GothamSec
گزارش شبکهی ماهوارهای ایران اینترنشنال در رابطه با جذب هکرهای ایرانی توسط آکادمی راوین(پوششی وزارت اطلاعات) برای چی؟ برای حملات سایبری و جاسوسی از کشورهای خارجی. گزارش واضح هست و فکر میکنم نیاز به توضیح اضافه نداره و ابدا قرار نیست موضعگیری سیاسی کنم،…
ابتدا ویدئو را ببینید سپس متن قسمت اول را بخوانید و بعد قسمت دوم.
مجدد باید یادآور شوم که من قرار نیست موضعگیری سیاسی کنم صرفا گزارشی خارج از فضای کارشناسی این شبکه ماهواره ای ایران اینترنشنال برایم اهمیت دارد که بهتر است بگویم این شبکه ماهواره ای عامل جنگ رسانه ای است و برای نشر این گزارش قطعا دلیلی وجود دارد.
بخشی از اطلاعاتی که در ویدئو بیان شد با یک جستجوی ساده هم بدست میآید و صرفا با استفاده از یک موزیک و کلمات با بار معنایی منفی نمیتوان آن را مهم جلوه داد ولی هدف از انتشار گزارش چه بود؟
یکی از اهداف، برانگیختن احساسات مخاطب است مخاطبی که هیچ درکی از مفاهیمی که در قسمت اول بیان کردم ندارد، که بداند این فعالیتهای سایبری امری قطعی در هر کشوری است و ابدا نمیشود انگشت اتهام را برای فعالیت چنین تیمی (بر فرض تائید ادعا) به سمت ایران گرفت.
جذب افراد مستعد توسط نهادهای امنیتی هم چیز جدیدی در دنیا نیست، ایرانم همینطور است بر فرض اگر ادعای این شبکه ماهواره ای را تمام و کمال بپذیریم و روی آن صحه بگذاریم.
گزارش این شبکه ماهواره ای صرفا به افشای هویت تیم راوین و ارتباطش با دارک بیت ختم نشده و هویت اعضای تیم مودی واتر هم که ادعا شده از تیم های سایبری وزارت اطلاعات است هم افشا کرده.
تصویر فردی به نام مستعار پارسا صرافیان هم برای اولین بار توسط این رسانه منتشر می شود! ولی این اطلاعات چطور بدست این شبکه می رسد؟
قبل از آنکه به این سوال پاسخ دهم بهتر است بگویم نیت این شبکه ماهواره ای به اصطلاح خصوصی، آشکارا آلوده به خواسته های اسرائیل است، به عبارتی تلویزیون اسرائیلی ایران اینترنشنال جزو بازوهای سیستم امنیتی اسرائیل است.
- 2/2
@GothamSec | #Cyberwarfare
مجدد باید یادآور شوم که من قرار نیست موضعگیری سیاسی کنم صرفا گزارشی خارج از فضای کارشناسی این شبکه ماهواره ای ایران اینترنشنال برایم اهمیت دارد که بهتر است بگویم این شبکه ماهواره ای عامل جنگ رسانه ای است و برای نشر این گزارش قطعا دلیلی وجود دارد.
بخشی از اطلاعاتی که در ویدئو بیان شد با یک جستجوی ساده هم بدست میآید و صرفا با استفاده از یک موزیک و کلمات با بار معنایی منفی نمیتوان آن را مهم جلوه داد ولی هدف از انتشار گزارش چه بود؟
یکی از اهداف، برانگیختن احساسات مخاطب است مخاطبی که هیچ درکی از مفاهیمی که در قسمت اول بیان کردم ندارد، که بداند این فعالیتهای سایبری امری قطعی در هر کشوری است و ابدا نمیشود انگشت اتهام را برای فعالیت چنین تیمی (بر فرض تائید ادعا) به سمت ایران گرفت.
جذب افراد مستعد توسط نهادهای امنیتی هم چیز جدیدی در دنیا نیست، ایرانم همینطور است بر فرض اگر ادعای این شبکه ماهواره ای را تمام و کمال بپذیریم و روی آن صحه بگذاریم.
گزارش این شبکه ماهواره ای صرفا به افشای هویت تیم راوین و ارتباطش با دارک بیت ختم نشده و هویت اعضای تیم مودی واتر هم که ادعا شده از تیم های سایبری وزارت اطلاعات است هم افشا کرده.
