3side кибербезопасности

ГЛАВНЫЙ ПРИЗНАК ТОГО, ЧТО ВАС ЗАШИФРОВАЛИ Представьте утро: бухгалтер не может зайти в базу, почта не открывается, сервер «лежит». Первая мысль — техсбой. «Наверное, жесткий диск посыпался» или «опять провайдер чудит». Но есть один симптом, который не спутать ни с одной поломкой железа. Ультиматум на рабочем столе Главный признак реального взлома с шифрованием — это требование выкупа (Ransom Note). Если сервер просто сломался, он молчит. Если его взломали, он начинает с вами «разговаривать». Обычно это текстовый файл .txt или картинка, которая заменяет ваши обои на рабочем столе. Такие «записки» хакеры оставляют на каждой зашифрованной машине, чтобы вы точно их заметили. Что всегда есть в таком послании: — Идентификатор: Ваш личный номер в системе хакеров (ID). — Инструкция: Как скачать специальный браузер (Tor) и по какой ссылке перейти. — Контакты: Почта или чат для связи с «поддержкой» вымогателей. Почему этот файл важен? Не спешите его удалять. Эта записка — важнейшая улика для расследования: 1. Кто нападает? По ID, контактам, тексту и стилю можно понять, какая группировка вас атаковала. 2. Это точно они? Записка подтверждает, что это внешняя атака, а не проделки обиженного сотрудника-инсайдера. 3. Ключ к спасению: В ней содержится инфо, которое теоретически позволяет получить ключ для расшифровки, если платить выкуп (хотя мы категорически не рекомендуем кормить мошенников — гарантий нет). Торг уместен? Интересный факт: в самой записке сумму выкупа почти никогда не пишут сразу. Хакеры — тоже «бизнесмены». Они сначала ждут, когда вы выйдете на связь, оценивают масштаб ваших бед, а потом называют цифру и начинают торговаться. (!) Если записка появилась — вы уже опоздали Нужно быть честными: если вы видите это сообщение, ваши данные уже зашифрованы или еще и украдены. Бизнес встал. Теперь это вопрос не «как защититься», а «как быстро и дорого мы будем восстанавливаться». Безопасностью нужно заниматься ДО того, как вы увидели записку. Мы в 4sec помогаем не допустить этого сценария. Но если беда уже случилась: — Поможем восстановить работу бизнеса максимально быстро. — Проведем расследование: найдем «дыру», через которую они зашли. — Заделаем её так, чтобы второй раз к вам не постучались и предотвратим появление новых. Не ждите «записок» от хакеров. Начните защищаться прямо сейчас: 4security.ru --- Ваш капитал под защитой, если вы действуете на опережение.

Если нас взломали - о важности кризисных коммуникаций В этом году мы много занимаемся расследованиями - разбираем инциденты у клиентов, от шифрования до утечек. И есть одна важная вещь, о которой иногда на рынке забывают - это коммуникации. Если у вас проблемы - о них нужно говорить. Во-первых, с собой (признать проблему). Во-вторых, c сотрудниками. Не обязательно говорить все, но важно озвучить хоть что-то. Был инцидент, проблему решили, больше не будет. А еще важно грамотно говорить с клиентами и контрагентами. Это задача PR, из нее не обязательно делать медиаповод, как это сделали 12storeez, но ее нужно отрабатывать. Мы, кстати, помогаем при наличии запроса. Но вот мы прям видим, как на рынке (особенно МСБ) взлом вызывает шок и желание побыстрее закрыть вопрос и больше о нем не вспоминать. «Ничего не произошло, мыши съели сервер». Не надо так. Любой ИБ инцидент - это задача не только технарей, это касается вообще всех. Особенно если название вашей компании знает больше пары тысяч человек.

