Ja też, widzę nie jestem jedyny. Do póki ludzie będą kurczowo się lękać "odcięcia od świata" lub śmierci, tak długo będą skazani na łaski gigantów IT, medycznych i innych technologii.
Bardzo dobry film, sporo ciekawych informacji - dzięki! Zastanawiam się jak Twoim zdaniem należałoby podejść do budowania świadomości pracowników? Przy okazji symulacj wspomniałeś, że może to być wątpliwe etycznie, ale czy takie praktyczne podejście nie jest najskuteczniejszym sposobem? Przestępcy nie przebierają w środkach... Oczywiście nie chodzi mi o same testy pozostawiające pracowników bez odpowiedniej edukacji, ale o praktyczny trening wykorzystujący symulacje phishingowe jako motywator do chęci podnoszenia kompetencji. W przypadku wpadki pracownik dostaje odpowiednią porcję wiedzy na temat tego na co miał zwrócić uwage żeby nie dać się złapać. Klasyczne szkolenia i elearningi wydają się być mało skuteczne (nudna teoria bez odpowiedniego, praktycznego kontekstu a jak przychodzi co do czego to wiemy jak to się kończy). Jestem ciekawa Twojego zdania.
Moja odpowiedź będzie nietypowa. Zamiast próbować uczyć pracowników jak rozpoznawać zagrożenia - może warto zacząć stosować U2F i klucze w stylu YubiKey? Wtedy większość phishingów przestaje być problemem - nawet jeśli użytkownik się na nie złapie ;)
@@KacperSzurek Pełna zgoda, ale... nie jestem bardzo techniczna, ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Tutaj bardziej się sprawdzi wykorzystanie odpowiedniego managera haseł, który (nie) autouzupełni hasła na podstawionej stronie. Ale to co dla mnie kluczowe - phishing/socjotechnika wycelowana w pracownika to nie tylko fałszywa strona logowania: załączniki/pliki, wyłudzanie danych przez odpowiedzi czy po prostu zwykłe kliknięcie w zainfekowaną stronę (wiem, że prawdopodobieństwo infekcji z wykorzystaniem podatności w przeglądarce w czasach wyłączonej javy i flasha jest małe, ale jest). Także wracam do pierwotnego pytania - jeśli nie symulacje i praktyka, to co? :)
@@paulllaaa1234 > ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Zależy jakie MFA. Jeśli polega ono na przepisaniu kodu (TOTP czyli jednorazowe kody w aplikacji, kody SMSem), to wtedy jest ono podatne na phishing. FIDO2 jest odporne na phishing, ponieważ też wiąże jakby poświadczenia z daną stroną.
Bardzo dobry filmik. Przypomniało mi się kilka ataków, o których dawno zapomniałem. Jest on chyba jednak bardziej skierowany do osób technicznych niż przeciętnego użytkownika. Mam kilka drobnych uwag: - th-cam.com/video/jhCDMlatyUg/w-d-xo.html wiele źródeł mówiących o phishingu wskazuje w pierwszej kolejności na różnice w wyglądzie fałszywych paneli logowanie lub błędy językowe. Strony phishingowe mogą jednak wyglądać zupełnie tak samo jak oficjalne strony i często tak wyglądają. Jeśli użytkownicy zaczną się przyglądać stronom, to oszuści będą po prostu częściej aktualizowali swoje kity phishingowe i zwracali większą uwagę na to co piszą. Wiele się więc nie zmieni. Dodatkowo prawdziwe strony od czasu do czasu też zmieniają wygląd lub zawierają drobne literówki (chociaż oczywiście nie w takiej ilości jak zdarza się na fałszywych stronach). Uważam więc, że w ogóle nie należy pokazywać zwykłym użytkownikom różnic w wyglądzie stron. - th-cam.com/video/jhCDMlatyUg/w-d-xo.html link może prowadzić przez wiele przekierowań do finalnej strony. Niestety, firmy często korzystają ze skracaczy