binsec

Am 11. Februar 2025 erhielt die binsec GmbH eine „Ausschreibung der Emirates Group“ von vendor.registration@theemirategroup.com:

Dear Valued Vendor,
Greetings from Emirates Group,
We invite you to register as a vendor with Emirates Group. A leading aviation company in UAE. Our goal is to build a diverse and qualified vendor base to support our business needs. This will open up opportunities to provide goods and services to our projects and developments.
Our projects are open for all companies. And this is a special consideration towards your participation for the ongoing registration
To register, Kindly confirm your interest by requesting for Vendor Questionnaire and EOI.
We look forward to potentially working with you!
Best Regards
Mr. Sameh Bakier
Vendor Coordinator Group Procurement & Contract
Shared Services Center of The Emirates Group

Wenn man auf diese E-Mail antwortet und dabei behauptet, interessiert zu sein, erhält man eine E-Mail mit drei PDF-Dokumenten, darunter beispielsweise die Emirates Vendor Assessment Policy. Tatsächlich sehen diese Dokumente gut und authentisch aus. Die Mail enthält auch eine „Vendor Regisgtration Acceptance Form“:

Sie verlangen also eine Zahlung von AED 57.850 (entspricht 15.000 €), um den Prozess zu starten. Die Domain, von der die E-Mails gesendet werden, ist theemirategroup.com, die Original-Domain von The Emirates Group ist theemiratesgroup.com. In der Domain fehlt ein „s“…

Du suchst nach einem kostenlosen Online-Tool, um die SSL/TLS-Konfiguration auf einem bestimmten benutzerdefinierten Port zu prüfen, der nicht 443 ist? Dann probiere SSLCheck von binsec.tool aus – da kannst du den zu testenden Port angeben, z. B. 8443. Der SSLScan von binsec.tool gibt einen Überblick über die Protokolle und Chiffren der TLS-Konfiguration und prüft das Sicherheitsniveau. Es unterstützt sogar das Testen von StartTLS für SMTP, IMAP und LDAP.

WebCompScan von binsec.tools ermöglicht es die auf Websites eingesetzten Technologien zu identifizieren und zu überprüfen, ob diese veraltet oder anfällig sind.

Zu den Technologien, die das Tool WebCompScan erkennen kann zählen unter anderem CMS-Systeme, Webserver, Programmiersprachen, JavaScript-Libraries, aber auch angebotene Zahlungsmittel.

Zur Erkennung der Technologien greift es auf Open Source Datenbanken mit Regex-Patterns zurück. Die zu prüfende Website wird automatisiert in einem Browser aufgerufen und mit Hilfe der Patterns wird überprüft, ob die verschiedenen Bestandteile der Website Hinweise für bekannte Technologien enthalten. Dabei werden neben HTTP-Headern und dem HTML-Quellcode der Website auch das Document Object Model (DOM) und die JavaScript-Variablen während der Ausführung anaylsiert.

In einigen Fällen können auf diese Weise auch Versionsinformation zu den eingesetzten Softwarekomponenten gewonnen werden. Diese werden im nächsten Schritt mit einer Open Source Datenbank zu bekannten Schwachstellen geprüft. Ebenso wird geprüft, ob die Softwarekomponenten noch vom Hersteller unterstützt werden oder bereits End of Life sind.

Im Prinzip sind all diese Informationen öffentlich, binsec.tools kombiniert sie jedoch zu einem kostenlosem Pentest Tool.

Die binsec Gruppe startet binsec.tools:

https//binsec.tools | Online Tools for Penetration Testing

Online sind die ersten drei Tools SSLCheck, WebCompScan und DNSCheck.

• SSLCheck: Das SSLCheck-Modul zeigt die verfügbaren SSL/TLS-Protokolle, Chiffren und zusätzliche Zertifikatsinformationen an. Der Scan führt mehrere SSL/TLS-Verbindungen zur Zieldomäne aus.
• WebCompScan: WebCompScan durchsucht die angegebene URL und versucht, die verwendeten Technologien mithilfe verschiedener Methoden anhand der verfügbaren Informationen wie DOM, Header und vielem mehr zu finden. Dieser Scan ist nicht invasiv, da er wie jeder andere Browser nur die Website durchsucht.
• DNSCheck: Der DNSCheck führt Sicherheits- und Validierungsprüfungen für die angegebene DNS-Domäne durch. Diese Prüfung ist nicht invasiv und führt Standard-DNS-Lookups durch.

Die binsec GmbH sucht ab sofort Senior Penetration Tester, die etwas auf dem Kasten haben. Wer für verschiedene Kunden unterschiedliche Penetrationstests durchführen will oder es satt hat auf 12-Monats-Projekten bei Kunden zu sitzen. Hier findet man die Job-Beschreibung bzw Stellenanzeige:

https://www.binsec.com/de/jobs/senior-penetration-tester/

Die Stellenanzeige zum Senior Penetration Tester (m/w/d) entspricht ziemlich dem Arbeitsklima, Mindset und Humor des Teams. Wer sich also so gar nicht angesprochen fühlt, ist hier fehl am Platz. Wer Bock auf ein cooles Team hat, her mit der Bewerbung.