تصویر فردی به نام مستعار پارسا صرافیان هم برای اولین بار توسط این رسانه منتشر می شود! ولی این اطلاعات چطور بدست این شبکه می رسد؟
قبل از آنکه به این سوال پاسخ دهم بهتر است بگویم نیت این شبکه ماهواره ای به اصطلاح خصوصی، آشکارا آلوده به خواسته های اسرائیل است، به عبارتی تلویزیون اسرائیلی ایران اینترنشنال جزو بازوهای سیستم امنیتی اسرائیل است.
- 2/2
@GothamSec | #Cyberwarfare
👍7🔥3👌3
نتیجه جلسه شورا، عصر امروز مشخص میشه و اگر بنا بشه که تلگرام و یوتوب رفع فیلتر بشه، من دوره سوم رو هم رایگان استارت میزنم 😁
👏3🥰2
GothamSec
نتیجه جلسه شورا، عصر امروز مشخص میشه و اگر بنا بشه که تلگرام و یوتوب رفع فیلتر بشه، من دوره سوم رو هم رایگان استارت میزنم 😁
خب واتساپ و گوگلپلی رفع فیلتر شد، فکر کنم نیاز هست که یکم شفاف سازی کنم نسبت به جماعتی که خوب میشناسم:)
🔥5
غرق در فیلترشکن ها؛ شما از کدام فیلتر رد شدید؟
تصمیم رفع فیلترینگ واتساپ و گوگلپلی گرفته شده است، تاکتیک برای فرار از بی آبرویی؟ یا جبران خسارات یک تصمیم اشتباه؟
منکر بر حمایت از اصل حکمرانی در اینترنت نیستم در هرکشوری امری مهم و لازم به اجراست، اما زمانی که شما(خطاب به مسئولین) بدانید اینترنت چیست، میدانید؟ خیر، متاسفانه نمیدانید.
شاید عدهای از ارزشیها خرده بگیرند بحث کارشناسی شده است و شما نباید آن را زیر سوال ببرید! به اصطلاح دغدغه مند هستند مثل همان موافقین فیلترینگی که در تهران تحصن کردند.
پاسخم این است که شما وقتی فضایی را نمیشناسید نمیتوانید دغدغه آن را داشته باشید! وقتی تَه کارتان این است که از استیکر "سلام صبح به خیر" در ایتا استفاده کنید متوجه نخواهید شد که دانشجویان چقدر به پلتفرم یوتوب نیازمند هستند! نمیتوانید درک کنید که سرویس مورد نیاز پژوهشگران/متخصصین وقتی فیلتر یا تحریم است چه فشار روانی بر سرآنها خراب میشود! اصلا نیازتان نمیشود که بخواهید بدانید مثال زیاد است ولی چون نمیدانید توضیح اضافی بنده هم فایدهای نخواهد داشت، چون شما اینطور استدلال خواهید کرد که به جای تلگرام از ایتا استفاده کنیم! بگذریم.
اما کار کارشناسی شده! کدام کار کارشناسی شده؟ کدام کارشناس؟ روحالله مومن نسب؟ کارشناس منظورتان کیست؟ چه کسی موافق فیلترینگ است؟ استدلال آنها چیست؟ (مفصلا میشود در مورد آن صحبت کرد)
متاسفانه خبری که امروز منتشر شد از نمایندگان دغدغهمند این بود که "۱۳۶ نفر از نمایندگان مجلس در نامهای نسبت به رفع فیلترینگ ابراز نگرانی کردند".
•• آقای مسئول نگران نمیشوید که فیلترینگ باعث میشود تا VPNهای آلوده به بدافزار در تلفنهمراه شهروندان نصب شود؟ طبق آمار Kaspersky بیشترین سهم آلودگی نصب بدافزار برای کشور عزیزمان ایران با رتبهی نخست است :) میدانید بدافزار چیست؟ آقای مسئول گوگلپلی را فیلتر کردید، مگر نمیدانید مخزن رسمی نصب و اپدیت نرمافزار است؟ نرم افزاری که آپدیت امنیتی نشود یعنی آسیبپذیر است! یعنی یک پنجرهای جهت ورود هکرها به تلفنهمراه شهروندان است، دغدغه امنیت دارید؟
•• آقایان نگران آسیب اقتصادی هستند! با این فیلترینگ هزینهای که برای خرید و تمدید VPN میشود را حساب کتاب نمیکنند، هزینهی فیلترینگ را چطور؟ حتی متوجه نیستند که همین پلتفرم اینستاگرام بستری برای کسب درآمد مردم شده است، در شرایطی فیلتر شد که سفرهی مردم روز به روز کوچکتر شده است، دغدغه اقتصادی شما را نمیبینیم.
