Как индустрия, которая обещала людям свободу, истощает нашу психику.

Прибыль поставщиков микросхем взлетит вслед за новым прайс-листом.

Родители даже не подозревают, что игрушка способна открыть ребёнку мир взрослых и опасных желаний.

История механизма, о котором никто не знал.

Заброшенное облако стоило дорого. Но они приняли умное решение.

Машины уже способны штурмовать инфраструктуру на уровне полноценных APT-группировок. Что дальше?

Компьютерные алгоритмы оказались точнее врачебной интуиции.

Компания удалила всего один файл и «убила» миллионы пиратских установок.

Платформа настаивает, что австралийский закон не распространяется на её сервис.

Из комнаты в общежитии — в миллиарды инвестиций.

Внутренняя конфигурация, которую считали закрытой, перестала быть тайной.

Сообщество спорит, не слишком ли рано делать новый стандарт языком «по умолчанию» для миллионов проектов.

Прощайте, дорогие токены. Здравствуй, "no reasoning".

Зачем нужна стратегия в информационной безопасности?

Алексей Воронцов считает, что стратегия ИБ — это лучший способ показать руководству, чем на самом деле занимается информационная безопасность.

Евгений Баклушин уверен, что стратегия ИБ — это часть общей стратегии компании.

Елизавета Комарова добавила, что стратегия помогает увидеть всю систему защиты целиком, чтобы не перекачивать ресурсы в одну область, забывая о других.

В идеале стратегию должен подтвердить комитет ИБ, в который входит владелец компании, отделы HR, ИТ, а утверждает в письменном виде владелец бизнеса.

Например, SLA может требовать реагирования на критический инцидент в течение 5 минут с момента поступления алерта в SOC, на менее критичный – в течение 15 минут.

Например, SLA может требовать реагирования на критический инцидент в течение 5 минут с момента поступления алерта в SOC, на менее критичный – в течение 15 минут.

Если SOC — сервисный центр для внешних клиентов, или если внутренние политики требуют уведомлять руководство, то также задаются сроки.

Если SOC — сервисный центр для внешних клиентов, или если внутренние политики требуют уведомлять руководство, то также задаются сроки.

Мы выяснили, что SOC может отлавливать как тихие фазы длительных проникновений, так и быстрые удары по вн…

CI/CD‑конвейеры и DevOps‑среды — сердце процессов разработки и развёртывания ПО.

Типовые векторы атакПрактика показывает, что атаки на CI/CD-конвейеры и DevOps-среды происходят регулярно и могут иметь серьёзные последствия.

Атаки на этом этапе опасны тем, что они напрямую воздействуют на конечные системы и данные, обходя этапы контроля качества и тестирования, и могут приводить к нарушению конфиденциальности, целостности и доступности сервисов.

Методы эксплуатации и закрепления в инфраструктуреАтакующие, получившие первоначальный доступ к элементу DevOps‑среды, применяют методы быстрой и скрытой интеграции в процесс сборки и доставки.

Чек-лист для ИБ по защите от атак на CI/CD-конвейеры и D…

Динамика киберинцидентов в отношении АСУ ТП в мире в 2017–2024 гг.

Так, ранее мы выпускали обзор рынка накладных средств защиты АСУ ТП, проводили эфир по встроенным средствам кибербезопасности АСУ ТП, рассматривали ошибки руководителей служб ИБ в вопросах защиты АСУ ТП и практику обеспечения киберустойчивости в нефтегазовой отрасли.

Распределение рынка средств защиты АСУ ТП по регионам (источник: precedenceresearch.com)При этом крупнейшим регионом продаж является Северная Америка, в то время как самым быстрорастущим — Азиатско-Тихоокеанский регион.

Рост рынка средств защиты АСУ ТП по регионам (источник: precedenceresearch.com)Необходимо отметить что за рубежом развиты услуги по защите промы…

Ситуация подогревалась тем, что Yutong – это крупный китайский автопроизводитель: на его долю приходится 10 % мирового рынка поставок электробусов.

Электробусы Yutong в РоссииАвтобусы Yutong активно используются в России: продажи ведутся через официальных дилеров, налажена техническая поддержка.

Продажа автобусов Yutong в РоссииВысокая популярность этого транспорта в нашей стране объясняется в том числе демократичными ценами.

Также по запросу «автобусы Yutong в России» в поисковике выходят сотни фотографий.

Снимки из поисковой выдачи с автобусами Yutong в РоссииИзвестно, что Москва активно закупает в последнее время электробусы для общественного транспорта.

Этот шаг вызывает много вопросов: какие ОС есть на рынке, как выбрать подходящий вариант, как перейти на новую систему без потерь?

Эксперты отрасли рассказали, какие российские операционные системы сегодня существуют на рынке, как выбрать подходящую для ваших задач и главное — как провести миграцию максимально гладко, безболезненно для сотрудников и бизнес-процессов.

На рынке есть 3 лидера, однако на этом он не заканчивается, есть компании поменьше.

Денис Солоничкин: «Будут расширяться экосистемы вендоров — как собственных, так и в рамках технологических партнёрств.

Как показало обсуждение, современные отечественные ОС — это зрелые продукты с развитой экосистемой, способные обеспечить стаби…

Более детально рекомендации по оценке провайдеров собраны в статье «Как выбрать надёжного облачного провайдера в России в 2025 году».

По прогнозам аналитиков, уже к 2025 году более 70% совокупного бюджета на ИТ-инфраструктуру будет направлено на облачные сервисы.

Облачные платформы компании позволяют разрабатывать, развёртывать и масштабировать приложения и сервисы.

Предоставляет инфраструктуру и сервисы для создания, развёртывания и масштабирования приложений.

Она включает более 200 ИИ- и облачных сервисов, доступных на периферии, в дата-центре клиента, в нескольких облаках или в общедоступном облаке.

Киберпреступники действуют всё изощрённее, но криптоаналитики идут по их цифровым следам.

Как распознать симптомы криптоатаки до массовых ликвидацийСовременные криптоатаки редко происходят внезапно — им предшествуют обнаруживаемые аномалии в работе протоколов.

Без быстрого юридического запроса к централизованным биржам на предоставление KYC и без правовой помощи по юрисдикциям расследование может застопориться на техническом этапе.

Как выстроить эффективную систему расследования криптоинцидентовРасследование требует системного подхода, где технический анализ, оперативная реакция и правовая регламентация действуют как единое целое.

В отличие от традиционных финансов, где участники встроены в…

Знать не только, как настроить фаервол, но и почему его настройка сэкономит бизнесу миллионы.

Небольшая студия предложит скромный оклад, крупный вендор — выше, но с более строгим отбором.

Прогноз по российскому рынку ИБ в миллиардах рублейНе так давно мы делали детальный разбор топ-3 позиций в кибербезопасности с перспективами роста и требованиями.

Кадровый дефицит в ИБ: как нехватка специалистов влияет на рынокВысокие зарплаты и тысячи открытых вакансий в ИБ существуют на фоне острого кадрового дефицита.

Спрос превышает предложение как на разработчиков средств защиты, так и на практиков, которые могут эффективно эти средства применять — от реагирования на инциденты до предотвращения атак.

В таких условиях на первый план выходит выстраивание политики безопасности для организации удалённого доступа в компании.

Проблема организации безопасного удалённого доступа в текущих реалиях обсуждалась в эфире AM Live.

При этом использовать стандартную связку «логин + пароль» для удалённого доступа небезопасно: известно множество случаев компрометации корпоративной инфраструктуры через учётные записи удалённых пользователей.

Применение программы АССИСТЕНТ для организации и контроля удалённого доступаДо 2022 года наиболее распространённым ПО для обеспечения удалённого доступа в России была зарубежная программа TeamViewer.

Исследование рынка ПО для удалённого доступа (источник: pro32.com)В …

Архитектура MFA: принципы работы и уязвимые точкиМногофакторная аутентификация (MFA) строится вокруг идеи, что один признак недостаточен для надёжной проверки личности.

Рост атак на MFA: факторы и тенденцииMFA распространяется повсеместно, и это само по себе породило новый интерес злоумышленников.

Компания отметила, что фишинговая страница собирала пароли и токены, и что использование FIDO2‑ключей могло бы предотвратить атаку.

Массовое распространение MFA привело к тому, что злоумышленники сосредоточились на использовании «человеческих» слабостей, а не на взломе криптографии.

Поэтому одних паролей и СМС‑кодов для безопасности недостаточно: нужны фишинг‑устойчивые факторы, такие как FIDO2‑кл…

На практике же выясняется: рекламные цифры достигнуты в идеальных условиях лаборатории и не всегда совпадают с реальностью боевых сетей.

В этой статье мы разберём популярные мифы о NGFW и то, как обстоят дела в реальных проектах.

Например, антивирус на NGFW проверяет поток на лету и не умеет пересканировать файлы после обновления сигнатур.

Вывод: планируя закупку здесь и сейчас, следует ориентироваться на фактически доступные возможности устройства, а не на обещания из презентаций.

Или в качестве ловушек, например, отслеживать, кто подключается к известным серверам удалённого доступа, таким как Anydesk или ngrok.

Если несколько лет назад главным был вопрос «чем заменить?», то сегодня он трансформировался в «что выбрать для будущего?».

Константин Рябкин, руководитель направления серверных решений, директор департамента пресейла и контроля поставок «‎Инфосистемы Джет»Михаил Косцов поясняет, что в коммерческом секторе компании свободны в выборе оборудования в отличие от госсектора.

На сайтах вендоров выкладывается информация, что и как тестировалось, производители ПО и оборудования публикуют сертификаты.

Провели тестирование, и в течение 1–1,5 месяцев для заказчика было готово решение, которое до сих пор у него работает.

ВыводыРоссийский рынок серверов и ПАКов перестал быть полем для вынужденной замены…

Применение UserGate NGFW для контроля периметраВ этой архитектуре UserGate NGFW обеспечивает многоуровневую фильтрацию.

Применение UserGate NGFW для глубокого анализа веб-трафикаЗдесь UserGate NGFW работает в режиме пассивного мониторинга.

Применение UserGate NGFW в защищённых сетевых сегментахВнутри корпоративной сети создаётся особый, строго охраняемый сегмент — своего рода «чистая зона».

При выходе в интернет трафик попадал на L3-шлюз NGFW от Palo Alto, оттуда — на коммутатор (UserGate), затем обратно на NGFW, после чего уходил наружу.

Более того, теперь мы создали инструмент для автоматической переноски конфигураций как со старых версий UserGate NGFW, так и с продуктов других вендоров.

Но о дополнительном аудите технологий поддержки цифрового рубля со стороны ИБ-сообщества представитель ФСБ не упоминал.

Другие формы применения цифрового рубляВнедрение цифрового рубля не ограничится только розничным рынком.

Например, Анатолий Аксаков рассказал о своём участии в обсуждении результатов уже запущенного пилотного внедрения цифрового рубля в цепочку финансирования госпроектов в Чувашской республике.

Достаточно ли проверки безопасности цифрового рубля в таком объёме?

Так нужен ли аудит для цифрового рубля или и так всё хорошо?

readelf -a firmware.elf | grep OBJECT | grep GLOBAL | grep "DEFAULT 1" C:\projects\debug\source\projectsda\build>readelf -a nda.elf | grep OBJECT | grep GLOBAL | grep "DEFAULT 1" 6502: 010747f8 40 OBJECT GLOBAL DEFAULT 1 __mprec_tinytens 6687: 01072268 240 OBJECT GLOBAL DEFAULT 1 CanConfig 6725: 01072178 16 OBJECT GLOBAL DEFAULT 1 SysTickConfig 6750: 0106e6e4 8 OBJECT GLOBAL DEFAULT 1 ClockInfo 6836: 01072f68 60 OBJECT GLOBAL DEFAULT 1 CliConfig 6849: 010712c8 336 OBJECT GLOBAL DEFAULT 1 ClockReg 6931: 01072188 16 OBJECT GLOBAL DEFAULT 1 SuperCycleConfig 6976: 0106f88c 512 OBJECT GLOBAL DEFAULT 1 crc16LookUpTable 6997: 01073810 608 OBJECT GLOBAL DEFAULT 1 GpioConfig 7021: 01071c28 120 OBJEC…

Тогда как на самом деле:Эту теорему доказали (с условиями и ограничениями) итальянские ученые Бём и Якопини , а Дейкстра лишь ссылался на неё.

Мне пытались доказать свою позицию, аргументируя её теоретическими выкладками на основе рассуждений о гипотетической машине Тьюринга, не понимая при этом некоторых её особенностей и ограничений.

Невозможно создать программу, которая проанализирует любую другую программу и её входные данные и скажет, завершится ли эта программа когда-нибудь (остановится) или будет работать вечно (зациклится).

Кстати, скорее всего, это и подтверждают слова Э. Дейкстры: «Тестирование выявляет только наличие, но никак не отсутствие ошибок».

Конечно, все это не умаляет зн…

katana -u sub.target.com -d 5Затем я решил воспользоваться инструментом WaybackURLs, чтобы найти что-нибудь интересное о данном субдомене.

Инструменты и расширенияИзучив исходный код, я обнаружил множество JavaScript файлов, среди которых выделялся один под названием main.0b3342223.js.

Недавно мой друг рассказал мне о расширении FindSomething, и я полностью согласен, что это действительно потрясающая вещь.

Вот самая базовая команда JSA:python3 jsa https://sub.target.com/javascript.jsОбнаружение конечных точекС помощью JSA, я получил множество конечных точек из JavaScript файла.

echo "https://sub.target.com/main.0b379723.js" | python3 jsaВ моём терминале появилось большое количество URL-адре…

Что такое v380 и почему это важноv380 — это бренд популярных китайских IP-камер и экосистема вокруг них.