10 тысяч подписчиков! Всем привет! Количество подписчиков перевалило за 10 тысяч! Для нас это удивительно — особенно с учетом того, что это корпоративный канал. Мы рады, что вы с нами. В связи с этим — напомним о том, кто мы такие и что это за канал. 3side (ООО Третья Сторона) — первая в России платформа ИБ-услуг, созданная Антоном Бочкаревым и Артемом Наливайко. Мы объединяем множество опытных специалистов по информационной безопасности и помогаем бизнесу организовывать проекты с их участием. Занимаемся почти всем спектром разовых услуг — от тестирований на защищенность и расследований кибератак до экзотики вроде реверс-инжиниринга. За последний год вырос не только наш канал — мы сделали несколько десятков проектов, у нас появился полноценный штат сотрудников, мы запустили свой продукт для МСБ (4sec) и сделали одну из первых "коробочных" активных страховок от кибератак в России. Этот канал — не столько про бизнес, сколько про события в мире ИБ, которые мы считаем важными. Надеемся, дальше будет еще интереснее. Не переключайтесь)

Они просто позвонили: телефонная социальная инженерия против бизнеса Многие компании среднего и крупного сегмента до сих пор живут в иллюзии: «У нас стоит дорогой фаервол, внедрена двухфакторка, а злоумышленники охотятся только за криптобиржами». Реальность жестче: когда с периметром все окей - атакуют людей. Давайте разберем два громких инцидента, которые доказывают, что масштаб и специфика компании не защищают от подобного. 1. Cisco: Когда даже ИБ-гигант пасует перед настойчивостью Казалось бы, кто может знать о безопасности больше, чем Cisco? Однако в 2022 году они стали жертвой классической атаки. Как это было: Злоумышленники получили доступ к личному Google-аккаунту сотрудника, где хранились корпоративные пароли. Социальная инженерия: Чтобы обойти двухфакторную аутентификацию (MFA), хакеры использовали технику «MFA Fatigue» (усталость от уведомлений) — они засыпали сотрудника запросами на подтверждение входа и одновременно звонили ему в WhatsApp, представляясь службой поддержки Cisco. Итог: Уставший и введенный в заблуждение сотрудник нажал «Принять». Хакеры проникли во внутреннюю сеть. 2. Clorox: Шифрование из-за одного звонка в Help Desk Кейс корпорации Clorox (крупный производитель бытовой химии) показал, как социальная инженерия может остановить заводы. Как это было: Атака началась со звонка в службу ИТ-поддержки (Help Desk). Злоумышленник, используя методы психологического давления и собранные данные о сотруднике, убедил оператора сбросить пароль и привязать новое устройство для MFA. Итог: Остановка производства на несколько недель, дефицит товаров на полках магазинов и убытки в сотни миллионов долларов. Чистый убыток только за один квартал составил около $350 млн. Главные выводы для среднего и крупного бизнеса: 1. MFA — не панацея. Если ваши сотрудники не обучены распознавать «усталость от MFA» или подозрительные звонки, любая техническая защита будет обнулена одним кликом оператора. 2. Help Desk — самое слабое звено. Процедуры сброса пароля в вашей компании должны быть максимально строгими. Никаких «поверив на слово» по телефону. 3. Масштаб — это мишень. Чем больше компания, тем больше «точек входа» (сотрудников). Хакеру не нужно взламывать вашу сеть, ему нужно найти одного доверчивого или уставшего человека. Что делать? ✅ Проводить регулярные симуляции фишинга и телефонных атак. ✅ Обучать сотрудников правилам верификации коллег из ИТ-отдела. ✅ Внедрять культуру «нулевого доверия» (Zero Trust). P.S. С этим всем мы можем вам помочь, обращайтесь.

Эффект Стрейзанд в сообществе ИБ набирает обороты! А вы знаете, что прямо сейчас по "полузапрещенному" телеграму ходят уважаемые люди, и требуют удалить репост сообщения другой уважаемой дамы, о которой мы, конечно, ничего писать не будем? Тут смешно получается — кажется, попытки удалить информацию из интернета вызывают больше внимания, чем сами эти сообщения. Кому интересно — вот тут хорошо все описано. К сожалению, далеко не все уважаемые люди в России смотрели Южный Парк. Кто помнит — главным антагонистом ее сделали крайне топорные попытки удалить что-то из интернета. Репостов не будет — а пока вот вам замечательный мультфильм. https://sp2.freehat.cc/episode/112/

Чтобы совсем уже от темы кибербезопасности не улетать далеко в космос — вот вам забавное видео из вчерашней трансляции запуска миссии к Луне. Астронавт набрал пин-код на своем планшете. Если у вас не грузится видео или вы не углядели, то код — 3939 А почему 3939 ? Потому что это дважды номер их стартовой площадки на космодроме. Можно задуматься о том, какие еще пароли и пины, используются в этой и других миссиях 🧐 @gostev_future

