✨قسمت چهلم و ششم Safe Cast✨

خبرهای داغ :
🔹حذف بدافزار plugX توسط FBI
🔹کیت فیشینگ Sneaky 2FA روی حساب های Microsoft 365
🔹حمله بدافزار روسی به قزاقستان
🔹باج افزار RansomHub با Backdoor Python

زنگ خطر CVE های داغ هفته :
🔹Windows Hyper V NT Kernel Integration VSP
🔹Fortinet
🔹Apple macOS
🔹Kubernetes

دور دنیا در امنیت سایبری :
🔹طرح انگلستان جهت ممنوعیت پرداخت باج به هکرها
🔹نشت اطلاعات Gravy Analytics
🔹اتصال کارمندان شرکت ها به هکرها از طریق سرویس دارک وبی
🔹تکنیک PVC موثر در استخراج دیتا از حافظه Raspberry Pi

بخش اصلی :
💢 5 تهدید بزرگ Malware برای سال 2025 :
🔺Lumma
🔺XWorm
🔺AsyncRAT
🔺Remcos
🔺LockBit

🎙با اجرای رضا الفت

@safe_defense
#safe_cast

🔒 what is #Bootkit?
#بوت_کیت چیست؟

نوعی #بدافزار مدرن برای اتصال نرم افزار های مخرب به سیستم های کامپیوتری
اغلب از ابزار های #روت_کیت برای فرار از تشخیص استفاده میکنند
هدف این حملات UEFI# است
نرم‌افزاری که سیستم عامل کامپیوتر را به سخت افزار دستگاه متصل می‌کند.

#Rootkit vs Bootkit :تفاوت روت کیت و بوت کیت
روت کیت مجموعه ای از ابزار های نرم افزاری برای دادن کنترل از راه دور سیستم به مهاجمان طراحی شده است
🔹به گونه ای ساخته شده که بدون تشخیص باقی بمانند.
🔹با غیر فعال کردن آنتی ویروس امکان نصب نرم افزار های مخرب را فراهم میکنند
🔹 با هدف حمله به امنیت شبکه یا برنامه‌ها به سیستم وارد می‌شوند.
🔻بوت کیت ها این فرآیند را یک قدم به جلو برده اند.برای آلوده کردن رکورد بوت طراحی شدند با این کار بوت کیت میتواند قبل از بارگذاری سیستم عامل اجرا شود.آلودگی های بوت کیت معمولا تشخیص داده نمیشوند زیرا تمام اجزای آن خارج از سیستم فایل ویندوز قرار دارند.
🔹برخی از نشانه‌های آلودگی بوت‌کیت شامل ناپایداری سیستم (مانند نمایش صفحه آبی) و عدم توانایی در راه‌اندازی سیستم عامل است.
____________________________________
🔐چرا بوت‌کیت‌ها یک تهدید امنیتی جدی هستند؟
بوت کیت خطرناک است چون حذف آن دشوار است به جای نوشته شدن روی هارد در مادربرد جاسازی شده
پیامد های وجود روت کیت در سیستم شما:
حذف فایل‌ها,دسترسی از راه دور,سرقت اطلاعات,نصب بدافزار های بیشتر

🔸پیشگیری از آلودگی به بوت‌کیت
سورس بوت: این ویژگی امنیتی تضمین می‌کند که سیستم فقط با نرم‌افزارهای مورد اعتماد راه‌اندازی شود.
اجتناب از رسانه‌های ناشناس(USB,CD,DVD,ISO,NETWORK): از بوت سیستم عامل از رسانه‌های ناشناس خودداری کنید.
به‌روزرسانی سیستم: همیشه سیستم عامل و فِرموِر(میان افزار) خود را به‌روز نگه دارید.


🔸حذف بوت‌کیت
حذف بوت‌کیت امکان‌پذیر است و نیاز به نرم‌افزارهای تخصصی حذف بدافزار دارد. حذف روت‌کیت‌ها اغلب آسان‌تر است، زیرا می‌توانید هارد دیسک خود را پاک کنید تا آن‌ها را حذف کنید. یافتن ابزار مناسب برای حذف آلودگی بوت‌کیت از سیستم شما بسیار مهم است.