•• آقایان دغدغههای فرهنگی دارند! شما نمیدانید که بچهی ۱۰ ساله دسترسی به VPN دارد؟ شما نمیدانید که میتواند به سایتهای پورنوگرافی دسترسی داشته باشد؟ شما اینستاگرام را فیلتر کردید نتیجهی آن چشد؟ آیا مردم از آن به روبیکا مهاجرت کردند؟ خودتان چه فکر میکنید؟
•• با فیلترینگ عملا انحصار ایجاد کردید، فضای رقابتی رو کشتید! دست شرکتهای داخلی را از رقابت بینالمللی کوتاه کردید!
برید سرعت سرسام آور توسعه کشور امارات را ببینید!
چه زمانی میشود که ما تهدیدی شناسایی کنیم؟ زمانی که فضا یا بستر را بشناسیم وگرنه شما چه چیزی را میخواهید به عنوان تهدید شناسایی کنید وقتی درکی از بستر ندارید؟
امیدوارم این رفع فیلترینگ گام نخست جهت رفع فیلترینگ کامل باشد وگرنه چیزی جز یک تاکتیک نیست، و امیدوارم با این رفع فیلترینگ بر سر مردم منت نگذاريد، شما با یک تصمیم غلط آسیبهای بسیاری را به پیکره کشور وارد کردهاید، کاری که دشمن شاید سخت میتوانست انجام دهد.
حرف بسیار است، اما خریدار ندارد چون شما عادت دارید فضا را دو قطبی ببینید عادت دارید اگر حرفی شبیه حرف شما نباشد به آن برچسب بزنید!
@GothamSec | #فیلترشکن #فیلترینگ
تصمیم رفع فیلترینگ واتساپ و گوگلپلی گرفته شده است، تاکتیک برای فرار از بی آبرویی؟ یا جبران خسارات یک تصمیم اشتباه؟
منکر بر حمایت از اصل حکمرانی در اینترنت نیستم در هرکشوری امری مهم و لازم به اجراست، اما زمانی که شما(خطاب به مسئولین) بدانید اینترنت چیست، میدانید؟ خیر، متاسفانه نمیدانید.
شاید عدهای از ارزشیها خرده بگیرند بحث کارشناسی شده است و شما نباید آن را زیر سوال ببرید! به اصطلاح دغدغه مند هستند مثل همان موافقین فیلترینگی که در تهران تحصن کردند.
پاسخم این است که شما وقتی فضایی را نمیشناسید نمیتوانید دغدغه آن را داشته باشید! وقتی تَه کارتان این است که از استیکر "سلام صبح به خیر" در ایتا استفاده کنید متوجه نخواهید شد که دانشجویان چقدر به پلتفرم یوتوب نیازمند هستند! نمیتوانید درک کنید که سرویس مورد نیاز پژوهشگران/متخصصین وقتی فیلتر یا تحریم است چه فشار روانی بر سرآنها خراب میشود! اصلا نیازتان نمیشود که بخواهید بدانید مثال زیاد است ولی چون نمیدانید توضیح اضافی بنده هم فایدهای نخواهد داشت، چون شما اینطور استدلال خواهید کرد که به جای تلگرام از ایتا استفاده کنیم! بگذریم.
اما کار کارشناسی شده! کدام کار کارشناسی شده؟ کدام کارشناس؟ روحالله مومن نسب؟ کارشناس منظورتان کیست؟ چه کسی موافق فیلترینگ است؟ استدلال آنها چیست؟ (مفصلا میشود در مورد آن صحبت کرد)
متاسفانه خبری که امروز منتشر شد از نمایندگان دغدغهمند این بود که "۱۳۶ نفر از نمایندگان مجلس در نامهای نسبت به رفع فیلترینگ ابراز نگرانی کردند".
