Ja też, widzę nie jestem jedyny. Do póki ludzie będą kurczowo się lękać "odcięcia od świata" lub śmierci, tak długo będą skazani na łaski gigantów IT, medycznych i innych technologii.
Bardzo dobry film, sporo ciekawych informacji - dzięki! Zastanawiam się jak Twoim zdaniem należałoby podejść do budowania świadomości pracowników? Przy okazji symulacj wspomniałeś, że może to być wątpliwe etycznie, ale czy takie praktyczne podejście nie jest najskuteczniejszym sposobem? Przestępcy nie przebierają w środkach... Oczywiście nie chodzi mi o same testy pozostawiające pracowników bez odpowiedniej edukacji, ale o praktyczny trening wykorzystujący symulacje phishingowe jako motywator do chęci podnoszenia kompetencji. W przypadku wpadki pracownik dostaje odpowiednią porcję wiedzy na temat tego na co miał zwrócić uwage żeby nie dać się złapać. Klasyczne szkolenia i elearningi wydają się być mało skuteczne (nudna teoria bez odpowiedniego, praktycznego kontekstu a jak przychodzi co do czego to wiemy jak to się kończy). Jestem ciekawa Twojego zdania.
Moja odpowiedź będzie nietypowa. Zamiast próbować uczyć pracowników jak rozpoznawać zagrożenia - może warto zacząć stosować U2F i klucze w stylu YubiKey? Wtedy większość phishingów przestaje być problemem - nawet jeśli użytkownik się na nie złapie ;)
@@KacperSzurek Pełna zgoda, ale... nie jestem bardzo techniczna, ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Tutaj bardziej się sprawdzi wykorzystanie odpowiedniego managera haseł, który (nie) autouzupełni hasła na podstawionej stronie. Ale to co dla mnie kluczowe - phishing/socjotechnika wycelowana w pracownika to nie tylko fałszywa strona logowania: załączniki/pliki, wyłudzanie danych przez odpowiedzi czy po prostu zwykłe kliknięcie w zainfekowaną stronę (wiem, że prawdopodobieństwo infekcji z wykorzystaniem podatności w przeglądarce w czasach wyłączonej javy i flasha jest małe, ale jest). Także wracam do pierwotnego pytania - jeśli nie symulacje i praktyka, to co? :)
@@paulllaaa1234 > ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Zależy jakie MFA. Jeśli polega ono na przepisaniu kodu (TOTP czyli jednorazowe kody w aplikacji, kody SMSem), to wtedy jest ono podatne na phishing. FIDO2 jest odporne na phishing, ponieważ też wiąże jakby poświadczenia z daną stroną.
kiedyś ktos mi się włamał od teraz mam wszedzie werfikacje 2 etapową i w razie czego wszytki mozliwe sposoby odzyskania konta (jakie są dostepne na stronie) -e mail, telefon, klucze zapasowe, werfikacja aplikacja, itd
16:17 kody QR są dobre, tylko wsparcie dla kodów jest słabe, wiele telefonów ma gdzieś poukrywane czytniki, a ludzie nawet o tym nie wiedzą, później instalują jakieś fejkowe czytniki, które mają wirusy itp. Ja sam używam w domu kodu QR do wifi - i tu kolejny problem, bo nie każdy telefon do końca działa, o dziwo rozpoznaje, że jest to kod QR do WiFi otwiera aplikacje WiFi i nagle... nic się nie dzieje. Najlepsze wsparcie zauważyłem, że mają iPhony.
dobrze ze teraz wszystko uczą w szkole i już wiem ze z Janka Muzykanta lektury łatwo to ograne, ale jakby ktoś chciał się więcej dowiedzieć to w podstawówce od 4 klasy dowie się jak to zrobić na podstawie "holocaustu" wpojonego od urodzenia na sile w pamięć.
Witaj Kacper, słyszałem może o instalacji aplikacji obserwującej Observant balls którą ktoś instaluje na FB. Mnie coś takiego spotkało. Była uruchomiona w ikonce Powiadomienia. Po kliknięciu zniknęły wszystkie grupy zapisane posty... Czy kogoś spotkało coś podobnego?