linków w wiadomościach, które wysyłają. Dodatkowo trudno jest znaleźć domenę w tym podglądzie URL. Przeglądarki nam w tym pomagają oznaczając domenę nieco innym kolorem. Poza tym, jest bardzo wiele miejsc z których można trafić na stronę phishingową (linki w e-mail, linki w SMS, kody QR, posty w mediach społecznościowych. reklamy, etc.). Często w źródłach mówiących o phishingu pojawia się rekomendacja aby "uważać w co się klika" albo "nie klikać w podejrzane linki". Uważam, że jest ona bardzo zła. Linki są po to aby w nie klikać. Użytkownik nie wie co jest podejrzane (i ja w sumie też czasami bym nie wiedział). Znacznie lepiej jest rekomendować aby "gdy zobaczysz jakiś formularz, który prosi Cię o dane, w w szczególności dane logowania, wtedy zanim zaczniesz wpisywać, spojrzyj nieco wyżej na pasek adresu (zdjęcie paska adresu), a konkretniej na domenę, która jest oznaczona nieco innym kolorem" - th-cam.com/video/jhCDMlatyUg/w-d-xo.html jest to spory problem. Kiedyś zaproponowałem, aby robić right align do końca domeny w pasku URL. Wtedy pokazywałby się koniec domeny (jeśli cała domena się nie zmieści), który jest znacznie ważniejszy od początku. Niestety, issue spotkało się z zerowym zainteresowaniem. - th-cam.com/video/jhCDMlatyUg/w-d-xo.html chyba popularna jest teraz nazwa "browser in the browser" - th-cam.com/video/jhCDMlatyUg/w-d-xo.html jest to problemem tylko jeśli sprawdzamy domenę w linku przed kliknięciem. Przeglądarki zawsze pokazują domeny w lowercase.
dobrze ze teraz wszystko uczą w szkole i już wiem ze z Janka Muzykanta lektury łatwo to ograne, ale jakby ktoś chciał się więcej dowiedzieć to w podstawówce od 4 klasy dowie się jak to zrobić na podstawie "holocaustu" wpojonego od urodzenia na sile w pamięć.
kiedyś ktos mi się włamał od teraz mam wszedzie werfikacje 2 etapową i w razie czego wszytki mozliwe sposoby odzyskania konta (jakie są dostepne na stronie) -e mail, telefon, klucze zapasowe, werfikacja aplikacja, itd
16:17 kody QR są dobre, tylko wsparcie dla kodów jest słabe, wiele telefonów ma gdzieś poukrywane czytniki, a ludzie nawet o tym nie wiedzą, później instalują jakieś fejkowe czytniki, które mają wirusy itp. Ja sam używam w domu kodu QR do wifi - i tu kolejny problem, bo nie każdy telefon do końca działa, o dziwo rozpoznaje, że jest to kod QR do WiFi otwiera aplikacje WiFi i nagle... nic się nie dzieje. Najlepsze wsparcie zauważyłem, że mają iPhony.
Witaj Kacper, słyszałem może o instalacji aplikacji obserwującej Observant balls którą ktoś instaluje na FB. Mnie coś takiego spotkało. Była uruchomiona w ikonce Powiadomienia. Po kliknięciu zniknęły wszystkie grupy zapisane posty... Czy kogoś spotkało coś podobnego?
Używajcie kluczy U2F NFC bo wtedy macie 100 % pewności, że żaden pakistański haker w sandałach nie przejmie waszego konta na Facebooku, Google, Gmailu itd. Ja używam i śpię spokojnie a w planach mam zakup kolejnych dwóch kluczy U2F NFC , czarne USB A. Bo wiecie... Licho nie śpi 👀
jako student informatyki jestem uodporniony na takie ataki, bo sam wiem jak to działa... i śmieje się czasami jak mi na messengera przychodzą wiadomości że moje nagie foty są w necie i żebym kliknął w link i sprawdził 🤣🤣🤣
Wrwszcie jakiś film który wyjaśnia wiele spraw, jak już dawno powinny być wyjaśnione. Stawiając właścicieli kont na pierwszym miejscu, w kolejce odpowiedzialności. A nie "Wirus (hahaha), na FB" Pozdro!!
