Scam na fałszywą legitymację bankową (° ͜ʖ °)
Przeraża mnie że są ludzie którzy się na to nabiorą ( ͡° ʖ̯ ͡°)
CSIRT KNF informuje o nowej fali vishingu. Przestępcy wykorzystują generowane przez AI fałszywe legitymacje bankowe, aby wzbudzić zaufanie ofiary i nakłonić ją do działania.
#cyberbezpieczenstwo #cybersecurity #scam
Proszę mnie przepuścić. Ja mam paszport santandera
@kodyak ja ma upoważnienie od dra Oetkera
Zaloguj się aby komentować
Meta w formie, 3,5 mld zestawów: numer telefonu, nazwa, zdjęcie profilowe za free dla każdego.
Wiedzieli od 2017 roku i nic nie zrobili (° ͜ʖ °)
Odkryli to austriaccy naukowcy, którym udało się uzyskać numery telefonów wszystkich 3,5 miliarda użytkowników WhatsApp. W przypadku około 57% z tych 3,5 miliarda użytkowników naukowcy uzyskali również dostęp do ich zdjęć profilowych, a w przypadku kolejnych 29% – do treści ich profili.
Jeśli zastanawiasz się, jakiej magicznej sztuczki hakerskiej musieli użyć, to odpowiedź brzmi: żadnej. W zasadzie po prostu próbowali dodać miliardy numerów – tak samo, jak zrobiłbyś to ty. Dodajesz numer, a WhatsApp informuje cię, czy osoba korzystająca z tego numeru ma konto, i pokazuje jej zdjęcie profilowe oraz treść konta.
Właśnie to zrobili naukowcy, tyle że na ogromną skalę, korzystając z WhatsApp Web, interfejsu przeglądarkowego tej usługi. Na początku tego roku byli w stanie sprawdzić około 100 milionów numerów telefonów na godzinę, ponieważ pomimo tego, że firma Meta, właściciel WhatsApp, została ostrzeżona o tym problemie w 2017 roku przez innego badacza, nie podjęła żadnych działań w tej sprawie.
Na szczęście austriaccy naukowcy poinformowali firmę o tym problemie w kwietniu, a do października firma wdrożyła ograniczenia szybkości, aby zapobiec tak masowemu wykrywaniu kontaktów. Oczywiście nie było to wdrażane przez wiele, wiele lat, podczas których każdy rodzaj nieuczciwego podmiotu mógł wykorzystać ten system.
Ze swojej strony Meta podkreśliła, że wszystkie te dane są „podstawowymi informacjami dostępnymi publicznie” i że zdjęcia profilowe i teksty nie były ujawniane użytkownikom, którzy zdecydowali się je ustawić jako prywatne. Firma zapewnia również wszystkich, że „nie znalazła żadnych dowodów na to, że złośliwi aktorzy nadużywali tego wektora” i „żadne dane niepubliczne nie były dostępne dla badaczy”.
Źródło:
https://www.gsmarena.com/whatsapp_easily_exposed_35_billion_peoples_phone_numbers-news-70350.php
#cyberbezpieczenstwo #cybersecurity
Najgorzej że wyciekły numery PIN do kart sim! Tutaj lista:
https://pastebin.com/raw/ajDKBXuA
Sprawdź swój - jeżeli znajduje się na liście koniecznie go zmień!
Zaloguj się aby komentować
" - Co ty masz z tego łażenia na te konferunsje? - No szpej do łażenia po konferunsjach!" ¯\_(ツ)_/¯ #kolosiezamyka #cybersecurity
"Gdy z przyzwyczajenia rubież zakupy w smyku"
@PanNiepoprawny
@AndrzejZupa
Nie dorosłem do swych lat
Masz mnie za nic dobrześ zgadł
Jak tak można pytam was
Tyle lat marnować czas
Nauczyłem w życiu się
Paru rzeczy wszystkich źle
Ale moją dróżką idź
Gdy się już nie daje żyć
( ͡° ͜ʖ ͡°)
Zaloguj się aby komentować
Pierwszy raz w życiu potrzebuję CodeSigning certificate i próbuję w wolnych chwilach doczytać jak to działa. Z tego co widzę, to po zakupie OV nie dostaję po prostu pliku tylko on od razu musi być na jednej ze "wspieranych" platform?