Bardzo dobry filmik. Przypomniało mi się kilka ataków, o których dawno zapomniałem. Jest on chyba jednak bardziej skierowany do osób technicznych niż przeciętnego użytkownika. Mam kilka drobnych uwag: - ruclips.net/video/jhCDMlatyUg/видео.html wiele źródeł mówiących o phishingu wskazuje w pierwszej kolejności na różnice w wyglądzie fałszywych paneli logowanie lub błędy językowe. Strony phishingowe mogą jednak wyglądać zupełnie tak samo jak oficjalne strony i często tak wyglądają. Jeśli użytkownicy zaczną się przyglądać stronom, to oszuści będą po prostu częściej aktualizowali swoje kity phishingowe i zwracali większą uwagę na to co piszą. Wiele się więc nie zmieni. Dodatkowo prawdziwe strony od czasu do czasu też zmieniają wygląd lub zawierają drobne literówki (chociaż oczywiście nie w takiej ilości jak zdarza się na fałszywych stronach). Uważam więc, że w ogóle nie należy pokazywać zwykłym użytkownikom różnic w wyglądzie stron. - ruclips.net/video/jhCDMlatyUg/видео.html link może prowadzić przez wiele przekierowań do finalnej strony. Niestety, firmy często korzystają ze skracaczy linków w wiadomościach, które wysyłają. Dodatkowo trudno jest znaleźć domenę w tym podglądzie URL. Przeglądarki nam w tym pomagają oznaczając domenę nieco innym kolorem. Poza tym, jest bardzo wiele miejsc z których można trafić na stronę phishingową (linki w e-mail, linki w SMS, kody QR, posty w mediach społecznościowych. reklamy, etc.). Często w źródłach mówiących o phishingu pojawia się rekomendacja aby "uważać w co się klika" albo "nie klikać w podejrzane linki". Uważam, że jest ona bardzo zła. Linki są po to aby w nie klikać. Użytkownik nie wie co jest podejrzane (i ja w sumie też czasami bym nie wiedział). Znacznie lepiej jest rekomendować aby "gdy zobaczysz jakiś formularz, który prosi Cię o dane, w w szczególności dane logowania, wtedy zanim zaczniesz wpisywać, spojrzyj nieco wyżej na pasek adresu (zdjęcie paska adresu), a konkretniej na domenę, która jest oznaczona nieco innym kolorem" - ruclips.net/video/jhCDMlatyUg/видео.html jest to spory problem. Kiedyś zaproponowałem, aby robić right align do końca domeny w pasku URL. Wtedy pokazywałby się koniec domeny (jeśli cała domena się nie zmieści), który jest znacznie ważniejszy od początku. Niestety, issue spotkało się z zerowym zainteresowaniem. - ruclips.net/video/jhCDMlatyUg/видео.html chyba popularna jest teraz nazwa "browser in the browser" - ruclips.net/video/jhCDMlatyUg/видео.html jest to problemem tylko jeśli sprawdzamy domenę w linku przed kliknięciem. Przeglądarki zawsze pokazują domeny w lowercase.
Używajcie kluczy U2F NFC bo wtedy macie 100 % pewności, że żaden pakistański haker w sandałach nie przejmie waszego konta na Facebooku, Google, Gmailu itd. Ja używam i śpię spokojnie a w planach mam zakup kolejnych dwóch kluczy U2F NFC , czarne USB A. Bo wiecie... Licho nie śpi 👀
jako student informatyki jestem uodporniony na takie ataki, bo sam wiem jak to działa... i śmieje się czasami jak mi na messengera przychodzą wiadomości że moje nagie foty są w necie i żebym kliknął w link i sprawdził 🤣🤣🤣
Wrwszcie jakiś film który wyjaśnia wiele spraw, jak już dawno powinny być wyjaśnione. Stawiając właścicieli kont na pierwszym miejscu, w kolejce odpowiedzialności. A nie "Wirus (hahaha), na FB" Pozdro!!