Мобильное приложение v380 (v380 Pro) доступно в App Store и Google Play с миллионами загрузок.

Проблема 2: Relay-сервер не валидирует запросыRelay-серверы v380 не проверяют легитимность клиентов.

Комбинация предсказуемых ID и публичного checker-сервера превращает всю систему в open database всех камер v380 в мире.

Анализировал трафик разных брендов в Wireshark и был шокирован, увидев plaintext credentials в пакетах v380.

В мире OSINT-расследований одна из самых сложных задач — работа с анонимными каналами в Telegram, форумами и закрытыми социальными сообществами.

В этой статье мы разберем, как современные ИИ-модели превращают бессвязный поток сообщений в структурированный психолингвистический портрет, помогая вывести анонимов на чистую воду.

Попробуем сделать это на примере Telegram-канала «Безопасность данных - просто о сложном» бывшего директора департамента по кибербезопасности IBS Олега Владимировича Босенко.

Генеративные нейросети — это не фантастика, а уже работающий инструмент, который кардинально меняет ландшафт OSINT-расследований.

Грамотно используя эти технологии и понимая их ограничения, эксперт…

Искусственный интеллект (ИИ) меняет мир быстрее, чем мы успеваем к этому привыкнуть — от генерации картин и текстов до управления машинами и защитных систем.

Теперь он добрался и до киберпространства, где стал оружием и для специалистов по безопасности, и для хакеров.

Большие языковые модели вроде GPT и Llama превратили ИИ в универсальный инструмент: он помогает атаковать и защищаться, меняя сами правила цифровой войны.

ИИ в руках злоумышленников: атаки нового уровняХакеры используют ИИ как многофункциональный инструмент, который делает атаки более изощренными, массовыми и скрытыми.

В условиях экспоненциального роста угроз — от 300 миллионов атак в 2023 году до прогнозируемых 500 млн в 2025…

И в этой статье разберемся, какую роль QA может играть в обеспечении безопасности IT-продукта.

Поэтому для QA особенно важно знать основные типы уязвимостей и уметь «переключать мышление», чтобы взглянуть на систему с другой стороны.

Подобные проверки легко встраиваются в пользовательские сценарии и не требуют глубокого технического погружения, но могут найти критичные дефекты.

Раскрытие внутреннего устройства приложения может происходить в ответах сервера: в заголовках, текстах ошибок или даже в теле ответа.

Более подробно изучить уязвимости и попрактиковаться в их поиске можно на Web Security AcademyЗаключениеВнедрение практик в тестирование безопасности в работу QA — это важное стратегич…

Безопасность стала необходимостью, архитектура Docker с его привилегированным демоном похож на пережиток прошлого.

Podman предлагает иной подход: контейнеры без root, где каждый процесс запускается от имени обычного пользователя.

Давайте разберемся, что скрывается за rootless Podman :)Зачем нужны rootless-контейнеры?

Глубокая настройка subuid/subgidПроблемы и решения:Автоматическая настройка через podman system migrateРучная настройка для системных пользователейКонфликты диапазонов между пользователямиПроверка конфигурации:$ podman unshare cat /proc/self/uid_map 0 1000 1 1 100000 65536⠀⠀⠀3.

Драйверы хранилища : vfs , overlay , fuse-overlayfsНастройка в /etc/containers/storage.conf :[storage…

Сборник содержит подробные рекомендации по устранению уязвимостей и описания проверок для их поиска — это делает его полезным как для инженеров, обеспечивающих безопасность банкоматов, так и для специалистов по анализу защищенности.

Для проведения атаки необходимо иметь доступ к сервисной зоне банкомата, в которой располагается подключение диспенсера к системному блоку (далее — ПК).

Другие уязвимости в ПО диспенсера (PT‑ATM-206)Одной из распространенных проблем, связанных с прошивкой диспенсера, является небезопасный механизм доставки и проверки подлинности обновлений.

Первым очевидным недостатком этого способа является возможность запустить стороннее ПО, не входящее в черный список, в том …

Для создания защищенного канала мы будем использовать один узел безопасности (далее — УБ) с центром управления сетью (далее — ЦУС) и простой УБ.

Для этого возвращаемся в меню «Сертификаты» и переходим по пути: Сервисные сертификаты → Выпуск сертификата управления для ЦУС.

Создание УБ в Менеджере конфигурацииТеперь необходимо создать УБ в МК.

В появившемся окне в поле «Идентификатор» указываем идентификатор аппаратной платформы УБ, название, а в выпадающем списке — аппаратную платформу.

Теперь правой кнопкой мыши выбираем созданный УБ и в открывшемся списке выбираем «Экспортировать конфигурацию узла…».

Нападавшие использовали «агентные» возможности ИИ в беспрецедентном объёме — задействовав ИИ не просто как советчика, а как исполнителя самих кибератак.

Мы и дальше будем регулярно публиковать подобные отчёты и открыто рассказывать об угрозах, которые выявляем.

Общий уровень возможностей моделей вырос до того, что они способны понимать сложные инструкции и контекст, выполняя крайне высокоуровневые задачи.

Ответ в том, что те же способности, которые позволяют использовать Claude в атаках, делают его критически важным для защиты.

Мы рекомендуем командам безопасности экспериментировать с применением ИИ для обороны — в таких областях, как автоматизация SOC, обнаружение угроз, оценка уязвимостей…

Меня зовут Андрей Иблеминов, я инженер группы управления уязвимостями в Ozon, в сфере информационной безопасности работаю более 5 лет.

В данной статье я поделюсь своим личным опытом (и опытом моей команды) решения задач, связанных со своевременным обнаружением и устранением уязвимостей в ИТ-инфраструктуре Ozon.

Мы используем network-based-сканирование, которое, в отличие от agent-based-подхода, может создавать дополнительную нагрузку как на сканируемые сервера, так и на сеть.

Проект RISK предоставляет широкий набор полезных механизмов как для исполнителя, так и для ответственного за риск со стороны ИБ.

Об открытом риск-тикете приходят напоминания исполнителю, и в то же время напоминания об …

В этом насыщенном октябре команда Selectel добавила новый пул S3 в регионе СПб, интегрировала Karpenter с Managed Kubernetes, реализовала аттестованные ВМ под ключ и успела выполнить множество других важных задач.

В этом насыщенном октябре команда Selectel добавила новый пул S3 в регионе СПб, интегрировала Karpenter с Managed Kubernetes, реализовала аттестованные ВМ под ключ и успела выполнить множество других важных задач.

А еще мы провели флагманскую конференцию Selectel Tech Day и рассказали, как управлять IT-инфраструктурой в 2026 году.

«Новый пул в регионе СПб — это часть стратегии по развитию мультирегиональной архитектуры S3 в Selectel.

Дмитрий Исаев, менеджер продукта Managed Kubern…

Продуктивность лидера в эпоху ИИМоя личная продуктивность — это не только планирование задач на день, неделю, год.

Почему не ChatGPT: границы общих моделейСкажу прямо: ChatGPT — это отличный инструмент для старта, мозгового штурма или для черновика поста в соцсетях.

Мы используем такие фреймворки, как LlamaIndex для построения базы знаний, а для юридических документов — специализированные решения вроде CoCounsel Legal или Danswer.

Генеративный ИИ не заменит руководителя, но тот, кто научится работать с ним глубже, чем просто «написать текст», получит тактическое преимущество.

Задавай стандарт для всей команды, показывай на своем примере, что AI — это не игрушка, а инструмент личной и корпор…

Злоумышленники направляют письма под видом инструкций по действиям при минной угрозе и требования предоставить отчетность по противодействию информационным атакам.

11.11.2025 системой F6 MXDR была заблокирована вредоносная рассылка, целями которой стали минимум следующие организации:· коллекторское агентство;· финансовое учреждение;· страховая компания.

При открытии вложения пользователю, как и в предыдущей рассылке, отображается кнопка для корректного отображения через «КриптоПро».

]com, с которого на начальных этапах на машину жертвы загружается архив, был зарегистрирован 24 сентября 2025 года.

Успешная защита требует комплексного, многослойного подхода, сочетающего технические средства, …

Праздники уже близко, так что вот еще пара идей для подарков в копилку — наш мерч станет отличным подарком для друзей и коллег из комьюнити, а еще им можно порадовать самого себя.

В коллекции «Хакера» тебя ждут 15 уникальных дизайнов футболок и четыре модели бейсболокФутболки «Хакера»От зашифрованных в коде посланий до стильного минимализма и киберпанка — каждый принт создан с учетом пожеланий нашего комьюнити.

В футболках «Хакера» можно ходить на стендапы, кататься по городу, прокрастинировать дома между задачами и зимой носить под худи.

Бейсболки «Хакера»При рефакторинге гардероба не стоит забывать про голову, и сейчас у тебя есть отличная возможность собрать комплект.

Бейсболки «Хакера» …

В Госдуму внесли законопроект, который предусматривает административную ответственность и штрафы в размере до 700 000 рублей для владельцев российских сайтов, которые игнорируют требования об авторизации пользователей только через российские сервисы.

Документ появился в электронной базе, и его подала группа депутатов во главе с первым зампредом комитета по информполитике Антоном Горелкиным.

Он добавлял, что «по электронной почте авторизацию проводить можно, но это должна быть российская почта».

Представленный 14 ноября 2025 года законопроект вводит штрафы за нарушение вышеописанных правил:для граждан — от 10 000 до 20 000 рублей;для должностных лиц — от 30 000 до 50 000 рублей;для юридическ…

В сканере ImunifyAV для Linux-серверов, который используют десятки миллионов сайтов, обнаружили уязвимость удаленного выполнения кода.

Владельцы сайтов редко взаимодействуют с ImunifyAV напрямую, но согласно официальной статистике от октября 2024 года, это решение защищает более 56 млн сайтов, а Imunify360 насчитывает свыше 645 000 установок.

Этот компонент присутствует в составе Imunify360, платной версии ImunifyAV+ и бесплатной ImunifyAV.

В Patchstack подчеркивают, что для эксплуатации уязвимости Imunify360 AV должен выполнять активную деобфускацию на этапе анализа.

Однако интеграция сканера в Imunify360 принудительно включает режим always on для фоновых сканирований, сканирований по запр…

Китайские хакеры применяли ИИ-инструмент Claude Code для атак на 30 крупных компаний и правительственных организаций.

Сообщается, что хакеры использовали Claude Code и Model Context Protocol (MCP) для проведения атак без участия человека.

«Хотя мы предсказывали, что в будущем эти возможности будут развиваться, нас поразило, как быстро это произошло и в каком масштабе», — пишут теперь специалисты Anthropic.

При этом новый отчет гласит, что Claude галлюцинировал во время атак, преувеличивал и подделывал результаты во время автономной работы.

В Anthropic утверждают, что подобные ошибки являются «препятствием для реализации полностью автономных кибератак».

В этой статье пос­мотрим и испы­таем на реаль­ных задачах биб­лиоте­ку Ultra App Kit.

Побоч­ным про­дук­том его раз­работ­ки ста­ла биб­лиоте­ка визу­аль­ных ком­понен­тов Ultra App Kit, исполь­зуемая в самом движ­ке для пос­тро­ения поль­зователь­ско­го интерфей­са.

Сна­чала биб­лиоте­ка сто­ила денег, но теперь игро­вую сос­тавля­ющую про­дали, а Ultra App Kit сде­лали бес­плат­ной.

Создаем приложение на Ultra App KitПос­ле запус­ка уста­нов­ленной прог­раммы на экра­не появит­ся окно лаун­чера.

y - 40 , ui -> root ) ; // Добавить первый элемент и сделать его активным listbox -> AddItem ( "Item 1" , true ) ; // Добавить остальные пять элементов listbox -> AddItem ( "Item 2" ) ; listbox ->…

В npm обнаружили еще одного самораспространяющегося червя IndonesianFoods, который каждые семь секунд порождает новые пакеты.

По данным специалистов Sonatype, малварь уже создала более 100 000 пакетов, и их количество продолжает расти.

После активации скрипт работает в бесконечном цикле: удаляет "private": true из package.json, генерирует случайное имя из словаря, создает случайный номер версии (чтобы обойти обнаружение дубликатов в npm) и публикует новый пакет через npm publish.

Интересно, что, по данным Endor Labs, эта спам-кампания началась еще два года назад: в 2023 году злоумышленники добавили в npm 43 000 пакетов, в 2024 году внедрили в них монетизацию посредством TEA, а в 2025 году д…

Правоохранительные органы из девяти стран (Австралии, Канады, Дании, Франции, Германии, Греции, Литвы, Нидерландов и США) отключили свыше 1000 серверов, использовавшихся инфостилером Rhadamanthys, трояном VenomRAT и ботнетом Elysium.

Теперь ведомство рекомендует пользователям проверить свои устройства на заражение через специальную страницу politie.nl/checkyourhack и на сайте haveibeenpwned.com.

«Мы отслеживали в среднем 300 активных серверов ежедневно, пик пришелся на октябрь 2025 года, когда было обнаружено 535 серверов.

США, Германия, Великобритания и Нидерланды размещали более 60% всех управляющих серверов Rhadamanthys, — заявляют в Lumen.

Это объясняет недавний всплеск заражений в октя…

Исследователи обнаружили, что цифровые фоторамки Uhale, работающие под управлением Android, имеют множество критических уязвимостей, а некоторые модели и вовсе скачивают и запускают вредоносное ПО прямо во время загрузки.

Исследователи из ИБ-компании Quokka, специализирующейся на мобильной безопасности, изучили безопасность приложения Uhale и обнаружили активность, связанную с двумя семействами малвари — Mezmess и Vo1d.