Астронавты спалили пин-код планшета, но от взлома планшета их защитит мера - airgapped environment! Вообще по-русски "воздушный зазор", но в этом случае скорее "безвоздушный")

Кофе, SOC и логи. Анонс №32 О чём: Обсуждение лучших новостей инфобеза за неделю со 30 марта по 5 апреля 2026 г. Ведущие: Александр Антипов, Ева Кузнецова, Денис Батранков, Антон Клочков. Специальный гость: Антон Бочкарев, экс-редтимер, фанат социальной инженерии, создатель проектов 3side и 4sec, пытающийся защищать малый и средний бизнес. Когда: 05.04.2026 11:00 – ссылка на наш календарь Трансляция будет здесь🗣https://itradio.su/streaming и тут 🗣https://stream.itradio.su Задаём свои вопросы в чате подкаста с тегом #csl32 @ITRadiosu#csl

Массовый и бесплатный пробив Итак, спустя 1,5 года после моей первой статьи "я тебя найду и позвоню" и закрытой дыре у одного из сервисов таргетированной рекламы проблема всплыла снова! Но стало еще хуже. Абсолютно любой человек совершенно бесплатно может выгружать данные из операторов связи. Только по номеру телефона или по заходу на собственный сайт он может узнать о человеке буквально все: - С кем общается по телефону - Дом где он живет - Чем интересуется - Какие сайты посещает - Какими сервисами пользуется И многое много другое! Операторы, как и сервисы, не чувствуют свою ответственность за это, и продолжают отдавать/продавать что угодно, без какого-либо контроля. Подробнее, как это работает, я расписал на Хабре. Прошу максимальных репостов, нужно подсветить проблему и закрыть эту дыру! P.S. Хоть статья и вышла 1 апреля, это НЕ шутка.

Крупнейшая кибератака на ЕС: ShinyHunters взломали Еврокомиссию! Группировка ShinyHunters заявила о взломе Еврокомиссии, ENISA (агентства ЕС по кибербезопасности) и Департамента цифровых услуг. Хакеры добавили Комиссию на свой сайт утечек в сети Tor, заявив о краже более 350 ГБ данных — включая дампы почтовых серверов, базы данных, конфиденциальные документы и контракты. Особенно комично выглядит взлом ENISA - это натурально агентство ЕС по кибербезопасности. Агентство, которое учит Европу защищаться от хакеров, не защитило собственную почту. В слитых данных, по заявлению атакующих: письма и вложения, полный каталог SSO-пользователей, DKIM-ключи цифровой подписи, снэпшоты AWS-конфигураций, данные из NextCloud и внутренние административные URL. Детали еще всплывут и, видимо, пруфов будет больше. А пока вспоминаем пафосные заявления европейских государственных кибербезопасников и желаем и быть немного ... скромнее ) * информация выше — со ссылкой на @IntCyberDigest («International Cyber Digest») — это анонимный агрегаторный TI-аккаунт в X, посвящённый киберугрозам и инфобезопасности.

Ищем руководителя продаж (VP Sales) в стартап 4sec. Кто мы: Облачная кибербезопасность для МСБ. Продукт уже работает, есть первые платящие клиенты. Кого ищем: Человека, который возьмёт продажи на себя и построит «машину» по их генерации. Это стартап: процессов мало, неопределённости много. Если вас это не пугает — нам по пути. Что предлагаем: · Роль VP Sales с возможностью влиять на стратегию · Опцион в компании · Выход на международный рынок · Команду, с которой не стыдно Нам нужен тот, кто: · Умеет закрывать сделки в B2B сам (а не только управлять командой) · Имеет опыт от 3 лет в продажах IT / SaaS · Остальное обсуждаемо Процесс: Первый шаг — час разговора с co-founder. Без бюрократии. Принимаем заявки: 📩 [email protected] (тема письма: «VP Sales 4sec») 🙏 Если знаете подходящего человека — будем благодарны за репост.

О интересно В таком случае было бы интересно увидеть репорт! И попробовать повторить с проверкой стикера и без. А будет раскрытие?