Пост Лукацкого

20 мая 2025 15:49

На RSAC компания Mutare представила интересный доклад "Don’t Forget the Voice Channel in Your Security Framework" 📞, посвящённый защите от голосового фишинга (вишинга) - угрозы, которая становится всё более актуальной. Например, согласно отчёту CrowdStrike, количество мошеннических звонков увеличилось на 442% во второй половине 2024 года 📈

Современные злоумышленники при организации вишинга используют: 😂
➡️ Спуфинг номеров - подделку телефонных номеров, включая номера коллег или руководства.
➡️ Дипфейки голосов - создание реалистичных голосовых имитаций на основе публично доступных или украденных при угоне аккаунтов в мессенджерах аудиозаписей.
➡️ AI-аудиомаскировку в реальном времени - имитация акцентов и различных диалектов для повышения доверия жертвы 🎭

Хотя 94% специалистов по кибербезопасности считают, что защита от голосовых атак должна быть частью стратегии ИБ, только 59% осведомлены о доступных технических решениях, к которым по мнению Mutare относятся:
6️⃣ Голосовые межсетевые экраны, которые блокируют подозрительные звонки до того, как они достигнут сотрудников, используя проверки репутации номеров, голосовые CAPTCHA и списки разрешённых/запрещённых номеров 🤬
2️⃣ Протокол STIR/SHAKEN, позволяющий операторам проверять подлинность номеров и предотвращать спуфинг 🤝
3️⃣ Аутентификация звонящего за счет многофакторной проверки и распознавания голоса для подтверждения личности звонящего 🛂
4️⃣ Системы обнаружения мошенничества в реальном времени, которые анализируют звонки на наличие признаков вишинга, включая использование эвристик и поведенческого анализа 🤖
5️⃣ Интеграция с SIEM и XDR для записи голосового трафика и его анализ в рамках общей системы безопасности 🗣
6️⃣ Регулярное тестирование сотрудников на устойчивость к голосовым атакам 🕹

Правда, фиг знаешь, что из этого можно сделать на стороне корпоративного пользователя (кроме антивишинговых симуляций) и тем более рядового гражданина. Без помощи операторов не обойтись. Идея для монетизации?.. 🤔

#фишинг #тенденции

Пост Лукацкого

20 мая 2025 10:09

⚡️⚡️⚡️На прошлой неделе хакерская группировка, причастная к взлому удостоверяющего центра и электротехнической компании, сообщила:

Самое интересное ещё впереди😈

Пост Лукацкого

19 мая 2025 20:01

Одна компания получила сертификат ФСТЭК, а другая — нет ☺️ Первая получила один длительный госконтракт и прекратила активное развитие продукта, что привело к прозябанию в узкой нише локального рынка. А вторая переориентировалась на потребности бизнеса и начала международную экспансию, что привело к увеличению доходов в десятки раз 💃

Мораль: все события, происходящие в жизни, неизбежно влекут за собой цепь других событий. Поэтому не стоит переживать по пустякам и впадать в эйфорию от незначительных побед 😎

Пост Лукацкого

19 мая 2025 11:34

О важности совпадений. Отвалилась одна сессия на PHD 🏟 и я раздумывал, возможно вслух, чем бы занять часовой слот. Совершенно случайно коллеги мне предложили тему суицида ИБшников, которую они обсуждали на радио в преддверие киберфестиваля, до которого остается 3️⃣ дня. Слово за слово, оказалось, что это не шутка, а серьезная проблема в отрасли 🤯

Очень быстро собрали панельку из 3 CISO и двух специалистов по психотерапии, с которыми предварительно обсудили, почему так много ИБшников выгорает, уходит “в никуда”, бросает всё и уезжает в деревню “пасти коз”. И знаете, чем глубже копаешь, тем страшнее становится: 😱

🤔 Мы выбрали профессию, где лучший результат — это когда “ничего не случилось”, и за это нас… никто не благодарит.
🤔 Мы существуем в вечной тревоге: атаки, регуляторы, баги, пользователи, проды в пятницу.
🤔 Мы как будто постоянно защищаемся — не только от хакеров, но и от человеческой глупости, небрежности, токсичности, искажений.
🤔 А ещё в ИБ часто приходят люди, которые в детстве остро ощущали отсутствие контроля. И теперь создают его везде, где могут. Я вообще нечасто удивляюсь чему-то в ИБ, но тут прям был немного фрустрирован (последний раз я был удивлен, когда узнал, что наш MaxPatrol EDR поддерживает более 50 операционных систем; откуда у нас их столько?) мыслью о бессознательных причинах выбора мной профессии ИБ. Оказалось, что если копнуть... Оставим раскопки до сессии 😨

