Co za plot twist! Naczelny Sąd Administracyjny właśnie uchylił wyrok w sprawie Morele i zasądził od UODO (nie od Morele!) 65 000 złotych tytułem zwrotu kosztów postępowania sądowego. Bo – w skrócie – zabrakło opinii biegłego. Tym samym zakończył się wieloletni spór i pierwsza sprawa dotycząca naruszenia RODO w Polsce. Zanim wytłumaczymy rozumowanie sądu, przypomnijmy […]

Złodzieje dostali się na konto bankowe kobiety bo — podszywając się pod pracowników banku — przekonali ją, że powinna zainstalować aplikację QuickSupport, która pozwala na zdalną kontrolę komputerem. W imieniu ofiary wzięli pożyczkę i wyprowadzili pieniądze przelewami. Takich ofiar w Polsce są setki. Czy muszą spłacać pożyczkę? I ma znaczenie, że ich nieostrożność przyczyniła się do wyłudzeń? […]

Ostatnie tygodnie to regularny strumień doniesień o kolejnych firmach, które zostały zhackowane, a coraz więcej ataków kończy się podwójnym szantażem. Przestępcy domagają się okupu już nie tylko za odszyfrowanie zaszyfrowanych podczas włamania danych, chcą też pieniędzy za niepublikowanie firmowych dokumentów, które udało im się wykraść. Co gorsza, wiele firm wciąż nie zdaje sobie sprawy, że […]

Otrzymujemy sygnały, że na adresy e-mail osób i instytucji powiązanych z ochroną zdrowia wysyłane są e-maile, w których ktoś podszywając się pod NFZ informuje o fałszywym wycieku danych. Atakujący nakłania też do pobrania pliku NFZ-Wyciek.xll w celu sprawdzenia, czy “jest się ofiarą wycieku danych”. Ten plik to trojan. Z przykrością donosimy, w dniu dzisiejszym doszło do wycieku informacji […]

Google znalazło aż 18 błędów w chipach Exynos produkowanych przez Samsunga i wykorzystywanych w modemach w smartfonach, zegarkach a także samochodach. 4 z tych błędów są bardzo poważne. Pozwalają na przejęcie kontroli nad urządzeniem użytkownika bez konieczności jakichkolwiek działań z jego strony. W nic nie trzeba klikać, wystarczy że atakujący zna numer telefonu ofiary. Poniżej […]

Otrzymujemy od Was informacje, że na Telegramie dostajecie wiadomość, w której ktoś się pod nas podszywa. Osoba podaje się za “przedstawiciela organizacji Niebezpiecznik” i prosi o poparcie petycji dotyczącej “zwalczania oszustw”. To nie my, więc śmiało zgłaszajcie typa. Przeczytaj także: Spoofing rozmów telefonicznych Minister Dworczyk zhackowany? Ktoś od 4 dni publikuje dokumenty rzekomo z jego […]

Rodzaj: SMS phishing Zagrożenie: Kradzież pieniędzy Użyte marki: OLX, DPD, InPost Aktualnie obserwujemy zwiększoną liczbę ataków na sprzedających na OLX. Nawet już po dwóch minutach od wystawienia ogłoszenia na portalu możesz otrzymać taką wiadomość (zwróć uwagę, z jakiej nazwy nadawcy jest ona wysyłana!) Złodzieje idealnie podrabiają nazwę “OLX”. Dlatego fałszywe SMS-y wątkują się ofiarom tuż pod tym prawdziwymi. […]

Wczoraj kilku naszych Czytelników zauważyło, że googlając za różnymi frazami (czasem niezbyt “legalnymi”), natykają się na wyniki z …polskich stron rządowych: Po kliknięciu w wynik z domeny NFZ lądujemy na stronie, która informuje nas, że “4 dziewczyny chcą się z nami spotkać“. Niestety, musimy Was rozczarować — nie jest to nowa usługa NFZ poprawiająca samopoczucie schorowanych […]

Dwa tygodnie temu opublikowaliśmy na naszych łamach historię Rafała, który podzielił się tym, jak w sprytny sposób próbowano go oszukać na Bookingu i prawie się udało. Niedawno napisał do nas Kamil (imię zmienione), który prosił aby opisać jego historię związaną z tzw. “oszustwem na BLIK-a”. Niestety, tym razem bez happy endu. Jestem dość młodą osobą, […]

Rodzaj: SMS phishing Zagrożenie: Kradzież pieniędzy/danych Użyte marki: BLIK Złodzieje podszywają się pod BLIK-a! Wysyłają fałszywe SMS-y informujące o tym, że ktoś wysłał nam przelew na 300 zł. Aby odebrać pieniądze, trzeba kliknąć w link: Jak widzicie, oszuści wysyłają SMS-y z idealnie podrobionej nazwy nadawcy, a to może spowodować, że więcej niż zazwyczaj osób potraktuje taką wiadomość […]