Uważam się za osobę, która zna się na technologii, ale niektóre metody przedstawione w tym filmie rzeczywiście były mi nie znane. Super materiał :D
tru
najlepszym sposobem aby uniknac kradziezy konta na fejsbuku jest ... nie posiadac konta na fejsbuku. uwierzcie mi, da sie tak zyc :D
I to prawda jest 😁 też nie mam usunąłem ❤️
Ja też, widzę nie jestem jedyny. Do póki ludzie będą kurczowo się lękać "odcięcia od świata" lub śmierci, tak długo będą skazani na łaski gigantów IT, medycznych i innych technologii.
Miałem to, ale po tym jak wyciekły moje wszystkie dane zrezygnowałem. Teraz używam bitwardena i jest wszystko w porządwczku 😀
Jak zwykle najwyższa jakość treści. Szacun Kacper i dzięki wielkie za to co robisz.
Nareszcie film, krótko, zwięźle, ciekawie, oby tak dalej.
Bardzo dobry materiał oby tak dalej.
"relacje o potencjalnej wojnie..." heh szybko się to zestarzało :/ ale materaił świetny jak zwykle
16:13 - Myślę (tak pół żartem, pół serio), że najwięcej dla świadomości cyberbezpieczeństwa zrobił Rick Astley :P
Dziekuje :) Milego dnia
18:40 w sumie można używać innych czcionek gdzie widać różnicę między L a I
Liczyłem, że wspomnisz o jakimś zabezpieczeniu przed tym jak klucze sprzętowe i jako odnośnik do innego materiału :)
O kluczach mówiłem w kilku innych filmach ;)
ruclips.net/video/uku-G_COA7U/видео.html
ruclips.net/video/-FpZWimI5_c/видео.html
Świetny materiał! Miłej niedzieli ;)
Pomocne jak zawsze
Bardzo dobry film, sporo ciekawych informacji - dzięki!
Zastanawiam się jak Twoim zdaniem należałoby podejść do budowania świadomości pracowników? Przy okazji symulacj wspomniałeś, że może to być wątpliwe etycznie, ale czy takie praktyczne podejście nie jest najskuteczniejszym sposobem? Przestępcy nie przebierają w środkach... Oczywiście nie chodzi mi o same testy pozostawiające pracowników bez odpowiedniej edukacji, ale o praktyczny trening wykorzystujący symulacje phishingowe jako motywator do chęci podnoszenia kompetencji. W przypadku wpadki pracownik dostaje odpowiednią porcję wiedzy na temat tego na co miał zwrócić uwage żeby nie dać się złapać. Klasyczne szkolenia i elearningi wydają się być mało skuteczne (nudna teoria bez odpowiedniego, praktycznego kontekstu a jak przychodzi co do czego to wiemy jak to się kończy). Jestem ciekawa Twojego zdania.
Moja odpowiedź będzie nietypowa. Zamiast próbować uczyć pracowników jak rozpoznawać zagrożenia - może warto zacząć stosować U2F i klucze w stylu YubiKey? Wtedy większość phishingów przestaje być problemem - nawet jeśli użytkownik się na nie złapie ;)
@@KacperSzurek Pełna zgoda, ale... nie jestem bardzo techniczna, ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Tutaj bardziej się sprawdzi wykorzystanie odpowiedniego managera haseł, który (nie) autouzupełni hasła na podstawionej stronie. Ale to co dla mnie kluczowe - phishing/socjotechnika wycelowana w pracownika to nie tylko fałszywa strona logowania: załączniki/pliki, wyłudzanie danych przez odpowiedzi czy po prostu zwykłe kliknięcie w zainfekowaną stronę (wiem, że prawdopodobieństwo infekcji z wykorzystaniem podatności w przeglądarce w czasach wyłączonej javy i flasha jest małe, ale jest). Także wracam do pierwotnego pytania - jeśli nie symulacje i praktyka, to co? :)
@@paulllaaa1234 > ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx.