🛡 Безопасность — базовая потребность по Маслоу. А кибербезопасность? Мы занимаемся ею, и при этом:
- Нас никто не мотивирует.
- Нам нельзя “не справляться”.
- Нам нельзя показать слабость.
- И если всё хорошо — нас не замечают. А если плохо — всё равно виноваты мы 😱

В пятницу, на большой сцене Лужников, мы делаем сессию "CISO в аду, но с командой" именно об этом. Про психологию (или психопатологию) ИБшника. Зачем мы сюда пришли? Почему так тяжело? Как не сгореть и не сжечь команду 🤯

ЗЫ. А ты когда последний раз отдыхал по-настоящему? 🤔

#психология #мероприятие

Пост Лукацкого

18 мая 2025 20:40

Вдруг всплыло на телефоне... Додж еще в 2017-м году в документацию на свои автомобили включал раздел по кибербезопасности 🚗

#automotive

Пост Лукацкого

17 мая 2025 19:39

Даже по ту сторону баррикад не все любят vibe coding 💻 и использование ИИ при написании вредоносного кода 💻

#malware #ии

Пост Лукацкого

17 мая 2025 08:40

Читал я тут спецкурс в рамках Russian Internet Governance Forum (RIGF 2025) про то, что ИБ - это не процесс. Организаторы выложили видео, которым и поделюсь 📱

ЗЫ. На RuTube тоже есть.

#видео

Пост Лукацкого

16 мая 2025 15:27

Когда разными методами страны достигают схожего результата. Американские конгрессмены 🇺🇸 разрабатывают законопроект, который обяжет американских производителей графических карт отслеживать места использования своей продукции. Если, вдруг, станет известно, что они работают в стране под санкциями или невключенной в список тех, кому разрешен экспорт технологий, которые могут быть использованы в проектах с искусственным интеллектом 🧠, то их должны автоматически заблокировать. США не скрывают своих намерений и хотят абсолютно открыто удаленно блокировать технологии, которые они поставляют по всему миру (чем-то напоминает историю с HIMARS и F-35 в начале года) ✂️

А вот Китай 🐉 действует не столь открыто, но в том же направлении. Согласно материалам Reuters, американские эксперты обнаружили определенные компоненты во время проверок безопасности оборудования для возобновляемых источников энергии ☀️, произведенного в Китае, которые позволяли удаленно отключать энергооборудование, что может привести к масштабным блэкаутам по всей стране. Помимо солнечных батарей, радиоуправляемые через спутник компоненты были выявлены также в зарядных устройствах для электромобилей, тепловых насосах и солнечных инверторах, произведенных в Поднебесной 🔋

Спрашивать, предусмотрели ли вы это в своей модели угроз, я не буду, - вопрос и так очевиден 🤔 Мониторинг внешних коммуникаций, проводных и беспроводных, становится все актуальнее. Про рост недоверия к поставщикам тоже упоминать уже не надо. Если мы только-только начинаем бороться с атаками на подрядчиков и цепочки поставок 📇, то что делать, когда производитель легально и открыто (или нелегально и скрытно) внедряет такие вот закладки (это даже, в случае с американцами, не недекларированные возможности) в свои продукты, пока не очень понятно. Для каждого чипа проводить спецпроверки и специсследования? Дороговатое удовольствие 🤑 Да и специалистов и лабораторий у нас нет в таком количестве.

ЗЫ. Кстати, если интересно, как изучают железо на предмет уязвимостей, на PHDays будет целый стенд Positive Labs и на нем своя программа с докладами, воркшопами, демонстрациями и т.п.