Rodzaj: spam (iMessage) Zagrożenie: kradzież tożsamości/pieniędzy Od kilku dni otrzymujemy zwiększoną liczbę zgłoszeń dotyczącą spamu, który wysyłany jest do użytkowników iPhonów przez iMessage. Nadawcy wiadomości zazwyczaj posiadają rosyjskie adresy e-mail, a same wiadomości zachęcają do podjęcia pracy. Oto przykład jednej z nich: Recruiting Assistant – Can be done without affecting your current job – Flexible time, […]

Bezczelność złodziei nie zna granic. O tym, że Polacy są codziennie okradani na OLX/Vinted w formie “na lewego kuriera” czy “na dopłatę” ostrzegaliśmy już wiele razy. Dziś dostaliśmy ciekawy sygnał, że złodzieje próbują swoje ofiary z OLX/Vinted, które już raz okradli, okraść jeszcze raz, tym razem podszywając się pod instytucję państwowe oferujące “odszkodowanie”. Jak złodzieje ponownie […]

Przestępcy wykorzystują “hype” na Sztuczą Inteligencję i tworzą fałszywe aplikacje i dodatki do przeglądarek, które mają na celu kradzież Waszych danych. W ostatnich dniach otrzymaliśmy od kilku osób zgłoszenia, że …stracili dostęp do swojego konta na Facebooku. Analizując te zgłoszenia udało nam się ustalić, że w każdym z tych przypadków przyczyną przejęcia konta na Facebooku była […]

W weekend, w ramach CyberAlertów informowaliśmy o ataku, który miał na celu wyłudzenie danych od użytkowników Allegro. Właśnie ruszyła kolejna kampania, która ma na celu kradzież pieniędzy od użytkowników Allegro, ale tym razem oszuści podszywają się pod Allegro Lokalnie. Oto jak wyglądają treści wiadomości: Cześć , Twoje Zawiadomienie o zawieszeniu ! Nie mogliśmy zatwierdzić Twojego konta Allegro, ponieważ […]

Dwa tygodnie temu, w #004 wydaniu naszego newslettera CyberExpress opisaliśmy panikę USA związaną z chińskimi balonami szpiegowskimi. Zalinkowaliśmy wtedy film Tomasza Brola, który balony szpiebadawcze wypuszcza od lat. Zainteresowanie czytelników CyberExpressu filmem zostało przez Tomka odnotowane. Efekt? Tomasz napisał artykuł, który publikujemy w całości poniżej. Robisz ciekawe rzeczy, które choć trochę zahaczają o tematykę szeroko […]

Na konferencji CONFidence, w trakcie swojego wykładu, Piotrek zapowiedział start nowego niebezpiecznikowego szkolenia poświęconego tematyce OSINT-u (ang. Open Source Intelligence), czyli technikom pozyskiwania informacji na temat ludzi i firm na podstawie ogólniedostępnych (co nie znaczy, że zawsze publicznie dostępnych w internecie) źródeł. Miło nam zakomunikować, że właśnie ruszył nabór na pierwsze z terminów tego szkolenia! […]

Jeśli nie rozumiesz więcej niż dwóch słów z tytułu, to się nie przejmuj. Wojciech Bielak, który od lat pasjonuje się bezpieczeństwem radiokomunikacji, a w Niebezpieczniku prowadzi szkolenie z hackowania modułem SDR, zaraz wszystko wyjaśni… Oddajemy mu głos! Zaczynijmy od HF/DF Jak wszyscy wiemy nic tak, niestety, nie przyspiesza rozwoju techniki jak wojna. O ile po frontach I […]

Rodzaj: SMS phishing Zagrożenie: Kradzież pieniędzy/danych Użyte marki: iPKO Czasem są tygodnie, gdzie nie wysyłamy Wam żadnego CyberAlertu. A czasem, jak dziś, wysłać niestety musimy aż 2 jednego dnia… Właśnie wystartowała kolejna spora kampania wycelowana w Polaków. Tym razem tych, którzy korzystają z usług banku PKO. Złodzieje wysyłają SMS-y, w których podszywają się pod PKO i […]

Rodzaj: SMS phishing Zagrożenie: Kradzież pieniędzy/danych Użyte marki: Revolut Ruszył kolejny masowy atak na Polaków. Złodzieje podszywają się w SMS-ach pod Revolut i robią to idealnie (przynajmniej jeśli chodzi o nadawcę SMS-a). Oto jak wyglądają treści rozsyłanych wiadomości: Co się stanie, kiedy klikniesz w link? Złodzieje wyłudzą Twoje dane osobowe (w tym selfie i skan […]

Rodzaj: phishing (e-mail) Zagrożenie: Kradzież pieniędzy+danych Użyte marki: Allegro Ruszył masowy atak na Polaków. Złodzieje podszywają się w e-mailach pod Allegro. Oto jak wyglądają treści oszukańczych wiadomości: Od: Allegro (Różne e-maile) Temat: , Twoje konto może zostać zablokowane. Dzień dobry , Twoje konto może zostać zablokowane z racji częstych prób logowań z aplikacji mobilnej. W […]

