「 هک بانک سپه: از نفوذ تا باج‌خواهی سایبری」

یک گروه هکری به نام « codebreaker » اخیراً ادعا کرده است به دیتابیس محرمانه بانک سپه نفوذ کرده و ۱۲ ترابایت از اطلاعات حساس شامل جزئیات حساب مشتریان، تراکنش‌های مالی و احتمالاً داده‌های مرتبط با نهادهای نظامی را به سرقت برده است. این گروه برای عدم انتشار عمومی اطلاعات، ۴۲ میلیون دلار درخواست کرده است.

🔹چگونه هک شد؟
هنوز جزئیات دقیقی از روش نفوذ منتشر نشده، اما تحلیلگران امنیتی چند سناریو را محتمل می‌دانند:

1.آسیب‌پذیری در سامانه‌های بانکی:
- احتمال وجود SQL Injection یا باگ‌های امنیتی در وب‌سرویس‌های بانک
- پیکربندی نادرست ( misconfiguration ) دیتابیس (مثلاً دسترسی‌های بیش از حد به کاربران داخلی)
- سیستم‌های قدیمی و بدون وصله‌های امنیتی

2. حمله مهندسی اجتماعی پیشرفته
- فیشینگ هدفمند علیه کارمندان فنی بانک برای دستیابی به اعتبارنامه‌های دسترسی
- سوءاستفاده از کارمندان ناراضی یا خطای انسانی

3. تهدید داخلی (Insider Threat)
- امکان همکاری یکی از کارکنان یا پیمانکاران بانک با هکرها

🔹واکنش بانک سپه: از تکذیب تا تهدید قانونی
- ابتدا بانک هرگونه نفوذ را تکذیب کرد، اما پس از افشای اطلاعات برخی مشتریان و مدیران، تهدید به پیگرد قانونی نمود.
- تأکید کرد انتشار این داده‌ها «نقض حریم نظامی» محسوب می‌شود.
- هکرها در پاسخ، اطلاعات بیشتری از جمله داده‌های منتسب به مدیران ارشد بانک را منتشر کردند.

🔹چرا این حمله خطرناک است؟
- حجم بالای داده‌های سرقت‌شده (در صورت صحت، یکی از بزرگ‌ترین نشت‌های اطلاعاتی ایران)
- تمرکز روی اطلاعات نظامی/امنیتی (بانک سپه وابسته به نیروهای مسلح است)
- الگوی باج‌خواهی حرفه‌ای: هکرها ابتدا با انتشار جزئیات حساب مدیران، قدرت نفوذ خود را اثبات کردند.




وضعیت کنونی: بازی روانی هکرها و بانک
هکرها فعلاً از انتشار کامل داده‌ها خودداری کرده‌اند، اما اگر بانک به خواسته آن‌ها پاسخ ندهد، ممکن است اطلاعات بیشتری لو برود. **صحت ادعاهای هکرها هنوز تأیید نشده**، اما شواهد نشان می‌دهد نفوذ واقعی بوده است.


نوشته شده توسط : اهورا

Channel : https://news.1rj.ru/str/TryHackBox

💠 زندانیان ، ۲ کامپیوتر و هک شبکه زندان

🔶️ داستان واقعی زندانیانی را می‌خوانیم که توانستند دو کامپیوتر سرهم کنند، شبکه زندان را هک کنند و به فعالیت‌های غیرقانونی در اینترنت بپردازند. این داستان مربوط به سال ۲۰۱۵ است، اما بسیار جذاب و خواندنی است."

@TryHackBoxStory
@RadioZeroPod

📖 قسمت پنجم رادیو زیروپاد

💠 نفوذ به شبکه زندان

🔶️ داستان واقعی زندانیانی را می شنویم که توانستند دو کامپیوتر سرهم کنند، شبکه زندان را هک کنند و به فعالیت‌های غیرقانونی در اینترنت بپردازند. این داستان مربوط به سال ۲۰۱۵ است، اما بسیار جذاب و شنیدنی است."

