Коллеги из ИБ-отдела финансовой организации рассказали нам, как недавно атаковали их ИТ-специалистов — эту статью мы написали вместе с CISO, который активно участвовал в расследовании. 

Кажется, что ИТ-специалисты должны лучше разбираться в интернет-мошенничестве из-за специфики работы, но навыки разработки или управления сетевыми устройствами не дают человеку иммунитет от кибератак. 

Первый сотрудник попался на обновленную схему с фейковым голосованием и отдал мошенникам аккаунт в Телеграме вместе со всеми переписками. У второго сотрудника пытались выманить 100 тысяч рублей, но он вовремя обратился за помощью к своей команде безопасности и сохранил деньги.

На примерах атак покажем, почему фейковые голосования работают даже на матерых специалистах, как защититься от схемы и научить всех сотрудников отражать атаки. 

В начале 2024 года в России появилась новая схема атак на людей — в ней злоумышленники вымогают деньги голосами родственников и друзей, а в корпоративных фродах — голосами руководителей. 

Генерация голоса уже замечена в схеме Fake Boss, схеме с поддельным фото банковской карты и схеме угона аккаунта в соцсетях. Больше всего случаев встречается в Телеграме — мошенники взламывают аккаунт, генерируют голос владельца аккаунта и рассылают по всем чатам короткое голосовое сообщение с просьбой выслать денег. 

Мы разобрали новую схему по шагам — на примерах рассказываем об атаке на людей, а в конце даем советы, как защитить аккаунты и противостоять новой схеме.

Когда я уволился из магазина одежды, посчитал, что денег мне хватит примерно на восемь месяцев. Восемь месяцев на то, чтобы научиться разработке и начать зарабатывать этим на жизнь. Рассказываю, как так вышло, и что я сделал бы по-другому сейчас.

Привет, меня зовут Саша, и уже два года я занимаюсь разработкой в Start X.

Семь лет назад я переехал в Ростов-на-Дону и устроился продавцом в магазин одежды — на первое время, чтобы было чем платить за еду и квартиру. За два года там вырос до управляющего, а еще через два года переехал в Москву, чтобы возглавить самый крупный розничный магазин в торговом центре Метрополис. Я проработал в этой сфере уже пять лет и должен был стать региональным менеджером, то есть управлять сетью магазинов в разных частях России.

После того как мы пережили ковид, в компании боялись, что придется закрыться еще на полгода, экономили деньги, развитие остановилось. Я хотел расти и не хотел ждать, поэтому понял, что пора менять работу.

Хакеры в кино — сверхлюди, которые по щелчку мыши могут взломать автомобиль, запустить «киберракету» и вычислить юрлицо через командную строку. Сцены взлома сопровождаются звуковыми и визуальными эффектами, которые вызывают если не смех, то ироническую улыбку у всех, кто в теме. 

Меня зовут Артемий Богданов, я Chief Hacking Officer в Start X. Находил слабые места в приложениях Uber, Yahoo и ВКонтакте, участвовал в CTF и регулярно провожу пентесты. За годы работы убедился, что реальные кибератаки выглядят совсем не так красочно, как в кино. Никаких сирен и экранов с мигалками. 

Этой статьей я бы хотел развеять миф о всесильности хакеров и объяснить, как этот миф мешает внедрению культуры кибербезопасности в компаниях. 

Под катом — четыре сцены взлома из фильмов с подробным разбором их правдоподобности. В заключении порассуждаем, почему легенда о всемогущих хакерах мешает сотрудникам защищать свои данные в сети и как помогает организаторам кибератак.

От сливов не застрахованы ни топовые селебрити, ни CEO компаний, ни бухгалтер Нина Ивановна. 

Меня зовут Виталия Демехина, я руководитель разработки информационных материалов в Start AWR. Выясняю, кто был виноват в пяти громких сливах звезд и компаний и на этих примерах объясняю, как защитить личную и корпоративную информацию.

Материал написан для обычных людей и сотрудников, которые думают, что мошенникам интересно взламывать только Артема Дзюбу, а их данные хакерам уж точно не нужны.

В марте 2008-го на Ютубе появился самый короткий рассказ про неношеные ботиночки детектив. Кажется, что суть видео — раскрыть тайну убийства за одну минуту. Но не все так просто, если учитывать, что видео сделано по заказу Управления транспорта Лондона. 

Всего таких видео было выпущено пять. Самые популярные из них — «детектив» и «игра в баскетбол» — набрали 14 и 26 миллионов просмотров. Второй ролик получил награду Британской ассоциации дизайнеров и арт-директоров, самой престижной премии в креативной сфере. 

Под катом на их примере разбираем, как разработчики имитированных фишинговых атак доносят важные смыслы до неподготовленной аудитории и почему в Security Awareness важно уметь удивлять. 

Злоумышленники могут успешно атаковать 98% веб-приложений. И это не просто громкие цифры, а данные из исследования Positive Technologies. Как такое возможно, если есть инструменты и практики типа SAST, DAST и WAF, а разработчики вроде бы нормально кодят?

Давайте я объясню, как устроены опасные атаки, на примере с разработчиком Василием, который работает в интернет-магазине и которому начальство подкидывает разные ***интересные*** задачки. 

Привет!

Пока мы разрабатывали продукты по кибербезопасности, на нас самих напали мошенники. 

Стандартный телефонный скам уже всем известен и с каждым годом работает все хуже, поэтому мошенники придумали новую схему с предварительной атакой на жертву через мессенджер. Именно под такую схему попали наш операционный директор Леша Крапивницкий и несколько других коллег. 