🔸چگونه از شر بوت‌کیت‌ها خلاص شویم؟
نوع ابزاری که نیاز دارید، یک دیسک تعمیر بوت است که می‌تواند رکورد بوت اصلی (Master Boot Record) شما را پاک کند. این نرم‌افزار باید برای پاک‌کردن رکورد بوت اصلی استفاده شود، نه تعمیر آن. به این ترتیب می‌توانید مطمئن شوید که بوت‌کیت حذف شده است. پس از پاک‌کردن، می‌توانید یک رکورد بوت اصلی تمیز ایجاد کنید و پارتیشن‌های جدید درایو را فرمت کنید.

🔸از خود در برابر حملات بدافزاری محافظت کنید
با آگاهی از تهدیدات بدافزاری پنهان، می‌توانید کسب‌وکار خود را در برابر بوت‌کیت‌ها و سایر حملات روت‌کیت ایمن نگه دارید.

پاسخ صحیح:

الف) استفاده از JA3/JA3S Fingerprinting برای شناسایی TLS Handshake‌های مشکوک


در کل Beaconing به ارتباطات مداوم و زمان‌بندی‌شده بین یک سیستم آلوده و سرور C2 گفته میشه. این نوع ترافیک معمولاً رمزگذاری شده (TLS/HTTPS) است و شناسایی اش بدون Decryption چالش‌برانگیزه.

ا JA3/JA3S Fingerprinting یک روش موثر برای تشخیص ارتباطات C2 مخفی‌شده در TLS Traffic است. تو این روش TLS Handshake تحلیل شده و بر اساس ویژگی‌هاش (مثل Cipher Suites, Extensions, TLS Version) یک Fingerprint منحصر‌به‌فرد تولید میشه.
خیلی از ابزارهای Red Teaming مثل Cobalt Strike, Empire, Meterpreter از الگوهای خاصی در TLS استفاده میکنند که میشه با JA3 شناسایی کرد.

چرا بقیه گزینه‌ها اشتباه یا کم‌ اثرند؟

ب) مسدود کردن تمامی ارتباطات خروجی روی پورت 443

غیرعملی و مخرب: پورت 443 رو مسدود کنید ارتباط سازمان با اینترنت قطع میشه .
از اونطرف هکرها میتونن از پورت‌های دیگه (مثلاً 53, 8443) استفاده کنند و این روش راه‌حل درست نیست.


ج) اعمال Deep Packet Inspection (DPI) روی تمامی ترافیک HTTPS

ببینید DPI بدون TLS Decryption فقط هدرهای اولیه رو بررسی میکنه و محتوای واقعی پکت‌ها رو نمیبینه.
تو TLS Decryption در مقیاس سازمانی کار پیچیده و پرهزینه ست و خیلی از سازمان‌ها به دلیل مسائل حریم خصوصی و عملکردی اون رو انجام نمیدن.

در JA3 میشه بدون نیاز به Decryption ارتباطات مشکوک رو شناسایی کرد.


د) قرنطینه کردن سیستم‌های مشکوک و اجرای Forensic Analysis

این روش واکنشی (Reactive) است، یعنی بعد از آلودگی سیستم انجام میشه.
در Forensic Analysis ضروریه اما باید به‌عنوان گام دوم بعد از شناسایی اولیه استفاده بشه.

نتیجه:

ا JA3/JA3S Fingerprinting بهترین روش برای شناسایی Beaconing Traffic در TLS است :
✅ بدون نیاز به Decryption میتونه C2 Traffic رو تشخیص بده.
✅ در برابر روش‌های مخفی‌سازی و Evasion مقاومه
✅ با ابزارهایی مثل Zeek, Suricata و SIEM پیاده‌سازی میشه.