#суверенитет

Пост Лукацкого

16 мая 2025 13:35

Чем усерднее борьба с явлением, тем более пышно оно расцветает? Борьбу с пьянством в разных странах чем-то напоминает…

#мошенничество

Пост Лукацкого

16 мая 2025 06:40

Меньше недели осталось до PHDays 🏟, на котором будет несколько сотен спикеров, пару десятков параллельных треков в рамках технического, научно-популярного и бизнес направлений. Вот последнее я и курировал. Можно сказать, что его программа уже сформирована. Вот так ☝️ выглядит верхнеуровневая программа бизнес-трека на главной сцене Большой спортивной арены (она же зал "Ломоносов" в оффлайне или в онлайне - "Технологии под сомнением" и "Лица и грани кибербеза"). Изменения, в принципе, еще возможны, но вряд ли значительные! ▶️

Параллельно у нас в здании БСА проходят треки с докладами и небольшими панелями в залах на 200-250-400 человек: 🗣
➡ "Архитектура ИБ" (22 мая, четверг)
➡ "Лайфхаки SOC" (23 мая, пятница)
➡ "ИТ-инфраструктура" (23-24 мая, пятница-суббота)
➡ "Школа CISO" (24 мая, суббота)
➡ "ИБ как она есть" (22 и 24 мая, четверг и суббота)

➡ Практические воркшопы / мастер-классы 🧑‍💻 по ML, SOC, DevSecOps, антифишингу, дипфейкам, облакам, SIEM/Ansible, моделированию пути атаки (22-24 мая, четверг-суббота). Есть еще и различные отраслевые закрытые треки (по приглашениям), но про них я рассказывать не буду 🤐

Все вместе это называется "Киберарена", которая дополняет еще две локации киберфестиваля - "Кибергород" и "Киберхаб". Последняя собирает все технические активности:
➡️ 12 треков - Offense, Defense, искусственный интеллект (ИИ), Development (4 направления - General, Data, Ops и Security), Python Day, Device & Technologies, Open Source & Open Security, Web3 и Fast Track (на Киберарене тоже будет свой Fast Track с короткими, 15-минутными выступлениями) 👨‍💻
➡️ Positive Labs (свои доклады и воркшопы по анализу безопасности на аппаратном уровне) 🔬
➡️ Кибербитва Standoff ⚔️
➡️ Стенды учебных центров и HR
➡️ Хакерские конкурсы
➡️ Ярмарка open source проектов
➡️ День POSIdev Community
➡️ Олимпиада по программированию
➡️ воркшопы по AppSec 💻

В "Кибергороде", доступ в который абсолютно бесплатный, у нас построена научпоп-сцена KULIBIN 🎙 (вообще, все залы у нас названы именами великих русских и международных ученых), Education Hub для студентов, аллея ВУЗов и стажировок, Зона 6+ (для самых маленьких), квест для школьных групп, интерактивный музей, зона инвестиций POSI. И именно тут, в этой локации, пройдет концерт с участием Минаевой, Uma2rman и ГРАНЖа 🎤

Очень насыщенная программа, как для специалистов, так и для широкой общественности (можно и семьями приходить). Так что до встречи на PHDays! 🤝

#мероприятие

Пост Лукацкого

15 мая 2025 15:39

Помните прошлогоднюю заметку про стартап Xbow, в котором пентестеров-людей заменили на ИИ? 🤖 Интересно, что эта команда занимает первое месте в рейтинге HackerOne по США. Интересно, это реально результат ИИ или тех, кто его обучал? 🤔

#ии #пентест

Пост Лукацкого

15 мая 2025 06:40

Не верьте, когда вам говорят, что российские технологии ИБ - немасшатабируемые, неудобные и отстают от иностранных аналогов 👍 Вот вам доказательство обратного - «Алмаз-Антей», который защитил себя так, что ни одна забугорная зараза не проникнет в закрытые контура, отвечающие за изготовление всяких вооружений. Наши технологии эффективнее, скоростнее, качественнее и безопаснее. Так-то! Противники посрамлены! Как тебе такое, Илон Маск!!!