Леша успел записать разговор с мошенником, а мы разобрали схему по смысловым кусочкам, описали триггеры, на которые давил мошенник и объяснили, как себя вести в такой ситуации.

В начале рассказываем, откуда пришла новая схема телефонного мошенничества. Если хотите сразу услышать разговор Леши, листайте до раздела «Мошенник звонит из "правоохранительных органов" и напоминает об уголовной ответственности».

В последние два года мы видим много новостей про утечки данных, в том числе из популярных сервисов: СДЭК, Яндекс.Еда, Delivery Club, Литрес и других. 

В результате таких утечек стали доступны более 660 миллионов записей персональных данных в России и до 15 миллиардов в мире.

Кажется, что утечки сами по себе стали синонимом инцидента безопасности. Но почти никто не задает вопрос — а почему они происходят? 

Меня зовут Сергей Волдохин, я CEO в команде Start X, ранее руководил безопасностью в международной компании со штатом более 9 000 человек. В этой статье я расскажу о главных причинах утечек и других инцидентов, а также о том, как организовать процессы информационной безопасности в компании, чтобы снизить их вероятность.

Привет! Я Артемий Богданов, эксперт по практической безопасности Start X. Сегодня я расскажу, как небезопасная десериализация может привести к взлому сервиса. 

Сериализация и последующая десериализация бывают нужны, когда необходимо сохранить объект в строку, а затем в точности восстановить его одной командой, даже если это объект сложной структуры.

Выглядит полезно, но серьезно угрожает безопасности: хакеры могут внедрять вредоносный код, модифицировать данные, например, количество бонусов в интернет-магазине, украсть конфиденциальные сведения и много чего еще.

В этой статье мы рассмотрим уязвимый сервер глазами хакера, найдем слабые места и заполучим reverse-shell. На примере взлома сервиса доставки еды вы увидите, как отсутствие должной защиты может привести к серьезным последствиям — от утечки личных данных до полного захвата сервера. 

Всем привет! Я Артемий Богданов, занимаюсь практической безопасностью и работаю в Start X (ex-Антифишинг). А в прошлом находил уязвимости в Uber, Yahoo и ВКонтакте, занимал призовые места в конкурсах PHDays, NeoQUEST и других CTF. 

Как-то раз для одной отраслевой конференции по кибербезопасности мне понадобилось сделать обучающее видео о том, как хакер может взломать уязвимое веб-приложение. 

Для этого я решил написать приложение по доставке еды, добавить туда уязвимости и на видео показать, как его можно взломать. Времени было впритык, поэтому план был простой: использовать ChatGPT, чтобы написать код, а потом самостоятельно вставить в него ошибки. Но что-то пошло не так. 

По исследованию Verizon, причина 82% инцидентов информационной безопасности — ошибки сотрудников. 

По нашим собственным исследованиям девять из девяти техник Initial Access (стадия первичного проникновения в систему при цифровых атаках по классификации MITRE ATT&CK) реализуются с участием человека — в том числе из-за недостатка знаний или навыков сотрудников по информационной безопасности.

При этом команды безопасности 99% времени и бюджетов тратят на работу с техникой, технологиями и понятными цифровыми и физическими активами. А как работать с основной причиной инцидентов — человеческим фактором —  непонятно.

Меня зовут Сергей Волдохин, я CEO в команде Start X, ранее руководил безопасностью в международной компании со штатом более 9000 человек. 

В этой статье я расскажу о нашей разработке — концепции People as Code и структуре People CMDB. Благодаря этому подходу люди смогут из главной угрозы безопасности стать сильным и надежным цифровым активом.

Команды безопасности верят, что создать продукт без уязвимостей можно, внедряя различные инструменты и практики вроде SAST, DAST и WAF. Эти практики помогают выявить уязвимости в уже написанном коде и, возможно, предотвратить их эксплуатацию. 

Но исправить найденные уязвимости или сделать продукт изначально безопасным могут только те, кто делает этот продукт — сами разработчики. Поэтому важно, чтобы они умели писать безопасный код, а не жаловались на специалистов по безопасности или средства защиты, которые мешают работать. 

Меня зовут Артемий Богданов, я всю жизнь занимаюсь практической безопасностью — находил уязвимости в Uber, Yahoo и ВКонтакте, занимал призовые места в конкурсах PHDays, NeoQUEST и других CTF. И сейчас я расскажу, как разработчики, аналитики и тестировщики могут попробовать себя в роли хакеров, чтобы в итоге делать свои продукты безопасными.

Только за первое полугодие 2022 года в России утекло 187 миллионов записей персональных данных. Во всем мире каждый год их утекает до 15 миллиардов. Но даже если утечки случились не у вас, компания все равно может быть под угрозой. 

В статье расскажем, как данные из утечек могут помочь злоумышленникам в целевых атаках на вашу компанию, и что можно с этим сделать.

Threat intelligence — процесс сбора данных об актуальных угрозах и действиях киберпреступников, включая цели, тактику и инструменты злоумышленников. Процесс и данные — TI-фиды, — в теории, позволяют выстроить более эффективную стратегию защиты от самых актуальных атак.

Если ваш продукт хочет купить крупная компания — не спешите радоваться и открывать шампанское. Впереди ждет ад по приемке службы безопасности, который может растянуться на месяцы. Мы не знаем ни одной компании, которая учла все требования заранее и легко прошла приемку службой ИБ. Да и мы сами несколько раз переделывали продукт, чтобы соответствовать требованиям. 

Чаще всего продуктовые команды фейлятся на одном и том же. В статье рассказали, как решить пять самых проблемных требований, чтобы продукт прошел приемку быстро и без критичных замечаний.