•• آقای مسئول نگران نمیشوید که فیلترینگ باعث میشود تا VPNهای آلوده به بدافزار در تلفنهمراه شهروندان نصب شود؟ طبق آمار Kaspersky بیشترین سهم آلودگی نصب بدافزار برای کشور عزیزمان ایران با رتبهی نخست است :) میدانید بدافزار چیست؟ آقای مسئول گوگلپلی را فیلتر کردید، مگر نمیدانید مخزن رسمی نصب و اپدیت نرمافزار است؟ نرم افزاری که آپدیت امنیتی نشود یعنی آسیبپذیر است! یعنی یک پنجرهای جهت ورود هکرها به تلفنهمراه شهروندان است، دغدغه امنیت دارید؟
•• آقایان نگران آسیب اقتصادی هستند! با این فیلترینگ هزینهای که برای خرید و تمدید VPN میشود را حساب کتاب نمیکنند، هزینهی فیلترینگ را چطور؟ حتی متوجه نیستند که همین پلتفرم اینستاگرام بستری برای کسب درآمد مردم شده است، در شرایطی فیلتر شد که سفرهی مردم روز به روز کوچکتر شده است، دغدغه اقتصادی شما را نمیبینیم.
•• آقایان دغدغههای فرهنگی دارند! شما نمیدانید که بچهی ۱۰ ساله دسترسی به VPN دارد؟ شما نمیدانید که میتواند به سایتهای پورنوگرافی دسترسی داشته باشد؟ شما اینستاگرام را فیلتر کردید نتیجهی آن چشد؟ آیا مردم از آن به روبیکا مهاجرت کردند؟ خودتان چه فکر میکنید؟
•• با فیلترینگ عملا انحصار ایجاد کردید، فضای رقابتی رو کشتید! دست شرکتهای داخلی را از رقابت بینالمللی کوتاه کردید!
برید سرعت سرسام آور توسعه کشور امارات را ببینید!
چه زمانی میشود که ما تهدیدی شناسایی کنیم؟ زمانی که فضا یا بستر را بشناسیم وگرنه شما چه چیزی را میخواهید به عنوان تهدید شناسایی کنید وقتی درکی از بستر ندارید؟
امیدوارم این رفع فیلترینگ گام نخست جهت رفع فیلترینگ کامل باشد وگرنه چیزی جز یک تاکتیک نیست، و امیدوارم با این رفع فیلترینگ بر سر مردم منت نگذاريد، شما با یک تصمیم غلط آسیبهای بسیاری را به پیکره کشور وارد کردهاید، کاری که دشمن شاید سخت میتوانست انجام دهد.
حرف بسیار است، اما خریدار ندارد چون شما عادت دارید فضا را دو قطبی ببینید عادت دارید اگر حرفی شبیه حرف شما نباشد به آن برچسب بزنید!
@GothamSec | #فیلترشکن #فیلترینگ
🔥8👍5👏3⚡1✍1👎1
GothamSec
اما کار کارشناسی شده! کدام کار کارشناسی شده؟ کدام کارشناس؟ روحالله مومن نسب؟ کارشناس منظورتان کیست؟ چه کسی موافق فیلترینگ است؟ استدلال آنها چیست؟
توئیت کارشناسنما آقای مومن نسب!
بازی با کلمات، ادبیات و نوع گفتمان سخیف این جماعت به دور از حرف کارشناسی شده است.
شما استدلالی در این جماعت میبینید؟
بازی با کلمات، ادبیات و نوع گفتمان سخیف این جماعت به دور از حرف کارشناسی شده است.
شما استدلالی در این جماعت میبینید؟
🔥5👍1
GothamSec
#قسمت_اول | بدافزار IOCONTROL بازیگر تهدید یا threat actorئی به اسم Cyber Av3ngers، که منتسب به IRGC یا سپاه پاسداران ایران هست، جدیدا از یک بدافزاری علیه زیرساخت OT/IoT آمریکا و اسرائیل استفاده کرده که ابعاد فنی جالبی داره که تو قسمت دوم برسی میکنم. اما…
خب به انتشار قسمت دوم، که مطالب فنی تر هست نزدیک شدیم.
قبل از برسی بدافزار، خیلی کوتاه و خلاصه به یکسری مفاهیم و کلیدواژه می پردازم تا برای دوستانی که خارج از حیطه امنیت سایبری فعالیت می کنن، درک مطالب قسمت دوم دشوار نباشه، سعی می کنم خیلی ساده توضیح بدم.
پس روند به این شکل هست؛
- پیش مقدمه قسمت دوم
- قسمت دوم؛ برسی فنی IOCONTROL
قبل از برسی بدافزار، خیلی کوتاه و خلاصه به یکسری مفاهیم و کلیدواژه می پردازم تا برای دوستانی که خارج از حیطه امنیت سایبری فعالیت می کنن، درک مطالب قسمت دوم دشوار نباشه، سعی می کنم خیلی ساده توضیح بدم.