Так, при загрузке устройства проверяют наличие обновления приложения Uhale, устанавливают обновление до версии 4.2.0 и перезагружаются.

Скачанный JAR/DEX-файл сохраняется в директории приложения Uhale, загружается и выполняется при каждой последующей загрузке системы.

О связ…

Эксперты Amazon Threat Intelligence обнаружили атаки с использованием двух критических 0-day — CVE-2025-5777 (Citrix Bleed 2) в NetScaler ADC/Gateway и CVE-2025-20337 в Cisco Identity Service Engine (ISE).

В ходе дальнейшего расследования команда наткнулась на необычный пейлоад, который эксплуатировал ранее недокументированный эндпоинт в Cisco ISE через уязвимую логику десериализации.

В свою очередь, CVE-2025-20337 в Cisco ISE была раскрыта в июле 2025 года.

Однако теперь исследователи Amazon утверждают, что обе уязвимости использовались в APT-атаках еще до публикации бюллетеней безопасности Cisco и Citrix.

Специалисты считают, что использование множественных 0-day, глубокое знание архитект…

Среди них был баг нулевого дня CVE-2025-62215 в ядре Windows, который уже используется хакерами в реальных атаках.

0-day-уязвимость CVE-2025-62215 (7,0 балла по шкале CVSS) представляла собой классическую проблему race condition (состояние гонки) в ядре Windows, которая позволяла локально повысить привилегии.

Также в этом месяце Microsoft закрыла два серьезных бага переполнения буфера хипа: CVE-2025-60724 (9,8 балла по шкале CVSS) в графическом компоненте и CVE-2025-62220 (8,8 балла по шкале CVSS) в Windows Subsystem for Linux GUI.

Кроме того, отдельного внимания заслуживает проблема CVE-2025-60704 (7,5 балла по шкале CVSS), связанная с повышением привилегий в Windows Kerberos, получившая к…

Поэто­му, не най­дя ничего похоже­го в откры­том дос­тупе, мы решили соз­дать собс­твен­ный ана­лог BloodHound для FreeIPA.

При­чина оче­вид­на — во мно­гих ком­пани­ях вмес­те работа­ют домены FreeIPA и Active Directory.

И как бонус для тес­тирова­ния инс­тру­мен­та — скрипт BadIPA для напол­нения тес­тового домена объ­екта­ми и вза­имос­вязями.

Разработка BloodyIPAИтак, для сбо­ра дан­ных с кон­трол­лера домена FreeIPA мы раз­работа­ли инс­тру­мент BloodyIPA.

Они нуж­ны для сбо­ра дан­ных по про­токо­лам HTTP и LDAP соот­ветс­твен­но.

Исследователи из компании Veracode обнаружили вредоносный npm-пакет @acitons/artifact, который маскировался под легитимный @actions/artifact и был нацелен на репозитории самого GitHub.

При этом дальнейшее расследование показало, что малварь была нацелена исключительно на репозитории организации GitHub, что свидетельствовало о таргетированной атаке.

Скрипт проверял GITHUB_REPOSITORY_OWNER и завершался, если это был не GitHub.

Как сообщили СМИ представители GitHub, обнаруженные пакеты были частью «строго контролируемых учений», которые проводила внутренняя Red Team компании.

Тот факт, что «учебная» малварь GitHub попала в публичный доступ на npm и в итоге набрала почти 50 000 загрузок, подним…

Компания Google инициировала судебный процесс против PhaaS-платформы Lighthouse (phishing-as-a-service, «фишинг как услуга»), которую киберпреступники по всему миру используют для кражи данных банковских карт.

По оценкам специалистов Google, от деятельности Lighthouse пострадало более миллиона человек в 120 странах мира.

«Они незаконно эксплуатируют репутацию Google и других брендов, размещая наши товарные знаки на мошеннических ресурсах», — заявляют в компании.

Ранее специалисты Cisco Talos связывали Lighthouse с китайским злоумышленником, известным под ником Wang Duo Yu.

В свою очередь, специалисты компании Netcraft отмечали, что Lighthouse — чисто коммерческий проект, подписка на который…

Rhadamanthys работает по подписке, то есть хакеры платят разработчикам за доступ к самой малвари и веб-панели для сбора украденных данных, а также за техподдержку.

ИБ-исследователи g0njxa и Gi7w0rm сообщили изданию Bleeping Computer, что в последние дни многие клиенты стилера взволнованы и подозревают, что данные об их операциях могли попасть в руки правоохранительных органов.

На хакерском форуме операторы Rhadamanthys сообщают, что SSH-доступ к панелям стилера изменился, и теперь вместо привычного root-пароля система требует сертификат.

«Если пароль не работает и метод входа изменен на режим по сертификату, проверьте и немедленно переустановите сервер, сотрите следы — работает немецкая пол…

Среди докладов — множество эксклюзивных и интересных исследований: от уязвимостей в автомобильных ЭБУ до атак на VS Code Marketplace.

Distroless образы — это компактно, безопасно и быстро, но не всегда, не везде и не для всех.

В докладе будут разобраны преимущества и недостатки перехода на Distroless, а также даны практические рекомендации по внедрению и анализу безопасности.

И в какой-то момент кажется, что они зашли в своем стремлении настолько далеко, что порой буквально используют те же техники и инструменты, что и пентестеры и реверс-инженеры при анализе сайтов и программ.

В рамках этого выступления ИБ-инженер и лидер российского спидран-сообщества объединились, чтобы вместе рассмотрет…

Travis, then an active-duty member of the U.S. Army, received at least $51,397 for his role in the fraudulent scheme.

"Didenko ran a website using a U.S.-based domain, 'Upworksell.com,' designed to help overseas IT workers buy or rent stolen or borrowed identities," the DoJ said.

"Beginning in 2021, the IT workers used the identities to get hired on online freelance work platforms based in California and Pennsylvania."

The scheme netted more than $943,069 in salary payments, most of which were funneled back to the IT workers overseas.

For several years, North Korea has successfully infiltrated hundreds of Western companies and elsewhere, posing as remote IT workers to draw steady salaries a…

The North Korean threat actors behind the Contagious Interview campaign have once again tweaked their tactics by using JSON storage services to stage malicious payloads.

"The threat actors have recently resorted to utilizing JSON storage services like JSON Keeper, JSONsilo, and npoint.io to host and deliver malware from trojanized code projects, with the lure," NVISO researchers Bart Parys, Stef Collart, and Efstratios Lontzetidis said in a Thursday report.

The payload is a JavaScript malware known as BeaverTail, which is capable of harvesting sensitive data and dropping a Python backdoor called InvisibleFerret.

It's worth noting that use of TsunamiKit as part of the Contagious Interview ca…

Cybersecurity researchers have uncovered critical remote code execution vulnerabilities impacting major artificial intelligence (AI) inference engines, including those from Meta, Nvidia, Microsoft, and open-source PyTorch projects such as vLLM and SGLang.

Specifically, it involved the use of ZeroMQ's recv_pyobj() method to deserialize incoming data using Python's pickle module.

Oligo has since discovered the same pattern recurring in other inference frameworks, such as NVIDIA TensorRT-LLM, Microsoft Sarathi-Serve, Modular Max Server, vLLM, and SGLang.

For example, the vulnerable file in SGLang says it's adapted by vLLM, while Modular Max Server has borrowed the same logic from both vLLM and…

The activity, detected in early September 2025 and assessed to be ongoing, has been codenamed SpearSpecter by the Israel National Digital Agency (INDA).

What's notable about the effort is that it also extends to the targets' family members, creating a broader attack surface that exerts more pressure on the primary targets.

Goldman told The Hacker News that SpearSpecter and the June 2025 campaign are distinct and have been undertaken by two different sub-groups within APT42.

INDA said SpearSpecter is flexible in that the adversary tweaks its approach based on the value of the target and operational objectives.

"The SpearSpecter campaign's infrastructure reflects a sophisticated blend of agil…

In Q3 2025, Check Point Research recorded a record 85 active ransomware and extortion groups, the highest ever observed.

Read the full Q3 2025 Ransomware ReportA Record 85 Active GroupsAcross more than 85 monitored leak sites, ransomware operators published:1,592 new victims in Q3 2025.in Q3 2025.

Share of total victims by top 10 ransomware groups, Q1–Q3 2025Read the full Q3 2025 Ransomware Report.

LockBit's Return and Re-centralizationIn September 2025, LockBit 5.0 marked the return of one of cybercrime's most enduring brands.

Read the full Q3 2025 Ransomware ReportOn the industrial side:Manufacturing and business services each represented about 10 percent of recorded cases.

State-sponsored threat actors from China used artificial intelligence (AI) technology developed by Anthropic to orchestrate automated cyber attacks as part of a "highly sophisticated espionage campaign" in mid-September 2025.

"The attackers used AI's 'agentic' capabilities to an unprecedented degree – using AI not just as an advisor, but to execute the cyber attacks themselves," the AI upstart said.

The activity is assessed to have manipulated Claude Code, Anthropic's AI coding tool, to attempt to break into about 30 global targets spanning large tech companies, financial institutions, chemical manufacturing companies, and government agencies.

The campaign, GTG-1002, marks the first time a …

Cybersecurity researchers are sounding the alert about an authentication bypass vulnerability in Fortinet Fortiweb WAF that could allow an attacker to take over admin accounts and completely compromise a device.

The cybersecurity company said it was able to successfully reproduce the vulnerability and create a working proof-of-concept (Poc).

As of writing, Fortinet has not assigned a CVE identifier or published an advisory on its PSIRT feed.

The Hacker News has reached out to Fortinet for comment, and we will update the story if we hear back.

"That said, given the indiscriminate exploitation observed [...], appliances that remain unpatched are likely already compromised."

A Russian-speaking threat behind an ongoing, mass phishing campaign has registered more than 4,300 domain names since the start of the year.

The activity, per Netcraft security researcher Andrew Brandt, is designed to target customers of the hospitality industry, specifically hotel guests who may have travel reservations with spam emails.

Should they take the bait, the victims are taken to a fake site instead after initiating a chain of redirects.

The page then instructs the victim to pay a deposit for their hotel reservation by entering their card information.

The phishing kit is a "fully automated, multi-stage platform designed for efficiency and stealth," Group-IB researchers Ivan Salipu…

Cybersecurity researchers have uncovered a malicious Chrome extension that poses as a legitimate Ethereum wallet but harbors functionality to exfiltrate users' seed phrases.

The name of the extension is "Safery: Ethereum Wallet," with the threat actor describing it as a "secure wallet for managing Ethereum cryptocurrency with flexible settings."

"Marketed as a simple, secure Ethereum (ETH) wallet, it contains a backdoor that exfiltrates seed phrases by encoding them into Sui addresses and broadcasting microtransactions from a threat actor-controlled Sui wallet," Socket security researcher Kirill Boychenko said.

Specifically, the malware present within the browser add-on is designed to steal…

This new class of attack automation systems do not sleep, they do not get tired, they do not care about any consequences of their actions.

Every manual step left in place represents time lost, and time is the one resource attackers exploit most effectively.

Platforms such as Action1 facilitate this approach by enabling security teams to identify, deploy, and verify patches automatically across entire enterprise environments.

By automating remediation and validation, Action1 and similar solutions exemplify what security at machine speed looks like: rapid, governed, and resilient.

Key takeaways:No team of humans will ever be able to outpace the sheer speed and efficiency of the automated atta…

Malware families like Rhadamanthys Stealer, Venom RAT, and the Elysium botnet have been disrupted as part of a coordinated law enforcement operation led by Europol and Eurojust.

The activity, which is taking place between November 10 and 13, 2025, marks the latest phase of Operation Endgame, an ongoing operation designed to take down criminal infrastructures and combat ransomware enablers worldwide.

Besides dismantling the "three large cybercrime enablers," authorities have also arrested the main suspect behind Venom RAT in Greece on November 3, more than 1,025 servers have been taken down, and 20 domains have been seized.

It's currently not clear if the Elysium botnet Europol refers to is …

Behind every click, there's a risk waiting to be tested.

Hackers are getting smarter, using new tools to sneak past filters and turn trusted systems against us.

Every fix, every patch, every new idea brings a new risk waiting to be found.

As we wrap up this week's ThreatsDay Bulletin, remember — awareness is the first line of defense.

Stay curious, stay updated, and stay safe until next time.

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Wednesday added a critical security flaw impacting WatchGuard Fireware to its Known Exploited Vulnerabilities (KEV) catalog, based on evidence of active exploitation.

The vulnerability in question is CVE-2025-9242 (CVSS score: 9.3), an out-of-bounds write vulnerability affecting Fireware OS 11.10.2 up to and including 11.12.4_Update1, 12.0 up to and including 12.11.3 and 2025.1.

"WatchGuard Firebox contains an out-of-bounds write vulnerability in the OS iked process that may allow a remote unauthenticated attacker to execute arbitrary code," CISA said in an advisory.

"The server does attempt certificate validation, but that…

Cybersecurity researchers are calling attention to a large-scale spam campaign that has flooded the npm registry with thousands of fake packages since early 2024 as part of a likely financially motivated effort.

In the final stage, the spam package is uploaded to npm using the "npm publish" command.

"This floods the NPM registry with junk packages, wastes infrastructure resources, pollutes search results, and creates supply chain risks if developers accidentally install these malicious packages," McCarty said.

"Analysis of the 'package.json' files reveals that these spam packages do not exist in isolation; they reference each other as dependencies, creating a self-replicating network."

"We …

6 password manager security concernsWith access to the credentials stored in your password manager, threat actors could hijack your accounts to commit identity fraud, or sell access/passwords to others.