Eigentlich hätte es eher schon BETTER PENTESTING – NO BULLSHIT heißen müssen, wenn man die Werbe- und Verkaufsversprechen vieler Anbieter für Pentesting sieht. Etwas abgeschwächt ist es dann BETTER PENTESTING – NO NONSENSE als neuer Werbe-Slogan für Pentesting der binsec GmbH geworden.

Wie man auf den ganzen Bullshit – sorry Nonsense – vieler anderer Pentesting Dienstleister kommt? Hier ein kleiner Best of Nonsense:

• Werbung: „Wir finden alle Schwachstellen!“
• Aussage: „Wir führen mit Nessus Penetrationstest durch.“
• Es wird ein Pentest verkauft und als Bericht erhält der Kunde eine Excel-Datei mit ca 10 Zeilen Inhalt.
• Zertifizierungen unserer Pentest: CISSP, CEH…“
• Man hat zwar kein Personal dafür, aber man stellt die Dienstleistung Penetration Testing auf die Webseite. Typisches IT-Systemhaus oder Datenschutz-Berater
• Durchdringungstiefe des Penetrationstest: Schwachstellen-Scan
• Man kommt im Google Ranking nicht hoch und kauft Pentest Backlinks bei zdnet ein ( ~1.000€) oder lässt in Foren „Pentest Frankfurt“ als Dienstleistung bewerben.
• Man schaltet Google Werbung beim Schlagwort „blackhole pentest“.
• Man verkauft die Tage einfach doppelt oder dreifach. So können Mitarbeiter auch 250% Zielerfüllung für den eigenen Bonus erreichen.

Heute habe ich eine sehr nette Mail von Gloria vom Enterprise Security Magazine Europe erhalten, in der mir mitgeteilt wird, dass binsec einer der Top Cyber Security Solution Provider ist.

Hi Patrick,

I am Gloria Lam with Enterprise Security Magazine Europe.

I am excited to inform you that our magazine’s evaluation panel has shortlisted binsec to feature as one of the ‘Top 10 Cyber Security Solution Providers in Europe 2022’ in our upcoming 2nd annual edition of ‘Cyber Security 2022’.

We want to feature binsec and bring out your specialization with a client-centric profile. binsec ‘s recognition feature published in this edition will depict your organization as a leader in the Cyber Security space and thus generate potential prospects while helping you convert existing prospects to clients. Our team has received positive feedback from our clients that the recognition profile has helped them convert their prospects to clients, and I’m sure you will see similar results.

At 3,000 Euros, you will receive a full-page exclusive interview-based profile. We will feature an HTML page of the profile on our website with a backlink to your website. Most importantly, you will acquire unlimited print and digital rights for the recognition profile, Logo, and Certificate of Honor. Upon your confirmation, we will schedule a telephonic interview with binsec ‘s CEO/Senior Management for us to move ahead.

Concerning the magazine, Enterprise Security Magazine Europe is a print and digital magazine with over 99,900 qualified subscribers across Europe. It provides a comprehensive platform for senior-level industry experts and decision-makers to share their insights following a unique learn-from-peers approach. This special edition will reach out to C-level decision-makers such as CISOs, Directors of Cyber Security, and Heads of Audit for Information security and privacy, to name a few, who are our subscriber base.

Patrick, we have worked with Industry leaders such as Ramy Houssaini (Chief Cyber & Technology Risk Officer & Group Privacy Officer at BNP Paribas); Steve Williamson (Audit Account Director, Information Security, and Data Privacy at GSK); Cedric Gourio (Group Chief Security Officer at Worldline), to name a few. Similarly, this year, we will have articles from such specialists. It will be an excellent platform for binsec to be highlighted along with them.

E-Mail von Gloria with Enterprise Security Magazine Europe, 19.10.2022

3.000 Euro, um als Top 10 gelistet zu werden und einen Backlink zu bekommen. Ist das nicht ein großartiges Angebot?

Unternehmen für Penetrationstest (Pentest) aus Frankfurt am Main: Die binsec GmbH hat ihren Stammsitz in Frankfurt am Main in der Mitte von Deutschland. 2013 aus der IT-Sicherheitsabteilung eines Finanzdienstleisters gegründet, gehört die binsec GmbH mittlerweile vollständig dem Management der Gesellschaft und bietet Penetration Testing an.

Während viele Pentest Anbieter mit der Durchführung von Pentest als Dienstleistung in Frankfurt am Main werben oder gar extra einen Briefkasten in Frankfurt anmieten, hat die binsec GmbH ihren Firmensitz schon seit der Gründung in der deutschen Finanzmetropole.

Die binsec GmbH führt als Pentest Dienstleister für Frankfurter Unternehmen aus dem Bereich Banking, Finance und Payment z.B. Penetrationstest für folgenden typische Anwendungen durch:

• Pentest Mobile Banking App (Android und iOS)
• Pentest Payment API (z.B. REST)
• Pentest Online Banking
• Pentest Depot Banking Portal
• Credit Card (CC) Payment Gateway Penetrationstest
• PCI DSS Compliance Penetration Testing
• PCI DSS Compliance Segmentierungstest (Scpoe Segmentation Test)

Gegenseitiges Mobbing kann in einer gesunden Unternehmenskultur durchaus dazugehören:

Die restlichen 44 Tassen für das Team sind noch eingepackt… den Wasserträger vom Dienst muss ich noch aufwecken.