🧩 لینک برای خواندن مقاله :
Link

📼 با اجرای آریامهر

#RadioZeroPod
@TryHackBoxStory
@RadioZeroPod

💠 داستان عجیب نوجوانانی که botnet میرای را ساختند 

⭕ درود، خدمت کاربران زیروپاد و ترای هک باکس استوری

🔶️ این داستان واقعی درباره نوجوانانی است که بات‌نت Mirai را ساختند.

🔶️ میرای توسط چند دانشجو توسعه داده شد که قصد داشتند به دانشگاه خود حمله DDOS انجام دهند. اما در نهایت، این بات‌نت تبدیل به بزرگترین بات‌نت IoT شد و سازندگانش دستگیر و زندانی شدند.

🔶️ جالب اینجاست که کد Mirai بسیار ساده و کم‌حجم بود و از تکنولوژی پیچیده‌ای استفاده نکرده بود. این بات‌نت تنها با ۳۱ ترکیب نام کاربری و رمز عبور گسترش یافت، اما همین مقدار هم کافی بود تا بیش از ۵۰۰ هزار دستگاه IoT را آلوده کند.


🔍 داستان‌های جالب دیگر:
[۱]، [۲]، [۳]، [۴]، [۵]
@TryHackBoxStory
@RadioZeroPod

📖 قسمت ششم رادیو زیرو پاد

💠 داستان عجیب نوجوانانی که botnet میرای را ساختند 


🔶️ این داستان واقعی درباره نوجوانانی است که بات‌نت Mirai را ساختند. 

🔶️ میرای توسط چند دانشجو توسعه داده شد که قصد داشتند به دانشگاه خود حمله DDOS انجام دهند. اما در نهایت، این بات‌نت تبدیل به بزرگترین بات‌نت IoT شد و سازندگانش دستگیر و زندانی شدند. 

🔶️ جالب اینجاست که کد Mirai بسیار ساده و کم‌حجم بود و از تکنولوژی پیچیده‌ای استفاده نکرده بود. این بات‌نت تنها با ۳۱ ترکیب نام کاربری و رمز عبور گسترش یافت، اما همین مقدار هم کافی بود تا بیش از ۵۰۰ هزار دستگاه IoT را آلوده کند. 

🧩 لینک برای خواندن مقاله :
Link

📼 با اجرای آریامهر

#RadioZeroPod
@TryHackBoxStory
@RadioZeroPod

کانالهای ما در تلگرام :
@TryHackBox
@TryHackBoxOfficial
@TryHackBoxStory
@RadioZeroPod

گروه ما در تلگرام
https://news.1rj.ru/str/+XPV3S0tygl1lZGE0

⭕ قابل توجه دوستان
متاسفانه دوستان این نسخه جدید رو با نسخه قبلی که این نسخه میشه اشتباه گرفتند دوستان این نسخه دیگری است و مطالب با نسخه قبلی فرق دارد .

🚀 TryCodeBox افتتاح شد

@TryCodeBox

یک فضای آموزشی تازه برای همه‌ی برنامه‌نویس‌ها از تازه‌کار تا حرفه‌ای‌

فرقی نمی‌کنه در کجای مسیر یادگیری هستی!
چه اولین قدم رو برداشته باشی، چه سال‌ها در پروژه‌های واقعی کار کرده باشی، TryCodeBox برای تو ساخته شده.

اینجا هستیم تا از مفاهیم پایه تا مباحث پیشرفته، آموزش‌هایی ارائه بدیم که:

✅ دقیق، قابل اعتماد و بی‌حاشیه‌ان
✅ به‌جای تکرار کلیشه‌ها، مسیر واقعی رشد رو نشون می‌دن
✅ ترکیبی هستن از آموزش، تحلیل فنی و اجرای پروژه‌محور


💡 اولین سری آموزش‌ها به‌زودی منتشر می‌شن.


📲 کانال رسمی آموزشی از TryHackBox

جایی برای شروع و جدی‌تر ادامه دادن

https://news.1rj.ru/str/TryCodeBox

برگزاری جلسه لایو : تست نفوذ با مهندس سجاد تیموری

با سلام خدمت دوستان و همراهان عزیز، 
در راستای ارتقای سطح دانش فنی و آشنایی بیشتر با مباحث امنیت سایبری، قصد داریم جلسه‌ای تخصصی و آموزشی در خصوص تست نفوذ (Penetration Testing) به صورت زنده برگزار کنیم.

