6️⃣Wnioski: Sprzedajesz na OLX? Rozmawiaj TYLKO na czacie OLX.
Jeden raport do CERT/Cloudflare ratuje kogoś przed utratą oszczędności.
Stay safe. 🛡️
CC: @niebezpiecznik @Zaufana3Strona @CERT_Polska
Polski
0xCurSE
11 posts
0xCurSE
@0xCurSE
Hunting scammers through SE & Code. 🕵️ OSINT | 🎭 Social Engineering | 🐍 Python | 🇵🇱
/dev/null 가입일 Ocak 2026
12 팔로잉0 팔로워
5️⃣Takedown.
❌ Wszystkie strony z rozmowy zgłoszono do: @CERT_Polska @CSIRT_KNF
Dziękuję obu zespołom za bardzo szybką reakcję oraz sprawne odpowiedzi mailowe!
Pozostałe:
Google Safe Browsing
Cloudflare Abuse
Ps: Konto WhatsApp też zgłoszone.
Polski
Anatomia phishingu na OLX 2026. Case study.
Honeypot: Dyson Airwrap. Czas do ataku: 15 min.
Bilans: ❌ 6 spalonych domen. ❌ Infrastruktura: Jump Host + Cloudflare. ✅ Zgłoszono do @CERT_Polska .
Techniczna analiza poniżej. 🧵👇 #CyberSecurity #OLX #Phishing
Polski
@niebezpiecznik To przypomnienie, dlaczego przetwarzanie obrazów (ImageIO) to wciąż jeden z największych wektorów ataku.
Polski
Analiza ataku zero click na iPhone. Obrazkiem przez Whatsappa.
Md Ismail Šojal 🕷️@0x0SojalSec
Zero-Click iPhone Hack via WhatsApp Images : Quarkslab blog post analyzing the patch for Apple's iOS CVE-2025-43300 (a zero-click vulnerability in ImageIO via malformed DNG images, potentially exploitable through apps like WhatsApp) Fascinating patch analysis: Incredible how just 2 bytes patched CVE-2025-43300, a zero-click out-of-bounds write in Apple's ImageIO. Triggered by sneaky DNG images, CVE-2025-43300 stemmed from a mismatch in DNG/JPEG parsing, causing double writes and potential code execution. that could hijack your device via rogue images. Apple's August 2025 patch - blog.quarkslab.com/patch-analysis…
Polski
@niebezpiecznik To 35 zł to tylko wierzchołek góry lodowej. Przejęte konto nauczyciela to 100% zaufania rodzica do nadawcy, więc klikalność w złośliwe linki (malware/phishing) byłaby tu kosmiczna. Konto wychowawcy albo dyrektora dla socjotechnika to marzenie.
Polski
Wiemy dlaczego tylko 18% nauczycieli poprawnie chroni swoje konta w e-dziennikach (ma 2FA).
Chodzi o to, że aby włączyć 2FA trzeba zainstalować apkę e-dziennika na smartfonie a nauczyciele ❌ nie chcą tego robić na swoich prywatnych smartfonach. A służbowych nie mają. Kurtyna.
Niebezpiecznik@niebezpiecznik
Ruszyły ataki na rodziców poprzez e-dzienniki Librus i Vulcan. Ktoś przejmuje konta nauczycieli i wyłudza pieniądze, rozsyła sprośne treści, wystawia złe oceny. Co wiemy o sprawie? Tutaj nasza analiza: niebezpiecznik.pl/post/fala-wlam…
Polski
@krystiankry Widoczny zrzut SQL (VALUES) zawiera listę placówek i sortowni (dane publiczne/scraping). Wygląda na to, że autor próbuje sprzedać ogólnodostępne dane jako wyciek krytyczny, albo próbka jest źle dobrana. Konto założone jan 2026 na forum może nam o tym mówić.
Polski
W sieci pojawiło się ogłoszenie dotyczące rzekomego wycieku bazy danych przypisywanej InPost. Według autora, baza danych o rozmiarze 220MB zawiera ponad 2 miliony rekordów. Prawdopodobnie są to dane pracowników: imiona, nazwiska, e-maile, adresy, a także hasła i kody dostępu.
Polski
Wystarczyło stworzyć konto na OLX i zrobić losowe ogłoszenie. Phishing attempt w mniej niż 10 minut od wystawienia ogłoszenia.
Technika klasyczna: Social Proof z wykorzystaniem fałszywego konta FB. Konto już zgłoszone.
#OSINT #Scambaiting #CyberSecurity #OLX
Polski