پس روند به این شکل هست؛
- پیش مقدمه قسمت دوم
- قسمت دوم؛ برسی فنی IOCONTROL
🔥6
Audio
🔥4❤1🍓1
GothamSec
خب به انتشار قسمت دوم، که مطالب فنی تر هست نزدیک شدیم. قبل از برسی بدافزار، خیلی کوتاه و خلاصه به یکسری مفاهیم و کلیدواژه می پردازم تا برای دوستانی که خارج از حیطه امنیت سایبری فعالیت می کنن، درک مطالب قسمت دوم دشوار نباشه، سعی می کنم خیلی ساده توضیح بدم.…
قبل از انتشار قسمت دوم، چندتا اصطلاح را باهم برسی میکنیم تا درک بهتری نسبت به تحلیل بدافزار IOCONTROL داشته باشید.
اصطلاح اول - OT#
ابتدا میخواهم OT را توضیح دهم که مخفف عبارت Operational Technology است، شاید کمی برایتان ملموس نباشد اما اگر بدانید IT چیست با تمام تفاوتهایی که دارند، به درک و شناخت شما کمک میکند.
برای توضیح OT بهتر است با یک مثال شروع کنم، یک مثال ساده؛
● سیستم کنترل آب و فاضلاب را تصور کنید، چه فرایندهایی را انجام میدهد؟
• تصفیه آب خانهها
• شبکههای توزیع آب شهری
و دیگر فرایندهایی که روزانه توسط این سیستم انجام میشود.
وسعت عملیاتی این سیستم به اندازه یک شهر و حتی بزرگتر از شهر است و شما عملا با یک زیرساخت حیاتی طرف هستید که اگر malfunction شود یا اختلالی در عملکرد آن رخ دهد تبعات جبران ناپذیری میتواند داشته باشد.
مثلا فرض کنید پمپهای مربوط به فرایند تصفیه آب هک شود! شما فقط کافی است سدیم هیدرکسید را در آب آشامیدنی افزایش دهید :) نمونه واقعی ان حمله به سیستم آب فلوریدا است.
مثالهای دیگر از OT؛
نیروگاهها، پالايشگاهها، شبکههای توزیع برق و غیره...
درجهی اهمیت؟ criticalعه :)
حالا وقتیمیگوئیم
همین مقدار توضیح در مورد OT گمانم کافی است.
پ.ن؛ در صورت نیاز پست آپدیت میشود، باقی اصطلاحات را در پستهای بعدی توضیح خواهم داد.
@GothamSec | #Introduction
اصطلاح اول - OT#
ابتدا میخواهم OT را توضیح دهم که مخفف عبارت Operational Technology است، شاید کمی برایتان ملموس نباشد اما اگر بدانید IT چیست با تمام تفاوتهایی که دارند، به درک و شناخت شما کمک میکند.
برای توضیح OT بهتر است با یک مثال شروع کنم، یک مثال ساده؛
● سیستم کنترل آب و فاضلاب را تصور کنید، چه فرایندهایی را انجام میدهد؟
• تصفیه آب خانهها
• شبکههای توزیع آب شهری
و دیگر فرایندهایی که روزانه توسط این سیستم انجام میشود.
وسعت عملیاتی این سیستم به اندازه یک شهر و حتی بزرگتر از شهر است و شما عملا با یک زیرساخت حیاتی طرف هستید که اگر malfunction شود یا اختلالی در عملکرد آن رخ دهد تبعات جبران ناپذیری میتواند داشته باشد.
مثلا فرض کنید پمپهای مربوط به فرایند تصفیه آب هک شود! شما فقط کافی است سدیم هیدرکسید را در آب آشامیدنی افزایش دهید :) نمونه واقعی ان حمله به سیستم آب فلوریدا است.
مثالهای دیگر از OT؛
نیروگاهها، پالايشگاهها، شبکههای توزیع برق و غیره...
درجهی اهمیت؟ criticalعه :)
حالا وقتیمیگوئیم
بدافزار زیرساخت OT را تحت تاثیر قرار میدهد یعنی چه :)
همین مقدار توضیح در مورد OT گمانم کافی است.
پ.ن؛ در صورت نیاز پست آپدیت میشود، باقی اصطلاحات را در پستهای بعدی توضیح خواهم داد.