Mam trochę dziwną sytuację bo infra wróciła z poziomu dużego korpo do czegoś pomiędzy SOHO, a korpo. 2-3 osoby będą podpisywać regularnie, kilka od święta i teraz pytanie jak to ugryźć?
Z tego co widzę to mam opcje. :
Płacę miesięcznie za chmurę w ssl.com, jako że wielu użytkowników to muszę użyć droższego tier 2, ale przynajmniej rozsyłam credentiale i zapominam o temacie z mojej strony?
Kupuję Yubikeya z FIPS od ww. i mam go na stałe i za darmo (a przynajmniej do wygaśnięcia i przedłużania certa). Potem mogę (czy nie mogę?) go sobie skopiować na kolejny Yubikey z FIPS, którego kupię sam w normalnej cenie? Czy może jest jakiś proces gdzie zdalnie wrzucę klucz na mojego Yubikey'a (-keye)?
Po zakupie wskazuję AWS/Azure jako przechowalnię klucza i potem klucz jest już przechowywany i udostępniany w ich HSM. Zakładam, że obie opcje są dodatkowo płatne? W Azure nie widzę oczywistego cennika, po prostu próbuje mi dać triala na jakieś usługi, ale w AWS widzę koszt 1,45$ za godzinę gdy jest po prostu aktywny. Czyli samo włączenie HSM od razu daje mi kosmiczny koszt Oo? Azure ma podobnie?
PS: Etap "zrób self-signed i po prostu roześlij przez Intune'a" mam już za sobą, nie wystarczy
#cyberbezpieczenstwo #cybersecurity #devops #nis2
No elo.
A jaki jest właściwie sens przerzucania klucza z jednego miejsca w inne? Wszystkie te yubikeye i inne HSMy są po to żeby klucz ich nigdy nie opuszczał.
Nie wiem jak działa code signing ale czy jest możliwe uzyskanie od jakiegoś CA certyfikatu intermediate CA do podpisywania innych certyfikatów? Wtedy każdy podpisujący mógłby używać własnego Yubi a lista CRL załatwiałby sprawę wygaszonych certyfikatów.
Yubikey czy tam inny smartCard to taki bieda hsm. Ma tylko jeden slot i jeden pin - może przechowywać wiele kluczy/certyfikatów. Producent dostarcza oprogramowanie za pomocą którego wgrywasz na niego klucze i certyfikaty. Do samego podpisu, który będzie rozpoznawany przez wszystkie urządzenia musisz wybrać zaufanego dostawcę który zweryfikuje i podpisze Twój certificate sign request. Wtedy tworzy się łańcuch kluczy który będzie używany do walidacji Twoich podpisów. Teraz wszystko zależy od tego jaki poziom bezpieczeństwa musisz osiągnąć. Jeżeli nie chcesz bezpieczeństwa, tylko po prostu coś podpisać, to rozdajesz klucz i certyfikat pracownikom i zwalniasz się z pracy zanim wszystko wybuchnie. Nastepnym poziomem jest zapakowanie tego klucza do smartCard, czyli tego yubikey lub wygenerowanie klucza prywatnego bezpośrednio na yubikey, później certyfikatu i csr. Nastepnym poziomem jest to co wspomniał kolega wyżej, czyli stworzenie i podpisanie certyfikatu intermediate który ma w polu KeyUsage cRLSign/keyCertSign (rfc5280) co pozwala na stworzenie dowolnej liczy certyfikatów dla pracowników. Oczywiście każdy z nich na osobnym yubikey lub osobnym slocie hsm. Ogolnie u mnie wygląda to tak że produkcyjnymi kluczami podpisujemy tylko produkcyjny software/firmware. Pracownicy wrzucają kod do gita walidując się po ldap. Każdy projekt ma osobny slot hsm i średnio 3 osoby na projekt mają pin do podpisu o który bezpiecznie pyta jenkins signing job. Infra przeszła audyt BSI a klienci to światowa topka, urzędy i wojsko. Wszystkie certyfikaty są self signed 🥰
@raczej_dobrze
Dzięki, rozjaśniłeś mi to w głowie.
