[custom] Sekurak

🔴 Krzysiek dostał takiego SMSa z banku… i prawie go okradli. SMS był sfałszowany (spoofing).

🔴 Krzysiek dostał takiego SMSa z banku… i prawie g...

1 dzień temu Relacja jednego z naszych czytelników. Zacznijmy od samego SMSa. Na zielono – prawdziwy, historyczny SMS, na czerwono fałszywy – wysłany przez oszustów. Zauważ też nadawcę: NestBank: Jak widać, fałszywy SMS na telefonie pojawił się w tym samym wątku ...
Zdalne wykonanie kodu (RCE) w kliencie Telegram dla Windows – pogłoski potwierdzone

Zdalne wykonanie kodu (RCE) w kliencie Telegram dl...

4 dni temu Od kilku dni krążyły pogłoski o rzekomym ataku RCE (Remote Code Execution) w kliencie komunikatora Telegrama dla komputerów z Windows. Okazały się prawdziwe, mimo pierwotnych zaprzeczeń ze strony twórców Telegrama. Przyczyną błędu była literówka w ko...
Manager haseł LastPass – do naszego pracownika zadzwonił deepfake naszego CEO. Próba celowanego ataku socjotechnicznego.

Manager haseł LastPass – do naszego pracownika zad...

6 dni temu Komunikacja odbywała się na WhatsAppie; poza sklonowanym głosem prezesa, atakujący wysyłał również wiadomości tekstowe. w tej chwili głos można sklonować bardzo prosto – wystarczy kilkuminutowa próbka wypowiedzi ofiary i można sfałszowanym głosem wyp...
Uwaga na NASy od D-Linka – umożliwiają wykonanie komend

Uwaga na NASy od D-Linka – umożliwiają wykonanie k...

1 tydzień temu Jeśli jesteście właścicielami starszego modelu urządzenia typu NAS firmy D-Link, przeczytajcie koniecznie – nie mamy dla Was dobrych wiadomości. Nowy użytkownik GitHuba netsecfish (konto założone dwa tygodnie temu, posiadające jednego obserwującego ...
Modele AI wektorem ataku na infrastrukturę AaaS

Modele AI wektorem ataku na infrastrukturę AaaS

1 tydzień temu Niedawno pisaliśmy o tym, jak wykorzystanie niebezpiecznych mechanizmów serializacji może być metodą ataku na developerów. Tym razem przedstawiamy research przeprowadzony przez WIZ, który korzystając z podobnych mechanizmów umożliwia atak na infrastr...
Prudential ofiarą… wycieku danych

Prudential ofiarą… wycieku danych

1 tydzień temu Można zaryzykować pewnie stwierdzenie, iż każdej większej firmie zdarzył się lub zdarzy wyciek danych i tak oto do listy firm, które mają to już za sobą można dopisać firmę ubezpieczeniową Prudential. Okazuje się, iż w lutym doszło do wycieku...
🔴 Forwardujesz komuś e-maila. Niby wszystko OK, ale w skrzynce odbiorcy magicznie pojawia się tekst wstrzyknięty przez atakującego. Technika phishingowa: Kobold letters

🔴 Forwardujesz komuś e-maila. Niby wszystko OK, al...

1 tydzień temu Tym razem zacznijmy od przykładu praktycznego. Jak to jest możliwe? Wszystko za sprawą nowej techniki Kobold letters, która bazuje na e-mailu przygotowanym w formacie HTML i sprytnym użyciu styli. W trakcie forwardowania e-maili klienci poczty (Thund...
Koleżka myślał, iż robi LABy z bezpieczeństwa webowego. A znalazł podatność path traversal jako root. W serwisie portswigger.net :-)

Koleżka myślał, iż robi LABy z bezpieczeństwa webo...

1 tydzień temu Portswigger to producent chyba najbardziej znanego narzędzia do testowania bezpieczeństwa aplikacji webowych – Burp Suite. Za to znalezisko wypłacono $5000 w ramach bug bounty. Co my tu mamy? Opis zaczyna się dość nietypowo: Nie zamierzałem tego zgła...
Nowe szkolenie cyberawareness – specjalna edycja dla firm dostępna w dwóch terminach w maju!

Nowe szkolenie cyberawareness – specjalna edycja d...

2 tygodni temu Czy Twoi pracownicy odporni są na proste tricki hackerskie? Czym jest ransomware / jak dostaje się do firm i jak się przed tym chronić? Czy da się w prosty sposób sklonować głos szefa? Jakie hasła nie są odporne na...
🔴 Alert. Ktoś zbackdoorował narzędzie xz (służy do kompresji/dekompresji; narzędzie jest bardzo popularne w świecie Linuksa). CVE-2024-3094

🔴 Alert. Ktoś zbackdoorował narzędzie xz (służy do...

2 tygodni temu Sprawa jest rozwojowa, a jeżeli ktoś chce przejść od razu do oryginalnego zgłoszenia problemu – zapraszam tutaj. Backdoor pojawił się w wersjach 5.6.0 and 5.6.1 (xz-utils) i występuje w oficjalnych archiwach .tgz narzędzia (nie ma go w kodzie w repoz...
IBM X-Force informuje o trwającej kampanii rosyjskiej grupy APT28 – celem min. Polska

IBM X-Force informuje o trwającej kampanii rosyjsk...