@safe_defense
#quiz

پروتکول CSMA/CD در متد ارتباطی half duplex چیست؟  
--
پروتکول csma/cd مخفف
CSMA/CD (carrier   sense maltiple access / calition ditction )
که یک تکنولوژی در متد ارتباطی half duplex هست که با استاندارد IEE802.3 مشخص شده هست که برای جلوگیری از به وجود امدن تداخل در ارتباط دو دستگاه باهم استفاده میشه
--
متود ارتباطی half duplex طوریه که دیتا بین دو کامپیوتر بصورت هم زمان نمیتونه ارسال بشه و فقط یک کامپیوتر مجاز هست ارسال داده کنه و دریافت کننده باید زمانی شروع به ارسال کنه که خط خلوطه و ارسالی وجود نداره در غیر این صورت تداخل (calition) به وجود میاد ( یک بیسیم رو درنظر بگیرید که بصورت هم زمان نمیشه صحبت کرد )
--
تجهیز hup نمونه ای هست که از متد ارتباطی half duplex استفاده میکنه
و همچنین برخی از مودم های قدیمی dial-up و بیسیم ها از این متد ارتباطی استفاده میکنن
--
عملکرد csma/cd در متد ارتباطی half duplex
-شنود فعال  : هردستگاه پیش از آغاز انتقال داده،وضعیت رسانه را از نظر فعالیت سایر گره ها برسی میکنه
-اگر دیتایی وجود نداشته باشه ( عدم وجود سیگنال ارسالی ) ، فرآیند انتقال آغاز مسشه .
-درصورت مشغول بودن رسانه، دستگاه منتظر میمونه و پس از تشخیص انتقال رو شروع میکنه
--
ارسال داده و پایش همزمان ( Transmission with Detection )
-دستگاه در حین ارسال بسته ، بطور پیوسته سیگنال های دریافتی از رسانه را تحلیل میکنه
درحالت عادی سیگنال ارسالی باید با سیگنال دریافتی مطابقت داشته باشه در غیر این صورت تداخل (calition) تشخصی داده میشه
--
مدیریت برخورد
-درصورت تشخیص برخورد، دستگاه بلافاصله ارسال رو متوقف میکنه و یک سیگنال ارسال میکنه تا بقیه کلاینت ها از برخورد مطلع بشن
و بعد دستگاه وارد فاز انتظار تصادفی میشه  و یه زمانی تایین میشه .
و بعد از پایان زمان تلاش مجدد میکنه و فرایند کریر سنس رو اجرا میکنه و درصورت ازاد بودن انتقال از سر میگیره


@sec_netw🕷

نکاتی که زمان scan nessus باید بهش توجه کنیم !


1-اگه روی virtual machine اسکن اسیب پذیری با نرم افزار نسوس رو انجام میدیم حتما باید درحال bridged قرارش بدین به دلیل اینکه زمانی که روی host-only قرارش میدن امکانش هست که فایروال یکسری پورت هارو ببنده  و برای اسکن بهتر این گزینه رو روی های bridged قرار بدین

2-اصلا نباید هیچ نرم افزار امنیتی روی virtual machine  و os اصلیتون فعال باشه نرم افزار های مثل انتی ویروس و فایروال و... جلوی اسکن رو بخاطر شرایط‌امنیتی میگیرن و خروجی خوبی دریافت نخاهید کرد

3-نرم افزار نسوس میاد سرور های مارو از zone های مختلف اسکن میکنه اگه در ورودی فایروال ، ips و تجهیزات های امنیتی دیگه ای وجود داشته باشه جلوی اسکن رو میگرن  باید داخل این  تجهیزات رول بنویسیم که از سورس نسوس به تمامی سرویس ها و سیستم عامل های شبکمون ارتباط داشته باشه و حتی داخل نرم افزار انتی ویروس باید نرم افزار نسوس رو داخل white list قرارش بدیم

4-حتما در قسمت policy تب credentials یوزنیم و پسورد هر سیستم عامل رو بدین برای اسکن کامل و دقیق تر و اکه قصد دارین سرویس خاستی رو بهتر اسکن کنید از همین تب یوزر نیم و پسورد اون سرویس رو بدین چون درحالت عادی این اتفاق نمیفته و بیشتر روی خود سیستم عامل اسکن رو انجام میده


------- ودرآخر حتما بعد از اسکن رول هایی که نوشتید رو پاک کنید و درزمان استفاده دوباره رول بنویسید ------


@sec_netw🕷

❌ گروه Lazarus پشت حمله هکری دیروز به ByBit !

