MUXX: Dobrá otázka, já jsem o takovou zprávu ještě nezavadil, což neznamená, že to někdo nezkouší či nezkoušel.

Btw. k tomuto:
Organizovaná skupina zadržena kvůli útokům SIM swap - Root.cz
https://www.root.cz/zpravicky/organizovana-skupina-zadrzena-kvuli-utokum-sim-swap/

SOOM.cz - Sim Swap podvod - podvod na 2fa kody
https://www.soom.cz/hack-forum/59945--Sim-Swap-podvod-podvod-na-2fa-kody

Zdravím komunitu soom cz. Ako by ste zaútočili na operátora sociálnim inžinierstvom a vykonali tak sim swap podvod . (bez toho aby ste mali vnútri partáka) . Myslím že je to zaujímavá téma a mám potvrdené že Slovenský operátori na to nemajú dostatočne vyškolený personal.

ja by som to robil takto

1)podvrhnem email obete- to nieje Žiadny problém ..

2)vykonštruujem logický email o tom že mi zrejme ukradli mobil a potrebujem preniesť simku na iné čislo a email odošlem telekomunikačnej podpore..

3)teraz je možné že nastane procedúra , štandardne sa označuje ako "call back" kde operátor môže zavolať obeti a zistí že niekto chcel podviesť klienta .
4) Preto sa to rieši tak že útočník nečaká na zavolanie ale on zavolá na podporu skôr a predbehne tak support ,podvrhne mobilné číslo klienta a povie niečo v tomto zmysle "Teraz som vám posielal email pred 20min a žiadna odpoveď ! mňe ukradli mobil , majú prístup k mojím smskám a hovorom a vy absolutne nereagujete na moje emaily . blablabla support sa začne ospravedlnovať že email support má väčšiu odozvu ale ponúknu útočníkovi presun sim karty na iné číso, útočník nadiktuje číslo a útok na operátora sa podaril" simka je prevedená a pôvodná zablokovaná .

pri telefonovaní aj emaile treba vytvoriť značný nátlak a uviesť operátora do príbehu o tom ako vám zrejme ukradli mobil ale dúfate že ste ho iba stratili , a tak ďalej , všetko to treba hovoriť urgentným a razantným hlasom aby podpora vedeľa že je to vážne . a podpora vám samozrejme chce pomôcť od toho je , tak tú sim kartu jednoducho prevedie , ludia sú prirodzene zvyknutý dôverovať a bohužial málo kto preveruje skutočnosti. .

Alebo ak ste "blázen" a nebojíte sa kamier a iných stôp ktoré IRL(in real life) zanecháte a chcete vybrakovať internetové bankovníctvo , tak si vytvorte falošnú občianku obete , nakráčajte na pobočku banky pár miest za vaším mestom kde bývate a požiadajte o zmenu čísla na ktoré bude chodiť verifikačné OTP 2FA heslo , opäť pracovníci vám vyhovejú(vo väčšine prípadov) .

Treba si uvedomiť že operátori na Slovensku sú slabo vyškolený(takmer nulovo) a podvody tipu sim swap niesu na Slovensku na dennom poriadku , to znamená väčšinu ľudí ani nenapadne na tej podpore že by to mohol byť jednoducho podvod. to isté v banke , človek by tam čakal vyššiu mieru bezpečnostných procedúr ale v praxi je u nás na Slovensku takmer nulová .

ešte dodám že nieje na škodu si vyprofilovať obeť , to znamená zoberete hocijaký nástroj ktorý pracuje s OSINT dátami napríklad palantir alebo maltego a nájdete o obeti všetko čo viete , napríklad rodné číslo,adresa trvalého bydliska,meno manžela,manželky obete atd , dá sa to použiť jednak v emaile alebo pri reagovaní ako príprava na otázky ktoré môžu byť položené od podpory.ak ste totálny extrémisti a puntičkári tak je dobre vydumpovať email, prehrabať to od A až po Z (A-Z) , a pozbierať informácie ktoré by mohli byť dôležité , aj marginálne informácie sa môžu hodiť pre získanie dôvery.

