بانک‌ها ملزم به حسابرسی حوزه فناوری اطلاعات شدند.

- فرشاد محمد پور «معاون تنظیم گری و نظارت بانک مرکزی» ضمن اعلام خبر الزامی شدن حسابرسی حوزه فناوری اطلاعات بانک‌ها به تشکیل کارگروه مشترک میان فعالان حوزه حسابرسی و بانک مرکزی با مشارکت سایر نهادهای ناظر اشاره کرد و گفت: این کارگروه با هدف ارتقای ارتباط دوسویه میان حرفه حسابرسی و نهاد ناظر تشکیل می‌شود.  
- وی حسابرسان را یکی از مهم ترین بازوهای نظارتی بانک مرکزی خواند و تصریح کرد: به بیان بهتر کیفیت بالای فعالیت حسابرسان ارتباط مستقیمی با کیفیت وظیفه نظارتی بانک مرکزی دارد. در جلسه مذکور نیز بیشتر بر ارتقا و بهبود کیفیت کار حسابرسی اشخاص تحت نظارت تأکیدات لازم انجام شد.
- محمدپور با بیان اینکه برای نخستین بار حسابرسی فناوری اطلاعات برای بانک‌ها الزامی شده است، یادآور شد: بر این اساس حسابرسان متعهد شدند که حداکثر یک ماه پس از تاریخ مجمع بانک‌ها، حسابرسی فناوری اطلاعات را آغاز کنند. چراکه یکی از حوزه هایی ممکن است با مخاطرات احتمالی همراه باشد، حوزه فناوری و امنیت اطلاعات شبکه بانکی است. لذا مقرر شد حرفه حسابرسی در گام مهم در این عرصه و به عنوان امری نوین، به بانک مرکزی در اطمینان بخشی از رعایت مباحث مرتبط با امنیت و فناوری اطلاعات نظام بانکی کمک لازم را داشته باشد.  

✅ Channel
💬 Group
⚡ Boost

📰 تخفیف‌های غیرمنطقی،
چون دام صیاد است،
هوشیار باش و فریب مخور.

#هشدار #آگاهی_رسانی

✅ Channel
💬 Group
⚡ Boost

مراقب شیوه‌های نوین باشید 🤣

داستان این پیامها چیه؟ الان ۳ نفر به من پیام دادن یکی از کره جنوبی، یکی از انگلیس و دیگری از اتریش
همگی توریست هستند و ماه آینده قصد سفر به ایران دارند. 😃
ساعتی یکبار هم پیام میدن که امروز چطوری؟ کارات خوب پیش میره؟
—————————-
دقیقا چند روز پیش همین پیام با تغییر چند کلمه برای من هم تو تلگرام اومده بود
میگفت مسئول کارهای توریستی من شمایید؟ .... 😐
—————————-
به منم ایرج پیام داده بود از استان کیش 😃
بنده خدا نمیدونست کیش هنوز استان نشده
—————————-
از من یکم هوشمندتر بود
واتساپ تماس گرفت چندبار جواب ندادم
بعد انگلیسی پیام داد برنامه ها اوکیه ؟من دارم میام برنامه های سفرو اوکی کردم
گفتم اشتباه پیام دادی
بعد گفت اع چه جالب شماره رو اشتباهی ذخیره کردم
یکی از مشکلات بعد لیک شدن شماره همراه ایرانی ها که فروخته شدن
معمولا مشتریان این اطلاعات کلاهبردارا هستن
اونایی که خیلی حرفه ای تر کار میکنن مجموعه ای از اطلاعات لیک شده تورو دارن و هدفمند طوری عمل میکنن که احساس نکنی چیزی اشتباهه
نمونه دیگش این بود که به یکی پیام دادن شما برنده چند میلیارد پول شدید بخاطر سفارش غذایی که ساعت فلان از اسنپ فود داشتید
آدرستون x هست دیگه آقای فلانی درسته؟برای ارسال کارت هدیه میپرسم که درست بدستتون برسه
و طعمه خیلی خوشحال کد فعالسازی که براش ارسال شده رو میخونه و حسابش خالی میشه

#هشدار #کلاهبرداری #آگاهی_رسانی

✅ Channel
💬 Group
⚡ Boost

دانشگاه تحصیلات تکمیلی علوم پایه زنجان اولین سمینار تخصصی امنیت سایبری با محوریت "امنیت سایبری در صنعت" را با هدف ارتقای سطح آگاهی و توانمندسازی مدیران، مهندسین و متخصصان صنایع در مواجهه با تهدیدات سایبری برگزار می‌کند.