@GothamSec | #Introduction
🔥6
بعد از مدتها خواستم یکسری نرمافزاری که استفاده نمیکنم رو از گوشی پاک کنم(معمولا به صورت دورهای اینکارو انجام میدم)
رفتم داخل اَپ سروش و همچین صحنهای دیدم 😁
پ.ن: توصیه میکنم اگر از نرمافزاری ماهها استفاده نکردید پاکش کنید، چون نرمافزار آسیبپذیر یک attack vector یا بردار حمله محسوب میشه، یعنی یک راه نفوذ برای هکرها!
پ.ن۲: متاسفانه از این دست پیامها خیلی زیاد ارسال میشه، نادید بگیرید.
@GothamSec | #sleepless #Advice
رفتم داخل اَپ سروش و همچین صحنهای دیدم 😁
پ.ن: توصیه میکنم اگر از نرمافزاری ماهها استفاده نکردید پاکش کنید، چون نرمافزار آسیبپذیر یک attack vector یا بردار حمله محسوب میشه، یعنی یک راه نفوذ برای هکرها!
پ.ن۲: متاسفانه از این دست پیامها خیلی زیاد ارسال میشه، نادید بگیرید.
@GothamSec | #sleepless #Advice
👍8👌4😁2
قسمت چهارم از مینیدوره رایگانم منتشر شد، توی چنل یوتوب TryHackBox ببینید.
https://youtu.be/lKyfB5zA2zA
@GothamSec | #course #free
https://youtu.be/lKyfB5zA2zA
@GothamSec | #course #free
YouTube
First Book - Linux command-line Part 4
#جلسه_چهارم مینی دوره #رایگان
installing linux on virtual machine
دورهی Computer programming for beginners شامل چهار بخش است که بخش اول آن تحت عنوان "مینیدوره Linux command-line پارت چهارم" منتشر شد.
#رایگان #linux #kalilinux
#لینوکس #کالی_لینوکس
installing linux on virtual machine
دورهی Computer programming for beginners شامل چهار بخش است که بخش اول آن تحت عنوان "مینیدوره Linux command-line پارت چهارم" منتشر شد.
#رایگان #linux #kalilinux
#لینوکس #کالی_لینوکس
👍6🔥3🍓1
Media is too big
VIEW IN TELEGRAM
ویدئو را ببینید، تا با حملهی مهندسی اجتماعی آشنا شوید.
مهندسی اجتماعی یا Social Engineering مبتنی بر علوم روانشناسی است، در واقع شما باید بتوانید تمایلات انسان(Human Desires) را شکار کنید و نقاط ضعف روانی شخص مورد نظر(قربانی) را شناسایی کنید تا به نحوی، قربانی را تشویق به آن کاری کنید(سواستفاده) که شما می خواهید.
ویدئو را ببینید تا در پست بعدی، من به شما نشان دهم که مهاجم(کلاهبردار) چطور سعی در شکار تمایلات این خانوم دارد تا آن را اقناع کند.
@GothamSec | #Social_Engineering #Vishing #Phishing
مهندسی اجتماعی یا Social Engineering مبتنی بر علوم روانشناسی است، در واقع شما باید بتوانید تمایلات انسان(Human Desires) را شکار کنید و نقاط ضعف روانی شخص مورد نظر(قربانی) را شناسایی کنید تا به نحوی، قربانی را تشویق به آن کاری کنید(سواستفاده) که شما می خواهید.
ویدئو را ببینید تا در پست بعدی، من به شما نشان دهم که مهاجم(کلاهبردار) چطور سعی در شکار تمایلات این خانوم دارد تا آن را اقناع کند.
@GothamSec | #Social_Engineering #Vishing #Phishing
👍11
GothamSec
ویدئو را ببینید، تا با حملهی مهندسی اجتماعی آشنا شوید. مهندسی اجتماعی یا Social Engineering مبتنی بر علوم روانشناسی است، در واقع شما باید بتوانید تمایلات انسان(Human Desires) را شکار کنید و نقاط ضعف روانی شخص مورد نظر(قربانی) را شناسایی کنید تا به نحوی،…
● مرتبط با ویدئو، پیاده سازی حملهی Vishing؛
ویشینگ که از ترکیب دو کلمهی Voice و Phishing است یکی از تکنیکهای مهندسی اجتماعی محسوب میشود.
شما از طریق یک ارتباط صوتی، سعی در جمعآوری اطلاعات از قربانی دارید یا او را تشویق به انجام کاری می کنید.