🔻اکنون این گروه هکری کره شمالی حتی از خود سازنده اتریوم، ویتالیک، ثروتمند تر است.

🆘 این حمله به روشی پیچیده انجام شده که شامل دستکاری در تراکنش‌ها و احتمالاً سوءاستفاده از فرآیند امضای چندگانه (multisig) بوده است به شرح زیر میباشد :

1. UI Spoofing:

حمله ممکن است از طریق "UI Spoofing" انجام شده باشد. این تکنیک شامل فریب دادن سیستم یا اپراتورها با نمایش اطلاعات جعلی در رابط کاربری است. در این سناریو، هکرها ممکن است رابط کاربری مربوط به تأیید تراکنش را دستکاری کرده باشند تا تراکنش مخرب به نظر قانونی بیاید و توسط سیستم یا اپراتور تأیید شود.

2. Sybil-like Attack:

هکرها ممکن است یک تراکنش جعلی یا شبیه‌سازی‌شده ایجاد کرده باشند که با امضاهای قانونی اشتباه گرفته شود. در حملات سیبیل، مهاجم هویت‌های جعلی متعددی ایجاد می‌کند تا سیستم را فریب دهد. در اینجا، ممکن است هکرها توانسته باشند امضاهای چندگانه مورد نیاز برای تأیید تراکنش را جعل یا دستکاری کنند

🌐https://www.bloomberg.com/news/articles/2025-02-21/bybit-hack

⭐️ @Nova_Groups_tech

کرک کردن نرم‌افزار یعنی دور زدن یا غیرفعال کردن مکانیزم‌های امنیتی یک نرم‌افزار برای استفاده بدون مجوز، روش‌های کرک کردن نرم‌افزار شامل موارد زیر میشه:

1 پچ کردن (Patching)

در این روش، فایل‌های اجرایی نرم‌افزار (مثل .exe یا .dll) دستکاری میشن تا مکانیزم‌های امنیتی مثل بررسی سریال یا لایسنس دور زده بشن معمولاً با ابزارهایی مثل OllyDbg، x64dbg یا IDA Pro انجام میشه

2 کیجن (Keygen)

کیجن (Key Generator) نرم‌افزاری است که یک سریال معتبر برای فعال‌سازی برنامه تولید می‌کنه معمولاً با تحلیل الگوریتم تولید کلید در نرم‌افزار اصلی ساخته میشه

3 سریال جعلی (Fake Serial)

بعضی از برنامه‌ها به‌صورت ساده یک سریال مشخص رو قبول میکنن کرکرها این سریال رو پیدا کرده و منتشر می‌کنن

4 امولیتور Dongle

بعضی نرم‌افزارها برای اجرا به یک دانگل سخت‌افزاری نیاز دارن کرکرها دانگل رو با نرم‌افزار شبیه‌سازی (emulator) جایگزین می‌کنند تا نرم‌افزار فکر کند دانگل متصله

5 مهندسی معکوس (Reverse Engineering)

در این روش، سورس‌کد باینری برنامه بررسی و تحلیل میشه تا مکانیزم امنیتی اون شناسایی و دور زده شه

6 تغییرات رجیستری

بعضی از نرم‌افزارها اطلاعات لایسنس رو در رجیستری ویندوز ذخیره می‌کنن با تغییر کلیدهای رجیستری میتونیم اون ها رو فعال کتیم

7 دور زدن سرور تأیید لایسنس (License Server Bypass)

در این روش، ارتباط نرم‌افزار با سرور لایسنس مسدود شده یا به یک سرور جعلی هدایت میشه که پاسخ‌های معتبر ارسال می‌کننه

8 دی‌کامپایل و اصلاح سورس کد

در برخی زبان‌های سطح بالا (مثل جاوا، پایتون، C#)، باینری‌های برنامه رو می‌تونیم دی‌کامپایل کنیم و مستقیما کد را تغییر بدیم

9 مانیتورینگ API

کرکرها با ابزارهایی مثل API Monitor یا Process Hacker درخواست‌های نرم‌افزار را بررسی میکنن تا بخش‌هایی که لایسنس رو بررسی می‌کند شناسایی و دستکاری کنن

