A recap and takeaways of some stuff we talked about some days ago during the "Don't Get Rekt" episode 4 "THE OPSEC WAKEUP CALL" by @RektHQ with @officer_secret: DPRK, Operational security, physical security and kidnappings, Bybit, hardware wallets, and more.
A thread 🧵 > Current status of web3 security: 99% of stolen funds are not due to smart contract hacks anymore, but Operational security issues, this means Social engineering, malware, 0day exploits, sim-swaps, insider threat, account takeovers, phishing, domain and dns hijacks, etc.

🚨 Como el robo de algunas cuentas de Telegram terminó desenmascarando el hackeo de una GRAN parte de los SMS enviados por las principales tecnológicas del mundo (Apple, Binance, Google, Microsoft, Whatsapp, Instagram, Facebook, Paypal, Mercadolibre, Telegram, Mi Argentina y más) a sus clientes en Argentina, Uruguay y Chile.
Acá va la historia (casi) completa de como se dió todo 👇 Lo primero a aclarar es que hay varias personas que participaron de ésto, pero prefieren no ser nombradas por seguridad. Esto fue un trabajo en equipo. Sólo no se llega a ningún lado.

El viernes me robaron el celular desbloqueado en Palermo. Gracias a que estaba preparado para este escenario, no pudieron hacer absolutamente nada con el mismo (ni formatearlo). Van un par de recomendaciones simples que les evitarán un dolor de cabeza si algún día les sucede. 👇 1 - Activar el "Theft protection" de Android o el "Stolen device protection" de iOS. Esta funcionalidad bloquea el teléfono ante la detección de un movimiento repentino, como lo es el arrebato en la calle. Esta fue la primer barrera que me protegió a mi. Se bloqueó al toque.

Some days ago, they tried to hijack my Twitter account. Let's examine step by step how this scam works and what you should do to avoid falling victim.
Let's go 🧵 One day, I received a DM from a supposed member of @decryptmedia offering me a guest spot on their podcast. I first noticed that this account was not being followed by anyone I follow (and I follow 3.7K accounts). But I decided to continue, to research.

🚨Exploit 0day zero-click en Telegram e iMessage 🚨
La semana pasada se publicó la existencia de un exploit para Telegram que permitía ejecutar código en el dispositivo atacado, con tan sólo enviarle un mensaje con un adjunto. Se le llama zero-click attack porque no requiere que el usuario haga nada (ni un click), con solo recibir el mensaje, es infectado. Luego de infectar el device, te roban private keys, contraseñas, cookies con sesiones iniciadas, etc.
En principio, este bug en Telegram entiendo que ya fue patcheado (arreglado).
Hoy TrustWallet salió a anunciar un potencial exploit similar para iMessage de Apple (el cual no está verificado que sea real).
En ambos casos, estos exploits se aprovechan de los archivos que se autodescargan y ejecutan código malicioso cuando en nuestro dispositivo se genera la miniatura de esta imagen descargada.
¿Cómo evitar estos exploits y potenciales exploits futuros tanto en Telegram como WhatsApp e iMessage? (no hay nada reportado en Whatsapp aún, pero podemos ser proactivos)
👇

•⁠ ⁠Telegram: Settings > Data and storage > Automatic media download: deshabilitan los tres: "When using mobile data", "When connected to Wi-Fi" y "When roaming"

🔐 Uso y configuración segura de Telegram 💬
Telegram está super extendido en el ecosistema, siendo utilizado por más del 90%. Pero prácticamente todos lo usan mal.
Asi que acá van algunos tips muy simples y mitos a tener en cuenta y para configurarlo seguro. Pequeño hilo 🧵 Mito: Telegram es más seguro que Whatsapp. Esto no es asi, ni cerca, de hecho durante una invasión rusa, cuando se bloquearon todos los servicios de comunicación, el único que no se bloqueó, fue Telegram. ¿Se imaginan por qué? Por que ellos tienen acceso a todo

🚨 Alerta usuarios de Lastpass y password managers ⚠️
¿Sos o fuiste usuario de Lastpass? El año pasado sufrieron un par de hackeos y algunas de sus bases de datos de usuarios fueron robadas.
¿Cómo te impacta y qué deberías de hacer al respecto?
Sale muy breve hilo... 🧵 Lastpass es un gestor de contraseñas, el cual puede usarse para guardar no sólo passwords sino textos sensibles, tarjetas de crédito, etc, las cuales quedan guardadas en la nube (o sea sus servers) de forma "segura" 😬

Two days ago I was target of a highly sophisticated attack on my Apple id account. Due to the fact that I have several layers of protection, the attack was not successful, but would have worked for 99% of users.
I'll publish a report next week, but in the meantime, some things 👇 1 - Your Apple ID email should NOT be your public email, but an email you exclusively use for that and nothing else. No one other than you should know of it's existence.

🚨Les voy a contar de una nueva estafa que está sucediendo hoy en día en Argentina MUY pesada en la cual cientos cayeron pero jamás denuncian por obvias razones. Incluye a Tinder y a "menores".
¿Cómo funciona? Juan tiene Tinder y lo usa para conocer mujeres para salir. Sigue 👇.. Un día hace match con una cuenta X, llamémosle la de Paula y se ponen a chatear. De Tinder pasan a Whatsapp y la charla se empieza a subir de tono de a poco. Paula le empieza a enviar fotos a Juan, con poca ropa y algunas desnuda, sin mostrar la cara.