#суверенитет

Пост Лукацкого

14 мая 2025 15:33

А вот кому свежих и бесплатных онлайн-платформ для прокачки навыков в ИБ, на которых вам придется столкнуться с реалистичными кейсами (все разные) и проводить их расследование и реагирование:
➡️ https://cyberbones.standoff365.com/
➡️ https://www.cloudhuntinggames.com
➡️ https://malops.io

#обучение #киберполигон #cyberrange

Пост Лукацкого

14 мая 2025 06:40

Обновил свою обзорную презентацию про ИБ и искусственный интеллект 🤖 Обновил раздел по применению ИИ киберпреступниками, существенно расширил раздел по применению ИИ в кибербезе, и обновил блок про кибербезопасность проектов на базе ИИ. Получилось на 4,5-5 часов, которые я и отчитал в понедельник в Питере 🧠

Когда готовил материал, а там сейчас за 200 слайдов, сам еще раз прокачал знания в этой области, обновив их и улучшив 🤓 Но есть еще куда развивать историю - третий блок, про безопасность самого ИИ буду еще обновлять. Там можно поглубже погрузиться. Ну и часть про мультагентские ИИ-систем в ИБ (как и вообще агентские ИИ-проекты) тоже требует расширения - я совсем по верхам прошелся. Возможно, даже, добавлю практику в части использования LLM в деятельности ИБ 🧑‍💻

#ии #обучение

Пост Лукацкого

13 мая 2025 15:34

Онлайн-конференция “CyberGirls: как построить карьеру в ИБ”

В прошлом году я была ментором в менторской программе Women in Tech Russia. Мои менти хотели перейти в сферу ИБ как из ИТ, так и из далекой от ИТ сферы. Сфера ИБ сейчас востребована, но тяжело понять, чем же занимается ИБ-шник, и какие скиллы для этого нужны. Многие гайды по специализациям в ИБ довольно узконаправленные и часто не затрагивают все возможные специализации, либо завышают требования к специалистам. И, например, юристы, могут увидеть, что для того, чтобы перейти в ИБ, им нужно знать несколько языков программирования, и подумать, что это не для них, так и не узнав, насколько в ИБ не хватает толковых специалистов по работе с документацией.

20 мая Women in Tech Russia проводит онлайн-конференцию о начале карьеры в ИБ. Девушки из других областей и те, кто только начинает свою карьеру в ИБ, узнают о возможностях перехода из других сфер в ИБ, профессиональном росте и развитии в ИБ, специализациях, особенностях работы в ИБ.
Отдельный доклад будет о защите своей семьи от киберугроз.
Также будет панельная дискуссия, поучаствовать в выборе темы можно в комментариях в посте канала Women in Tech.
Будет запись выступлений, но панельная дискуссия записываться не будет.

Пост Лукацкого

20 мая 2025 11:26

К разговору об изменении коммуникационных привычек. Раньше большую часть времени человек проводил в электронной почте, которая использовалась как основной способ бизнес-общения ✉️ И кибербез строился вокруг этого канала - антиспам, антифишинг, защита от вредоносного кода, ICAP/WCCP для интеграция с МСЭ, DKIM/SPF/DMARC и вот это вот все... ✉️

Сейчас многие уходят в мессенджеры, как более оперативный способ общения с коллегами по работе или по бизнесу. Неслучайно мошенники активизировались в схеме "фейковый босс" в Telegram или в Whatsapp 📱 Как пример, у меня сейчас переполнилась вторая папка с чатами, выделенная для общения в Позитиве 🟥, каждая из которых рассчитана на 200 чатов (и это в премиум-подписке). А вот средств защиты для Telegram нет (ну или я просто про них не знаю).

Тут, конечно, вина и самого Telegram, родной клиент которого не очень заточен на бизнес-требования к коммуникациям (надо использовать самописные/сторонние клиенты, чтобы добиться нужного функционала) 📱 К слову, у меня на смартфоне три разных клиента для работы в Telegram (один для доступа к заблокированным чатам, другой - для повышенных требований по конфиденциальности). С другой стороны, если кто-то из вендоров выпустит решение по защите мессенджеров, то у него есть шансы отхватить немалое количество заказчиков, которым очень нужен такой функционал 🤔

ЗЫ. А мне теперь придется менять принципы классификации и создавать третью папку с чатами Позитива 😱

Пост Лукацкого

20 мая 2025 06:40

Во вчерашней заметке упомянул про outcome-driven metrics и обещал раскрыть тему подробнее, что и делаю. Вообще, outcome-driven cybersecurity, которую в последние несколько лет продвигает Gartner, - это тот же результативный кибербез (даже переводится также), только запущенный на пару лет позже, чем эта идея родилась в Позитиве 🟥 Но что умеет делать Гартнер, так это описывать свои концепции в красивых документах и продавать их задорого. Так и тут. Концепцию ODC и результативных метрик (ODM) американские консультанты просто так не дают, предоставляя к ним только платный доступ для своих клиентов 🤑