Zależy jakie MFA. Jeśli polega ono na przepisaniu kodu (TOTP czyli jednorazowe kody w aplikacji, kody SMSem), to wtedy jest ono podatne na phishing. FIDO2 jest odporne na phishing, ponieważ też wiąże jakby poświadczenia z daną stroną.
kiedyś ktos mi się włamał od teraz mam wszedzie werfikacje 2 etapową i w razie czego wszytki mozliwe sposoby odzyskania konta (jakie są dostepne na stronie) -e mail, telefon, klucze zapasowe, werfikacja aplikacja, itd
Warto aby w takim materiale pojawiły się informacje jak się uchronić przed takimi atakami. Wiem, że kluczem U2F ale czy jeszcze jakoś?
16:17 kody QR są dobre, tylko wsparcie dla kodów jest słabe, wiele telefonów ma gdzieś poukrywane czytniki, a ludzie nawet o tym nie wiedzą, później instalują jakieś fejkowe czytniki, które mają wirusy itp. Ja sam używam w domu kodu QR do wifi - i tu kolejny problem, bo nie każdy telefon do końca działa, o dziwo rozpoznaje, że jest to kod QR do WiFi otwiera aplikacje WiFi i nagle... nic się nie dzieje. Najlepsze wsparcie zauważyłem, że mają iPhony.
niektóre techniki z materiału są mocne myślę że nie ma osoby która przy ich optymalnym i dobrym wykorzystaniu się nie nabrała
dobrze ze teraz wszystko uczą w szkole i już wiem ze z Janka Muzykanta lektury łatwo to ograne, ale jakby ktoś chciał się więcej dowiedzieć to w podstawówce od 4 klasy dowie się jak to zrobić na podstawie "holocaustu" wpojonego od urodzenia na sile w pamięć.
Nie mam konta na FB 😁 więc tu mi nikt nie okradnie pozdrawiam.Ale dobry materiał .Usunąłem jakis czas temu .
Witaj Kacper, słyszałem może o instalacji aplikacji obserwującej Observant balls którą ktoś instaluje na FB. Mnie coś takiego spotkało. Była uruchomiona w ikonce Powiadomienia. Po kliknięciu zniknęły wszystkie grupy zapisane posty... Czy kogoś spotkało coś podobnego?
Bardzo dobry filmik. Przypomniało mi się kilka ataków, o których dawno zapomniałem. Jest on chyba jednak bardziej skierowany do osób technicznych niż przeciętnego użytkownika. Mam kilka drobnych uwag:
- ruclips.net/video/jhCDMlatyUg/видео.html wiele źródeł mówiących o phishingu wskazuje w pierwszej kolejności na różnice w wyglądzie fałszywych paneli logowanie lub błędy językowe. Strony phishingowe mogą jednak wyglądać zupełnie tak samo jak oficjalne strony i często tak wyglądają. Jeśli użytkownicy zaczną się przyglądać stronom, to oszuści będą po prostu częściej aktualizowali swoje kity phishingowe i zwracali większą uwagę na to co piszą. Wiele się więc nie zmieni. Dodatkowo prawdziwe strony od czasu do czasu też zmieniają wygląd lub zawierają drobne literówki (chociaż oczywiście nie w takiej ilości jak zdarza się na fałszywych stronach). Uważam więc, że w ogóle nie należy pokazywać zwykłym użytkownikom różnic w wyglądzie stron.
- ruclips.net/video/jhCDMlatyUg/видео.html link może prowadzić przez wiele przekierowań do finalnej strony. Niestety, firmy często korzystają ze skracaczy linków w wiadomościach, które wysyłają. Dodatkowo trudno jest znaleźć domenę w tym podglądzie URL. Przeglądarki nam w tym pomagają oznaczając domenę nieco innym kolorem. Poza tym, jest bardzo wiele miejsc z których można trafić na stronę phishingową (linki w e-mail, linki w SMS, kody QR, posty w mediach społecznościowych. reklamy, etc.). Często w źródłach mówiących o phishingu pojawia się rekomendacja aby "uważać w co się klika" albo "nie klikać w podejrzane linki". Uważam, że jest ona bardzo zła. Linki są po to aby w nie klikać. Użytkownik nie wie co jest podejrzane (i ja w sumie też czasami bym nie wiedział). Znacznie lepiej jest rekomendować aby "gdy zobaczysz jakiś formularz, który prosi Cię o dane, w w szczególności dane logowania, wtedy zanim zaczniesz wpisywać, spojrzyj nieco wyżej na pasek adresu (zdjęcie paska adresu), a konkretniej na domenę, która jest oznaczona nieco innym kolorem"
- ruclips.net/video/jhCDMlatyUg/видео.html jest to spory problem. Kiedyś zaproponowałem, aby robić right align do końca domeny w pasku URL. Wtedy pokazywałby się koniec domeny (jeśli cała domena się nie zmieści), który jest znacznie ważniejszy od początku. Niestety, issue spotkało się z zerowym zainteresowaniem.