🔒 A few days ago an update came out of, in my opinion, the best tool to store information securely: Veracrypt (successor to Truecrypt). For those who use it or want to start using it, I leave you a couple of important tips. So here goes a short thread 🧵 Veracrypt is open-source software for Windows, Mac and Linux that allows us to create encrypted virtual disks with military-grade encryption. Technically speaking and as far as my knowledge goes, impossible to open without its passphrase.
webcitation.org/query?url=g1.g…

🔒 Hace unos días salió un update de, en mi opinión, la mejor herramienta para guardar información de forma segura: Veracrypt (sucesor de Truecrypt). Para los que lo usan o quieran comenzar a usar, les dejo un par de tips importantes. Sale breve hilo 🧵 Veracrypt es un software open-source para Windows, Mac y Linux que nos permite crear discos virtuales encriptados con encriptación de graduación militar. Técnicamente hablando y hasta donde mi conocimiento llega, imposibles de abrir sin su passphrase.
webcitation.org/query?url=g1.g…

No soy experto, pero vengo estudiando sobre IA y su cross con Blockchain y ciberseguridad🤖. Para poder arrancar de la base, acá voy a explicar algunos de los principales conceptos de Inteligencia artificial, desde machine learning hasta LLM (large language models). Sale hilo 🧵 La AI se enfoca en crear sistemas que pueden realizar tareas que normalmente requieren inteligencia humana. Esto incluye el reconocimiento de voz 🗣️, la toma de decisiones 🤔 y la comprensión del lenguaje natural 🗣️🌐.

Si usan una hot wallet como Metamask en una laptop y no tienen algunas medidas de seguridad, es inevitable que se las vacíen. Hay un boom de malware que ingresa al sistema, va en busca de los keystore files que guardan la private key, se la roban y la desencriptan. Van tips 👇🏻 Tengan un password complejo en metamask

Breve resumen de cómo llegamos hasta aquí: ¿La FED es estúpida? 🪙
Sale hilo 🧵
🧨 USA maneja la moneda del mundo, todo el mundo ahorra en dólares, por lo cual su política monetaria, ha tenido mucha efectividad en el pasado (o acumulado errores que pagarán en el futuro para algunos).

🔐Hackearon el protocolo DeFi @eulerfinance y se llevaron USD 197M. Más info en los links de acá abajo 👇

https://twitter.com/peckshield/status/1635203838939652097

Me acaban de llamar con la estafa de la quinta dosis de covid. No lo pude grabar, pero lo importante es que ahora usan otro método para secuestrar el whatsapp. En lugar de secuestrar nuestra cuenta, piden cambio de número para la cuenta, lo cual hace más difícil recuperarla. 👇🏻 Vos tenes tu whatsapp con tu linea X. Te llaman, te hacen el cuento de enviarte el certificado de vacunación completo. Desde su lado ellos solicitan actualizar la cuenta de whatsapp con un nuevo numero, de ellos. Whatsapp te envía un código para verificar el traspaso.

¿Querés saber como activar el modo no "políticamente correcto" en ChatGPT? Se llama DAN y viene de: Do Anything Now. Es muy útil y además se mueren de la risa con algunas respuestas. Acá van instrucciones 👇 El texto que acá va en partes tienen que ponerlo completo todo junto:

Ethereum Proof of Stake y el merge: ¿Qué es y como funciona? ¿Por qué es importante? ¿Qué implica el merge a nivel económico, técnico, de escalabilidad y de usabilidad? ¿Cuál es la diferencia con Proof of Work? ¿Baja el precio de las transacciones? Acá te lo cuento, sale hilo 🧵 El Merge es el momento en el cual Ethereum dejará de utilizar el mecanismo de consenso Proof of Work para pasar a utilizar Proof of Stake. Está previsto suceder mañana miércoles 14 de septiembre a las 12 de la noche de Argentina aprox. Pero ¿Qué son cada uno y para qué sirven?

Vení a ver la transmisión del Merge de Ethereum en vivo!
- Este miércoles 14 a las 19 hs 🗓️
- En Espacio Inside (Av Cabildo 2040, Buenos Aires) 🏙️
Panel del merge, proof of stake y escalabilidad.
Pizzas, cosas ricas, cervezas, tragos y sorpresas. 🍕🍻🍸
Swag y poaps 😎
Tickets 👇 En el panel tendremos invitados muy copados, entre ellos a @JuaniGallo de Fundit y @Lucianken de @oasisdotapp. La idea es que podamos charlar de que se trata todo a nivel técnico, económico, de usabilidad y de escalabilidad. Y que todos se pueden sacar todas las dudas que tengan.

Una historia acerca de tener a Dios como asesor financiero y algunos gráficos que muestran la ventaja de invertir en el largo plazo: no perder dinero y tener retornos superiores y más predecibles. Sale breve hilo 🧵 > El estudio "Even God Would Get Fired as an Active Investor" muestra lo que sucedería si contrataras a Dios como tu asesor financiero.
¿Qué pasaría si un administrador de cartera supiera exactamente cuáles son las mejores acciones para comprar en los próximos cinco años?

Tengo los mensajes privados explotados, así que aclaro por acá lo que preguntan casi todos:
están a tiempo de sumarse a la cursada actual de "Crypto & DeFi 101" ya que ahora tenemos un campus virtual y se puede cursar tanto en vivo como grabado. Link acá abajo 👇 La inscripción es acá defyeducation.com/curso-introduc…