Rodzaj: phishing (SMS) Zagrożenie: Kradzież pieniędzy i danych Użyte marki: ApplePay Na iPhony Polaków wysyłane są właśnie SMS-y, które udają komunikaty z usługi ApplePay. Oszuści informują o nieudanej transakcji i straszą blokadą karty, jeśli nie kliknie się w podany link. Oto jak wygląda treść oszukańczej wiadomości: Apple Pay: Szanowny kliencie. Karta platnicza zostala odrzucona. Potwierdz swoje […]

Wycieki nagich selfiaków (lub ich celowe zemsto-wrzutki do sieci przez byłych partnerów) to coraz większy problem. Aby sobie z nim poradzić powstało narzędzie Take It Down. Jak to działa? Wgrywasz tę fotkę lub filmik, a partnerskie serwisy (m.in. Instagram, Facebook, OnlyFans, PornHub) jeśli odnajdą to zdjęcie u siebie, to automatycznie je kasują. Warunek: muszą to być […]

GitHub poinformował, że usługa skanowania kodu w repozytoriach pod kątem sekretów jest już dostępna dla każdego. Warto ją sobie włączyć, bo przypadkowe pozostawienie w kodzie klucza to nie takie rzadkie zdarzenie… Co dokładnie oznacza “skanowanie sekretów”? Więcej o tej usłudze znajdziecie w dokumentacji. My zacytujemy tylko kluczowy fragment: You can enable secret scanning alerts across all […]

Jeśli masz smartfon od Google (Pixel 6, 6a, 7) i zaczniesz oglądać ten film w aplikacji YouTube, to — jak raportują posiadacze pixeli — twój telefon zrestartuje się. Problem zauważył jeden z użytkowników Reddita korzystający z Pixela 7. Inni testujący zaobserwowali crashe także na Pixelach 6 i 6a. Niektórzy po reboocie nie byli wstanie połaczyć się z […]

Operatorzy i dostawcy usług komunikacyjnych mają nie lada problem, który nazywa się PIT. Nie chodzi o zeznanie podatkowe, ale o Punkt Informacyjny ds. Telekomunikacji, nowy system inwentaryzacji infrastruktury. Przerażająco nowy i przerażająco przerażający, jak słyszymy od zaprzyjaźnionych ISP. I nie chodzi im o to, że system działa w oparciu o przestarzałego Pythona 2.7. Chodzi im […]

Część z Was wie, że na co dzień współpracujemy z różnymi firmami, testujemy ich infrastrukturę lub szkolimy ich pracowników. Podczas takich spotkań często pracownicy dzielą się różnego rodzaju incydentami, które ich dotykają. I dziś chcielibyśmy zaprezentować historię Rafała, szefa IT w firmie z branży budowlanej, który na własnej skórze odczuł, jak to jest być na […]

Rzadko realizujemy nasze szkolenia poza Warszawą i Krakowem — dlatego zwracamy uwagę na to, że niebawem będziemy we Wrocławiu z naszym bestsellerowym i silnie praktycznym szkoleniem dla adminów, devopsów, secopsów i każdego zainteresowanego testami penetracyjnymi. Szkolenie z Bezpieczeństwa Sieci Komputerowych (testów penetracyjnych) To szkolenie trwa 3 dni i jest realizowane wedle podejścia minimum teorii, maksimum praktyki. […]

W weekend przez Twittera przetoczyła się fala hejtu, bo niektórzy użytkownicy (ci, którzy korzystają z najsłabszej formy 2FA, czyli dwuskładnikowego uwierzytelnienia) zobaczyli taki komunikat: Wiele osób nie do końca poprawnie rozumie, co z tej zmiany wynika. Zanim jednak go wytłumaczmy — jeśli jesteście stałymi Czytelnikami Niebezpiecznika i widzieliście ten komunikat u siebie na koncie, to […]

Pracownik firmy Activision dał się podejść. Atakujący wyłudził od niego drugi składnik uwierzytelnienia — kod wysyłany SMS-em. A potem rozjechał Slacka producenta gier… Screenshoty dokumentujące włamanie, które miało miejsce w grudniu 2022, opublikował vx-underground: Włamywaczowi udało się wejść na firmowego Slacka. Poza publikacją treści w stylu “dotykam dzieci” atakujący wykradł też informacje dotyczące nadchodzącej premiery […]

W weekend przez Twittera przetoczyła się fala hejtu, bo niektórzy użytkownicy (ci, którzy korzystają z najsłabszej formy 2FA, czyli dwuskładnikowego uwierzytelnienia) zobaczyli taki komunikat: Wiele osób nie do końca poprawnie rozumie, co z tej zmiany wynika. Wytłumaczmy więc: 1. Jeśli korzystasz z najsłabszej formy dwuskładnikowego uwierzytelnienia albo będziesz musiał zapłacić Twitterowi, żeby dalej z niej […]