🎙️ مهمان ویژه: 
مهندس سجاد تیموری – کارشناس تست نفوذ

📅 زمان برگزاری: سه شنبه 1404/02/23
📍 پلتفرم: تلگرام (ویس چت)
🕗 ساعت : 20:00

💬 موضوعات خود را درباره تست نفوذ در کامنت‌هاارسال کنید تا در جلسه به آن‌ها پرداخته شود.

🔔 نکته مهم: 
جهت شرکت به موقع جلسه، حتماً کانال تلگرام را چک کنید تا از این جلسه جا نمونید .

@TryHackBox

در هنگام ویس چت سوالاتتون تو گروه بپرسید :
https://news.1rj.ru/str/+XPV3S0tygl1lZGE0

سوالات ویس چت :
ذهنیت و روانشناسی هکرها:

"به نظر شما چه تفاوت‌های کلیدی بین طرز فکر یک توسعه‌دهنده و یک هکر در مواجهه با سیستم‌ها وجود دارد؟"

"آیا تست نفوذ مؤثر بدون درک روانشناسی کاربران و رفتارهای انسانی ممکن است؟ مثال بزنید."

ابزارها و روش‌شناسی:
3. "در پروژه‌های اخیرتان، کدام ابزارها (مثل Burp Suite یا Cobalt Strike) بیشترین کاربرد را داشته‌اند؟ چرا؟"
4. "با گسترش اسکنرهای خودکار، آیا هنوز تست‌های دستی ارزش اصلی را دارند؟ نقطه قوت هرکدام چیست؟"

زیرودی‌ها (Zero-Day):
5. "در تجربه‌تان، احتمال کشف یک آسیب‌پذیری Zero-Day در تست نفوذ چقدر است؟ چه فاکتورهایی شانس آن را افزایش می‌دهد؟"
6. "اگر تاکنون یک Zero-Day کشف کرده‌اید، فرآیند گزارش و مدیریت آن چگونه بود؟"

تفاوت محیط‌های تست:
7. "تفاوت اصلی تست نفوذ یک سامانه دولتی با یک پلتفرم FinTech در چیست؟"
8. "وقتی با محدودیت‌هایی مثل عدم دسترسی به SSH مواجه می‌شوید، چه راهکارهای خلاقانه‌ای به کار می‌برید؟"

تست نفوذ مدرن (DevOps/ابری):
9. "چگونه تست نفوذ را در خطوط CI/CD یا محیط‌های Kubernetes پیاده‌سازی می‌کنید؟"
10. "چه تهدیدات نوظهوری در محیط‌های ابری مشاهده کرده‌اید که در سیستم‌های سنتی وجود نداشت؟"

هوش مصنوعی و آینده:
11. "آیا فکر می‌کنید هوش مصنوعی می‌تواند جایگزین مهارت‌های تحلیلی یک هکر شود؟ چرا؟"
12. "از ابزارهای AI مثل ChatGPT در چه مراحلی از تست نفوذ استفاده می‌کنید؟ محدودیت‌های آن چیست؟"

معیارهای موفقیت:
13. "به نظر شما یک تست نفوذ موفق، علاوه بر یافتن آسیب‌پذیری‌ها، باید چه معیارهای دیگری را پوشش دهد؟"
14. "چگونه به مشتری اثبات می‌کنید که تست شما تأثیر واقعی بر امنیت آن‌ها داشته است؟"

چالش‌های اخلاقی:
15. "در حین تست، چگونه بین کشف آسیب‌پذیری‌ها و حفظ حریم خصوصی کاربران تعادل برقرار می‌کنید؟"
16. "آیا تا به حال در موقعیتی قرار گرفته‌اید که مجبور به خودداری از افشای یک یافته حساس شده باشید؟"

محیط‌های صنعتی (OT/ICS):
17. "مهم‌ترین ملاحظات هنگام تست نفوذ سیستم‌های صنعتی (مثل SCADA) چیست؟"
18. "آیا تست نفوذ در محیط‌های OT می‌تواند به عملیات عادی آسیب بزند؟ چگونه این ریسک را مدیریت می‌کنید؟"