Uważam się za osobę, która zna się na technologii, ale niektóre metody przedstawione w tym filmie rzeczywiście były mi nie znane. Super materiał :D
tru
Jak zwykle najwyższa jakość treści. Szacun Kacper i dzięki wielkie za to co robisz.
Nareszcie film, krótko, zwięźle, ciekawie, oby tak dalej.
"relacje o potencjalnej wojnie..." heh szybko się to zestarzało :/ ale materaił świetny jak zwykle
najlepszym sposobem aby uniknac kradziezy konta na fejsbuku jest ... nie posiadac konta na fejsbuku. uwierzcie mi, da sie tak zyc :D
I to prawda jest 😁 też nie mam usunąłem ❤️
Ja też, widzę nie jestem jedyny. Do póki ludzie będą kurczowo się lękać "odcięcia od świata" lub śmierci, tak długo będą skazani na łaski gigantów IT, medycznych i innych technologii.
Bardzo dobry materiał oby tak dalej.
Dziekuje :) Milego dnia
Pomocne jak zawsze
Liczyłem, że wspomnisz o jakimś zabezpieczeniu przed tym jak klucze sprzętowe i jako odnośnik do innego materiału :)
O kluczach mówiłem w kilku innych filmach ;)
th-cam.com/video/uku-G_COA7U/w-d-xo.html
th-cam.com/video/-FpZWimI5_c/w-d-xo.html
Bardzo dobry film, sporo ciekawych informacji - dzięki!
Zastanawiam się jak Twoim zdaniem należałoby podejść do budowania świadomości pracowników? Przy okazji symulacj wspomniałeś, że może to być wątpliwe etycznie, ale czy takie praktyczne podejście nie jest najskuteczniejszym sposobem? Przestępcy nie przebierają w środkach... Oczywiście nie chodzi mi o same testy pozostawiające pracowników bez odpowiedniej edukacji, ale o praktyczny trening wykorzystujący symulacje phishingowe jako motywator do chęci podnoszenia kompetencji. W przypadku wpadki pracownik dostaje odpowiednią porcję wiedzy na temat tego na co miał zwrócić uwage żeby nie dać się złapać. Klasyczne szkolenia i elearningi wydają się być mało skuteczne (nudna teoria bez odpowiedniego, praktycznego kontekstu a jak przychodzi co do czego to wiemy jak to się kończy). Jestem ciekawa Twojego zdania.
Moja odpowiedź będzie nietypowa. Zamiast próbować uczyć pracowników jak rozpoznawać zagrożenia - może warto zacząć stosować U2F i klucze w stylu YubiKey? Wtedy większość phishingów przestaje być problemem - nawet jeśli użytkownik się na nie złapie ;)
@@KacperSzurek Pełna zgoda, ale... nie jestem bardzo techniczna, ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Tutaj bardziej się sprawdzi wykorzystanie odpowiedniego managera haseł, który (nie) autouzupełni hasła na podstawionej stronie. Ale to co dla mnie kluczowe - phishing/socjotechnika wycelowana w pracownika to nie tylko fałszywa strona logowania: załączniki/pliki, wyłudzanie danych przez odpowiedzi czy po prostu zwykłe kliknięcie w zainfekowaną stronę (wiem, że prawdopodobieństwo infekcji z wykorzystaniem podatności w przeglądarce w czasach wyłączonej javy i flasha jest małe, ale jest). Także wracam do pierwotnego pytania - jeśli nie symulacje i praktyka, to co? :)
@@paulllaaa1234 > ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx.
Zależy jakie MFA. Jeśli polega ono na przepisaniu kodu (TOTP czyli jednorazowe kody w aplikacji, kody SMSem), to wtedy jest ono podatne na phishing. FIDO2 jest odporne na phishing, ponieważ też wiąże jakby poświadczenia z daną stroną.