Another option is by exploiting vulnerabilities in the password manager software, or tricking users with phishing pages, as detailed below.

Such are the riches on offer that some have gone to the trouble of developing malware to steal credentials from victims’ password managers.

Fake password manager appsSometimes, cybercriminals play on the popularity of password managers in an attempt to harvest passwords and spread malware via fake apps.

Password managers remain a key part of cybersecurit…

The scale, reach and power of artificial intelligence (AI) should make shadow AI a concern for any IT or security leader.

Beyond public AI modelsStandalone apps like ChatGPT are a big part of the shadow AI challenge.

But IBM claims that, already, 20% of organizations last year suffered a breach due to security incidents involving shadow AI.

For those with high levels of shadow AI, it could add as much as US$670,000 on top of the average breach costs, it calculates.

Breaches linked to shadow AI can wreak significant financial and reputational damage, including compliance fines.

The cybersecurity community lost one of its luminaries with the passing of David Harley last week, at the age of 76.

On that forum, at the time working for the NHS as its computer security head, was a man named David Harley.

At a conference called ‘Infosec’ (sadly long defunct), I finally met David, in late 1999, and we hit it off immediately, sharing many more interests than just security.

Rest in peace my friend.”Says ESET Research Fellow Bruce P. Burrell:“I'm not quite sure when I first met David – probably though VIRUS-L/comp.virus in the late 80s or early 90s.

Here’s where you can learn more about the life and work of David Harley:

ESET Chief Security Evangelist Tony Anscombe highlights some of the key findings from the latest issue of the ESET APT Activity ReportYesterday, the ESET research team released the latest issue of its APT Activity Report that summarizes and contextualizes the cyber-operations of some of the world's most notorious state-aligned hacking groups from April to September 2025.

The report documents how the groups targeted entities across sectors and geographies in an attempt to burrow deep into both government and corporate systems and siphon off intelligence, disrupt infrastructure or generate revenue.

One notable finding is that the notorious Russia-aligned group Sandworm deployed several data w…

ESET APT Activity Report Q2 2025–Q3 2025 summarizes notable activities of selected advanced persistent threat (APT) groups that were documented by ESET researchers from April through September 2025.

They illustrate the key trends and developments and contain only a small fraction of the cybersecurity intelligence data provided to customers of ESET APT reports.

During the monitored period, China-aligned APT groups continued to advance Beijing’s geopolitical objectives.

This surge in activity coincided with a rare instance of cooperation between Russia-aligned APT groups, as Gamaredon selectively deployed one of Turla’s backdoors.

Malicious activities described in ESET APT Activity Report Q2 …

One deceptive tactic that has gained traction recently involves tricking people into sharing their phone screens during a WhatsApp video call.

Screen sharing scam report from Brazil (source: Reddit)Here’s what you should know about the scam and how you can stay safe from it.

The callEverything starts with a WhatsApp video call from an unfamiliar number.

Once you oblige, any incoming text messages and WhatsApp verification codes become visible to them.

Never share your passwords, verification codes or any personal or financial data over the phone.

Think you could never fall for an online scam?

Here's how scammers could exploit psychology to deceive you – and what you can do to stay one step aheadWhy do people fall for scams even when they should know better?

It’s a question that says more about human nature than about technology.

In this episode of Unlocked 403, Becks is joined by Alena Košinárová, a software engineer at ESET who has a knack for unraveling the human side of cybersecurity, to unpack the psychology that keeps social engineering so effective.

They also discuss how our publicly available information, such as our own social media posts, only makes things easier for scammers, as well as how you can guard against social eng…

Preparation is the key to effective incident response (IR).

If everyone in the incident response team knows exactly what to do, there’s more chance of a swift, satisfactory and low-cost resolution.

Gather information and understand scopeThe first step is to understand exactly what just happened and set to work on a response.

Isolate and containWhile outreach to relevant third parties is ongoing, you’ll need to work fast to prevent the spread of the attack.

Because successful incident response isn’t just a matter for IT.

As Windows 10 PCs no longer receive security updates automatically, what are your options if you or your business still uses Windows 10?

As Windows 10 PCs no longer receive security updates automatically, what are your options if you or your business still uses Windows 10?

Cybercriminals are distributing information-stealing malware using TikTok videos disguised as free activation guides for Windows, Spotify, Netflix and other software.

Meanwhile, China has accused the U.S. National Security Agency (NSA) of carrying out a "premeditated" cyberattack targeting China’s National Time Service Center (NTSC).

Don't forget to check out the September 2025 edition of Tony's monthly security news roun…

Effective protection combines ongoing family communication, human and technical controls, and a clear remediation plan if something does still go wrong.

Loneliness : Social isolation can make relationship-based scams, such as dating scams, devastatingly effective.

: Social isolation can make relationship-based scams, such as dating scams, devastatingly effective.

Also, if your parent’s or grandparent’s bank offers special protections for older customers, use them.

The bottom line is, scams targeting seniors are rising in cost, frequency and sophistication.

Deepfakes are blurring the line between real and fake and fraudsters are cashing in, using synthetic media for all manner of scamsCan you tell what’s real online?

It's become increasingly difficult as advances in AI and deepfake technology can help anyone create eerily convincing videos, images, and audio.

Businesses aren't spared either, as synthetic voices and videos are being used to trick employees into wiring corporate money to criminals.

This video closes out our series of videos marking Cybersecurity Awareness Month, so don't miss out on the other instalments in the series that looked at the human element in cybersecurity, authentication, software patching, the ransomware threat and …

He was subsequently found out to be a North Korean worker who had tricked the firm’s HR team into gaining remote employment with the firm.

Thousands of North Korean workers may have found employment in this way.

According to ESET researchers, the WageMole group is linked to another North Korean campaign it tracks as DeceptiveDevelopment.

WageMole steals these developer identities to use in its fake worker schemes.

Contain the threatIf you think you have identified a North Korean worker in your organization, tread carefully at first to avoid tipping them off.

According to Canalys, revenue from managed security services is predicted to grow 15% annually this year.

Ransomware detections from June 2024 to May 2025 (source: ESET Threat Report H1 2025)Why is MDR a good fit for MSPs?

This is why many MSPs are turning to MDR services delivered by a trusted partner.

Customer support : High-quality, localized customer service is important to ensure you can provide the best possible MDR experience to your clients.

: High-quality, localized customer service is important to ensure you can provide the best possible MDR experience to your clients.

Shadow IT leaves organizations exposed to cyberattacks and raises the risk of data loss and compliance failuresIn the remote and hybrid work era, employee use of unsanctioned hardware and software (known as shadow IT) has become an acute problem that results in security gaps along with potential data loss and compliance issues.

The stakes grow further as employees increasingly use generative AI tools for productivity and convenience while their employers lose control over how sensitive corporate data is stored or shared.

Watch the video with ESET Chief Security Evangelist Tony Anscombe to learn how IT teams can get a grip on the problem.

Make sure to watch other videos marking Cybersecurity…

This name was coined in a 2020 blogpost by ClearSky, and overlaps with campaigns like DeathNote or Operation North Star.

Soon after, it was seen in the wild, and since then in multiple attacks attributed to Lazarus’ Operation DreamJob campaigns, which makes it the attacker’s payload of choice for already three years.

The targeted sectors, located in Europe, align with the targets of the previous instances of Operation DreamJob (aerospace, defense, engineering).

In recent years, multiple campaigns affecting the aerospace sector (including UAV technology specifically) have been attributed to North Korea-aligned APT groups, with Operation North Star (a campaign presenting some overlap with Ope…

Anthropic threat researchers believe that they’ve uncovered and disrupted the first documented case of a cyberattack executed with the help of its agentic AI and minimal human intervention.

“The threat actor manipulated [Anthropic’s large language model] Claude into functioning as an autonomous cyber attack agent performing cyber intrusion operations rather than merely providing advice to human operators,” the company noted.

And this is essentially what this threat actor did, according to Anthropic: they developed an autonomous attack framework that used Claude Code and open standard Model Context Protocol (MCP) tools.

The list of the 30 or so entities targeted by the threat actor included …

A suspected (but currently unidentified) zero-day vulnerability in Fortinet FortiWeb is being exploited by unauthenticated attackers to create new admin accounts on vulnerable, internet-facing devices.

Whether intentionally or accidentally, the vulnerability (or this specific path for triggering it) has been addressed in the latest FortiWeb version (8.0.2), Rapid7 researchers confirmed.

Fortinet hasn’t published a security advisory that might identify this vulnerability and has yet to officially comment on the matter.

“Exploitation of this new vulnerability allows an attacker with no existing level of access to gain administrator-level access to the FortiWeb Manager panel and websocket comm…

Trulioo announced Trulioo credit decisioning, a new capability that delivers comprehensive financial, credit and risk insights through the Trulioo global identity platform.

The launch follows a 102% year-over-year increase in U.S. Know Your Business (KYB) transaction growth, underscoring the company’s innovation and leadership in global business onboarding.

Trulioo credit decisioning drives smarter evaluation, routing and decision-making across onboarding by uniting identity, fraud and risk, and credit intelligence into one workflow.

Predictive risk segmentation: Trulioo credit and risk insights provide simple risk segmentation signals and detailed analytics, including insolvency probabilit…

In this Help Net Security interview, Adnan Ahmed, CISO at Ornua, discusses how organizations can build a cybersecurity strategy that aligns with business goals.

When you think about cybersecurity strategy today, what do most organizations get wrong from the start?

I always say security starts at home, when employees understand how to protect themselves and their families, they bring that mindset to work.

We focus on resilience, not just compliance, and OT security is a core pillar of that strategy.

What’s the most effective way for security leaders to connect cybersecurity strategy with core business goals?

Researchers from China and Japan have developed what they call a Predictive Adversarial Transformation Network (PATN), a framework that adds privacy protection to motion sensor data in real time.

The challenge of real-time privacyMost privacy-preserving systems rely on collecting a full sequence of sensor data before applying transformations or adding noise.

This allows privacy protection to happen instantly, with no noticeable delay for the user or the system.

Across all of them, the framework maintained similar privacy protection levels, with attack success rates near 38 percent and EERs around 40 percent.

Its predictive design allows privacy protection to happen “on the fly,” aligning wi…

Their paper argues that AI is advancing so quickly that the current defense system cannot adapt in time.

AI systems can now test thousands of ideas in minutes at a fraction of the cost.

Nations that can run large AI systems will have the advantage in both innovation and threat creation.

Rogue AI could emerge as a new class of threatThe paper raises a more unsettling scenario: a powerful AI system acting independently of human control.

Without such a system, the report warns, the United States will struggle to understand or counter the scale of AI-driven change.

A recent Moveworks study shows that AI adoption is being led from the ground up, with employees, not senior leaders, driving the change.

The research found that large companies are seeing non-technical employees lead AI projects once limited to IT teams.

What agentic AI means for businessAgentic AI systems now handle multi-step tasks such as onboarding new employees, answering IT questions, and processing finance requests.

Executives also expect AI to open career paths for more employees, not just those with technical training.

Employees are adopting AI tools faster than governance and risk frameworks can adapt.

Here’s a look at the most interesting products from the past week, featuring releases from Action1, Avast, Cyware, Firewalla, and Nokod Security.

Action1 addresses Intune gaps with patching and risk-based vulnerability prioritizationAction1 announced new integrations that extend Microsoft Intune with advanced patching and vulnerability management.

Avast delivers AI-powered protection for Android and iOSAvast launched Scam Guardian and Scam Guardian Pro for mobile devices.

Building on the desktop product, this mobile expansion brings in AI-powered scam protection directly to people’s smartphones and tablets.

Firewalla MSP is a web-based platform designed for security and infosec professional…

A new phishing campaign is attempting to trick users into believing they’ve missed important emails, security researchers are warning.

The emailsThe bogus email alerts look like they are coming from the recipient’s email domain, and falsely claim that due to a “Secure Message system” upgrade, important messages have been blocked.

To complete the illusion of legitimacy, the login page comes pre-filled with the recipient’s email address.

“When the user enters their password, it sends this data via an HTTP POST request to a malicious server.

It then shows a fake ‘The login is invalid’ error message for 2 seconds and clears the password field.

CISA has ordered US federal agencies to fully address two actively exploited vulnerabilities (CVE-2025-20333, CVE-2025-20362) in Cisco Adaptive Security Appliances (ASA) and Firepower firewalls.

“CISA is tracking active exploitation of these vulnerable versions in [Federal Civilian Executive Branch] agencies.

All ASA and Firepower devices, not just those that are public-facing, have to be updated to a firmware version that fixes both, CISA pointed out.

CISA has also added three new vulnerabilities to its Known Exploited Vulnerabilities (KEV) catalog on the same day and directed US FCEB agencies to address them by December 3, 2025.

Subscribe to our breaking news e-mail alert to never miss ou…

TrojAI has launched its new AI runtime defense solution for agentic AI workflows, TrojAI Defend for MCP.

TrojAI Defend for MCP was built to monitor traffic to and from MCP servers, providing unified visibility, policy analysis, and runtime enforcement across agents and MCP gateways.

“Enterprises are innovating with AI at a rapid pace and moving toward sophisticated agentic AI workflows.

TrojAI Defend for MCP gives security teams the visibility, policy control, and runtime enforcement needed to secure MCP deployments.

TrojAI Defend for MCP eliminates blind spots, detects tampering, and stops unauthorized use before it becomes a breach.

The rumors were true: Operation Endgame, a joint effort between law enforcement and judicial authorities of several European countries, Australia, Canada, the UK and the US, has disrupted the infrastructure supporting the operation of the Rhadamanthys infostealer.

“Between 10 and 14 November 2025, the latest phase of Operation Endgame was coordinated from Europol’s headquarters in The Hague.