A więc plan ogólny w postaci wydzielenia 2 czy 3 "dzierżycieli" klucza jest ok. Nie potrzebuję dodatkowych chmur, etc. a tylko odpowiedniego "pena" (bo firma już kupiła, ale bez certa FIPS :)). A lepiej, mogę też zrobić sobie intermediate-CA co już w ogóle jest spoko bo pozwoli identyfikować devów w razie problemów. Czyli de facto nie ma tutaj magii, standardowe PKI. Tylko, że opisali to tak, że z moim ograniczonym zrozumieniem (zawsze miałem "kogoś od PKI" ;)) się już pogubiłem.
@Aramil A czy potrzebujesz certyfikacji FIPS? Jeśli w cały biznes nie są gdzieś wplątane instytucje rządu federalnego USA albo schematy płatności związane z PCI czy inne dokumenty regulacyjne powołujące się na FIPS to sama certyfikacja jest trochę kwiatkiem do kożucha.
Zaloguj się aby komentować
24 711 880 - 120 = 247 118 680 Pomimo konfy coś tam dopchnąłem. Gifty z konfy załączam. ¯\_(ツ)_/¯
#pompujwpoprzekziemi #cybersecurity #koty
Liczby w kosmos wysłałeś
Zaloguj się aby komentować
Wdrożenie NIS2 jako nowelizacja ustawy o KSC, tak zwane KSC 2.0.
Co to jest? Ustawa która wymusi audyty systemów IT (cyberbezpieczeństwo, backupy itd), oceny ryzyka, audyty z zakresu wdrożeń wyników audytów, finansowa odpowiedzialność osób zarządzających itp. Ustawa wymuszająca aby IT zaczęło być bezpieczne, aby nie było traktowane butem.
Kogo obowiązuje? Podmioty krytyczne, ważne oraz firmy je obsługujące.
Dla wielu firm będzie drożej, będą procedury.
To już blisko, trafiło do sejmu!
7 listopada 2025 - Projekt wpłynął do Sejmu - druk nr 1955
17 listopada 2025 - Skierowano do I czytania na posiedzeniu Sejmu
Patrząc na ruską i białoruską agresję w przestrzeni cyfrowej to naprawdę nie sądzę aby obozy polityczne się gryzły i blokowały (może poza konfą xD).
Podejrzewam szybką ścieżkę oraz również szybki podpis prezydenta.
https://www.sejm.gov.pl/Sejm10.nsf/PrzebiegProc.xsp?nr=1955
#prawo #informatyka #ksc #nis2 #przedsiebiorczosc #cyberbezpieczenstwo #cybersecurity #biznes
W tak przedstawione fakty nie sposób Zwątpić.
Ale odpowiedz mi na jedno bardzo ważne pytanie: Czy dalej będę mógł wpłacać kasę na konto Zen w Żabce żeby potem doładować tą kartą revolut i później płacić stamtąd blikiem za paysafe card którą uzupełniam saldo konta w ulubionej grze hazardowej/ruskie iptv? To ważne.
@Heheszki Z tego co mi wiadomo, ustawa nie dotyka kwestii przepływu pieniądza ( ͡~ ͜ʖ ͡°)
@Marchew Zatem popieram!
Ustawa wymuszająca aby IT zaczęło być bezpieczne, aby nie było traktowane butem
@Marchew yhy, czytam "bezpieczne", a przed oczami mam obraz, że u mnie w korpo ludzie zaczną już się ciąć albo wieszać, bo już teraz liczba papierów do odjebania non stop zajmuje grubo ponad połowę czasu pracy zespołu.
To ma dobre i złe strony. Złą jest to, że koszt będzie przerzucony na klientów detalicznych. Dobra teoretyczna poprawa security, ale i tak nie wyeliminuje to problemów, bo ich się nie da usunąć żadną ustawa czy mechanizmami. Głupcami są ci, co uważają inaczej.
Zaloguj się aby komentować
Przegląd wybranych oszustw internetowych - PAŹDZIERNIK 2025
#cyberbezpieczenstwo #cybersecurity #bezpieczenstwo
Zaloguj się aby komentować
Zuckerberg i jego ScamFace w formie.
Fajny biznes, 16 MLD przychodu, 1 MLD strat. Zostaje 15 MLD.
Opodatkowanie brudnych pieniędzy to jedyne 6,25%.
Fajna pralnia.
#scam #cyberbezpieczenstwo #cybersecurity #bezpieczenstwo
Nic nowego
Posrednictwo w przestepstwie. Wspoludzial. Tak to sie nazywa.
Widziałem i byłem w szoku. Spróbuj sobie rozkręcić biznes z polegający na pomocnictwie do popełniania oszustw - powodzenia. No chyba że jesteś fb to wtedy luzik.
Zaloguj się aby komentować
#ciekawostki #luwr #cyberbezpieczenstwo #cybersecurity oraz #bekazdebili
W czym problem że server 2003? W końcu to muzeum, więc jest na swoim miejscu
Zaloguj się aby komentować
Oszuści znów próbują podszywać się pod Narodowy Fundusz Zdrowia. Chodzi o profesjonalnie wyglądające e-maile, dzięki którym cyberprzestępcy chcą wyłudzić dane i pieniądze. Oszuści chcą w fałszywych e-mailach sprawiać wrażenie, że zamierzają zwrócić koszt zakupu leków. "Wiadomość e-mail rzekomo...
Dane części użytkowników serwisu SuperGrosz wyciekły po ataku hakerskim i trafiły w ręce przestępców – poinformował w niedzielę na platformie społecznościowej X wicepremier i minister cyfryzacji Krzysztof Gawkowski. Dodał, że sprawą zajmują się zespoły reagowania CSIRT KNF oraz CSIRT NASK. CSIRT...
#motoryzacja #cybersecurity #design #ux #prywatnosc &źródło
The Dumb Design of Modern Cars
moze komplikowanie interfejsu ma budowac lojalnosc klienta, zeby nastepny samochod kupil tej samej marki, zeby nie musiec zmieniac nawykow?
Zaloguj się aby komentować
Minister cyfryzacji, wicepremier Krzysztof Gawkowski poinformował, że w związku z atakiem hakerskim na spółkę Nowa Itaka, doszło do wycieku danych logowania części klientów korzystających z usług biura podróży. Zapewnił, że specjaliści z NASK pozostają w stałym kontakcie z ITAKĄ. Informację o ataku...
KeePassXC - webinar od Kacper Szurek.
KeePassXC - menadżer haseł - tutorial krok po kroku
Kacper Szurek
https://www.youtube.com/watch?v=YCa74tQSxVI
#cyberbezpieczenstwo #cybersecurity #komputery
Zaledwie mnie zaskoczył na zdjeciu @Felonious_Gru i sprawdziłem co to za apka i czy może mi się przydać... Przypadek? Nie sądzę.
@Heheszki panie, keepass to w 2003 roku wyszedł, ja gdzieś od 2010 używam.
Polecam do trzymania haseł do kont bankowych. Plik jest szyfrowany lokalnie, więc niech se wisi ja chmurze, i tak go nikt nie zlamie, to o wiele bezpieczniejsze niż trzymanie wszystkiego bezpośrednio w przeglądarce.
Ja z lenistwa już piętnasty rok się zbieram do przerzucenia wszystkich haseł na keepass xD
Na Androida tez była appka, ale ostatnio nie używam
@Felonious_Gru Na Androida KeePassDX polecam, integruje się z systemową funkcją uzupełniania haseł, więc nie trzeba osobno otwierać, tylko wystarczy odblokować bazę haseł i wybrać wpis.
Ooo aż sprawdzę. Bo z Bitwardenem mam pod górę jakoś...
A mi bitwarden pasi. Bardziej dopracowany bo jest wersja płatna 5 zł na rok (płace bo super bajer z trzymaniem totp w chmurze).
Jedna apka może kilka kont obsługiwać. Brat ma swój prywatny serwer bw i mam na nim też konto jak jakieś passy z nim wymieniam.
Ale fajne jest, że są też rozwiązania całkiem oddolne, tylko dla niektórych lepsze jest jednak bardziej polished rozwiązanie komercyjne. Z dobrym szyfrowaniem e2e w chmurze. Bez hasła nie odzyskasz konta.
@Legendary_Weaponsmith Gdzieś już było wałkowane.
Manager haseł na wiele urządzeń - > chmurowy - > BitWarden
Manager haseł bez chmury (lokalny) - > KeePass, lub bardziej KeePassXC. Ten drugi podobno bardziej odporny na uruchomiony malware kiedy mamy odszyfrowaną bazę.
Zaloguj się aby komentować
Czy IT w twoim miejscu pracy jest zorganizowane byle działało? W wielu miejscach taki stan niedługo się skończy (° ͜ʖ °)
KSC 2.0 czyli Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa jest wdrożeniem unijnej dyrektywy NIS2.
Sektory takie jak:
Energia,
Transport,
Bankowość,
Infrastruktura rynków finansowych,
Ochrona zdrowia,
Zaopatrzenie w wodę pitną i jej dystrybucja,
Infrastruktura cyfrowa,
Ścieki,
Zarządzanie usługami ICT,
Administracja publiczna,
Przestrzeń kosmiczna,
Usługi pocztowe i kurierskie,
Gospodarowanie odpadami,
Produkcja, wytwarzanie i dystrybucja chemikaliów,
Produkcja, przetwarzanie i dystrybucja żywności,
Produkcja,
Dostawcy usług cyfrowych,
Badania naukowe,
Oraz firmy (podwykonawcy) które powyższe obsługują ༼ ͡° ͜ʖ ͡° ༽
Zostaną objęte nowymi wymogami i regulacjami.
Co nowego?
Obowiązkowe audyty systemów IT (sam siebie nie możesz zaudytować xD)
Wdrożenie zaleceń audytów ᕦ( ͡° ͜ʖ ͡°)ᕤ
Pojawia się odpowiedzialność osób decyzyjnych!
Jeśli Cię zhakują ale nie zrobiłeś audytu lub nie wdrożyłeś jego zaleceń - > płać grubo [̲̅$̲̅(̲̅ ͡° ͜ʖ ͡°̲̅)̲̅$̲̅]
Co będę robił?
Politykę bezpieczeństwa informacji i zarządzania ryzykiem,
Procedury obsługi incydentów i reagowania na nie,
Zarządzanie ciągłością działania (plany awaryjne, odzyskiwanie po awarii),
Bezpieczeństwo sieci i systemów OT/IT (m.in. segmentacja, kopie zapasowe, kontrola dostępu),
Szkolenie personelu i budowanie świadomości cyberzagrożeń,
Kryptografia i kontrola tożsamości, szczególnie przy dostępie do systemów krytycznych.
Na jakim jest to etapie?
Siódma iteracja projektu została przyjęta przez radę ministrów. Więc prawdopodobnie zostanie puszczona na głosowanie do sejmu i senatu jeszcze w tym roku.
Ile czasu na wdrożenie?
Projekt zakłada, że po jednomiesięcznym vacatio legis od wprowadzenia ustawy podmioty kluczowe i ważne będą miały jedynie sześć miesięcy na pełne dostosowanie się do nowych przepisów. W praktyce oznacza to konieczność rozpoczęcia przygotowań jeszcze przed formalnym przyjęciem ustawy. Konieczne jest wykonanie audytu, inwentaryzacji sprzętu i oprogramowania, ocena ryzyka i przegląd łańcucha dostaw, wdrożenie mechanizmów zarządzania podatnościami, raportowania incydentów czy wyznaczenie osób do kontaktu z Krajowym Systemem Cyberbezpieczeństwa, a także przeprowadzenie szkoleń.
Tak, to będzie kolejna papierologia, koszty i utrudnienia.
Zapewne pojawią się firmy typu "wdrożymy wam KSC", które będą żerować na wszelkich małych i średnich firmach.
Czy to potrzebne? Czasami trafiają się takie IT kwiatki że chyba jednak potrzebne. Wiele firm ma gdzieś bezpieczeństwo danych.