2 tygodni temu APT28 gościło na naszych łamach wielokrotnie. Grupa APT znana pod pseudonimem Forest Blizzard oraz ITG05 (nazwa nadana przez IBM X-Force) to grupa hakerska związana z Kremlem, działająca przy Głównym Zarządzie Wywiadowczym (GRU). Odejście od poprzedn...
GoFetch – atak typu side channel na procesory od Apple

GoFetch – atak typu side channel na procesory od A...

2 tygodni temu Nowoczesne procesory mają wbudowane mechanizmy pozwalające na optymalizację wydajności. Niektóre z funkcji optymalizacyjnych opierają się na wykorzystaniu dodatkowej, niewielkiej ale szybkiej pamięci cache, która w przypadku prawidłowego przewidzenia...
Klient poprosił nas o sprawdzenie, czy da się odszyfrować komputer, do którego mamy fizyczny dostęp. Udało się i publikujemy pełen raport z całości prac (za zgodą klienta) – atak cold boot.

Klient poprosił nas o sprawdzenie, czy da się odsz...

3 tygodni temu TLDR: raport tutaj. Zwykle podczas utwardzania (ang. hardeningu) naszych maszyn powinniśmy pamiętać o włączeniu pełnego szyfrowania dysku oraz o mocnym haśle (min. 15 znaków). Mimo to istnieją sposoby, które atakujący mógłby wykorzystać, aby próbować...
Zakończyła się konferencja Pwn2Own Vancouver 2024

Zakończyła się konferencja Pwn2Own Vancouver 2024

3 tygodni temu W Vancouver (Kanada) podczas konferencji CanSecWest 2024 w dniach 20-22 marca 2024 miała miejsce kolejna edycja konkursu Pwn2Own. Są to cykliczne zawody odbywające się od 2007 roku, w których uczestnicy przedstawiają swoje eksploity na podatności typ...
Wykradanie fragmentów modeli LLM – Google wydało publikację z nowym atakiem

Wykradanie fragmentów modeli LLM – Google wydało p...

3 tygodni temu W świecie dużych modeli językowych (LLM) dynamika zmian jest całkiem spora. Boom na rozwój AI nakręca też wyścig w kierunku coraz ciekawszych ataków skierowanych w akurat tę gałąź technologii. Ostatnio pisaliśmy o tym, jak popularny portal może być w...
Światowy Dzień Backupu: Zabezpiecz swoją cyfrową przyszłość – Odkryj tajniki cyberbezpieczeństwa z Kiermaszem Książkowym Helion.pl [Rabaty do -98%]!

Światowy Dzień Backupu: Zabezpiecz swoją cyfrową p...

3 tygodni temu 31 Marca przypada Światowy Dzień Backupu. Dzień ten jest corocznym przypomnieniem dla wszystkich z nas o nieocenionej wartości naszych danych cyfrowych i konieczności ich ochrony. W dzisiejszych czasach, gdy większość naszej pracy, nauki oraz osobis...
Modele językowe LLM podpowiadają, jak zbudować bombę – atak typu ArtPrompt

Modele językowe LLM podpowiadają, jak zbudować bom...

4 tygodni temu Niektórzy nie mogą już sobie wyobrazić życia bez “inteligentnych” pomocników. Duże modele językowe (LLM – Large Language Models) zyskały bardzo dużo zastosowań w ostatnich latach. Wykorzystywane są do obsługi klientów, generowania niewielkich snippet...
Deepfake z Rafałem Brzoską na Facebooku. W trakcie filmu coś się popsuło… i wjeżdża rosyjski (?) akcent

Deepfake z Rafałem Brzoską na Facebooku. W trakcie...

4 tygodni temu Jeden z czytelników poinformował nas o takim scamie. Materiał wideo wykorzystuje wizerunek Rafała Brzoski. Całość dostępna jest tutaj (uwaga, jeszcze raz – to jest scam; temat zgłoszony do FB) https://www.facebook.com/100084457186405/videos/315721031...

Popularne

Pierwszy wpis Binjamina Netanjahu po ataku Iranu. Stanowcze słowa

Pierwszy wpis Binjamina Netanjahu po ataku Iranu. Stanowcze ...

4 dni temu 162
Zabił żonę i uciekł. Trwa policyjna obława

Zabił żonę i uciekł. Trwa policyjna obława

3 dni temu 156
Łomżyńska policjantka Kinga Szyłak ze złotym medalem

Łomżyńska policjantka Kinga Szyłak ze złotym medalem

3 dni temu 148
Kto zgubił rower?

Kto zgubił rower?

2 dni temu 142
Seniorka straciła 200 tys. zł. Oszuści podszyli się pod policjantów

Seniorka straciła 200 tys. zł. Oszuści podszyli się pod poli...

1 dzień temu 135
English (US) English (US) · Polish (PL) Polish (PL) · Russian (RU) Russian (RU) ·
Kontakt · Regulamin ·

© PORZĄDEK 2024. Wszelkie prawa zastrzeżone.