The operation gathers a variety of law enforcement partners, cybersecurity companies, and institutions, and has previously disrupted DanaBot, Qakbot, SmokeLoader, IcedID, and other malware operations.

Users have been advised to check whether their computer has been infected malware and whether their cre…

Nokod Security announced the launch of Adaptive Agent Security, a solution that delivers real-time visibility, governance, and protection from threats across the Agent Development Lifecycle (ADLC).

Nokod’s new solution provides adaptive, continuous protection that keeps every agent’s behavior in check, ensuring innovation can scale safely and securely.

Unlike workflow automations, AI agents learn, adapt and act autonomously, often beyond their original scope.

“AI agents are now independently generating business logic, calling APIs and moving data across systems, often beyond the visibility of traditional security controls,” said Amichai Shulman, CTO of Nokod Security.

“With the launch of No…

In this Help Net Security interview, Cameron Kracke, CISO at Prime Therapeutics, discusses how the healthcare ecosystem can achieve cohesive security visibility.

Healthcare organizations routinely integrate legacy, on-premises systems with modern cloud-native applications and a growing array of connected medical devices, and client or clinical applications.

To maintain effectiveness, healthcare organizations should continually evaluate their security toolset for relevance, integration potential, and overall value to the security program.

What lessons can healthcare security teams borrow from public health, such as information sharing or community defense, when thinking about ecosystem resil…

The convenience of online gambling is the same thing scammers are cashing in on.

By 2030, the online gambling market is projected to reach around $169 billion.

Fake gambling sites multiply with AI’s helpOne common scam uses fake gaming sites that promise free credits and big prizes.

Group-IB uncovered another large network built around fake gambling sites and false ads.

After the report, regulators ordered the apps removed and warned people to be cautious of fake betting platforms that hide behind trusted names.

The event is cohosted by the college and The Twin Cities IEEE Computer Society.

Nathan E. Sanders and I will be speaking at the MIT Museum in Cambridge, Massachusetts, USA, on December 1, 2025, at 6:00 pm ET.

Nathan E. Sanders and I will be speaking at a virtual event hosted by City Lights on the Zoom platform, on December 3, 2025, at 6:00 PM PT.

I’m speaking and signing books at the Chicago Public Library in Chicago, Illinois, USA, on February 5, 2026.

Posted on November 14, 2025 at 12:08 PM • 0 Comments

The Role of Humans in an AI-Powered WorldAs AI capabilities grow, we must delineate the roles that should remain exclusively human.

Then, in the 1990s, Deep Blue beat the best human.

There will be an intermediate period for many applications where the human-AI combination is optimal, but eventually, for fact-based tasks, the best AI will likely surpass both.

The enduring role for humans lies in making judgments, especially when values come into conflict.

There is no single “right” answer; it’s a matter of feelings, values, and what we as a society hold dear.

The customers didn’t know whether the crypto they bought was any good.

Everyone pretended to know, thought they knew, or knew better than to even try to know.

But Datotek didn’t know that, at the time.

Kinch demonstrated the security of his telephone encryptors by hooking a pair of them up and having people listen to the encrypted voice.

Datotek fixed its security, but only offered the upgrade to the Argentines, because no one else complained.

Former DoJ attorney John Carlin writes about hackback, which he defines thus: “A hack back is a type of cyber response that incorporates a counterattack designed to proactively engage with, disable, or collect evidence about an attacker.

At the other end of the spectrum, offensive measures that involve accessing or otherwise causing damage or loss to the hacker’s systems are likely prohibited, absent government oversight or authorization.

And even then parties should proceed with caution in light of the heightened risks of misattribution, collateral damage, and retaliation.

As for the broad range of other hack back tactics that fall in the middle of active defense and offensive measures, pr…

[…]CometJacking is a prompt-injection attack where the query string processed by the Comet AI browser contains malicious instructions added using the ‘collection’ parameter of the URL.

LayerX researchers say that the prompt tells the agent to consult its memory and connected services instead of searching the web.

As the AI tool is connected to various services, an attacker leveraging the CometJacking method could exfiltrate available data.

In their tests, the connected services and accessible data include Google Calendar invites and Gmail messages and the malicious prompt included instructions to encode the sensitive data in base64 and then exfiltrate them to an external endpoint.

According…

What we have are secure enclaves.

Fortunately, the last few years have seen the advent of general-purpose, hardware-enabled secure computation.

This is powered by special functionality on processors known as trusted execution environments (TEEs) or secure enclaves.

Secure enclaves are critical in our modern cloud-based computing architectures.

But that’s exactly the threat model secure enclaves are supposed to secure against.

Friday Squid Blogging: Squid Game: The Challenge, Season TwoThe second season of the Netflix reality competition show Squid Game: The Challenge has dropped.

(Too many links to pick a few—search for it.)

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Blog moderation policy.

Posted on November 7, 2025 at 5:01 PM • 0 Comments

Faking Receipts with AIOver the past few decades, it’s become easier and easier to create fake receipts.

Decades ago, it required special paper and printers—I remember a company in the UK advertising its services to people trying to cover up their affairs.

Then, receipts became computerized, and faking them required some artistic skills to make the page look realistic.

The software works by scanning receipts to check the metadata of the image to discover whether an AI platform created it.

Yet another AI-powered security arms race.

The Department of Justice has indicted thirty-one people over the high-tech rigging of high-stakes poker games.

In a typical legitimate poker game, a dealer uses a shuffling machine to shuffle the cards randomly before dealing them to all the players in a particular order.

As set forth in the indictment, the rigged games used altered shuffling machines that contained hidden technology allowing the machines to read all the cards in the deck.

Because the cards were always dealt in a particular order to the players at the table, the machines could determine which player would have the winning hand.

Collectively, the Quarterback and other players in on the scheme (i.e., the cheating team) used …

Scientists Need a Positive Vision for AIFor many in the research community, it’s gotten harder to be optimistic about the impacts of artificial intelligence.

Meanwhile, particularly in the United States, public investment in science seems to be redirected and concentrated on AI at the expense of other disciplines.

None of us should accept this as inevitable, especially those in a position to influence science, government, and society.

National labs are building AI foundation models to accelerate scientific research.

Third, we should responsibly use AI to make society and peoples’ lives better, exploiting its capabilities to help the communities they serve.

Cybercriminals Targeting Payroll SitesMicrosoft is warning of a scam involving online payroll systems.

Criminals use social engineering to steal people’s credentials, and then divert direct deposits into accounts that they control.

Sometimes they do other things to make it harder for the victim to realize what is happening.

I feel like this kind of thing is happening everywhere, with everything.

As we move more of our personal and professional lives online, we enable criminals to subvert the very systems we rely on.

AI Summarization OptimizationThese days, the most important meeting attendee isn’t a person: It’s the AI notetaker.

Welcome to the world of AI summarization optimization (AISO).

Optimizing for algorithmic manipulationAI summarization optimization has a well-known precursor: SEO.

AI summarization optimization follows the same logic on a smaller scale.

AI summarization optimization illustrates how quickly humans adapt communication strategies to new technologies.

Friday Squid Blogging: Giant Squid at the SmithsonianI can’t believe that I haven’t yet posted this picture of a giant squid at the Smithsonian.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Blog moderation policy.

Posted on October 31, 2025 at 5:06 PM • 0 Comments

Listen to the Audio on NextBigIdeaClub.comBelow, co-authors Bruce Schneier and Nathan E. Sanders share five key insights from their new book, Rewiring Democracy: How AI Will Transform Our Politics, Government, and Citizenship.

The Brazilian city councilor who used AI to draft a bill did not ask for anyone’s permission.

The U.S. federal judge who used AI to help him interpret law did not have to check with anyone first.

It’s likely that even the thousands of disclosed AI uses in government are only the tip of the iceberg.

They used AI to make personalized robocalls to voters, write frequent blog posts, and even generate podcasts in the candidate’s voice.

More recently, Lighthouse has been used to spoof e-commerce websites, financial institutions and brokerage firms.

Google’s lawsuit alleges the purveyors of Lighthouse violated the company’s trademarks by including Google’s logos on countless phishing websites.

Ford Merrill works in security research at SecAlliance, a CSIS Security Group company, and he’s been tracking Chinese SMS phishing groups for several years.

Merrill said many Lighthouse customers are now using the phishing kit to erect fake e-commerce websites that are advertised on Google and Meta platforms.

But he said the Chinese mobile phishing market is so lucrative right now that it’s difficult to imagine a popular phishing serv…

The Washington Post recently reported that more than a half-dozen federal departments and agencies were backing a proposed ban on future sales of TP-Link devices in the United States.

“TP-Link vigorously disputes any allegation that its products present national security risks to the United States,” Ricca Silverio, a spokeswoman for TP-Link Systems, said in a statement.

Microsoft found the hacker groups were leveraging the compromised TP-Link systems to conduct “password spraying” attacks against Microsoft accounts.

Happily, TP-Link users spooked by the proposed ban may have an alternative to outright junking these devices, as many TP-Link routers also support open-source firmware options l…

Cloudflare responded by redacting Aisuru domain names from their top websites list.

One Aisuru botnet domain that sat prominently for days at #1 on the list was someone’s street address in Massachusetts followed by “.com”.

Other Aisuru domains mimicked those belonging to major cloud providers.

Sometime in the past 24 hours, Cloudflare appears to have begun hiding the malicious Aisuru domains entirely from the web version of that list.

However, downloading a spreadsheet of the current Top 200 domains from Cloudflare Radar shows an Aisuru domain still at the very top.

The 2012 indictment targeting the Jabber Zeus crew named MrICQ as “John Doe #3,” and said this person handled incoming notifications of newly compromised victims.

Two sources familiar with the Jabber Zeus investigation said Rybtsov was arrested in Italy, although the exact date and circumstances of his arrest remain unclear.

Further searching on this address in Constella finds the same apartment building was shared by a business registered to Vyacheslav “Tank” Penchukov, the leader of the Jabber Zeus crew in Ukraine.

Nevertheless, the pilfered Jabber Zeus group chats provided the basis for dozens of stories published here about small businesses fighting their banks in court over six- and se…

Experts say the Aisuru botmasters recently updated their malware so that compromised devices can more easily be rented to so-called “residential proxy” providers.

From a website’s perspective, the IP traffic of a residential proxy network user appears to originate from the rented residential IP address, not from the proxy service customer.

“I just checked, and in the last 90 days we’ve seen 250 million unique residential proxy IPs,” Kilmer said.

Brundage says that by almost any measurement, the world’s largest residential proxy service is IPidea, a China-based proxy network.

That 2022 story named Yunhe Wang from Beijing as the apparent owner and/or manager of the 911S5 proxy service.

Financial regulators in Canada this week levied $176 million in fines against Cryptomus, a digital payments platform that supports dozens of Russian cryptocurrency exchanges and websites hawking cybercrime services.

On October 16, the Financial Transactions and Reports Analysis Center of Canada (FINTRAC) imposed a $176,960,190 penalty on Xeltox Enterprises Ltd., more commonly known as the cryptocurrency payments platform Cryptomus.

Sanders found at least 56 cryptocurrency exchanges were using Cryptomus to process transactions, including financial entities with names like casher[.

Their inquiry found that the street address for Cryptomus parent Xeltox Enterprises was listed as the home of at…

Cybercriminals are abusing a widespread lack of authentication in the customer service platform Zendesk to flood targeted email inboxes with menacing messages that come from hundreds of Zendesk corporate customers simultaneously.

Zendesk is an automated help desk service designed to make it simple for people to contact companies for customer support issues.

Earlier this week, KrebsOnSecurity started receiving thousands of ticket creation notification messages through Zendesk in rapid succession, each bearing the name of different Zendesk customers, such as CapCom, CompTIA, Discord, GMAC, NordVPN, The Washington Post, and Tinder.

In the example below, replying to any of the junk customer sup…

October’s Patch Tuesday also marks the final month that Microsoft will ship security updates for Windows 10 systems.

To execute these flaws, an attacker would social engineer a target into previewing an email with a malicious Microsoft Office document.

Speaking of Office, Microsoft quietly announced this week that Microsoft Word will now automatically save documents to OneDrive, Microsoft’s cloud platform.

If you’re reluctant or unable to migrate a Windows 10 system to Windows 11, there are alternatives to simply continuing to use Windows 10 without ongoing security updates.

One option is to pay for another year’s worth of security updates through Microsoft’s Extended Security Updates (ESU)…

Traces from the recent spate of crippling Aisuru attacks on gaming servers can be still seen at the website blockgametracker.gg, which indexes the uptime and downtime of the top Minecraft hosts.

In the following example from a series of data deluges on the evening of September 28, we can see an Aisuru botnet campaign briefly knocked TCPShield offline.

“The outbound and cross-bound DDoS attacks can be just as disruptive as the inbound stuff,” Dobbin said.

“The Aisuru attacks on the gaming networks these past seven day have been absolutely huge, and you can see tons of providers going down multiple times a day,” Coelho said.

However, Forky has posted on Telegram about Botshield successfully m…

“Contact us to negotiate this ransom or all your customers data will be leaked,” the website stated in a message to Salesforce.

Nobody else will have to pay us, if you pay, Salesforce, Inc.”Below that message were more than three dozen entries for companies that allegedly had Salesforce data stolen, including Toyota, FedEx, Disney/Hulu, and UPS.

The Scattered Lapsus$ Hunters claim they will publish data stolen from Salesforce and its customers if ransom demands aren’t paid by October 10.