16:13 - Myślę (tak pół żartem, pół serio), że najwięcej dla świadomości cyberbezpieczeństwa zrobił Rick Astley :P
Świetny materiał! Miłej niedzieli ;)
Nie mam konta na FB 😁 więc tu mi nikt nie okradnie pozdrawiam.Ale dobry materiał .Usunąłem jakis czas temu .
niektóre techniki z materiału są mocne myślę że nie ma osoby która przy ich optymalnym i dobrym wykorzystaniu się nie nabrała
Bardzo dobry filmik. Przypomniało mi się kilka ataków, o których dawno zapomniałem. Jest on chyba jednak bardziej skierowany do osób technicznych niż przeciętnego użytkownika. Mam kilka drobnych uwag:
- th-cam.com/video/jhCDMlatyUg/w-d-xo.html wiele źródeł mówiących o phishingu wskazuje w pierwszej kolejności na różnice w wyglądzie fałszywych paneli logowanie lub błędy językowe. Strony phishingowe mogą jednak wyglądać zupełnie tak samo jak oficjalne strony i często tak wyglądają. Jeśli użytkownicy zaczną się przyglądać stronom, to oszuści będą po prostu częściej aktualizowali swoje kity phishingowe i zwracali większą uwagę na to co piszą. Wiele się więc nie zmieni. Dodatkowo prawdziwe strony od czasu do czasu też zmieniają wygląd lub zawierają drobne literówki (chociaż oczywiście nie w takiej ilości jak zdarza się na fałszywych stronach). Uważam więc, że w ogóle nie należy pokazywać zwykłym użytkownikom różnic w wyglądzie stron.
- th-cam.com/video/jhCDMlatyUg/w-d-xo.html link może prowadzić przez wiele przekierowań do finalnej strony. Niestety, firmy często korzystają ze skracaczy linków w wiadomościach, które wysyłają. Dodatkowo trudno jest znaleźć domenę w tym podglądzie URL. Przeglądarki nam w tym pomagają oznaczając domenę nieco innym kolorem. Poza tym, jest bardzo wiele miejsc z których można trafić na stronę phishingową (linki w e-mail, linki w SMS, kody QR, posty w mediach społecznościowych. reklamy, etc.). Często w źródłach mówiących o phishingu pojawia się rekomendacja aby "uważać w co się klika" albo "nie klikać w podejrzane linki". Uważam, że jest ona bardzo zła. Linki są po to aby w nie klikać. Użytkownik nie wie co jest podejrzane (i ja w sumie też czasami bym nie wiedział). Znacznie lepiej jest rekomendować aby "gdy zobaczysz jakiś formularz, który prosi Cię o dane, w w szczególności dane logowania, wtedy zanim zaczniesz wpisywać, spojrzyj nieco wyżej na pasek adresu (zdjęcie paska adresu), a konkretniej na domenę, która jest oznaczona nieco innym kolorem"
- th-cam.com/video/jhCDMlatyUg/w-d-xo.html jest to spory problem. Kiedyś zaproponowałem, aby robić right align do końca domeny w pasku URL. Wtedy pokazywałby się koniec domeny (jeśli cała domena się nie zmieści), który jest znacznie ważniejszy od początku. Niestety, issue spotkało się z zerowym zainteresowaniem.
- th-cam.com/video/jhCDMlatyUg/w-d-xo.html chyba popularna jest teraz nazwa "browser in the browser"
- th-cam.com/video/jhCDMlatyUg/w-d-xo.html jest to problemem tylko jeśli sprawdzamy domenę w linku przed kliknięciem. Przeglądarki zawsze pokazują domeny w lowercase.
Warto aby w takim materiale pojawiły się informacje jak się uchronić przed takimi atakami. Wiem, że kluczem U2F ale czy jeszcze jakoś?
Dziękuje.
18:40 w sumie można używać innych czcionek gdzie widać różnicę między L a I
dobrze ze teraz wszystko uczą w szkole i już wiem ze z Janka Muzykanta lektury łatwo to ograne, ale jakby ktoś chciał się więcej dowiedzieć to w podstawówce od 4 klasy dowie się jak to zrobić na podstawie "holocaustu" wpojonego od urodzenia na sile w pamięć.