Upozornenie na záver :
Tento príspevok nemá za úlohu nikomu radiť ako vykonávať hocijaký trestný čin , má slúžiť výhradne na študijné účeli , v žiadnom prípade to nemá nabádať na ostré prevedenie podvodu . Ešte dodám toto čo tú píšem je založené na praxi a je reálne smutné vedieť že na Slovensku a zrejme aj v česku nieje dobre vyškolený personál . Môžte si skúsiť demo stačí sa dohodnúť s kamarátom že sa mu pokúsite previesť simku na iné číslo a ak sa vám to podarí tak pozíva na pivo :)

môžme tu diskutovať o poznatkoch a praktikách čo by ste na podporu použili vy .

ešte posledné čo dodám je to že 2FA sa dajú vylákať aj dynamicky od samotnej obete tak že sa hráte na pracovníka banky alebo inej inštitúcie a akože vy zasielate obeti SMSkod na potvrdenie pod zámienkou toho že uvideli podozrivú aktivitu na účte , a obeť vám kod nadiktuje pod zámienkou autentifikácie klienta. Alebo potom ss7 hijack, či backdoor do androidu či využitie Zeus malwaru (na ukradnutie penazí v bankovom účte obeti) , ale sim swap podvod je technologicky nenáročný a triviálne jednoduchý a efektívny .

někdo si do svýho contact listu přidal všechna možná telefonní čísla celýho světa (601 111 111, 601 111 112, 601 111 113 atd.) a zeptal se Facebooku, jestli na FB nejsou nějaký jeho kámoši
The Facts on News Reports About Facebook Data - About Facebook
https://about.fb.com/news/2021/04/facts-on-news-reports-about-facebook-data/

NAVARA: btw cca rok zpatky mi zablokovali ucet, ze pry unverified login a ze chteji telefonni cislo. Byl zablokovany cca 2-3 tydny, kdy jsem se tam vzdycky jednou za cas zkusil prihlasit z nejakyho zarizeni, ktery by to mohlo znat z drivejska, ale proste nic, "account blocked". Zadny telefonni cislo jsem jim nedal a cca po mesici se ucet sam od sebe zase odblokoval.
Do dneska nevim, jestli to byl glitch nebo natlakovy pokus, aby cislo dostali.

R_U_SIRIOUS: jeste vcera byly data ceskych uzivatelu fb na uloz.to

facebook_leak-2019-CZ.txt | Ulož.to
https://uloz.to/file/guTKLPK8CwVj/facebook-leak-2019-cz-txt

nasel jsem tam pritelkyni a par lidi, ale protoze maji privatni profily, tak jenom jmeno a v jakym jsou zrovna vztahu

„Únik“ dat o více než 500 milionech uživatelů Facebooku: o co ve skutečnosti jde - Lupa.cz
https://www.lupa.cz/clanky/unik-dat-o-vice-nez-500-milionech-uzivatelu-facebooku-o-co-ve-skutecnosti-jde/
(...)
Poučení

Poučení je několik. To první je, že média neověřují informace, nedokáží si dohledat starší informace a ani je správně spojit. Spokojí se s tím, že ocitují jeden zdroj (Business Insider), který se navíc rozhodl celou „kauzu“ maximálně vytěžit a cíleně pokračuje ve zveřejňování dalších a dalších vhodně dávkovaných informací tak, aby to vydrželo co nejdéle.

Druhé poučení je letité a univerzálně platné. Cokoliv nahrajete kamkoliv na internet se stává veřejným a i když máte v moment nahrání pocit či příslib soukromí, je to vždy jenom zdání. Internet rovná se veřejný prostor. Takže pokud například nechcete, aby Facebook (či kdokoliv jiný) poskytl či zpřístupnil vaše telefonní číslo prakticky komukoliv, jedinou obranou je to telefonní číslo Facebooku nedávat.

Třetí poučení je, že pokud nějaká data někde jsou a „uniknou“, zůstanou dostupná jednou provždy a neexistuje způsob, jak je smazat, zrušit či zabránit jejich šíření.

