Ciekawy, ale na szczęście trudny do realizacji atak klonowania kluczy Yubikey
Firma Yubico, jeden z popularnych producentów kluczy U2F poinformowała o ataku na niektóre ze swoich kluczy (lista poniżej). Problem dotyczy także innych producentów, bo błąd wykryto w bibliotece kryptograficznej obsługującej klucze ECDSA. Zanim przejdziemy do opisu tego ataku, już na wstępie podkreślmy, że wymaga on najpierw przeprowadzenia udanego ataku phishingowego na ofierze, a potem fizycznego dostępu do klucza ofiary przez kilka minut oraz zniszczenia jego obudowy a także specjalistycznego sprzętu i wiedzy. […]
Odinstaluj Telegrama
Tak, tytuł jest dość klikbajtowy 🙂 Ale jak posłuchacie poniższego i przeklikacie się przez podlinkowane materiały, to dojdziecie do wniosku, że bezpieczniej i prywatniej Telegrama nie używać, bo kontrowersji i niespójności wokół niego masa. A szyfrowania — wbrew obiegowej opinii — prawie w ogóle. PoC Poniższy filmik to spontaniczne nagranie Piotrka, któremu nudziło się w ostatnich dniach wakacji i postanowił nagrać podsumowanie wydarzeń w “cyber” z ostatniego tygodnia. Głównym tematem jest Telegram, ale w tym materiale jest też […]
⚠️ Uważajcie na takie CAPTCHA
Dziś będzie krótko, ale konkretnie. Obserwujemy nowy sposób ataku. Jego ofiarą padają osoby rozwiązujące CAPTCHA. Oto jak wygląda taka “złośliwa” CAPTCHA: Po kliknięciu w przycisk użytkownik proszony jest o naciśnięcie klawiszy “WIN+R“, potem “CTRL+V“, a następnie zatwierdzenie Enterem. Jeżeli ofiara korzysta z systemu Windows i zastosuje się do powyższych wskazówek, to uruchomi wiersz poleceń i wykona na swoim urządzeniu podstawioną przez atakującego komendę, której celem jest pobranie i instalacja […]
Walka ze spoofingiem w Polsce: ustawa jest, ale niewiele się zmieniło.
Jeszcze do niedawna przestępcy mogli wykonywać sfałszowane połączenia telefoniczne dzięki platformie Russian Coms, która oferowała specjalne urządzenia i wsparcie techniczne 24/7. Teraz spodziewać się policji, bo platforma została rozpracowana przez brytyjską NCA. Niestety w Polsce problem spoofingu wciąż występuje. Na domiar złego, niewiele banków chce korzystać z tzw. rejestru DNO, który sprawia, że wpisane do niego numery stają się “odporne na spoofing”. Oszustwa telefoniczne (Vishing, SMSihing) Oszustwa […]
Wrześniowe terminy naszych szkoleń dla programistów, adminów i nie tylko
Koniec wakacji! Do roboty! Oto terminy naszych szkoleń, na których szkolimy programistów, adminów, devopsów, secopsów, osintowców i innych, którzy chcą podnieść swoje kompetencje w tematyce cyberbezpieczeństwa. Zapraszamy do wspólnego hakowania, zarówno na terminach w poniższych miastach jak i podczas terminów ONLINE, które realizujemy w 100% zdalnie, przez internet! Zacznijmy od szkolenia, w którym udział powinien wziąć każdy, niezależnie od zawodu! OSINT, czyli pozyskiwanie informacji na temat osób i firm (2 dni) 7-8 października, WROCŁAW […]
Wyciek danych z wielu polskich sex-shopów
W nocy klienci kilku internetowych sex shopów otrzymali e-maila od włamywacza, który wykradł ich dane i szczegóły zamówień. Szantażysta w wiadomości cytował co konkretnie kupili, informował że zna adres wysyłki i żądał zapłaty 500 PLN za usunięcie ich danych z wykradzionych baz, których zawartość za kilka dni zamierza upublicznić. Oto pełna treść wiadomości, jaką otrzymał jeden z naszych Czytelników. Wszystkie pozostałe przesłane nam przypadki miały takie samo brzmienie — różnił się […]
Holding 1, właściciel Traficara, Polskiej Grupy Dealerów (salony różnych marek samochodów), developera Megapolis i dziesiątek innych spółek informuje o wycieku danych
Niektóre osoby mogą w najbliższych dniach dostać kilka różnych powiadomień od różnych firm, które dotyczyć będą możliwego wycieku ich danych. I choć nadawcami będą różne spółki, to wszystkie te wszystkie powiadomienia dotyczyć będą jednego i tego samego zdarzenia — nieautoryzowanego dostępu do infrastruktury spółek z grupy Holding 1, ogromnego podmiotu, w skład którego wchodzi wiele mniej i bardziej znanych firm przetwarzających dane setek tysięcy Polaków. Holding 1? Co to takiego? […]
1,5 mln złotych kary dla firmy medycznej po ataku ransomware
Owszem, pewna spółka medyczna właśnie dostała 1,5 mln zł kary po ataku, który spowodował wyciek danych 21 tys. osób. To jednak nie jest kara “za atak”, ale kara za niedbałość polegającą m.in. na używaniu przestarzałego oprogramowania i niestosowaniu się do własnych zasad. Co się stało? Prezes UODO poinformował dziś o wydaniu decyzji DKN.5112.35.2021, którą nałożył karę finansową w wysokości niecałych 1,5 mln zł na spółkę American Heart of Poland […]
Trump zhackowany!
Kilku dziennikarzy w USA otrzymało dokumenty, które pochodzą ze skrzynek pocztowych osób zaangażowanych w kampanię prezydencką Donalda Trumpa. Współpracownicy Trumpa oficjalnie potwierdzili atak i sugerują, że dokonali go “wrodzy USA rządowi hackerzy”. Choć nie podano z jakiego kraju, to podlinkowano ten raport Microsoftu o atakach irańskich hakerów. Warto jednak podkreślić, że Microsoft tego konkretnego ataku nie badał i nie opisuje w swoim raporcie, a dziennikarze nie byli w stanie niezależnie potwierdzić, że kontaktująca się z […]
Hakerzy zabili mu krowę
Przepraszamy, ale nie mogliśmy sobie odmówić tego klikbajtowego nagłówka, bo w tej historii naprawdę “atak hakerski” przyczynił się pośrednio do …śmierci krowy. Roboty dojące można zhackować… Jak informuje serwis Swissinfo, jakaś grupa hackerska zaatakowała komputer szwajcarskiego rolnika, który był przez niego wykorzystywany do sterowania automatyczną dojarką (z góry przepraszamy, jeśli fachowo to urządzenie nazywa się w Polsce inaczej). Serwis nie podaje modelu tego urządzenia, więc poniżej wklejamy zdjęcie wyłącznie poglądowe: […]