زمان: چهارشنبه ۴ تیر ۱۴۰۴
محل برگزاری: دانشگاه تحصیلات تکمیلی علوم پایه زنجان

جهت ثبت نام، دریافت اطلاعات بیشتر و آشنایی با موضوعات و سخنرانان این رویداد به وبسایت ذیل مراجعه فرمایید

🌐 https://iasbs.ac.ir/~cybersecurity/2025

- شرکت برای عموم آزاد می باشد
- محل اسکان برای شرکت کنندگان غیربومی فراهم می باشد

#همایش_نمایشگاه_رویداد

✅ Channel
💬 Group
⚡ Boost

رئیس مرکز امداد و فوریت های سایبری پلیس فتا: در حال حاضر #کلاهبرداری در واگذاری وام‌های بانکی و تبلیغات جعلی فروش سوالات امتحان نهایی، بیشترین تماس با مرکز فوریت های سایبری #پلیس_فتا

✅ Channel
💬 Group
⚡ Boost

✅ آرمین راد دستگیر و روانه زندان شد

روابط عمومی سپاه شهر پرند، طی اطلاعیه‌ای اظهار کرد: طی سلسله اقدامات اطلاعاتی، فنی و سایبری فردی که با جعل عنوان نیروهای امنیتی، انتظامی، قضایی و... در فضای مجازی و حقیقی اقدام به کلاهبرداری، اخاذی، تهدید، ایجاد رعب‌ و وحشت، آزار و اذیت نسبت به کاربران فضای مجازی و شهروندان می‌نمود؛ توسط سربازان گمنام امام زمان(عج) در سپاه پرند دستگیر و روانه زندان شد.
- یوسفوند دادستان رباط کریم نیز با تایید این خبر، هویت این متهم کلاهبرداری در فضای مجازی را ایوب فروغی راد ملقب به آرمین راد عنوان کرده است.
- مستند شَرخَر مجازی از اقدامات مجرمانه این فرد است که با دستور مقام‌قضایی تهیه و منتشر می‌شود.

#فیلم_مستند

✅ Channel
💬 Group
⚡ Boost

وام سامانه حمایت کلاهبرداری است

بانک مرکزی با صدور اطلاعیه ای ضمن تکذیب انتشار برخی ادعاها مبنی بر پرداخت تسهیلات بانکی از طریق سامانه هایی در فضای مجازی تاکید کرد: برنامه این بانک در خصوص تامین مالی خرد به صورت رسمی در پایگاه اطلاع رسانی این بانک اعلام می شود و هرگونه اخبار مرتبط با پرداخت تسهیلات در فضای مجازی و رسانه های غیررسمی مورد تایید این نهاد نیست.

اخیرا در فضای مجازی اخباری با محتوای «وام ۱۵۰ میلیون تومانی از طریق سامانه حمایت» در حال انتشار است که از اساس این اخبار شایعه بوده و صرفا با هدف #کلاهبرداری و جمع آوری اطلاعات اشخاص صورت می گیرد. #هشدار

✅ Channel
💬 Group
⚡ Boost

#فرصت_همکاری کارشناس OSINT در پژوهشگاه توسعه فناوری‌های پیشرفته خواجه نصیر الدین طوسی

الزامات:
- تسلط به جستجوی پیشرفته اینترنتی (Google Dorks)
- آشنایی با فضای دارک وب (ِDark Web) و فروم‌های آن
- آشنا به موتورهای جستجوی مجازی و جستجو در اسناد، مدارک و منابع مختلف مکتوب، صوتی و تصویری و استخراج اطلاعات
- آشنا به مهارت‌ها و ابزارهای اوسینت (OSINT)
- آشنا به جستجو در شبکه‌های اجتماعی و استخراج اطلاعات
- تسلط کافی به زبان انگلیسی جهت جستجو در منابع لاتین
- آشنایی با اصول گزارش نویسی
-آشنایی با محیط و کاربری لینوکس
- هوشمندی و علاقه مندی لازم به زمینه تخصصی و همکاری تیمی