برای تحلیل رفتار مهاجم، خط داستانی را دنبال کنید، تا ببینید کلاهبردار چطور با مهندسی اجتماعی سعی در شکار تمایلات قربانی دارد.
۱. ارتباط تلفنی به اندازه کافی اعتماد مخاطب را جلب میکند برای همین Vishing محبوب است.
۲. مهاجم سعی در جلب اعتماد قربانی میکند، و "تمایل به اعتماد" قربانی را میخواهد شکار کند ولی چطور؟ میگوید از طرف یک نهاد قانونی (برنامه رادیویی) است، تا به درخواستش مشروعیت بدهد.
۳. در قدم بعدی مهاجم با گزارهی، "شما برنده ۴۰ میلیون تومان وجه نقد در قرعه کشی شدید"، درصدد شکار "تمایل به طمع(Greed)" قربانی است، در ادامه حتی میگوید اگر آمادگی دارید که در پخش زنده صحبت کنید ما یک ربع سکه به شما میدهیم تا طمع قربانی را شدت ببخشد.
۴. اطلاعات پیدرپی را میدهد، یعنی آدرس میدهد، نام خودش را میگوید، حتی یک تلفن ثابت هم میدهد یعنی چه؟ یعنی قربانی اعتماد نکرده است و مهاجم باید بتواند در این مرحله با یکسری اطلاعات درست، سرپوشِ حقیقت را بر اطلاعات نادرست قبلی خودش بگذارد تا اعتماد قربانی را جلب کند.
۵. گزارهای که مهاجم میگوید، این است که "شما دارید وقت ما را میگیرید و همکاران ما منتظر هستند" به این خاطر که یک موقعیت urgency ایجاد کند یا به عبارتی
یک شرایطی ایجاد میکند تا قربانی احساس فوریت کند، برای چه؟ احساس فوریت باعث میشود تا قربانی نتواند منطقی فکر کند.
۶. اطلاعات قربانی مثل نام پدر و کدملی و ... را بیان میکند تا تیر آخر را بزند ولی حمله با هوشمندی این خانوم آگاه شکست خورد.
متاسفانه در کشور ما آنقدر نشت اطلاعاتی رخ داده است که با این اطلاعات میتوان چنین حملاتی را بر علیه شهروندان ترتیب داد!
نتیجهگیری:
حملهی ویشینگ یک تهدید جدی است که از طریق مهندسی اجتماعی و سوءاستفاده از احساسات انسانی مانند اعتماد، طمع، و حس فوریت انجام میشود. با افزایش آگاهی و رعایت نکات امنیتی، میتوان از این نوع حملات جلوگیری کرد. در این سناریو، هوشمندی و آگاهی قربانی باعث شد حمله شکست بخورد.
@GothamSec
ویشینگ که از ترکیب دو کلمهی Voice و Phishing است یکی از تکنیکهای مهندسی اجتماعی محسوب میشود.
شما از طریق یک ارتباط صوتی، سعی در جمعآوری اطلاعات از قربانی دارید یا او را تشویق به انجام کاری می کنید.
برای تحلیل رفتار مهاجم، خط داستانی را دنبال کنید، تا ببینید کلاهبردار چطور با مهندسی اجتماعی سعی در شکار تمایلات قربانی دارد.
۱. ارتباط تلفنی به اندازه کافی اعتماد مخاطب را جلب میکند برای همین Vishing محبوب است.
۲. مهاجم سعی در جلب اعتماد قربانی میکند، و "تمایل به اعتماد" قربانی را میخواهد شکار کند ولی چطور؟ میگوید از طرف یک نهاد قانونی (برنامه رادیویی) است، تا به درخواستش مشروعیت بدهد.
۳. در قدم بعدی مهاجم با گزارهی، "شما برنده ۴۰ میلیون تومان وجه نقد در قرعه کشی شدید"، درصدد شکار "تمایل به طمع(Greed)" قربانی است، در ادامه حتی میگوید اگر آمادگی دارید که در پخش زنده صحبت کنید ما یک ربع سکه به شما میدهیم تا طمع قربانی را شدت ببخشد.
۴. اطلاعات پیدرپی را میدهد، یعنی آدرس میدهد، نام خودش را میگوید، حتی یک تلفن ثابت هم میدهد یعنی چه؟ یعنی قربانی اعتماد نکرده است و مهاجم باید بتواند در این مرحله با یکسری اطلاعات درست، سرپوشِ حقیقت را بر اطلاعات نادرست قبلی خودش بگذارد تا اعتماد قربانی را جلب کند.