Так вот, Гартнер предлагает 6️⃣6️⃣ таких метрик, ориентированных на результат, для оценки эффективности инвестиций в ИБ 🧮 Эти метрики помогают организациям измерять уровень защиты, обосновывать инвестиции и эффективно отчитываться перед руководством. Насчет последнего я не столь оптимистичен, но если не погружаться в детали общения на уровне бизнеса, то в остальном метрики достаточно практические 🪣

ODM — это метрики, которые: 🧮
➡️ Понятны для бизнес-руководства. Например, время устранения последствий инцидента (incident remediation) показывает, сколько времени требуется для остановки атаки и восстановления нормальной работы.
➡️ Измеряют уровень защиты. Например, снижение времени устранения инцидента с 30 до 16 часов означает повышение уровня защиты и возврат к привычному уровню бизнес-операций 🧐
➡️ Являются рычагами для получения инвестиций. Улучшение ODM может быть достигнуто путем прямых инвестиций в соответствующие области (с оговорками, конечно).
➡️ Поддерживают управление на основе ценности и стоимости 📈 Организации могут балансировать между уровнем защиты и затратами, принимая обоснованные решения. Про это отдельно напишу - там у Гартнер тоже интересный, хотя и не уникальный подход.
➡️ Понятны для неспециалистов - каждая метрика может быть объяснена бизнес-руководству без технического погружения.
➡️ Отражают распространенные, но при этом действительно ценные инвестиции в средства безопасности - например, управление уязвимостями, защита рабочих компьютеров и восстановление после программ-вымогателей 👨‍💻

Хотя эти 16 метрик не охватывают все аспекты кибербезопасности, они служат отправной точкой для построения более комплексной и бизнес-ориентированной системы оценки 🤔

#CISO #стратегия #метрики

Пост Лукацкого

19 мая 2025 15:42

Попросили прочитать лекцию 👩‍🎓 про безопасность использования различных LLM для представителей финансового департамента одной из российских организаций. У них был курс по промпт-инжинирингу, который, конечно же, не мог обойтись без краткого экскурса в то, что стоит делать, а чего нет с LLM 🤖 Prompt Injection, Jailbreak, дипфейки и вот это вот все... Ну и что рядовой финансист может сделать, чтобы случайно не перевести пару миллионов на ранее неизвестный счет.

ЗЫ. У вас, кстати, в модель угроз включен перевод денежных средств за счет скрытой инструкции в финансовом отчете, отправленном в используемую вами GPT? 🤔

#обучение #ии

Пост Лукацкого

19 мая 2025 06:40

Мой бывший коллега по Cisco, работающий сейчас в Gartner, Женя Миролюбов, написал очень неплохую статью "Снижайте площадь атаки за счет оптимизации защитных мер" (Reduce Threat Exposure With Security Controls Optimization), в которой озвучивается простая, хотя и нетипичная для компании, каждый год анонсирующая "дюжину" новых аббревиатур для новых классов средств защиты, мысль, - не надо гоняться за новыми решениями по ИБ - надо учиться эффективно использовать существующие.

Компании тратят миллионы на системы защиты, но часто не извлекают из них пользы из-за неэффективной настройки. Тоже касается не только СрЗИ, но и вообще ИБ, которая может и должна начинаться с ИТ-инфраструктуры - ее оптимизации за счет сегментации, патчинга, отключения ненужных сервисов, и т.д.

Основные наблюдения, сделанные Gartner:
➡️ Ошибочная конфигурация — одна из главных причин успешных атак, даже если защита формально есть.
➡️ 61% компаний за последний год пострадали от атак из-за неработающей или неправильно настроенной защиты.
➡️ 43 — среднее число используемых инструментов ИБ в крупных организациях; у 5% — более 100.
➡️ Многие команды оценивали только наличие защиты, а не её результативность (например, блокирует ли она угрозу).
➡️ Вендоры предлагают "лучшие практики", но они часто не учитывают контекст бизнеса и дублирование защитных мер.
➡️ Оптимальная конфигурация — это "динамическая цель", а не разовая настройка или шаблон конфига из документации.

