надписи вроде «раз-два — и оплачено».
- Домен raif.ru - находиться на уровне коленных чашечек и пока ты стоишь в плотной очереди, особо не всматриваешься чего там написано.
- Лого обеих компаний находиться сбоку.
- Стоит рядом с другими банками — глаз автоматически ловит «знакомое» - желто-черный дизайн.
Визуально - это почти клон Т-банкомата.
Совпадение или соц. инжа?
Допустим, в Райффайзене работают очень талантливые дизайнеры, вдохновлённые случайным образом ровно тем же, что и у Т-Банка. Случайность, не иначе.
А теперь немного арифметики.
Сколько людей могли попасться?
Предположим, таких банкоматов — пара тысяч по стране (просто как переменная, статистику не чекал). Из них хотя бы 1% в день обслуживают клиентов, которые не до конца поняли, куда вставили карту.
Если хотя бы 3 человека в день перепутали банк и сняли наличные с комиссией в 250 рублей:
30 банкоматов × 3 клиента × 250₽ = 22 500 рублей в день.
Умножим на месяц — 675 тысяч рублей.
Просто потому что кто-то подумал: «а давайте сделаем банкоматы жёлтыми».
Вывод:
Это не фишинг в прямом смысле, но пахнет именно им.
Банкоматы как способ визуальной манипуляции.
Маленький "человеческий баг", на котором зарабатывают реальные деньги.
С точки зрения пентеста — классика социальной инженерии. Только вместо письма от "службы безопасности" — яркий жёлтый ящик с «дизайном, которому вы доверяете».
Стою в торговом центре, спешу. Вижу знакомый жёлто-чёрный банкомат. Думаю - ну, Т-Банк. Точнее так, банкомат слева это Т-банк, а справа была очередь пару человек. Вставляю карту, снимаю деньги. Потом приходит смс: комиссия. Смотрю повнимательнее — а это Райффайзен.
Что ж, с кем не бывает.
Но давайте разберёмся в этой хитрой социалке.
Что не так?
- Цвета: фирменный жёлтый и чёрный.
- Дизайн экрана: минимализм, QR-коды, мультики, надписи вроде «раз-два — и оплачено».
- Домен raif.ru - находиться на уровне коленных чашечек и пока ты стоишь в плотной очереди, особо не всматриваешься чего там написано.
- Лого обеих компаний находиться сбоку.
- Стоит рядом с другими банками — глаз автоматически ловит «знакомое» - желто-черный дизайн.
Визуально - это почти клон Т-банкомата.
Совпадение или соц. инжа?
Допустим, в Райффайзене работают очень талантливые дизайнеры, вдохновлённые случайным образом ровно тем же, что и у Т-Банка. Случайность, не иначе.
А теперь немного арифметики.
Сколько людей могли попасться?
Предположим, таких банкоматов — пара тысяч по стране (просто как переменная, статистику не чекал). Из них хотя бы 1% в день обслуживают клиентов, которые не до конца поняли, куда вставили карту.
Если хотя бы 3 человека в день перепутали банк и сняли наличные с комиссией в 250 рублей:
30 банкоматов × 3 клиента × 250₽ = 22 500 рублей в день.
Умножим на месяц — 675 тысяч рублей.
Просто потому что кто-то подумал: «а давайте сделаем банкоматы жёлтыми».
Вывод:
Это не фишинг в прямом смысле, но пахнет именно им.
Банкоматы как способ визуальной манипуляции.
Маленький "человеческий баг", на котором зарабатывают реальные деньги.
С точки зрения пентеста — классика социальной инженерии. Только вместо письма от "службы безопасности" — яркий жёлтый ящик с «дизайном, которому вы доверяете».
👍18👎8😁8🔥7❤🔥1
Всем привет! Продаолжаем распаковку гаджетов от Фазана.
Безумно удобная штукенция для Red Team проектов.
Спасибо HAK5 за эти прелести жизни. Приятного просмотостра!
Безумно удобная штукенция для Red Team проектов.
Спасибо HAK5 за эти прелести жизни. Приятного просмотостра!
YouTube
Белка украла данные из вашей сети
Packet Squirrel - это хакерский мини-компьютер для перехвата трафика! Выражаю благодарность терпеливому человеку, который любезно мне предоставил данный гаджет на обзор - @CyberFazaN
В этом видео я расскажу и покажу, как работает устройство Packet Squirrel…
В этом видео я расскажу и покажу, как работает устройство Packet Squirrel…
1👾6🔥3⚡2
В кибербезе почти всё значимое — на английском
От исследований и докладов до обсуждений на форумах и запросов от зарубежных клиентов.
Хороший английский — это не просто бонус, а часть профессии и прямой путь к повышению дохода.
Если хотите подтянуть язык без лишней зубрёжки, обратите внимание на этот пост 👇
Authentic Pigeon — онлайн-школа разговорного английского для тех, кто хочет уверенно общаться в международном ИБ-сообществе и не выпадать из глобального контекста.
У наc человеческий вайб на занятиях, адаптивная программа обучения и гибкое расписание, чтобы английский органично вписался в вашу жизнь.
Студент школы — Иван, CPO ИБ-компании
Узнать подробнее о занятиях и записаться на бесплатный демо-урок можно в боте → @AuthenticPigeonDemoLessonBot
Реклама. Моисеев Кирилл Владимирович. ИНН 270322676690. erid: 2VtzqvA8Wc6
От исследований и докладов до обсуждений на форумах и запросов от зарубежных клиентов.
Хороший английский — это не просто бонус, а часть профессии и прямой путь к повышению дохода.
Если хотите подтянуть язык без лишней зубрёжки, обратите внимание на этот пост 👇
Authentic Pigeon — онлайн-школа разговорного английского для тех, кто хочет уверенно общаться в международном ИБ-сообществе и не выпадать из глобального контекста.
У наc человеческий вайб на занятиях, адаптивная программа обучения и гибкое расписание, чтобы английский органично вписался в вашу жизнь.
Очень ценю индивидуальный подход. Всё подбирается под тебя: темп, темы, стиль занятий. Благодаря этому учёба не откладывается «на потом», а органично вписывается в моё расписание. Английский с ребятами это не про «надо», а про «хочу и могу»
Студент школы — Иван, CPO ИБ-компании
Узнать подробнее о занятиях и записаться на бесплатный демо-урок можно в боте → @AuthenticPigeonDemoLessonBot
Реклама. Моисеев Кирилл Владимирович. ИНН 270322676690. erid: 2VtzqvA8Wc6
👍6🔥4🤝1
HTML Embed Code: