Security awareness - socjotechnika

Рет қаралды 42,005

Күн бұрын

Jak przestępcy próbują nas oszukać? Przykłady realnych ataków i manipulacji:
⚬ Fałszywe strony z informacjami
⚬ Przejmowanie kont na Facebooku i prośby o przelewy
⚬ Wykorzystanie wizerunku znanych osób w fałszywych reklamach
⚬ Udawane konkursy i nieistniejące nagrody
⚬ Zweryfikowane profile i kradzież kryptowalut
⚬ Vishing i podszywanie się pod infolinię banku
⚬ SIM Swap czyli duplikat karty SIM
⚬ Aktywny linki w SMSach i kopie bramek płatności
⚬ Deepfake
⚬ Business Email Compromise - oszustwa na "prezesa"
⚬ Granie na uczuciach i emocjach - fałszywe zbiórki pieniędzy
⚬ Nieuczciwa pomoc techniczna - przejmowanie kontroli nad komputerem poprzez zdalny pulpit
⚬ Podszywanie się pod instytucje państwowe
⚬ Atak Picture in Picture
0:00 Wstęp
4:09 Definicja socjotechniki
4:27 Eksperyment - wybierz losową liczbę
5:08 Jaką liczbę wybierają inni
6:43 Granie na emocjach
8:37 Kradzież kont na Facebooku
9:42 Po co komuś nasze konto na FB
11:23 Prośba o przelew od naszych znajomych
12:51 Podszywanie się pod znane osoby
14:22 Fałszywe konkursy
16:19 iPhone bez folii zabezpieczającej
19:22 Linki do zwycięskich profili
20:42 Open Graph Protocol
23:01 Jak rozpoznać zweryfikowany profil
24:22 Reklamowanie kryptowalut
26:20 Jak rozpoznać telefon od banku
27:24 Podszywanie się pod numer telefonu
28:20 Vishing
29:13 Hasło zwrotne w banku
31:05 Ankieta satysfakcji
34:06 Skąd przestępca ma mój numer telefonu
35:14 Fałszywy mail od Policji
35:39 Szantażowanie - skąd w mailu moje hasło
36:57 Sim SWAP
39:22 AntiFraud API
40:53 Fałszywe wiadomości SMS
43:04 Fałszywe bramki SMS
44:24 Aktywne linki SMSach
50:36 Typosquatting
52:25 Szczepienia
55:40 Przekręt Nigeryjski
56:64 Deep fake
58:13 Fałszywe twarze
1:02:43 Business email compromise
1:05:15 Tailgating
1:05:45 Fałszywa dostawca pizzy
1:08:50 Zbiórki pieniędzy
1:10:55 OAuth
1:13:32 Pomoc techniczna
1:16:09 Kradzieże na grupach na FB
1:16:38 Kupowanie mieszkań
1:17:47 Fałszywe rejestry działalności gospodarczej
1:18:37 Podróbka Urzędu Patentowego
1:19:25 Picture in picture - logowanie Steam
1:21:40 Żart - ekran aktualizacji Windows
1:24:12 Pozwolenie na pokazywanie powiadomień
1:25:53 Pliki ICS - załączniki w kalendarzu
1:26:50 Bony do Biedronki
1:28:19 Wyłudzanie SMSów premium
1:30:06 CERT
1:30:47 Ankieta
📬Darmowy kurs mailingowy: szurek.tv/kurs
🔥Ankieta: szurek.tv/ankieta
📩Newsletter: security.szurek.pl/live/
💬Facebook: / od0dopentestera
📷Instagram: / kacper.szurek
💬Discord: od0dopentestera.pl/discord
☁️100$ na DigitalOcean (reflink): security.szurek.pl/linki/d/

Пікірлер: 51

@KacperSzurek 3 жыл бұрын

Start 4:09

@arcione69 2 жыл бұрын

Kacper robisz super rzeczy dla społeczeństwa! Najbardziej wartościowy KZfaqr w tej części Internetu

@0xy420 2 жыл бұрын

Świetna robota! Często zwracam uwagę na wszelkie dziury umożliwiające oszustom atak. To grubsza rozkminka bo aby nie zostać okradzionym musisz pomyśleć jak złodziej lub oszust. Pogłębianie wiedzy w tej dziedzinie jest moralnie ambiwalentne stad niesamowicie ciekawe :)

@pawemielewczyk1243 3 жыл бұрын

Świetny materiał jak zwykle :), bardzo interesujący.

@nihilistycznyateista 2 жыл бұрын

Zweryfikować pracownika banku możemy bardzo szybko i łatwo. Wystarczy poprosić go o jedną z killku informacji: 1. Jaki jest mój limit na karcie kredytowej? 2. Ile wynosi ostatni przelew od pracodawcy? 3. Ile rat pozostało mi jeszcze do spłaty? Jednym słowem jakaś informacja, co do której znamy odpowiedź, a pracownik banku w przeciwieństwie do kogoś, kto dysponuje najwyżej naszym numerem telefonu i informacją w jakim banku mamy konto ( co nie zawsze musi mieć miejsce, może strzelać w ciemno i przeprosić za pomyłkę, jak nie trafi, zmarnuje minutę, ale to wkalkulowane ryzyko, bo tu się leci na ilość). Jeśli rozmówca nie potrafi wam podać tych danych to jest niekompetentny i nie warto z nim rozmawiać, albo co bardziej prawdopodobne nie jest pracownikiem banku. Acha i jak spróbuje zaripostować, że dla podania takich informacji musi najpierw on was zweryfikować to po pierwsze nie musi, bo to nie są dane osobowe, a po drugie to nie wy dzwonicie i nie podajecie się za siebie, aby musieć to potwierdzać, ani nie zlecacie żadnych operacji na koncie wymagających autoryzacji. Ale sprytny oszust mógłby grając w waszą grę wyłudzić od was hasło abonenckie autoryzujące na infolinii. Jego pod żadnym pozorem nie podajemy, jak ktoś dzwoni do nas, a jedynie jak my dzwonimy na infolinię. Inaczej spokojnie można się tym hasłem przedstawić w naszym imieniu na faktycznej infolinii i zlecić przelew, czy zrobić co nam się podoba z tym kontem.

@janekkrawiecki4654 2 жыл бұрын

Hasło zwrotne "przejrzał mnie pan jestem oszustem"

@krzysztofmarcinczechowicz6223 2 жыл бұрын

Dobra produkcja.Dobry głos, intonacja i dykcja. Materiał i podanie go duży plus.Pozdrawiam:)

@doktor_adam_w 3 жыл бұрын

Świetny materiał.

@NN-td9jk 3 жыл бұрын

Super robota - dzięki! :)

@semeur123 3 жыл бұрын

Dzieki. Następny super bogaty w treść film.

@bartoszdudziak7738 2 жыл бұрын

Super film💪👍😁 pozdrawiam

@elzbietaszczygielska3129 2 жыл бұрын

Dziękuję

@blackhorse8427 2 жыл бұрын

Dzięki, nie miałem pomysłu na szczypanie na kasę frajerów, ale ten materiał mi pomógł. Propsy.

@adamkwalczyk 3 жыл бұрын

...a wystarczyłoby, aby nie dopuszczać możliwości duplikowania SIMow. Niestety znów wygoda i kaprysy nieogarniętych użytkowników skutkują opuszczeniem gardy przez sieci komórkowe, co oznacza dramaty wielu Boga ducha winnych ludzi. Ludzie robiący przelewy powyżej 5000 rzadziej niż raz do roku powinni mieć prawo zabezpieczenia "potwierdź osobiście w placówce banku", ale znowu wygoda górą. Możliwość autoryzacji pożyczek powinna być TYLKO osobista. Niestety, znowu wygoda... Żeby sieć była znów w miarę bezpieczna należałoby ją zbudować na nowo i nałożyć najpotężniejsze kary na nieetycznych hakerów, potępiać niefrasobliwych użytkowników końcowych i ograniczyć swobodę konfiguracji ich usług.

@alinowak8586 2 жыл бұрын

Darmowy ser jest tylko w łapce na myszy:-), oby mnie nie przyćmiło chęciom darmoszki.

@the_ghost_iiip8772 2 жыл бұрын

Wybrałem 9, po sekundzie zmieniłem na 7 - coś mi te liczbę podpowiadało z tylu głowy :)

@kzstfgsr753 Жыл бұрын

dobrze spedzone 94 minuty , pozdrawiam

@webmaster21 2 жыл бұрын

5:22 liczba 1-10. 47. osob wybralo 0 :D

@aleksanderjanzarebaemanuel481 2 жыл бұрын

Podobalo sie nam

@piotrrudziewicz5400 3 жыл бұрын

Kacper skąd masz taką gigantyczną wiedzę na teamt cybersecurity? Studia czy samouk ? Pozdrawiam. :)

@KacperSzurek 3 жыл бұрын

Myślę, że określenie "samouk" dość dobrze mnie opisuje ;)

@BrudnyHenryk 2 жыл бұрын

Gigantyczne? To są absolutne podstawy

@kamil118 Жыл бұрын

Aplikacja mobilna Millenium posiada funkcję, w której osoba dzwoniąca z banku jest w stanie wyświetlić powiadomienie w palikacji z imieniem i nazwiskiem osoby dzwoniącej z banku za prośbą klienta.