kiedyś ktos mi się włamał od teraz mam wszedzie werfikacje 2 etapową i w razie czego wszytki mozliwe sposoby odzyskania konta (jakie są dostepne na stronie) -e mail, telefon, klucze zapasowe, werfikacja aplikacja, itd
Dzięki
16:17 kody QR są dobre, tylko wsparcie dla kodów jest słabe, wiele telefonów ma gdzieś poukrywane czytniki, a ludzie nawet o tym nie wiedzą, później instalują jakieś fejkowe czytniki, które mają wirusy itp. Ja sam używam w domu kodu QR do wifi - i tu kolejny problem, bo nie każdy telefon do końca działa, o dziwo rozpoznaje, że jest to kod QR do WiFi otwiera aplikacje WiFi i nagle... nic się nie dzieje. Najlepsze wsparcie zauważyłem, że mają iPhony.
Witaj Kacper, słyszałem może o instalacji aplikacji obserwującej Observant balls którą ktoś instaluje na FB. Mnie coś takiego spotkało. Była uruchomiona w ikonce Powiadomienia. Po kliknięciu zniknęły wszystkie grupy zapisane posty... Czy kogoś spotkało coś podobnego?
Taktyczny :)
Podziwiam wiedzę.
Mojego konta na FB nie ukradną, bo skasowałem konto, bo FB kasował moje komentarze, które były niezgodne z wytycznymi oficera prowadzącego.
Rejestrując się akceptujesz regulamin więc nie dziw się że twoje treści, niezgodne z regulaminem, będą usuwane xD
Używajcie kluczy U2F NFC bo wtedy macie 100 % pewności, że żaden pakistański haker w sandałach nie przejmie waszego konta na Facebooku, Google, Gmailu itd. Ja używam i śpię spokojnie a w planach mam zakup kolejnych dwóch kluczy U2F NFC , czarne USB A. Bo wiecie... Licho nie śpi 👀
15:35 - ten kod QR kieruje na ten kanał
Będzie jakiś film o atakach hakerskich na Ukrainę ?
Ciężko powiedzieć - bo trudno o rzetelne materiały.
Pierwszy
Ja byłem pierwszy, tylko w kiblu byłem.
Pierwszy był Mieszko Pierwszy.
A kto był drugi?
@@Waldo_Ilowiecki Nie ma dowodów na to że @Mandingoz wiedział o tym, że byłeś w kiblu xD
@@ivuldivul Mieszko II Lambert, choć tak na prawdę to Bolesław Chrobry
jako student informatyki jestem uodporniony na takie ataki, bo sam wiem jak to działa... i śmieje się czasami jak mi na messengera przychodzą wiadomości że moje nagie foty są w necie i żebym kliknął w link i sprawdził 🤣🤣🤣
Kiedyś złapałem się na adres IDN - moja przeglądarka w ogóle nie wyświetlała nietypowego akcentu nad literą!
W ustawieniach Firefoksa można włączyć puny code i będzie widać ten dziwny pełny adres.
0:30 Emmm no wczoraj to nie była prawda
blac była jego Mac :)
Oglądam twój film 2 lata później. I co? Hahaha Elon Musk dalej na Live i wszystko to co mówiłeś ahahhahaa cyrk
Każdy może trafić na minę. Nawet jeżeli jest technofrienly.
Drugi
Dobrze, że moje konto jest bezwartościowe bo nie mam znajomych. XD
Super film! Niestety prawdopodobnie trafi on jedynie do osób które interesują się technologią i w większości wyczulone są na takie typu taktyki.
Wrwszcie jakiś film który wyjaśnia wiele spraw, jak już dawno powinny być wyjaśnione.
Stawiając właścicieli kont na pierwszym miejscu, w kolejce odpowiedzialności.
A nie "Wirus (hahaha), na FB"
Pozdro!!
Błagam, font nie czcionka, a w idealnym świecie "krój pisma". Wystarczy zmienić font/krój pisma na stronie...
Następny odcinek: W jaki sposób hakerzy zabezpieczają się aby nich nie namierzyć
😁
mistrzu zbanujesz mnie jeżeli napiszę że nagrywam recenzje gier ?
Ja nie mam znajomych ani pieniędzy
Myślę że materiał ten jest manipulacją no bo każdy sobie może robić takie kąto jakie chce