Рекомендации, которые дает американская компания, не являются чем-то сокровенным и вполне разумны, хотя и потребуют тесной работы с ИТ:
6️⃣ Определите целевые результаты, которых вы хотите достичь: снижение уязвимости инфраструктуры, рост ROI (если вы можете его посчитать), соответствие требованиям. Возвращаясь к пятничной ссылке на спецкурс "Кибербезопасность - это не процесс", повторю, что без понимания достигаемого результата все это не имеет смысла. А наличие результата дает возможность не делать хаотичных движений в стороны.
2️⃣ Сместите фокус с “наличия” на “эффективность”:
🌟 Измеряйте конфигурацию по ODM (outcome-driven metrics). Про это напишу отдельно.
🌟 Не используйте шаблонные настройки — настраивайте под недопустимые события бизнес-риски. Особенно не забывайте менять заданные по умолчанию пароли и отключать неиспользуемые учетные записи 🤔
3️⃣ Создайте кросс-функциональную команду, включающую не только ИБшников, но и владельцев активов, ИТ-инженеров, специалистов по OT, облаку и DevOps (при условии обеспечения защиты указанных сфер).
4️⃣ Интегрируйте оптимизацию защитных мер в CTEM (Continuous Threat Exposure Management) — как часть более широкой программы снижения рисков.
5️⃣ Используйте автоматизацию: оценка активов, автоматическая проверка конфигураций, проверка возможности реализации атак, “виртуальный патчинг”.

#CISO #автоматизация #стратегия #средствазащиты

Пост Лукацкого

18 мая 2025 15:04

А вот еще онлайн-платформа для бесплатной прокачки навыков ИБ; на этот раз в области поиска уязвимостей в коде 👨‍💻 Можно учиться искать 34 типа багов 😵 На реальных примерах различных open source проектов.

#обучение #devsecops #безопаснаяразработка

Пост Лукацкого

17 мая 2025 13:38

Реагирование на инциденты - это 80% логов, 15% кофе и 5% надежды, что хакер был ленивый 🦥 Отсутствие в офисе кофемашины приводит к тому, что вы можете поймать только пятерых хакеров из шести, а недостаток логов приведет к пропуску еще 8 из 10 плохих парней или группировок ☕️ И никакой SIEM вам не поможет, если у вас нет того, с чего он "питается", то есть журналов регистрации. Вещь вроде бы и очевидная, но как часто я вижу компании, которые считают SIEM (NDR, EDR, NGFW... whatever, подчеркни нужное) - серебряной пулей, которая порешает все проблемы.

Вчера, в Минске 🇧🇾, зашла дискуссия о том, должна ли ИБ подчиняться ИТ или нет. И был приведен пример, когда CISO решил показать, что он по статусу должен быть таким же, если не выше, как и CIO. Добился, получил повышение, ресурсы, людей, бюджеты... Но вдрызг разосрался с ИТ 🤬 И когда его подчиненные пошли внедрять SIEM в компании и ставить NDR на инфраструктуру, оказалось, что без ИТ, ты ни логов не получишь, ни к SPANу не подцепишься, ни даже брокер данных не подключишь 😠 А если и сможешь кого-то заставить, то иногда, вдруг, средства защиты перестали видеть инфру, терять логи, отключаться из-за потери питания...

Так и сидел на своем троне CISO пока не понял, что с ИТ дружить надо 🤝, а не меряться размерами... бюджетов. И пошел он на поклон к ИТ-директору и сказка закончилась хорошо, а могла и нет... Я хотя и не всегда согласен с позицией, что ИБ должна быть в/под ИТ, но без них процесс не построишь. И даже кофе не поможет. Только 5% надежды и останется 🤔

#управлениеинцидентами

Пост Лукацкого

16 мая 2025 21:04

Письмо от генерального 🧐

«Настя, срочно переведи 18,2 млн руб. на этот счет. Это за оборудование для нового цеха. Счет прикрепляю. Важно сегодня, потом улечу. Не подведи» ✉️

Письмо пришло ровно в 10:14 утра с почты директора 📨 Без приветствия, без подписи. Но разве сейчас у него есть время на любезности? За последние два месяца компания нарастила обороты, запустила экспорт, подписала первый контракт с азиатским дистрибьютором 🐲 Готовился запуск нового цеха. Всем было не до формальностей.