آشنایی با موارد زیر مزیت محسوب می‌شود:
- ابزارهای: Maltego / Signal hire / Rocket reach / True caller 
- دیتابیس‌های SQL
- آشنایی با مباحث برنامه نویسی و امنیت اطلاعات
- داشتن سابقه فعالیت اوسینت در حوزه امنیت اطلاعات و فضای سایبر 

شرایط جذب:
- سطوح تخصصی استخدام: جونیور، میدلول و سنیور
- تایم کاری: تمام وقت
- جغرافیا: تهران
- حقوق و مزایا: میزان حقوق بنا بر سطح تخصص و... متغیر(۲۷ تا ۳۷م) + کارانه + اضافه کار و سایر مزایای جانبی
- بیمه و سنوات
- شرایط جدب بصورت امریه خدمت نظام وظیفه

ارسال رزومه:
🗃 Mahan@rcdat.ir

✅ Channel
💬 Group
⚡ Boost

فساد پنهان در فروش تجهيزات امنیتی Fortint
پایان دور زدنها: اكانت FortiGuard متعلق به مشتريه، نه فروشنده!

✅ Channel
💬 Group
⚡ Boost

#فرصت_همکاری کارشناس Purple Team در شرکت اسپارا

کسی که بتونه حمله رو مثل Redها طراحی و دفاع رو مثل Blueها تحلیل کنه؛ اما یه قدم جلوتر بره و این دوتا رو به هم وصل کنه و امنیت واقعی بسازه.

مهارت‌هایی که مدنظرمونه:
- تسلط به مفاهیم Red Teaming و Blue Teaming
- تجربه عملی در تست نفوذ و تحلیل رخدادهای امنیتی
- آشنایی کامل با فریم‌ورک MITRE ATT&CK و Purple Team Maturity Model
- تسلط به لاگ‌خوانی
- اجرای حملات شبیه‌سازی‌شده و تحلیل نتیجه آن‌ها (Detection Engineering)
- آشنایی با تکنیک‌های evasion و bypass در حملات
- کدنویسی اسکریپت‌های سفارشی با Python, PowerShell یا Bash
- مستندسازی فنی و ارائه گزارشی قابل فهم به تیم‌های مختلف
- آشنایی با ابزارهایی مثل Caldera، Atomic Red Team، Sysmon، Sigma Rules، و PurpleSharp مزیت محسوب می‌شه.

اگه عاشق اینی که قرمز و آبی نباشی بلکه یه بنفش خلاق باشی، منتظرتیم.

ارسال رزومه:
🗃 we@spara.ir

✅ Channel
💬 Group
⚡ Boost

💬 گفت‌وگوی اختصاصی افتانا با دکتر علی‌محمد نوروززاده، رئیس مرکز مدیریت راهبردی افتا

- بدون رونق کسب‌وکار نمی‌توان انتظار امنیت سایبری پایدار داشت.
- صدور مجوز تنها بخش کوچکی از فعالیت‌های مرکز #افتا است.
- پیشینه ذهنی و محافظه‌کاری موجود باعث شد که فرایند صدور مجوز افتا، که قرار بود تنها بخشی کوچک از فرآیند امن‌سازی سازمان‌ها باشد، به یک چالش بزرگ تبدیل شود.
- فرایندهای صدور مجوز افتا بیش از یک دهه پیش، تدوین شده‌اند و نیاز به بازبینی دارند. دیدگاه‌های گذشته در مورد امنیت سایبری با واقعیت‌های امروز تفاوت‌های اساسی دارند.
- سامانه‌های مورد استفاده برای صدور مجوز هم از شفافیت کافی برخوردار نبوده و کاربرپسند نیستند. به همین علت، مرکز ملی فضای مجازی اصلاح این فرایندها را از بهمن‌ماه سال گذشته، در دستور کار قرار داد.
- این توقع که مجوز افتا سازمان را کاملاً ایمن می‌کند، به دلیل سختی‌های فرایند صدور مجوز ایجاد شده است.
- امنیت سایبری با دعا یا شعار محقق نمی‌شود، بلکه نیازمند رونق اقتصادی و مشارکت فعال بخش خصوصی است.