روزمره یک پنتستر:
19. "روز کاری معمول شما به عنوان متخصص تست نفوذ چگونه می‌گذرد؟ چه نسبتی از زمان به کدنویسی، گزارش‌نویسی یا ارتباط با مشتری اختصاص دارد؟"
20. "جالب‌ترین/پیچیده‌ترین سناریوی تست نفوذی که تجربه کرده‌اید چه بود؟ چه درسی از آن گرفتید؟"

مقایسه حوزه‌ها:
21. "اولین اقدام شما هنگام تست نفوذ یک API RESTful چیست؟"
22. "اگر به عنوان پنتستر داخلی به شبکه دسترسی داشته باشید، چه استراتژی‌ای برای اسکال کردن دسترسی (Privilege Escalation) به کار می‌گیرید؟"

سوالات تکمیلی:
23. "اگر بخواهید یک توصیه کلیدی به تازه‌کارهای تست نفوذ بکنید، آن چیست؟"
24. "چه مهارت‌های غیرفنی (مثل گزارش‌نویسی یا مذاکره) برای یک پنتستر حیاتی است؟"

⭕ قسمت اول زیرو تاک

🔶️ مهندس سجاد تیموری، از اساتید تراز اول امنیت سایبری ایران، مهمان ویژه zeroTalk ما بودند! یه جلسهٔ پرانرژی و کاربردی داشتیم که کلی نکتهٔ ناب ازش بیرون اومد. 

🔶️ از امنیت سایبری و تفکیک OT و IT تا ظهور ai در صنعت امنیت سایبری صحبت شد و استاد تیموری راوی یک حمله‌ی واقعی در محیط سازمانی بود 🔥

🔶️ در نهایت سوالاتی از جانب شرکت‌کنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.

🎤 راهبر گفتگوی امنیتی : حسین نائیجی

@RadioZeroPod
@TryHackBox

بسی رنج بردم در این سال سی
عجم زنده کردم بدین پارسی

25 اردیبهشت بزرگداشت فردوسی بزرگ
@TryHackBox

💠 روز بزرگداشت"دانشمند بزرگ خيام نيشابوری"
📕زادروز "دانشمند خَیام نیشابوری"ریاضی‌دان، ستاره‌شناس و چارانه‌سرای ایرانی،
در زمان سلجوقی(۴۲۷ خ)
📖سالنامه خورشيدی كه ايرانيان آن را بکار می‌برند، ششم مارس ۱۰۷۹ زایشی بدست دانشمند بزرگ خيام نوشته شد كه به سالنامه جلالی نام گرفته است، زيرا كه در زمان پادشاهی جلال الدين ملكشاه نوشته شده بود.
اين سالنامه درست‌تر از سالنامه ترسایی است، زيرا كه درست‌نویسی آن هر ۳۷۷۰ سال يک روز است و سالنامه ترسایی هر ۳۳۳۰ سال.

⭕ 28 اردیبهشت روز بزرگداشت حکیم خیام نیشابوری

@TryHackBox

⭕ قسمت دوم زیرو تاک

🔶️ مهندس پویان زمانی، از اساتید تراز اول امنیت سایبری ایران، مهمان ویژه zeroTalk ما بودند! یه جلسهٔ پرانرژی و کاربردی داشتیم که کلی نکتهٔ ناب ازش بیرون اومد. 

🔶️ از کجا شروع کردید؟ آیا هنوز علاقه‌مند به حوزه امنیت هستید؟
🔶️ امنیت چیست؟
🔶️ توضیح معماری دفاع در عمق
🔶️ نقش‌های امنیت‌سایبری بر اساس لایه‌های معماری دفاع در عمق
🔶️ تعریف SOC
🔶️ تاثیر هوش مصنوعی در SOC
🔶️ در نهایت سوالاتی از جانب شرکت‌کنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.

🎤 راهبر گفتگوی امنیتی : حسین نائیجی

@RadioZeroPod
@TryHackBox