Настя, главный бухгалтер, не стала звонить. Она знала, что директор сейчас в Шанхае и общается обычно кратко — по делу. Сотрудница аккуратно сверила реквизиты, прикрепленные к письму, оформила платежку и нажала «Отправить» 🛫

Через три часа позвонил заместитель директора по производству.
— Ты счет от китайцев оплатила?
— Конечно. Как только от директора пришло — сразу.
— Стой. Какой директор?
— Наш. С его почты.
— Он в самолете уже четыре часа. Он не мог ничего прислать 😱

Дальше ситуация разворачивалась быстро и страшно 😨 Выяснилось, что почтовый ящик директора взломали. Атака началась два дня назад: кто-то скомпрометировал его старую корпоративную почту, которую он давно не использовал, но забыл удалить. Через нее установили переадресацию писем, подделали адрес, подменили отображаемое имя. Настя даже не заметила 😳 Деньги ушли на счет в Гонконге, через два часа злоумышленники перевели их в криптовалюту, и после этого их и след простыл. Пока IT-служба разбиралась в деталях, директор звонил юристам, а зам по производству — китайским партнерам, чтобы объяснить, почему их платеж не дошел 📞

Заказ на оборудование был сорван 🖕 Дистрибьюторы не стали ждать — они выбрали другого поставщика. Проект по новому цеху пришлось отложить на полгода. Сотрудники, нанятые под расширение, не дождались контракта и ушли 👎 Один из инвесторов поставил под вопрос дальнейшее финансирование компании, которая «даже письма различать не умеет». Бухгалтерию сотрясали проверки, налоговая тоже стала задавать вопросы ❓ Настя написала заявление об увольнении - не выдержала давления и косых взглядов от сотрудников.

Компания недосчиталась более 30 млн руб., полугода развития и хорошей репутации на внешнем рынке. И все из-за одного письма.

Продолжение этой и еще две истории в моей статье для Inc.

#статья

Пост Лукацкого

16 мая 2025 13:35

Несмотря на все меры борьбы с дропперством в РФ, пока мошенники, привлекающие граждан в качестве посредников при переводе и обналичивании похищенных средств, действуют эффективнее. Число дропперов стремительно растет — по экспертным оценкам, в эту деятельность вовлечены миллионы людей.

В такой ситуации власти готовы пойти на радикальные меры, важнейшей из которых станет введение уголовной ответственности за такое посредничество уже в ближайшее время.

👉 Почему банкиры и регуляторы пока проигрывают битву с дропперами — в материале «Ъ».

▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»

Пост Лукацкого

16 мая 2025 11:20

Аж самому интересны стали результаты ⏳ Хотя я ничему не удивлюсь…

#кии

Пост Лукацкого

15 мая 2025 19:45

Что важно аналитику SOC? 🤔 Некоторые скажут — мощный SIEM, другие — зрелые playbook-и. Кто-то добавит — кофемашина, готовящая крепкий кофе ☕️ Но истинные знатоки, ветераны третьей линии, знают: главное — холодная голова и ноги в тепле. Все как завещала бабушка: "Если тревога — не забудь надеть теплые носки. А то не ты атаку, а тебя DDoS-ом накроет!" 👵 Сегодня на обходе обнаружил в офисе артефакт - PT SOCKS, недельный набор позитивных носков, специально для тех, кто держит оборону 24/7 🧦 Неношенные…

#юмор

Пост Лукацкого

15 мая 2025 11:32

Прикольной пример геймификации при вводе пароля, присланный подписчиком, за что ему спасибо 👾 У нас на PHD будут выступления, посвященные юзабилити и правильно спроектированному UX, который только повышает уровень кибербезопасности как в компании, так и в отношении отдельных продуктов. И вот эти два примера ☝️👇, как мне кажется, хорошо показывают, что даже такой скучный процесс, как ввод пароля может быть прикольным 🕹

#аутентификация #юзабилити

Пост Лукацкого

14 мая 2025 19:40

Зовите меня царь! Просто царь! (с)

#юмор #работа

Пост Лукацкого

14 мая 2025 11:28

Как заявили в Минцифры на праздновании 15-тилетия домена .рф, в России должны появиться адреса электронной почты на кириллице 😦 По словам чиновников министерство рассматривает возможность внесения изменений в Постановление Правительства №325 о поддержке кириллических почтовых адресов и доменов в российском ПО 🌐