🔗 شرح کامل نخستین گفت‌وگوی رسانه‌ای با رئیس مرکز مدیریت راهبردی افتا را در افتانا بخوانید.

✅ Channel
💬 Group
⚡ Boost

📰 سخن از اسرار خویش مگو، که دیوارهای مجازی گوش دارند و زبان تیز!

#هشدار #آگاهی_رسانی

✅ Channel
💬 Group
⚡ Boost

🚫 برنامه جدید شوک با موضوع؛ هک حساب بانکی (فیشینگ)

#هشدار #آگاهی_رسانی #هک #فیشینگ

✅ Channel
💬 Group
⚡ Boost

بیست‌هشتمین نمایشگاه بین‌المللی الکامپ «سرمایه‌گذاری هوشمند و توسعه پایدار»

۲۷ تا ۳۰ خردادماه ۱۴۰۴
ساعت ۸ الی ۱۵
محل دائمی نمایشگاه‌های بین‌المللی تهران

✅ Channel
💬 Group
⚡ Boost
#همایش_نمایشگاه_رویداد

♣️در جریان بررسی امنیتی سامانه‌های مختلف، موفق به کشف آسیب‌پذیری‌هایی شدیم که در اینجا تنها به برخی از نمونه‌های کوچک‌تر اشاره می‌کنیم:
👁‍🗨چند آسیب‌پذیری از نوع Stored XSS شناسایی شد که با بهره‌برداری از آن‌ها موفق به اجرای حمله Account Takeover و در نهایت تصرف پنل مدیریت (Admin Panel) شدیم. پس از آن، چندین آسیب‌پذیری Remote Code Execution (RCE) در سامانه‌های حساس کشف گردید. با زنجیره‌سازی (chaining) این حملات، توانستیم حتی از طریق باگ‌های XSS به یک مسیر حمله مؤثر تا رسیدن به RCE بدون احراز هویت (Unauthenticated RCE) دست پیدا کنیم.
🖤از سر دلسوزی، لازم است اشاره‌ای داشته باشیم به برخی از سامانه‌ها و سخت‌افزارهایی که آسیب‌پذیر هستند؛ از جمله سامانه IBSng و اکسس‌پوینت‌های Altai. متأسفانه، برخی دانشگاه‌ها و سازمان‌های دولتی این سامانه‌ها را حتی روی دامنه‌های اصلی خود قرار داده‌اند؛ به‌طوری‌که با یک Local Privilege Escalation (LPE) ساده، کل سرور قابل تصرف است. و در نهایت، خدا لعنت کند کسانی را که امنیت داده‌های مردم را نادیده می‌گیرند.
🖤ادر راستای مسئولیت‌پذیری، تصمیم گرفتیم تنها یک باگ با ریسک پایین، وسعت بالا و جذابیت کم برای مهاجمان را به عنوان نمونه معرفی کنیم؛ تنها برای اینکه بدانید کجای کار هستید.
یکی از پژوهشگران ما، بدون اجرای هیچ اقدام پیچیده‌ای، تنها با در اختیار داشتن IP دستگاه‌ها، توانست در کسری از ثانیه ۲۰ اکسس‌پوینت را در یک محیط آزمایشگاهی از کار بیندازد. (البته آسیب‌پذیری‌های جدی‌تری نیز کشف شد، اما جهت جلوگیری از آسیب‌های احتمالی، منتشر نخواهند شد)
به‌عنوان نمونه، در اکسس‌پوینت‌های Altai بخشی در سورس صفحات با ساختار زیر وجود دارد:

xml:lang="" lang="">

احتمالاً این را در بسیاری از صفحات دیده‌اید. این پارامتر به‌صورت پیش‌فرض در سخت‌افزار قابل تنظیم بوده و در پس‌زمینه، با استفاده از متد POST در قالب پارامتر:

luci?lang=""