10 حملات Brute Force

در برخی موارد که نرم‌افزار از مکانیزم‌های ساده‌ای برای اعتبارسنجی استفاده میکنه می‌تونیم با امتحان کردن ترکیب‌های مختلف، رمز عبور یا سریال صحیح رو پیدا کنیم

دوستان اگه میخاین وارد باگ بانتی بشین این پادکست رو حتما گوش کنین مسیر خوبیه

شماره پورت هایی که لازمه بدونید

@sec_netw🕷

این کتاب شامل تمرین‌ها و راه‌حل‌هایی با ویروس‌ها و روت‌کیت‌های واقعی و مخربه نویسندگان این کتاب عمدا این کار رو انجام دادن تا اطمینان پیدا کنن که خوانندگان می‌تونن فورا مهارت‌های که یاد گرفتن خودشون استفاده کنن نمونه‌های بدافزار به ترتیب حروف الفبا (نمونه A، B، C، …)
انواع معماری رو هم میگه Arm x64 x86

🛑چگونه متوجه شویم چه دامنه‌هایی روی یک IP خاص ثبت شده‌اند؟ 

➖بررسی دامنه‌های مرتبط با یک آدرس ایپی (Reverse IP Lookup)
یکی از روش‌های رایج برای شناسایی وب‌سایت‌ها یا سرویس‌هایی است که روی یک سرور مشترک میزبانی می‌شوند. این فرآیند به شما کمک می‌کند تا با وارد کردن یک آدرس IP، لیستی از دامنه‌های متصل به آن را پیدا کنید. در این مقاله، با روش‌ها و ابزارهای انجام این کار آشنا می‌شوید.


🗯وب سایت هایی که فرایند Reverse ip Lookup رو انجام میدن عبارتند از ؛

1- Domain tools
Aderess :  https://www.domaintools.com

- نحوه کار: 
   - وارد وب‌سایت Domain Tools شوید. 
   - از منوی بالای صفحه، گزینه Reverse IP Lookup را انتخاب کنید. 
   - آدرس IP مورد نظر خود را وارد کرده و روی Search کلیک کنید. 
   - لیست دامنه‌های مرتبط با آن IP نمایش داده می‌شود. 
- ویژگی‌ها: 
  - ارائه اطلاعات دقیق درباره مالک IP و تاریخچه دامنه. 
  - امکان مشاهده دامنه‌های فعال و غیرفعال. 

2-MXToolBox 
Aderess: https://mxtoolbox.com
- نحوه کار: 
  - وارد بخش Reverse IP Lookup شوید. 
  - ایپی مورد نظر را وارد کرده و روی Reverse Lookup کلیک کنید. 
  - لیست دامنه‌ها و رکوردهای DNS مرتبط نمایش داده می‌شود. 
- ویژگی‌ها: 
  - رایگان و سریع. 
  - امکان بررسی وضعیت سرور (Online/Offline). 

3-SecurityTrails 
Aderess:
https://securitytrails.com
- نحوه کار: 
  - در بخش Search، گزینه IP را انتخاب کنید. 
  - آدرس IP را وارد کرده و Enter بزنید. 
  - در قسمت Hosted Domains، دامنه‌های مرتبط با IP نمایش داده می‌شود. 
- ویژگی‌ها: 
  - ارائه جزئیات امنیتی مانند تاریخچه DNS و اطلاعات سرور. 

4-ViewDNS.info 
aderess: https://viewdns.info
- نحوه کار: 
  - از منوی Tools، گزینه Reverse IP Lookup را انتخاب کنید. 
  - ایپی را وارد کرده و روی Lookup کلیک کنید. 
- ویژگی‌ها: 
  - رابط کاربری ساده و رایگان. 