- ruclips.net/video/jhCDMlatyUg/видео.html chyba popularna jest teraz nazwa "browser in the browser"
- ruclips.net/video/jhCDMlatyUg/видео.html jest to problemem tylko jeśli sprawdzamy domenę w linku przed kliknięciem. Przeglądarki zawsze pokazują domeny w lowercase.
Mojego konta na FB nie ukradną, bo skasowałem konto, bo FB kasował moje komentarze, które były niezgodne z wytycznymi oficera prowadzącego.
Rejestrując się akceptujesz regulamin więc nie dziw się że twoje treści, niezgodne z regulaminem, będą usuwane xD
15:35 - ten kod QR kieruje na ten kanał
Używajcie kluczy U2F NFC bo wtedy macie 100 % pewności, że żaden pakistański haker w sandałach nie przejmie waszego konta na Facebooku, Google, Gmailu itd. Ja używam i śpię spokojnie a w planach mam zakup kolejnych dwóch kluczy U2F NFC , czarne USB A. Bo wiecie... Licho nie śpi 👀
jako student informatyki jestem uodporniony na takie ataki, bo sam wiem jak to działa... i śmieje się czasami jak mi na messengera przychodzą wiadomości że moje nagie foty są w necie i żebym kliknął w link i sprawdził 🤣🤣🤣
Dziękuje.
Będzie jakiś film o atakach hakerskich na Ukrainę ?
Ciężko powiedzieć - bo trudno o rzetelne materiały.
Kiedyś złapałem się na adres IDN - moja przeglądarka w ogóle nie wyświetlała nietypowego akcentu nad literą!
W ustawieniach Firefoksa można włączyć puny code i będzie widać ten dziwny pełny adres.
Podziwiam wiedzę.
Każdy może trafić na minę. Nawet jeżeli jest technofrienly.
0:30 Emmm no wczoraj to nie była prawda
Dzięki
blac była jego Mac :)
Oglądam twój film 2 lata później. I co? Hahaha Elon Musk dalej na Live i wszystko to co mówiłeś ahahhahaa cyrk
Taktyczny :)
Wrwszcie jakiś film który wyjaśnia wiele spraw, jak już dawno powinny być wyjaśnione.
Stawiając właścicieli kont na pierwszym miejscu, w kolejce odpowiedzialności.
A nie "Wirus (hahaha), na FB"
Pozdro!!
Dobrze, że moje konto jest bezwartościowe bo nie mam znajomych. XD
Błagam, font nie czcionka, a w idealnym świecie "krój pisma". Wystarczy zmienić font/krój pisma na stronie...
Super film! Niestety prawdopodobnie trafi on jedynie do osób które interesują się technologią i w większości wyczulone są na takie typu taktyki.
Następny odcinek: W jaki sposób hakerzy zabezpieczają się aby nich nie namierzyć
😁
Ja nie mam znajomych ani pieniędzy
mistrzu zbanujesz mnie jeżeli napiszę że nagrywam recenzje gier ?
Pierwszy
Ja byłem pierwszy, tylko w kiblu byłem.
Pierwszy był Mieszko Pierwszy.
A kto był drugi?
@@Waldo_Ilowiecki Nie ma dowodów na to że @Mandingoz wiedział o tym, że byłeś w kiblu xD
@@ivuldivul Mieszko II Lambert, choć tak na prawdę to Bolesław Chrobry
Drugi