ارسال می‌شود. مثلاً با ارسال luci?lang="en" زبان واسط کاربری تغییر می‌کند. اگر کوئری‌های مخربی به این پارامتر اضافه شوند، با خطاهای XML مواجه می‌شوید، که نشان‌دهنده‌ی درج مستقیم داده در صفحات بدون فیلترسازی مناسب است.
نکته‌ی مهم این است که این پارامتر نه‌تنها صفحه‌ی ورود، بلکه تمام صفحاتی که به مسیر luci مربوط می‌شوند را تحت تأثیر قرار می‌دهد. در کم‌ترین سناریو می‌توان به حالتی رسید که بدون null شدن این پارامتر، صفحه ورود حتی بارگذاری نمی‌شود. این خود یک سناریوی بالقوه برای آسیب‌پذیری‌هایی مانند XXE یا Stored XSS است....

ZoomEye : "luci?lang="

🎥Stored_XSS_POC
در پایان، هشدار می‌دهیم که استفاده از IBSng و تجهیزات آسیب‌پذیر مانند Altai بدون اعمال سخت‌گیری‌های امنیتی می‌تواند تبعات جدی برای سازمان‌ها داشته باشد. هرچند تجربه نشان داده متأسفانه، «دیوار» بهتر از برخی مسئولان امنیت را درک می‌کند...
📱@APTIRAN

این هشدار در خصوص IBsng و اکسس‌پوینت‌های Altia هست که تقریباً کل دانشگاه‌های کشور و برخی مراکز حساس از این سامانه‌ها و اکسس‌پوینت‌ها استفاده می‌کنند که وجود #آسیب_پذیری در این سامانه‌ها فاجعه بار خواهد بود …

✅ Channel
💬 Group
⚡ Boost

رئیس #پلیس_فتا مازندران از دستگیری مدیران یک کانال تلگرامی در استان به‌نام «آقای شیخ» که با انتشار تصاویر خصوصی جوانان و نوجوانان اقدام به هتک حرمت و حیثیت آنان می‌کرد، خبر داد.

✅ Channel
💬 Group
⚡ Boost

دریافت هرگونه تماس تلفنی با خطوط شخصی یا تماس ازطریق شبکه‌های اجتماعی مبنی بر برنده شدن به علت خوش حسابی و یا پشتیبانی دستگاه pos بانکی حتی با ارائه خصوصی‌ترین و دقیق‌ترین اطلاعات و مشخصات هویتی شما کلاهبرداری است؛ لذا از اعلام کدها و رمزهای محرمانه به شخص تماس گیرنده خودداری نمایید. در غیر اینصورت حساب شما سرقت خواهد شد.

#پلیس_فتا

✅ Channel
💬 Group
⚡ Boost

#هشدار باش سایبری و رعایت الزامات امنیتی

مرکز مدیریت راهبردی #افتا
#هشدار_سایبری

✅ Channel
💬 Group
⚡ Boost

⏺ اطلاعیه مرکز مبارزه با جرایم سازمان‌یافته سپاه در پی حملات اخیر

هم‌وطنان عزیز!
باتوجه‌ به این‌که دشمنان روی پیام‌رسان‌های خارجی اشراف دارند از انتقال هر گونه اطلاعات اعم از تصویر و فیلم در این گونه پیام‌رسان‌ها به‌خصوص واتس‌اپ و اینستاگرام خودداری کنید.

#هشدار

✅ Channel
💬 Group
⚡ Boost

📣 اطلاعیه وزارت ارتباطات به دنبال اعمال محدودیت بر اینترنت کشور

وزارت ارتباطات: ضمن عرض تسلیت به مناسبت شهادت جمعی از سرداران رشید اسلام، دانشمندان هسته‌ای و تعدادی از هموطنان مظلوم و بی‌دفاعمان در پی حملات بی‌رحمانه‌ رژیم صهیونیستی، به اطلاع مردم شریف ایران می‌رساند که با عنایت به شرایط ویژه‌ کشور و با تدابیر مراجع‌ ذی‌صلاح، موقتا محدودیت‌هایی بر اینترنت کشور  اعمال شده است.
بدیهی است با بازگشت وضعیت به حالت عادی، محدودیت‌های مذکور مرتفع خواهد شد‌.

✅ Channel
💬 Group
⚡ Boost