➖➖➖➖➖

@sec_netw🕷

#سوال
معمولاً چگونه به یک شبکه هدف دسترسی اولیه پیدا می‌کنید؟

این سوال یک پاسخ ثابت نداره چرا که روش‌های دسترسی اولیه به شبکه بسیار متنوع هستند و بستگی به عوامل زیر دارد:
مهارت مهاجم (مبتدی vs حرفه‌ای)،
سطح امنیت شبکه هدف،
نوع سیستم‌ها و سرویس‌های در دسترس،
منابع و زمان در اختیار مهاجم.
و موارد دیگر


⭕ | روش‌های دیگری نیز برای دسترسی اولیه به شبکه هدف وجود دارد. برخی از این روش‌ها عبارتند از:

+ مهندسی اجتماعی
+ دسترسی فیزیکی
+ حمله زنجیره تامین
+ استفاده از اعتبارنامه های لو رفته
+ و موارد دیگه

هر یک از این روش‌ها بسته به سطح امنیت شبکه هدف، پیچیدگی فنی، و منابع مهاجم ممکن است استفاده شوند.

🧩 مثال برای درک بهتر:

اگر سازمانی کاربران آموزش‌ندیده داشته باشد، احتمال موفقیت فیشینگ یا مهندسی اجتماعی بیشتر است.
اگر سازمانی سرویس‌های قدیمی با آسیب‌پذیری‌های شناخته‌شده داشته باشد، سوءاستفاده از اکسپلویت‌ها روش کارآمدتری است.

اگر مهاجم دسترسی فیزیکی به تجهیزات داشته باشد، ممکن است از کیلاگر یا دستگاه‌های مخرب USB استفاده کند.

💢 حال ما فرض میکنیم جواب این سوال :

دسترسی اولیه به یک شبکه هدف معمولاً از طریق تکنیک‌هایی مانند فیشینگ، سوءاستفاده از آسیب‌پذیری‌ها یا استفاده از پیکربندی‌های نادرست به دست می‌آید.

⭕ | خب بریم کمی وارد این جواب بشیم و به طور عملی کار کنیم :

اول فشینگ را بررسی میکنیم :

چگونه اتفاق می‌افتد؟

مهاجمان با ارسال ایمیل‌ها، پیام‌ها یا لینک‌های جعلی، کاربران را فریب می‌دهند تا اطلاعات حساس مانند نام کاربری، رمز عبور یا سایر داده‌ها را افشا کنند. این لینک‌ها ممکن است به صفحات ورود جعلی هدایت شوند یا حاوی فایل‌های مخرب باشند.

ابزارها و کدهای مورد استفاده:
ابزارهایی مانند SET (Social-Engineer Toolkit) یا Gophish برای ایجاد صفحات فیشینگ و ارسال ایمیل‌های جعلی.
کدهای HTML و JavaScript برای طراحی صفحات جعلی.
فایل‌های مخرب مانند اسکریپت‌های PowerShell یا ماکروهای Office که پس از اجرا، دسترسی مهاجم را فراهم می‌کنند.

این پست ادامه دارد ...
@TryHackBox

SET یا Social-Engineer Toolkit 
یکی از ابزارهای قدرتمند و محبوب برای انجام حملات فیشینگ است. این ابزار به مهاجمان اجازه می‌دهد تا صفحات ورود جعلی ایجاد کنند، ایمیل‌های فیشینگ ارسال کنند و حتی بدافزارها را توزیع کنند. در اینجا مراحل انجام یک حمله فیشینگ با استفاده از SET به طور کامل و با جزئیات توضیح داده شده است:


مراحل انجام فیشینگ با SET:

۱. نصب و راه‌اندازی SET:

معمولاً به صورت پیش‌فرض در توزیع‌های لینوکس مانند Kali Linux نصب شده است. اگر نصب نیست، می‌توانید آن را با دستور زیر نصب کنید:

sudo apt install setoolkit

پس از نصب، SET را با دستور زیر اجرا کنید:

setoolkit

۲. پیکربندی اولیه SET:
پس از اجرای SET، ممکن است از شما خواسته شود که برخی تنظیمات اولیه را انجام دهید. این تنظیمات شامل انتخاب نوع حمله، پیکربندی سرور و غیره است. برای شروع، معمولاً گزینه‌های پیش‌فرض کافی هستند.

۳. انتخاب نوع حمله:

پس از اجرای SET، منوی اصلی نمایش داده می‌شود. گزینه‌های مختلفی برای حملات وجود دارد. برای فیشینگ، گزینه ۱) Social-Engineering Attacks را انتخاب کنید.