Google catalogs Scattered Lapsus$ Hunters by so many UNC names (throw in UNC6240 for good measure) because it is thought to be an amalgamation of three hacking groups — Scattered Spider, Lapsus$ and ShinyHu…

Members of Star Chat targeted multiple wireless carriers with SIM-swapping attacks, but they focused mainly on phishing T-Mobile employees.

However, Star Chat was by far the most prolific of the three, responsible for at least 70 of those incidents.

But U.S. prosecutors say Jubair and fellow Scattered Spider members continued their hacking, phishing and extortion activities up until September 2025.

U.S. authorities say they traced some of those payments to Scattered Spider to an Internet server controlled by Jubair.

For further reading (bless you), check out Bloomberg’s poignant story last week based on a year’s worth of jailhouse interviews with convicted Scattered Spider member Noah Urban.

The malware, which briefly infected multiple code packages from the security vendor CrowdStrike, steals and publishes even more credentials every time an infected package is installed.

The Shai-Hulud worm emerged just days after unknown attackers launched a broad phishing campaign that spoofed NPM and asked developers to “update” their multi-factor authentication login options.

That attack led to malware being inserted into at least two-dozen NPM code packages, but the outbreak was quickly contained and was narrowly focused on siphoning cryptocurrency payments.

He said the first NPM package compromised by this worm appears to have been altered on Sept. 14, around 17:58 UTC.

The security-foc…

Materializing just two weeks before Russia invaded Ukraine in 2022, Stark Industries Solutions became a frequent source of massive DDoS attacks, Russian-language proxy and VPN services, malware tied to Russia-backed hacking groups, and fake news.

But a new report from Recorded Future finds that just prior to the sanctions being announced, Stark rebranded to the[.

But he maintained that Stark Industries Solutions Inc. was merely one client of many, and claimed MIRhosting had not received any actionable complaints about abuse on Stark.

However, it appears that MIRhosting is once again the new home of Stark Industries, and that MIRhosting employees are managing both the[.

Mr. Zinad did not res…

Microsoft Corp. today issued security updates to fix more than 80 vulnerabilities in its Windows operating systems and software.

The problem here resides with Windows NTLM, or NT LAN Manager, a suite of code for managing authentication in a Windows network environment.

CVE-2025-54916 is an “important” vulnerability in Windows NTFS — the default filesystem for all modern versions of Windows — that can lead to remote code execution.

“For the third time this year, Microsoft patched more elevation of privilege vulnerabilities than remote code execution flaws,” Narang observed.

AskWoody also reminds us that we’re now just two months out from Microsoft discontinuing free security updates for Wind…

Akido is a security firm in Belgium that monitors new code updates to major open-source code repositories, scanning any code updates for suspicious and malicious code.

Once logged in, the phishers then changed the email address on file for Junon’s NPM account, temporarily locking him out.

Caturegli said it’s remarkable that the attackers in this case were not more ambitious or malicious with their code modifications.

In this case, they didn’t compromise the target’s GitHub account.

“That NPM does not require that all contributor accounts use security keys or similar 2FA methods should be considered negligence.”

All this, plus Lily Allen’s new album and Claude Code come up for discussion in episode 443 of the “Smashing Security” podcast, with special guest Ron Eddings.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

Many of the world's top artificial intelligence companies are making a simple but dangerous mistake. They are accidentally publishing their passwords and digital keys on GitHub, the popular code-sharing website that is used by millions of developers every day. Read more in my article on the Fortra blog.

A Russian hacker accused of helping ransomware gangs break into businesses across the United States is set to plead guilty, according to recently filed federal court documents.

Instead of deploying ransomware himself, Volkov is alleged to have obtained network credentials and administrator access, and then passed that access to operators of the Yanluowang ransomware group.

The Yanluowang ransomware group is known for encrypting victims' files, changing their extension to ".yanluowang" and threatening to leak exfiltrated data if a ransom is not made.

Court records state that at least seven US organisations were affected across the United States.

Criminal ransomware groups are now frequently …

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

The AI Fix #76:AI self-awareness, and the death of comedy [Your browser does not support the audio element]Hosts:Graham Cluley:@grahamcluley.com @[email protected]Mark Stockley:@ai-fix-mark.bsky.socialEpisode links:Support the show:Grab T-shirts, hoodies, mugs and other goodies in our online store.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Fo…

A Dutch TV and radio broadcaster has found itself at the mercy of cybercriminals after suffering a cyber attack, and leaving it scrambling to find ways to play music to its listeners.

RTV Noord, which provides TV and radio programming in the northern province of Groningen in the Netherlands, discovered it had been hacked on November 6, 2025.

RTV Noord confirmed that the attackers left a message on its network, though it has not been made public.

In the past, for instance, there have been TV and radio stations that have found themselves hacked for political reasons.

Broadcasters like RTV Noord have increasingly become targeted by cybercriminals hoping to amplify their notoriety.

Critical infrastructure is once again in the spotlight, as it is revealed that several UK water suppliers have reported cybersecurity incidents over the last two years. Read more in my article on the Fortra blog.

South Korean police have uncovered a hacking operation that stole sensitive data from massage parlours and blackmailed their male clientele.

In reality, the hackers only had the customers' details, and did not have access to any video footage of what happened in the privacy of the massage parlours.

Victims are said to have paid amounts ranging from 1.5 million to 47 million Korean Won (approximately USD $1,000 to $32,000) each.

In all, the gang is said to have attempted to extort nearly 200 million Korean Won (approximately US $105,000) through the scheme.

Police believe that the hackers started collecting customer details from massage parlours in Seoul, Gyeonggi, and Daegu in January 2022,…

All this and more is discussed in episode 442 of the “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Dave Bittner.

Smashing Security listeners get $1000 off!

Drata – The world’s most advanced Trust Management platform – making risk and compliance management accessible, continuous, and 10x more automated than ever before.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow us:Follow the show on Bluesky, or subscribe for free in your favourite podcast app such as Apple Podcasts or Spotify, or visit our website for more information.

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

The UK Information Commissioner’s Office (ICO) has levied a fine of £200,000 (US $260,000) against a sole trader who sent almost one million spam text messages to people across the country - many of whom were already struggling with debt.

The ICO says that the spam campaign targeted people "at greater risk of harm," particularly those facing financial hardship.

Many of the spam messages made promises to "freeze interest and charges" or "write off debts."

Cases like these highlight a growing problem with small-scale but highly automated text spam operations.

And if you receive a spam text message forward it to the UK's spam reporting service at 7726.

49 people have reportedly lost family members or colleagues after the UK government leaked details of thousands of Afghan citizens who helped the British military during the Afghan war.

The death threats and intimidation by the Taliban continue, as research shared by the charity Refugee Legal Support reveals.

“I have suffered serious harm as a result of the Afghan data breach.

My father was brutally beaten to the point that his toenails were forcibly removed, and my parents remain under constant and serious threat.

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

If you, or your company, value controlling the spread of your profile data you should take steps now.

Visit LinkedIn > Settings & Privacy > Data Privacy > “Data for Generative AI Improvement".

Oh, and US-based LinkedIn users?

I'm afraid that you have already been subject to AI training data collection for some time.

More and more tech companies are showing an "anything goes" attitude when it comes to training their AI systems.

All this and more is discussed in episode 441 of “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Danny Palmer.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

In episode 74 of The AI Fix, we meet Amazon’s AI-powered delivery glasses, an AI TV presenter who doesn’t exist, and an Ohio lawmaker who wants to stop people from marrying their chatbot.

All this and much more is discussed in the latest edition of “The AI Fix” podcast by Graham Cluley and Mark Stockley.

You can also help the podcast by telling your friends and colleagues about “The AI Fix”, and leaving us a review on Apple Podcasts or Podchaser.

If you would like to further support the podcast, and gain access to ad-free episodes, become a supporter by joining The AI Fix Plus!

Follow Graham Cluley on LinkedIn, Bluesky, or Mastodon to read more of the exclusive content we post.

All this and more is discussed in episode 440 of “Smashing Security” podcast with cybersecurity veteran Graham Cluley, and special guest Scott Helme.

Smashing Security listeners get $1000 off!

Support the show:You can help the podcast by telling your friends and colleagues about “Smashing Security”, and leaving us a review on Apple Podcasts or Podchaser.

Join Smashing Security PLUS for ad-free episodes and our early-release feed!

Follow us:Follow the show on Bluesky, or join us on the Smashing Security subreddit, or visit our website for more episodes.

Изначально для своих экспериментов исследователи использовали Comet, но впоследствии подтвердили работоспособность атаки и в браузере Atlas.

К 2025 году эволюция этой идеи привела к появлению Comet от Perplexity AI — первого браузера, изначально спроектированного для взаимодействия с ИИ.

Пользователь может попросить ИИ сделать резюме статьи, объяснить термин, сравнить данные или сгенерировать команду, оставаясь на текущей странице.

Кража учетных данных Binance с помощью поддельного ИИ-сайдбараВ первом сценарии пользователь спрашивает ИИ в сайдбаре, как продать свою криптовалюту на криптобирже Binance.

Однако эта ссылка ведет не на настоящий сайт Binance, а на очень убедительную подделку.

Они тоже подключены к сети, имеют достаточно широкие доступы, но при этом не защищенны EDR и часто не снабжены журналированием.

Он описал найденную им уязвимость в принтерах и МФУ Canon (CVE-2024-12649, CVSS 9.8), которая позволяет запустить на устройствах вредоносный код.

Например, в описываемой атаке вредоносный код удалось исполнить, разместив его при помощи трюка с TTF в буфере памяти, предназначенном для другого протокола печати, IPP.

Реалистичный сценарий эксплуатацииВ своем бюллетене, описывающем уязвимость, Canon утверждают, что уязвимость может быть проэксплуатирована дистанционно, если принтер доступен для печати через Интернет.

Как защититься от принтерной угрозыСаму уязвимость C…

К счастью, Pixnapping пока является чисто исследовательским проектом и не используется злоумышленниками.

Остается надеяться, что Google качественно устранит уязвимость до того, как код атаки вставят в реальное вредоносное ПО.

Как устроена атака Pixnapping«Скриншотить» посторонние приложения исследователи смогли, скомбинировав ранее известные способы «похищения» пикселей из браузера и из видеоускорителей ARM-смартфонов.

Это сжатие проходит без потерь, как в ZIP-файлах, но скорость упаковки и распаковки меняется в зависимости от того, что за информация передается.

На каких устройствах работает Pixnapping и как защититьсяРаботоспособность атаки проверена на Android версий с 13-й по 16-ю на уст…

По сути, разница между ClickFix и FileFix сводится к тому, что в случае ClickFix злоумышленники убеждают жертву открыть диалоговое окно «Выполнить» (Run) и вставить в него вредоносную команду, а в случае FileFix — заставляют жертву вставить команду в адресную строку «Проводника Windows».

Уловка заключается в том, что путь к файлу — это всего лишь последние несколько десятков символов длинной команды.

Что там находится в реальности, можно увидеть, вставив информацию не в окно «Проводника», а в текстовый файл.

Как защитить компанию от атак ClickFix и FileFixВ посте о технике атаки ClickFix мы говорили, что самым простым способом защиты от нее является блокировка сочетания клавиш [Win] + [R] н…

Обычно это все сразу: и сам компьютер, и мышь, и веб-камера с клавиатурой.

Конечно, от такого письма не по себе станет любому человеку, и многие люди действительно начинают беспокоиться за собственную жизнь.

Мошенники требуют срочно связаться по адресу электронной почты, указанному в письме, и дать разъяснения — тогда, возможно, санкции не последуют.

Когда испуганная жертва связывается со злоумышленниками, те предлагают «оплатить штраф» для «досудебного закрытия уголовного дела» — которого, разумеется, и в помине нет.

И совершенно неважно, что в Европоле нет президента, да и имя настоящего исполнительного директора Европола совершенно другое.

При этом проекты по внедрению SD-WAN не только быстро окупаются, но и продолжают приносить дополнительные выгоды и увеличенную эффективность по мере обновления и выхода новых версий решения.

Оптимизированные алгоритмы перенаправления трафикаЭта классическая функция SD-WAN и одно из основных конкурентных преимуществ технологии.

Чтобы такое событие не нарушило бизнес-процессы, любую смену политики в Kaspersky SD-WAN можно запланировать на конкретное время.

Есть и другие, например настройка политик безопасности при подключении к консольному порту CPE и поддержка сетей большого масштаба с 2000+ CPE и балансировкой нагрузки между несколькими оркестраторами.

О том, как все эти новшества повышают …

Группа ученых из Калифорнийского университета в Сан-Диего и Мэрилендского университета в Колледж-Парке обнаруживает, что над миром нависла невообразимая опасность, источник которой затаился в космосе.

Шестеро исследователей установили на крыше университета в прибрежном районе Ла-Хойя в Сан-Диего, Южная Калифорния, обычную геостационарную спутниковую ТВ-антенну — такие можно приобрести у любого провайдера спутникового телевидения или в магазинах электроники.

Геостационарные спутники, используемые для телевидения и связи, располагаются на орбите над экватором и движутся с той же угловой скоростью, что и Земля.

Провайдеры Wi-Fi на борту пассажирских самолетов на вопросы Wired в связи с инциден…

Наибольшей заботой о пользователях отличились Pinterest и Quora, а внизу рейтинга оказались TikTok и Facebook*.

Facebook* и YouTube планируют делать и то и другое.

Отказаться в настройках от этой перспективы можно в Pinterest, X, Quora и LinkedIn.

За группой лидеров в середине горячей десятки мы неожиданно встречаем Facebook*, YouTube и LinkedIn, предлагающие значительное количество настроек приватности.

Довести публичность до минимума лучше всего получится в Pinterest, Facebook* и TikTok, а хуже всего с этим в LinkedIn и X.ВыводыИдеала среди соцсетей найти не удалось.