@marcinmajewski7627 3 жыл бұрын

Czesc, moge prosic o rekomendacje dobrego antywirusa z VPN? Za dobry produkt jestem wstanie dobrze zaplacic. Dziekuje

@pafnucyryj5665 2 жыл бұрын

Dzień dobry, Szanowny Panie Szurek oglądałem Pana filmy. Przydałoby się więcej przykładów bo ogólniki są dobre ale nie za bardzo. Ja to nie bardzo "jarzę" wszystko co Pan mówisz ale czuję, że ten raj informatyczny to nie jest taki jak w wyobrażeniach wielu, bardzo wielu ludzi. A z drugiej strony może lepiej , że nie leje się krew (mam na myśli napady na banki z 19 i 20-tego wieku) a ludzie tracą tylko pieniądze a nie życie? A ogólne: dzięki za robotę.(Dobrą)

@janepko 2 жыл бұрын

Sam KeePass nie sprawdza URLa, bo robi to rozszerzenie do przeglądarki, które komunikuje się z wtyczką do KeePassa. Rozszerzenie to np. Kee, a wtyczka to KeePassRPC.

@nihilistycznyateista 2 жыл бұрын

Ależ do transmisji na żywo nawet nie trzeba mieć specjalnego oprogramowania. W każdej chwili wy sami możecie przecież na Fb, czy YT uruchomić transmisję na żywo, na której ustawicie sobie w OBSie udostępnianie jakiegoś okna - w domyśle nakładając na to obraz ze swojej kamery i dźwięk z mikrofonu w ten sposób komentując live obraz wyświetlany z tego okna. I równie dobrze może to być gra, w którą gracie, jak i film jaki oglądacie. No to teraz robicie to samo, tyle, że mikrofon macie wyciszony, a okno z kamery nie ustawione w tej scenie. Czyli technicznie rzecz biorąc transmitujecie na żywo, bo ten film nie jest wrzucony do was na kanał, a leci w formie streama. Dla platformy nie ma technicznie żadnej różnicy między tym kiedy to się streamuje z kamery, przed którą się ktoś wypowiada, czy z okna programu odtwarzającego nagranie, czy choćby po odpowiednim kablu przez przejściówki z archaicznego odtwarzacza kaset VHS. Ważne, że dostarczany jest sygnał video w danym momencie wysyłany przez łącze internetowe. A spreparowanie go tak, żeby na przykład się zacinał, imitując kiepskie połączenie to też żaden problem, a to dodatkowy atut w kwestii przekonywania, że coś jest na żywo. Dogranie jakiejś bezpośredniej wypowiedzi odnoszącej się do pisanych komentarzy w stylu: :Dzięki za wszystkie pozdrowienia w komentarzach, wszystkie je widzę, ale nie będę się odnosił, ani odpowiadał na pytrania, bo mam mało czasu, a chciałbym wam przekazać kilka ważnych informacji", czy pytanie na wstępie czy słychać i widać wszystko - to coś co można powiedzieć w ciemno, niezależnie od tego co się faktycznie na tym czacie dzieje, czy wręcz samemu na bieżąco z fake'owego konta pisać komentarze, do których się nagrana wcześniej osoba niejako na wizji odnosi.

@miqski 3 жыл бұрын

Słuchałem podcastu a i tak wybrałem 7 =|

@joannakolendra1942 2 жыл бұрын

Przy rozmowie z konsultantem mBank możesz zarządzać wysłana autoryzacji rozmowy do mobilnej autoryzacji.

@zbychoo 2 жыл бұрын

Mamo, Tato, chcę Ci coś pokazać.

@angelicbwrry4366 Жыл бұрын

1 Do 9 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

@kasiakatarzyna1981 Жыл бұрын

23:01 Ostatnio wystarczyło kilka dolarów

@PiotrKalisz Жыл бұрын

może najlepszy pomysł to jebnac tym netem w pizdziec bo wszędzie nas robią, czytasz uczysz się a i tak jesteśmy na początku w czarnej d:)

@mleczkoxdTakTenmleczko 3 жыл бұрын

Świetny materiał jedynie brakuje mi wspomnienia o piggybacking przy tailgaiting

@Piferko 2 жыл бұрын

Szkoda, że to wszystko za późno :( Dałem się oszukać na kasę przez marketbull. Zaciska się pętla na szyi :(

@user-fu8tk4iw2q Жыл бұрын

Panie Kacprze ale ma Pan wiedzę..........

@janekkrawiecki4654 2 жыл бұрын

Bo 7 była na środku ekranu

@ESP-FR-iT-NL 6 ай бұрын

Kiedyś jak miałem 14 lat kradłem konta fb w ten sposób dla zabawy

@wilkszczek 2 жыл бұрын

Nie każdy powinien mieć zainstalowaną aplikację banku. Ludzie nie zakładają hasła w smartfonach :( Moją matkę musiałem zmuszać do ustawienia wzorka. (odcisk palca to już jest dla nich Science-fiction) "Bo kto i po co miał by się jej włamać" Do tego ma firmowe konto email. Dramat.

@KacperSzurek 2 жыл бұрын

Dlatego aplikacje bankowe wymuszają dodatkowe, osobne hasło - działające tylko w aplikacji.