Select from the menu:
1) Social-Engineering Attacks
2) Penetration Testing (Fast-Track)
3) Third Party Modules
4) Update the Social-Engineer Toolkit
5) Update SET configuration 6) Help, Credits, and About set> 1

۴. انتخاب روش فیشینگ:
در مرحله بعد، گزینه‌های مختلفی برای حملات فیشینگ نمایش داده می‌شود. برای ایجاد یک صفحه ورود جعلی، گزینه ۲) Website Attack Vectors را انتخاب کنید.

Select from the menu:
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector 7) Wireless Access Point Attack Vector
8) QRCode Generator Attack Vector
9) Powershell Attack Vectors 10) Third Party Modules
set> 2

۵. انتخاب نوع حمله وب‌سایت:
حالا باید نوع حمله وب‌سایت را انتخاب کنید. برای ایجاد یک صفحه ورود جعلی، گزینه ۳) Credential Harvester Attack Method را انتخاب کنید.

Select from the menu:
1) Java Applet Attack Method
2) Metasploit Browser Exploit Method
3) Credential Harvester Attack Method
4) Tabnabbing Attack Method
5) Web Jacking Attack Method
6) Multi-Attack Web Method
7) HTA Attack Method
set> 3

۶. انتخاب روش ایجاد صفحه جعلی:
در این مرحله، SET از شما می‌پرسد که آیا می‌خواهید از یک قالب آماده استفاده کنید یا یک صفحه وب را کپی کنید. برای سادگی، گزینه ۲) Site Cloner را انتخاب کنید.

Select from the menu:
1) Web Templates
2) Site Cloner
3) Custom Import
set> 2

۷. وارد کردن آدرس وب‌سایت واقعی:
حالا باید آدرس وب‌سایت واقعی را وارد کنید که می‌خواهید از آن تقلید کنید. برای مثال، اگر می‌خواهید یک صفحه ورود جعلی برای Gmail ایجاد کنید، آدرس زیر را وارد کنید:

Enter the url to clone: https://www.gmail.com

۸. راه‌اندازی سرور فیشینگ:

به طور خودکار صفحه ورود جعلی را ایجاد می‌کند و یک سرور محلی راه‌اندازی می‌کند. این سرور در آدرس IP شما (مثلاً 192.168.1.100) و پورت پیش‌فرض (مثلاً ۸۰) در دسترس خواهد بود.

[*] Cloning the website: https://www.gmail.com [*] This could take a little bit...
[*] The Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed below:

۹. ارسال ایمیل فیشینگ:
حالا باید کاربران را به صفحه جعلی هدایت کنید. این کار معمولاً با ارسال یک ایمیل فیشینگ انجام می‌شود که حاوی لینک به صفحه جعلی است. متن ایمیل ممکن است شبیه به این باشد:

موضوع: امنیت حساب کاربری شما متن: برای حفظ امنیت حساب کاربری خود، لطفاً روی لینک زیر کلیک کنید و وارد شوید: http://192.168.1.100



۱۰. جمع‌آوری اطلاعات:
وقتی کاربران روی لینک کلیک کنند و اطلاعات ورود خود را وارد کنند، این اطلاعات به سرور SET ارسال می‌شود و در ترمینال نمایش داده می‌شود:

[*] WE GOT A HIT! Email: user@example.com Password: password123

نکات امنیتی برای جلوگیری از فیشینگ:

کاربران:

هرگز روی لینک‌های ناشناس کلیک نکنید.

همیشه آدرس وب‌سایت را به دقت بررسی کنید.

از احراز هویت دو مرحله‌ای (2FA) استفاده کنید.

سازمان‌ها:

آموزش کاربران درباره فیشینگ و تکنیک‌های مهندسی اجتماعی.

استفاده از ابزارهای ضد فیشینگ و فیلتر کردن ایمیل‌های مخرب.

نظارت مداوم بر ترافیک شبکه برای شناسایی فعالیت‌های مشکوک.


اگر موافق هستید توی کامنت ها بگید روش های دیگه دسترسی به شبکه را هم توضیح بدیم .

ما را معرفی کنید ❤
@TryHackBox