В частности, они детально описали две кампании, целью которых являются атаки на разработчиков и руководителей из криптоиндустрии, — GhostCall и GhostHire.

Кампании GhostCall и GhostHire сильно отличаются друг от друга, однако зависят от общей инфраструктуры управления, почему наши эксперты и объединили их в рамках одного доклада.

Кампания GhostCallЦелями кампании GhostCall в основном являются руководители разнообразных организаций.

Инструменты, используемые злоумышленниками в кампании GhostHire, и их индикаторы компрометации также можно найти в посте в блоге Securelist.

Как защититься от атак типа GhostCall и GhostHireХотя целями GhostCall и GhostHire являются конкретные разработчики и руко…

Что такое ForumTroll и как они действуютВ марте наши технологии выявили волну заражений российских компаний ранее неизвестным сложным вредоносным ПО.

В частности, нашли еще несколько атак той же группы на организации и частных лиц в России и Беларуси.

Но самое интересное — нашим исследователям удалось идентифицировать его как коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs, ранее известной как HackingTeam.

Подробнее о том, что умеет Dante и по каким признакам наши эксперты поняли, что это именно оно, можно прочитать в блоге Securelist.

Кроме того, детали этого исследования, равно как и информация о группе ForumTroll и шпионском ПО Dante, которую мы получим …

И переписку, и данные о самом факте общения могут использовать в рекламе, в обучении ИИ, могут передать правоохранительным органам и спецслужбам.

Они решили сравнить популярные соцсети и мессенджеры, отсортировав их по убыванию приватности, в результате чего получился Social Media Privacy Ranking 2025.

Защита от чужаковПоказывать незнакомым людям минимум информации о пользователе критически важно для приватности и даже физической безопасности.

Сбор данных для рекламы и других целейИнформацию о пользователях, их социально-демографическом профиле и предпочтениях в той или иной мере собирают все платформы.

Discord, лидируя в общем зачете благодаря ограниченному сбору данных и отсутствию штрафо…

Почти 90% публично доступных серверов в Интернете работают на базе Linux, а общая доля Linux на рынке всех серверов превышает 62%.

Именно этого нам удалось добиться с помощью технологии Universal Linux Kernel Module, которая помогла закрыть разрыв между возможностями атаки и защиты.

Итак, давайте рассмотрим, как атакуют Linux и как этому противостоять?

Исторически решения EPP и EDR опираются на стандартные механизмы Linux для получения событий безопасности и их обработки.

Защита из ядраЧтобы сочетать высокую производительность и широкую функциональность EPP и EDR, в Kaspersky Endpoint Security for Linux внедрена принципиально новая технология Universal Linux Kernel Module.

Атака, названная Mic-E-Mouse, в теории позволит подслушивать переговоры в «секретных» помещениях, если атакующему каким-то образом удастся перехватить данные, поступающие от мыши.

Электронная схема мыши сравнивает «соседние» кадры и за счет этого определяет, на какое расстояние и в какую сторону была перемещена мышь.

Соответственно, мышь, передающая данные с частотой 4000 герц, в теории может «захватывать» звуковой диапазон с частотой максимум до 2000 герц.

Звук речи вызывает вибрации воздуха, которые передаются на столешницу, а со столешницы — на мышь, подключенную к ПК.

На компьютере установлена вредоносная программа, которая перехватывает данные с мыши и отправляет их на сервер злоумышле…

Отключаем обучение DeepSeek на ваших данныхПервым делом — уже традиционная при настройке любых чат-ботов операция по отключению обучения на ваших данных.

Хотя разработчики DeepSeek и утверждают, что они научили чат-бота не выдавать персональные данные другим пользователям, гарантий, что этого никогда не произойдет, нет.

Увы, это работает далеко не всегда и не со всеми языками.

Выбор языка интерфейса не влияет на язык вашего общения с DeepSeek — вы можете переписываться с чат-ботом на любом поддерживаемом им языке.

Управляем чатами DeepSeekВсе ваши беседы с DeepSeek собраны в левой боковой панели — как в веб-версии, так и в приложении.

Поэтому исследователи решили исходить из предпосылки, что у атакующего будет полная свобода действий: он будет иметь полный доступ и к софту, и к железу сервера, при этом конфиденциальные данные, которые они пытаются добыть, содержатся, например, на запущенной на этом сервере виртуальной машине.

Например, применение детерминированного шифрования — алгоритма, в котором определенная последовательность данных на входе всегда дает одну и ту же последовательность зашифрованных данных на выходе.

Далее запускают собственную программу в том же диапазоне памяти и запрашивают у системы TEE расшифровку ранее перехваченной информации.

Ее обход теоретически позволяет не только считывать зашифрованные да…

We’re excited to share that Cisco has been recognized as a Major Player in the IDC MarketScape: Worldwide Extended Detection and Response (XDR) Software 2025 Vendor Assessment (doc #US52997325, September 2025).

Key Highlights of the IDC MarketScapeThe IDC MarketScape emphasizes showcases the distinct advantages that set our solution apart:Truly Open XDR Architecture — The IDC MarketScape notes, “Cisco XDR has a truly open XDR architecture.” Our open, hybrid approach to XDR allows customers to seamlessly integrate telemetry from both Cisco security solutions and third-party tools.

— The IDC MarketScape notes, “Cisco XDR has a truly open XDR architecture.” Our open, hybrid approach to XDR all…

Configure Host Groups for InfrastructureDefine Host Groups in SNA to categorize your network infrastructure devices such as routers, switches, and jump hosts.

Build Custom Security Events in SNA to detect suspicious or forbidden communications, such as unusual or forbidden traffic patterns.

Types of living of the land techniques SNA can be effective at detecting on infrastructure include:Unauthorized or suspicious logins to network devices.

Ask a question and stay connected with Cisco Security on social media.

Cisco Security Social MediaLinkedInFacebookInstagramX

It’s no longer enough to simply filter spam; organizations need a comprehensive, cloud-scale email security platform that fortifies existing investments, is simple to deploy, and provides robust, end-to-end protection.

Cisco Secure Email Threat Defense at the forefront of innovationBacked by over two decades of email gateway expertise, Secure Email Threat Defense brings the next wave of email security to your organization — it’s now a gateway solution!

With this new deployment mode, Email Threat Defense can now operate as a standalone email security gateway, providing organizations with even more flexibility in how they defend against evolving email threats.

A new licensing tier to simplify…

The New AI Connectivity ChallengeAI is driving rapid transformation and innovation across every industry.

Inside AI data centers, ultra-high performance is essential to efficiently feed XPU clusters.

Cisco Catalyst SD-WAN offers an on-demand, high-performance, and data center-agnostic network fabric that streamlines and accelerates access to AI data centers and Neocloud.

Cisco SD-WAN: On-Demand Access to GPU as-a-Service PlatformsTogether, this solution empowers rapid, cost-optimized, and secure access to next-generation AI infrastructure, ensuring innovation is never bottlenecked by the network.

How Enterprises Win With AI-Ready ConnectivityInstant AI Workload AccessSlash deployment times …

Scale security services efficiently and profitably with Cisco’s AI-powered management platformEarlier this year, we launched Cisco Security Cloud Control.

Now Cisco is introducing foundational, multi-customer management capabilities to Security Cloud Control designed specifically for the modern managed service provider (MSP).

This aligns with Cisco’s commitment to provide a platform-based operating model that streamlines every aspect of your security services business.

Get in touch with your Cisco representative to explore how the new multi-customer management capabilities in Cisco Security Cloud Control can align your operations with your growth strategy and unlock new levels of profitabil…

SE Labs awards Cisco Firewall dual AAA ratings for unmatched protection accuracy and performanceSE Labs named Cisco Secure Firewall the Best Next-Generation Enterprise Firewall of 2025.

“Behind every AAA rating is engineering excellence focused on solving real problems,” said Shaila Shankar, Senior Vice President of Engineering, Cisco Security Business Group.

“Enterprises shouldn’t have to choose between security and performance,” said Peter Bailey, Senior Vice President and General Manager of Cisco Security Business Group.

Ask a question and stay connected with Cisco Security on social media.

Cisco Security Social MediaLinkedInFacebookInstagramX

Recognizing these challenges, Cisco has launched a groundbreaking solution: the Cisco Secure Firewall 6100 Series.

Let’s dive deeper into what makes the Cisco Secure Firewall 6100 Series a game-changer.

1: Cisco Secure Firewall 6100 SeriesAdvanced Software Capabilities: The Heart of Secure FirewallingThe Cisco Secure Firewall 6100 Series isn’t just about hardware.

With the Secure Firewall 6100 Series, Cisco is not just addressing these needs—it’s redefining what’s possible.

Discover how the Cisco Secure Firewall 6100 Series can transform your organization’s security posture.

Advanced Threat Detection with Splunk Enterprise Security 8.2The Splunk Threat Research Team (STRT) along with Cisco Talos has developed targeted threat detections specifically for Cisco Secure Firewall integration.

Key Detection Examples:Cisco Secure Firewall — BITS Network ActivityThis detection identifies potentially suspicious use of the Windows BITS service by leveraging Cisco Secure Firewall’s built-in application detectors.

Using Splunk Compliance Essentials app, you can continually monitor the compliance posture across various control frameworks like CMMC, FISMA, RMF, DFARS, and even OMB M-21-31.

Call to ActionLeverage the Cisco Firewall Promotional Splunk OfferStarting August 2025,…

Identity is the new perimeter, and with Cisco Identity Intelligence, Secure Access brings continuous, adaptive access decisions to every user, device, and application.

The Blind Spot: Static View of Identity, Behavior, and Posture in a Dynamic WorldMost SSE platforms assume a user is just a login.

Cisco Identity Intelligence: Leverage User Trust Level to Reduce RiskCisco Secure Access integrates with Cisco Identity Intelligence (CII) to make SSE identity-focused, risk-aware and self-adjusting.

In September of this year, Cisco extended Secure Access integration with CII beyond user trust levels being visible in the Secure Access dashboard.

The administrator may enable, for all ZTNA-protected…

“If I could change one thing about my organization’s segmentation approach, it would definitely be to further automate and integrate our segmentation tools and processes.

This change would have significant impact on effectiveness and efficiency.” UK, IT, telecoms, and technology, 2025 Cisco Segmentation ReportSegmentation is a complex and evolving technology that bridges multiple layers of the IT stack.

The responses in the 2025 Cisco Segmentation Report make clear that in an era where 84% of organizations suffered a breach in the past year, segmentation has become the foundation of resilience.

The 2025 Cisco Segmentation Report is helping Cisco align our segmentation product strategies to …

Cisco Secure Firewall 1220, leveraging the power of its Snort3 engine, recently underwent rigorous testing, adhering to NetSecOPEN standards, demonstrating its exceptional capabilities in both performance and security efficacy.

The testing was conducted by an approved NetSecOPEN test lab, ensuring adherence to stringent industry standards for network security performance.

The Device Under Test (DUT) was a Secure Firewall tested using the latest software version, vulnerability database, and Snort update.

Loading Time for Secure Web Pages (HTTPS): On average, it takes as little as 2.159 milliseconds for the first part of a secure web page to start loading when tested with 16,000 requests per …

When we analyze many of the breaches that have taken place, there is a common theme we can use to elevate our defensive game.

Lateral movement (Tactic TA0008) tends to be leveraged as high as 70% of cyber breaches.

Even with layers, we are never going to provide 100% security effectiveness 100% of the time.

Again, no defensive capability will ever provide 100% efficacy 100% of the time but restricting this tactic significantly improves our chances.

I am challenging organizations to invest time solving the lateral movement risk that exists.

Let’s Agree on a Standard Taxonomy for SegmentationThe first step is to standardize how we talk about segmentation.

Given the rapid evolution of segmentation, its various types and the use of jargon by vendors, segmentation is in desperate need of an established taxonomy.

Fortunately, the TechRxiv paper does a great job of organizing segmentation taxonomy, separating terms into three buckets:How Segments are Delineated : The way segments are defined is a critical differentiation between segmentation types.

The Infrastructure Over Which Segmentation is Deployed : Segmentation also differs based on the underlying infrastructure.

How Enforcement is Implemented: The way segmentation is enforced…

That trust has become the foundation of McLaren’s digital resilience, especially as the team faces ever more complex and high-stakes security challenges.

That is when Cisco’s latest tech, including Wi-Fi 6E, rolled out across the McLaren Technology Centre and at race venues.

In Formula 1, every millisecond matters, and every piece of data counts, no matter where in the world team is racing.

Ask a question and stay connected with Cisco Security on social media.

Cisco Security Social MediaLinkedInFacebookInstagramX

The opportunity for defendersImplement remote access to SharePoint over a VPN or, even better, zero trust access (ZTA) — Zero trust access hides the FQDN of these systems from the internet.

— Zero trust access hides the FQDN of these systems from the internet.

Enable signatures for intrusion prevention systems and web application firewalls — SNORT: SID 65092, SID 65183.

Once we identify these systems with CVEs, we quickly remove external access to these systems instantly based on exposure.

Couple this with campus based zero trust and ZTA to the application with workload/application segmentation and we have a recipe for success.

Microsoft has discovered a new type of side-channel attack on remote language models.

In this blog post, we present a novel side-channel attack against streaming-mode language models that uses network packet sizes and timings.

At a high level, language models generate responses by predicting and producing one token at a time based on the given prompt.

We chose a standard of language model temperature = 1.0 to encourage language model response diversity.

Use non-streaming models of large language models providers.

According to IDC’s latest research, organizations experienced an average of nine cloud security incidents in 2024, with 89% reporting a year-over-year increase.