Poslední poučení platí nejenom pro Facebook a je tak trochu učebnicovým příkladem. Neschopnost, nezodpovědnost či čistě zištné účely budou, co se týče ignorování bezpečnosti, ochrany soukromí a kvality naprogramování, vždy převládat. A protože „soukromí“ vašich příspěvků a informací na Facebooku je dáno kvalitou softwaru a jeho funkčností, nikdy nemůžete věřit, že vám je Facebook zaručí.

A ani pokuty v miliardách dolarů na výše zmíněných věcech nic nezmění.

R_U_SIRIOUS: Jen lehce naváže...

Facebooku unikla data o více než půl miliardě uživatelů, v ČR se problém týká 1,3 milionu lidí | Hospodářské noviny (iHNed.cz)
https://tech.ihned.cz/internet/c1-66904790-facebooku-unikla-data-o-vice-nez-pul-miliarde-uzivatelu-v-cr-se-problem-tyka-1-3-milionu-lidi

Co dělat?
Nemá smysl si měnit heslo (hesla ohrožena nebyla). Namísto toho byste měli zbystřit, připravit se na útoky a nepropadat panice. Je velmi pravděpodobné, že v budoucnosti zažijeme vlnu podvodných SMS. Ty se mohou, ale nemusejí tvářit, jako že jsou od Facebooku, a pod různými záminkami se mohou snažit z vás vylámat hesla a další údaje.

Pokud tedy obdržíte textovku se špatnými zprávami (zablokovali jsme vám účet, pro ověření jděte na tuto stránku...) nebo naopak s nepravděpodobně dobrými (vyhráli jste ve facebookové loterii milion dolarů, pro zaslání peněz odpovězte na tuto zprávu...), nereagujte. Určitě nedělejte to, co po vás zpráva chce, ať už je to cokoliv. Běžným a důvěryhodným způsobem (přes webové rozhraní na známé adrese, přes aplikaci, kterou běžně používáte...) se přihlaste k příslušnému webu či službě. Pokud je zpráva pravdivá, v nějaké podobě se vám při přihlášení ukáže. Pokud ne, jedná se o podvod.

a abych jenom nekecal, tak sem rovnou hodim par veci, co mi tu zustaly v backlogu po poslednim InstallFestu


Juice Shop - Insecure Web Application for Training | OWASP
https://owasp.org/www-project-juice-shop
The application contains a vast number of hacking challenges of varying difficulty where the user is supposed to exploit the underlying vulnerabilities. The hacking progress is tracked on a score board.

Web Security Academy: Free Online Training from PortSwigger
https://portswigger.net/web-security
Free, online web security training from the creators of Burp Suite

https://tryhackme.com/
TryHackMe is an online platform that teaches cyber security through short, gamified real-world labs.

Learn to Hack
https://www.hacksplaining.com/
established web site that encourages hacking in order to learn and protect against it.

QWWERTY: Je to trochu širší disciplína, která zahrnuje Network a Endpoint Security :)

CyberSecurity:
Asset Management (ID.AM)
Business Environment (ID.BE)
Governance (ID.GV)
Risk Assessment (ID.RA)
Risk Management Strategy (ID.RM)
Supply Chain Risk Management (ID.SC)
Identity Management, Authentication and Access Control (PR.AC)
Awareness and Training (PR.AT)
Data Security (PR.DS)
Information Protection Processes and Procedures (PR.IP)
Maintenance (PR.MA)
Protective Technology (PR.PT)
Anomalies and Events (DE.AE)
Security Continuous Monitoring (DE.CM)
Detection Processes (DE.DP)
Response Planning (RS.RP)
Communications (RS.CO)
Analysis (RS.AN)
Mitigation (RS.MI)
Improvements (RS.IM)
Recovery Planning (RC.RP)
Improvements (RC.IM)
Communications (RC.CO)

QWWERTY: V pohodě, ber to jako spřízněný související klub. Tady by to mělo být k dispozici pro široké publikum, ne tak specializované na téma správy sítí. Snažil bych se zachytit a pokrýt vztah člověk-ict.. Ok?

[Network and host security - firewally, exploity, bugy, vulnerability, incidenty a vse o pocitacove bezpecnosti] ?