Вполне допускаю, что такая идея возникла у людей, чьи паспорта лежат в служебных сейфах, а сами они дальше МКАД не выезжали, так как форма допуска не пущает 🫡 Иначе бы они задались закономерным вопросом, а как записывать такие адреса e-mail на кириллице находясь за границей, где на клавиатурах отсутствуют символы языка, якобы придуманного Кириллом и старшим его братом Мефодием (на самом деле они придумали не кириллицу, а глаголицу). Но это еще полбеды, больше проблем появляется с точки зрения ИБ 🤬

Во-первых, e-mail ✉️ часто совпадает с логином пользователя; особенно в Интернет-сервисах, которые не допускают использования в логине ничего кроме латиницы и цифр. И как быть в таком случае? А как обычно. Будет выстроена очередная показушная кампания по регистрации русскоязычных e-mail, но пользоваться все будут по-прежнему привычными VasyaPupkin@mail.ru (примерно тоже самое происходит и с доменами в зоне .рф) 😕

Вторая проблема связана с тем, что число фишинговых атак, использующих русские символы, может возрасти 📈 Пользователи и так часто не видят разницы между o и 0, s и 5, i и l, а тут комбинаций станет побольше. Главное, чтобы у чиновников не возникли мысли пропихивать идею совмещения в одном адресе латиницы и кирилицы. Вот тогда наступит жопа полная, так как отличить a от а, o от о, у от y, х от x человеческому глазу станет невозможно в принципе 😮 Хотя... если в этом состоит план, чтобы потом перейти еще и на новый алфавит, непохожий ни на один другой?.. Отгораживаться от мира, так уж совсем, включая и письменность. А там и IPv5 не за горами... 🕊

ЗЫ. Мне кажется чиновникам надо не огораживаться Рунет от всего мира, а интегрировать его в мировой Интернет. Если уж и думать о суверенитете, то пусть иностранцы признают корневой сертификат НУЦ. Вот на чем стоило бы сосредотачивать усилия 🤠

#суверенитет

Пост Лукацкого

13 мая 2025 19:44

У CyberED классные картинки в соцсетях при рекламе их курсов. Но эта меня прям тригернула ;-) Учитывая панельную дискуссию на PHDays про суицид ибшников, аллюзия на ангела прям напрашивалась 😊

ЗЫ. Надпись ниже "аналитика SOC" добавлена мной - в оригинале ее не было 😊

#soc #работа #обучение

Пост Лукацкого

13 мая 2025 11:19

Меньше 10 дней до PHD ⏳ Не могу не написать про относительно новый формат в рамках бизнес-трека, который мы начали реализовывать в прошлом году, сделав мастер-класс по "визуализации и дашбордам ИБ". Формат показал свою востребованность и в этом году число мастер-классов было увеличено: ↗️
6️⃣ DevSecOps Tools: от внедрения до организации процесса работы с инструментами
2️⃣ Агенты ИИ в кибербезопасности
3️⃣ Оценка стоимости трансформации SOC
4️⃣ Моделирование маршрута и времени атаки
5️⃣ Как обнаруживать дипфейки (пост с деталями в канале ведущего мастер-класса)
6️⃣ SOC 101: разработка процессов SOC
7️⃣ LLM в повседневной деятельности специалиста по ИБ
8️⃣ Создание антифишинговой кампании
9️⃣ Автоматизация настройки источников SIEM с помощью Ansible
6️⃣1️⃣ Моделирование угроз для искусственного интеллекта (пост с деталями в канале ведущего мастер-класса) 👏

Несколько важных замечаний по мастер-классам: 👩‍🎓
➡️ Число мест ограничено (40 и 50 мест в каждом из залов, где будут проходить мастер-классы)
➡️ Участие в мастер-классе подтверждается только при наличии билета на PHDays. Если вы сначала зарегистрируетесь на мастер-класс, а потом оформите билеты, то вы можете попасть в конец листа ожидания, а не в начало.
➡️ Для некоторых мастер-классов потребуется принести свой ноутбук с определенным ПО или доступом к определенным сервисам (это указано в описании конкретного мастер-класса). Обратите внимание на этот момент!
➡️ Если вам придет подтверждение регистрации, но вы по каким-то причинам не сможете присутствовать, то сообщите, пожалуйста, об этом, чтобы мы освободили место для других участников.
➡️ Трансляции и записи мастер-классов не будет 👉

#обучение #мероприятие