Константин Полишин и Positive Research

🤘 Оцените личный способ одного из авторов Positive Research — Константина Полишина, старшего специалиста отдела тестирования на проникновение Positive Technologies — читать статьи коллег. Сам Константин написал в этот номер очень крутой гайд по социальной инженерии (SE), к которой в IT-тусовке порой относятся несерьезно: Мол, что там сложного? Три часа активного гуглинга, пара удачно найденных репозиториев в GitHub — и вы готовый специалист по фишингу. На самом же деле в SE используются множество хард и софт-скилов, технологий, логика и воображение, без которых нельзя подготовить сценарии и варианты развития атаки. Все это нужно знать и изучать специалистам по кибербезопасности для того, чтобы думать как социальный инженер успешно противостоять мошенникам. Вот вам немного спойлеров трендов из статьи: 🔎 SE базируется на проведении социсследований и аналитике. Все по-взрослому: с формированием фокус-групп и подготовкой таргетных рассылок для самых уязвимых. 👨‍💼 Под вас подстраиваются: делают заголовки фишинговых писем неотличимыми от заголовков рабочих, используют сценарии, похожие на обычную корпоративную активность, присылают сообщения в привычных мессенджерах, иногда предупреждая об этом звонком «руководителя» или «клиента», и прочее. 🔗 Киберпреступники все чаще отказываются от классического способа донесения полезной (для себя) нагрузки в прикрепленных файлах и переходят на ссылки, а также пользуются другими актуальными способами (например, облачными сервисами). 2️⃣ Из-за прогресса в части фронтенда и JavaScript-технологий развиваются и фишинговые техники, которые позволяют обходить даже двухфакторную аутентификацию. Хотите скользить по волнам этой темы более непринужденно? Ныряйте и изучайте материал: #PositiveResearch #PositiveЭксперты