Backup danych firmowych? Dokumentacja bez której od razu będziesz mógł ogłosić bankructwo? Namawiam szefa od dawna. Nie widzi potrzeby, a ten 10 letni NAS na którym kiedyś ktoś zbudowano RAID 5 na pewno się nie wykrzaczy!
Więcej:
https://crn.pl/artykuly/ustawa-o-ksc-2025-najnowszy-projekt/
#cyberbezpieczenstwo #cybersecurity #IT #bezpieczenstwo #informatyka
Zaloguj się aby komentować
Badacze bezpieczeństwa shackowali portal FIA służący do nadawania kierowcom licencji i uzyskali dostęp do dokumentów Verstappena. FIA od razu zdjęła portal do czasu załatania podatności. https://sekurak.pl/badaczom-udalo-sie-zhakowac-formule-1-i-wykrasc-paszport-verstappena/ #f1 #formula1 #cybersecurity #bezpieczenstwo
Bardzo fajnie, że takie rzeczy robią, propsuję! Lepiej że oni wpadli pierwsi na przetestowanie swoich zabezpieczeń niż jakiś haker ;)
Zaloguj się aby komentować
Uwaga na ataki na konta Google
Chłop stracił konto prawdopodobnie na dobre.
To też dla tych wszystkich co śmieją się z babć wpwdajacych w pułapki phishingu czy telefonicznych oszustów
https://niebezpiecznik.pl/post/przejete-konto-google-gmail-jak-odzyskac-pomoc-suport-kontakt/
#informatyka #cybersecurity #ciekawostki
Ciekawy przypadek. To mi przypomniało że dawno nie robiłem backupu konta Gmail. Czas ustawić backup automatyczny :)
@Michumi dobra praktyka to nie klikać w linki na mailu, tylko logować się na portal i ręcznie sprawdzić/skonfigurować daną rzecz.
Używam tego na FamilyLinka na córy fonie i nie zdawałem sobie sprawy, że ta usługa jest tak zbugowana. I to, czy jej używasz nie ma żadnego znaczenia.
Z minusów, to jeszcze można zapomnieć o zalogowaniu konta np. Re-Vanced u podopiecznego, bo Gappsy się z tym nie zalogują.
Zaloguj się aby komentować
Korea Południowa zhakowana.
tl;dw
Hakerzy było obecni w rządowym systemie od 2022 roku xD
Link w pierwszym komentarzu.
#cyberbezpieczenstwo #cybersecurity #wiadomosciswiat
Suki kima. No ciężko nie zauważyć że są z Korei północnej
@Marchew haaaaayaaaa
Infostealer xD śmieszne słowo.
Po mojemu to wielki sukces, wzor kontroli i procedur że to wyłapali: 650 certyfikatów które urzędnicy wynieśli do domu.
U nas nawet nie ma czegoś takiego co można nazwać rządowym systemem XD węzeł krajowy?bramka do logowania na pierdyliard sposobów i spis przekierowań do tego pierdolnika co potworzyli i podublowali na każdym szczeblu: krajowym,wojewodzkim,powiatu, miasta,gminy i urzedu. Codziennie gdzieś jakis szfagier wpuszcza nowych wykonawców do szafek z naszymi danymi. Bo trzeci przetarg na czwartą mapkę online wygrali albo na BIP3.0 xD u nas nawet nie ma sensu tego hakować - nawet hakerzy muszą koniec końców wszędzie z buta zapierdalać
Zaloguj się aby komentować
Hasła, manager haseł?
Zacznij korzystać z kontaktów w outlook jak managera haseł.
Twój .PST przez lata stał się świętością.
Outlook po updacie stwierdza "podaj mi hasło do account . microsoft . com albo się nie uruchomię".
Uświadom sobie że pass do ms'a sieci w outlooku (° ͜ʖ °)
Nie przetłumaczysz, wciąż używa.
#cyberbezpieczenstwo #cybersecurity #password #komputery #informatyka
Zaloguj się aby komentować
![[AKTUALIZACJA] Przejęli mu konto, ale pomoc techniczna Google nie chce mu pomóc](https://niebezpiecznik.pl/wp-content/uploads/2025/10/13yo-google.png)