۵. گزارهای که مهاجم میگوید، این است که "شما دارید وقت ما را میگیرید و همکاران ما منتظر هستند" به این خاطر که یک موقعیت urgency ایجاد کند یا به عبارتی
یک شرایطی ایجاد میکند تا قربانی احساس فوریت کند، برای چه؟ احساس فوریت باعث میشود تا قربانی نتواند منطقی فکر کند.
۶. اطلاعات قربانی مثل نام پدر و کدملی و ... را بیان میکند تا تیر آخر را بزند ولی حمله با هوشمندی این خانوم آگاه شکست خورد.
متاسفانه در کشور ما آنقدر نشت اطلاعاتی رخ داده است که با این اطلاعات میتوان چنین حملاتی را بر علیه شهروندان ترتیب داد!
نتیجهگیری:
حملهی ویشینگ یک تهدید جدی است که از طریق مهندسی اجتماعی و سوءاستفاده از احساسات انسانی مانند اعتماد، طمع، و حس فوریت انجام میشود. با افزایش آگاهی و رعایت نکات امنیتی، میتوان از این نوع حملات جلوگیری کرد. در این سناریو، هوشمندی و آگاهی قربانی باعث شد حمله شکست بخورد.
@GothamSec
👍8🔥4🍓4
Many high-profile “hacking” cases began with social engineering:
—Wm. Arthur Conklin, “CompTIA Security+ All-in-One Exam Guide (Exam SY0-601))”, p. 17
@GothamSec | #Social_Engineering
• Target data breach, 2013: phishing e-mail
• Sony, 2014: phishing
• Democratic National Committee e-mail leak, 2016: spear phishing
• Ukraine electric grid attack, 2018: phishing
—Wm. Arthur Conklin, “CompTIA Security+ All-in-One Exam Guide (Exam SY0-601))”, p. 17
@GothamSec | #Social_Engineering
❤8
Kheily mamnoon (SlowRemix)
Siavash Ghomayshi/Reza Parsa
من که با نگاه شیرین تو فرهاد شدم...
مگه این کافی نبود که منو مجنون کردی؟
ارسالی: امیر رضا مقدس ❤️
- - - -
اگر به تازگی کات کردید گوش ندید.
#جدی
@GothamSec
مگه این کافی نبود که منو مجنون کردی؟
ارسالی: امیر رضا مقدس ❤️
- - - -
اگر به تازگی کات کردید گوش ندید.
#جدی
@GothamSec
💔7❤3🍓1
GothamSec
Siavash Ghomayshi/Reza Parsa – Kheily mamnoon (SlowRemix)
چطور انسان با موسیقی هک میشود؟
● خاطرات ناخوشایند مثل یک ضعف، یا weakness در ذهن عمل میکنند، و از طریق یک موسیقی میتوان آن را اکسپلویت کرد.
پ.ن: این مطلب رو من سال گذشته از ویرگول منتشر کردم، چندان طولانی نیست، مایل بودید بخونید :)
@GothamSec | #Exploit #Music
● خاطرات ناخوشایند مثل یک ضعف، یا weakness در ذهن عمل میکنند، و از طریق یک موسیقی میتوان آن را اکسپلویت کرد.
پ.ن: این مطلب رو من سال گذشته از ویرگول منتشر کردم، چندان طولانی نیست، مایل بودید بخونید :)
@GothamSec | #Exploit #Music
ویرگول
هک انسان و موسیقی - ویرگول
گاهی باید ویران شود تا بتوان دوباره ساخت.
👍10
📖 Book Name: The Hacker Mindset
📝 Denoscription: How thinking like a hacker can improve your code, your coffee, and your life
✍️ Author: Francesco Carlucci
Pages: 91
- - - - - - - - - -
یاد بگیرید همانند یک #هکر بیاندیشید.
@GothamSec | #book #mindset
📝 Denoscription: How thinking like a hacker can improve your code, your coffee, and your life
✍️ Author: Francesco Carlucci
Pages: 91
- - - - - - - - - -
یاد بگیرید همانند یک #هکر بیاندیشید.
@GothamSec | #book #mindset
👍7
the-hacker-mindset_compress.pdf
1.1 MB
کتابِ فنی نیست، پس در هر حوزهای مشغول به فعالیت هستید محتوای کتاب براتون مفید خواهد بود 👌🏻
@GothamSec
@GothamSec
❤8