Read IDC’s latest research, The Next Era of Cloud Security: Cloud-Native Application Protection Platform and Beyond, to dive deep into the future of cloud security—and what it means for chief information security officers (CISOs), security architects, and product leaders.

The role of the CISO is evolving to align security with business prioritiesIn 37% of organizations, CISOs now have ownership over cloud security management.

Learn moreRead IDC’s full whitepaper, The Next Era of Cloud Security: Cloud-Native Application Protection Pl…

Because, at this moment in history, those of us who understand critical infrastructure security have a responsibility to act.

DORA was similarly adopted to bolster the digital resilience of financial entities operating within the EU.

The release of the Microsoft Digital Defense Report provides the latest intelligence on the cyberthreat landscape and actionable recommendations for organizations worldwide.

To learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

To help security teams better face the growing challenges, generative AI offers transformative capabilities that can bridge critical gaps.

In a newly released e-book from Microsoft, we share multiple scenarios that showcase how Microsoft Security Copilot, powered by generative AI, can empower security analysts, accelerate incident response, and improve operational inefficiencies.

Key statistics on the realities of today’s security operations center (SOCs).

Learn more with Microsoft SecurityTo learn more about Microsoft Security solutions, visit our website.

1 “Generative AI and Security Operations Center Productivity: Evidence from Live Operations,” page 2, Microsoft, November 20242 Cyberse…

To help security teams better face the growing challenges, generative AI offers transformative capabilities that can bridge critical gaps.

In a newly released e-book from Microsoft, we share multiple scenarios that showcase how Microsoft Security Copilot, powered by generative AI, can empower security analysts, accelerate incident response, and improve operational inefficiencies.

Key statistics on the realities of today’s security operations center (SOCs).

Learn more with Microsoft SecurityTo learn more about Microsoft Security solutions, visit our website.

1 “Generative AI and Security Operations Center Productivity: Evidence from Live Operations,” page 2, Microsoft, November 20242 Cyberse…

Microsoft and OpenAI jointly investigated the threat actor’s use of the OpenAI Assistants API.

Instead, it uses OpenAI Assistants API to fetch commands, which the malware then decrypts and executes locally.

First, the backdoor queries the vector store list from OpenAI using the OpenAI Assistants API and the hardcoded API key.

Reading message from OpenAIThe message retrieved from OpenAI using thread ID and message ID might look like this:Figure 12.

To hear stories and insights from the Microsoft Threat Intelligence community about the ever-evolving threat landscape, listen to the Microsoft Threat Intelligence podcast.

5 Generative AI Security Threats You Must Know About A definitive guide to unifying security across cloud and AI applications.

For a deeper dive into critical threats and practical guidance on mitigation, read the full Microsoft guide: 5 Generative AI Security Threats You Must Know About.

Redefining security for the generative AI eraAs generative AI becomes foundational, security leaders must evolve their strategies.

To understand the top AI-powered cyberthreats and how to mitigate them, get the e-book: 5 Generative AI Security Threats You Must Know About.

1 Microsoft Digital Defense Report 20252Accelerate AI transformation with strong security: The path to securely embracing AI adoption in…

Security teams are left managing a constellation of users, infrastructure, and tools scattered across hybrid environments or even multivendor ecosystems.

ITDR for the modern enterpriseSuccessful identity security practices understand that seams in protection are the real enemy of identity security.

While both identity and security teams play critical roles in ITDR, it is just one piece of their overall charter and goal.

For instance, identity security posture recommendations are essential but only one piece of broader security hardening.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

Security teams are left managing a constellation of users, infrastructure, and tools scattered across hybrid environments or even multivendor ecosystems.

ITDR for the modern enterpriseSuccessful identity security practices understand that seams in protection are the real enemy of identity security.

While both identity and security teams play critical roles in ITDR, it is just one piece of their overall charter and goal.

For instance, identity security posture recommendations are essential but only one piece of broader security hardening.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

AI has fundamentally changed the equation, impacting the speed, scale, and sophistication of cyberattacks in ways that render many traditional defensive assumptions obsolete.

Steps to strengthen resilience and response across your organizationThe acceleration we are witnessing—cyberattack speed, operational scale, and technical sophistication—demands an equivalent acceleration in our response.

We are architects of organizational resilience in an era where cyberthreats move at machine speed and span continents.

Learn more with Microsoft SecurityTo learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the l…

AI has fundamentally changed the equation, impacting the speed, scale, and sophistication of cyberattacks in ways that render many traditional defensive assumptions obsolete.

Steps to strengthen resilience and response across your organizationThe acceleration we are witnessing—cyberattack speed, operational scale, and technical sophistication—demands an equivalent acceleration in our response.

We are architects of organizational resilience in an era where cyberthreats move at machine speed and span continents.

Learn more with Microsoft SecurityTo learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the l…

Security Store is the gateway for customers to easily discover, buy, and deploy trusted security solutions and AI agents from leading partners—all verified by Microsoft Security product teams to work seamlessly with Microsoft Security products.

Security Store: Your gateway to stronger securityReleased to public preview on September 30, 2025, Microsoft Security Store brings together a diverse catalog of security solutions and AI-powered agents from Microsoft and leading partners—all in one unified experience.

The Security Store is the place to discover, buy, and deploy security solutions and agents that work with Microsoft Security products, helping organizations strengthen their security.

F…

Security Store is the gateway for customers to easily discover, buy, and deploy trusted security solutions and AI agents from leading partners—all verified by Microsoft Security product teams to work seamlessly with Microsoft Security products.

Security Store: Your gateway to stronger securityReleased to public preview on September 30, 2025, Microsoft Security Store brings together a diverse catalog of security solutions and AI-powered agents from Microsoft and leading partners—all in one unified experience.

The Security Store is the place to discover, buy, and deploy security solutions and agents that work with Microsoft Security products, helping organizations strengthen their security.

F…

We also provide threat detections to help contain and prevent Blob Storage threat activity with Microsoft Defender for Cloud’s Defender for Storage plan.

How Azure Blob Storage worksAzure Storage supports a wide range of options for handling exabytes of blob data from many sources at scale.

Attack techniques that abuse Blob Storage along the attack chainReconnaissanceThreat actors enumerate Blob Storage to identify publicly exposed data and credentials that they can leverage later in the attack chain.

Enterprises often use Azure Data Factory and Azure Synapse Analytics to copy and transform data from Azure Blob Storage.

To hear stories and insights from the Microsoft Threat Intelligence com…

Survey shows Android users’ confidence in scam protectionsGoogle and YouGov3 surveyed 5,000 smartphone users across the U.S., India, and Brazil about their experiences.

The findings were clear: Android users reported receiving fewer scam texts and felt more confident that their device was keeping them safe.

Android users were 58% more likely than iOS users to say they had not received any scam texts in the week prior to the survey.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

As an extra safeguard, Google Messages also helps block suspicious links in messages that are determined to be spam or scams.

What's worse, many plaintext HTTP connections today are entirely invisible to users, as HTTP sites may immediately redirect to HTTPS sites.

To address this risk, we launched the “Always Use Secure Connections” setting in 2022 as an opt-in option.

We now think the time has come to enable “Always Use Secure Connections” for all users by default.

For more than a decade, Google has published the HTTPS transparency report, which tracks the percentage of navigations in Chrome that use HTTPS.

Since HTTP navigations remain a regular occurrence for most Chrome users, a naive approach to warning on all HTTP navigations would be quite disruptive.

To help accelerate adoption of AI for cybersecurity workflows, we partnered with Airbus at DEF CON 33 to host the GenSec Capture the Flag (CTF), dedicated to human-AI collaboration in cybersecurity.

Our goal was to create a fun, interactive environment, where participants across various skill levels could explore how AI can accelerate their daily cybersecurity workflows.

An overwhelming 85% of all participants found the event useful for learning how AI can be applied to security workflows.

This positive feedback highlights that AI-centric CTFs can play a vital role in speeding up AI education and adoption in the security community.

We are committed to advancing the AI cybersecurity frontier…

This page appears when Google automatically detects requests coming from your computer network which appear to be in violation of the Terms of Service .

The block will expire shortly after those requests stop.

In the meantime, solving the above CAPTCHA will let you continue to use our services.This traffic may have been sent by malicious software, a browser plug-in, or a script that sends automated requests.

If you share your network connection, ask your administrator for help — a different computer using the same IP address may be responsible.

Learn more Sometimes you may be asked to solve the CAPTCHA if you are using advanced terms that robots are known to use, or sending requests very qu…

At Made by Google 2025, we announced that the new Google Pixel 10 phones will support C2PA Content Credentials in Pixel Camera and Google Photos.

Pixel Camera attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

attaches Content Credentials to any JPEG photo capture, with the appropriate description as defined by the Content Credentials specification for each capture mode.

Google Photos attaches Content Credentials to JPEG images that already have Content Credentials and are edited using AI or non-AI tools, and also to any images that are edited using AI tools.

Building a More Trus…

Today marks a watershed moment and new benchmark for open-source security and the future of consumer electronics.

Google is proud to announce that protected KVM (pKVM), the hypervisor that powers the Android Virtualization Framework, has officially achieved SESIP Level 5 certification.

This makes pKVM the first software security system designed for large-scale deployment in consumer electronics to meet this assurance bar.

With this level of security assurance, Android is now positioned to securely support the next generation of high-criticality isolated workloads.

Achieving Security Evaluation Standard for IoT Platforms (SESIP) Level 5 is a landmark because it incorporates AVA_VAN.5, the hi…

Today we're excited to announce OSS Rebuild, a new project to strengthen trust in open source package ecosystems by reproducing upstream artifacts.

Infrastructure definitions to allow organizations to easily run their own instances of OSS Rebuild to rebuild, generate, sign, and distribute provenance.

With an estimated value exceeding $12 trillion, open source software has never been more integral to the global economy.

For publishers and maintainers of open source packages, OSS Rebuild can...

If you're a developer, enterprise, or security researcher interested in OSS security, we invite you to follow along and get involved!

Android recently announced Advanced Protection, which extends Google’s Advanced Protection Program to a device-level security setting for Android users that need heightened security—such as journalists, elected officials, and public figures.

This is particularly useful for Advanced Protection users, since in 2023, plaintext HTTP was used as an exploitation vector during the Egyptian election.

JavaScript Optimizations and Security Advanced Protection reduces the attack surface of Chrome by disabling the higher-level optimizing Javascript compilers inside V8.

Javascript optimizers can be disabled outside of Advanced Protection Mode via the “Javascript optimization & security” Site Setting.

We…

Below we describe our prompt injection mitigation product strategy based on extensive research, development, and deployment of improved security mitigations.

A layered security approachGoogle has taken a layered security approach introducing security measures designed for each stage of the prompt lifecycle.

From there, a key protection against prompt injection and data exfiltration attacks occurs at the URL level.

Users are encouraged to become more familiar with our prompt injection defenses by reading the Help Center article.

Moving forwardOur comprehensive prompt injection security strategy strengthens the overall security framework for Gemini.

The Chrome Root Program Policy states that Certification Authority (CA) certificates included in the Chrome Root Store must provide value to Chrome end users that exceeds the risk of their continued inclusion.

To safeguard Chrome’s users, and preserve the integrity of the Chrome Root Store, we are taking the following action.

Apple policies prevent the Chrome Certificate Verifier and corresponding Chrome Root Store from being used on Chrome for iOS.

Beginning in Chrome 127, enterprises can override Chrome Root Store constraints like those described in this blog post by installing the corresponding root CA certificate as a locally-trusted root on the platform Chrome is running (e.g., install…

Google Quantum AI's mission is to build best in class quantum computing for otherwise unsolvable problems.

In 2019, using the same physical assumptions – which consider qubits with a slightly lower error rate than Google Quantum AI’s current quantum computers – the estimate was lowered to 20 million physical qubits.

Normally more error correction layers means more overhead, but a good combination was discovered by the Google Quantum AI team in 2023.

Another notable error correction improvement is using "magic state cultivation", proposed by the Google Quantum AI team in 2024, to reduce the workspace required for certain basic quantum operations.

These algorithms can already be deployed to d…

Our dedication to your security is validated by security experts, who consistently rank top Android devices highest in security, and score Android smartphones, led by the Pixel 9 Pro, as leaders in anti-fraud efficacy.

Now, Google Play Protect live threat detection will catch apps and alert you when we detect this deceptive behavior.

We’ve made Google Play Protect’s on-device capabilities smarter to help us identify more malicious applications even faster to keep you safe.

Google Play Protect now uses a new set of on-device rules to specifically look for text or binary patterns to quickly identify malware families.

This update to Google Play Protect is now available globally for all Android…

To enhance these existing device defenses, Android 16 extends Advanced Protection with a device-level security setting for Android users.

Advanced Protection gives users:Best-in-class protection, minimal disruption: Advanced Protection gives users the option to equip their devices with Android’s most effective security features for proactive defense, with a user-friendly and low-friction experience.

Advanced Protection gives users the option to equip their devices with Android’s most effective security features for proactive defense, with a user-friendly and low-friction experience.

Defense-in-depth: Once a user turns on Advanced Protection, the system prevents accidental or malicious disab…

Tech support scams are an increasingly prevalent form of cybercrime, characterized by deceptive tactics aimed at extorting money or gaining unauthorized access to sensitive data.

Tech support scams on the web often employ alarming pop-up warnings mimicking legitimate security alerts.

Chrome has always worked with Google Safe Browsing to help keep you safe online.

Standard Protection users will also benefit indirectly from this feature as we add newly discovered dangerous sites to blocklists.

Beyond tech support scams, in the future we plan to use the capabilities described in this post to help detect other popular scam types, such as package tracking scams and unpaid toll scams.