CIS API Security Guide
v1.0.0
March 2025

#API #CIS

✅ Channel
💬 Group

#فرصت_همکاری در ۳ ردیف شغلی در مرکز مبادله ایران (فعال در حوزه بانکی)

- کارشناس تست نفوذ
- کارشناس مرکز عملیات امنیت (Tier 1)
- کارشناس مرکز عملیات امنیت (Tier 2)

شرایط جذب:
- داشتن حداقل سه سال سابقه کار مرتبط در حوزه امنیت
- فارغ التحصیل رشته‌های نرم افزار و فناوری اطلاعات
- پایان خدمت و پایان تحصیل (دانشجو نبودن)

در صورت تمایل به همکاری، لطفا رزومه خود را به ذکر عنوان شغلی به آدرس ایمیل زیر ارسال نمایید.

🗃 a.kiani@ice.ir

✅ Channel
💬 Group

فصل‌نامه تخصصی ویراگستر شماره ۲۹ (تابستان ۱۴۰۴)

در این شماره می‌خوانیم:
- وقتش رسیده اتاق سرور کوچک خود را تبدیل به دیتاسنتر کنید!
- اگر می‌خواهید اتاق سرور بسازید؛ این ۹ نکته حیاتی را رعایت کنید!
- دیتاسنترهای هوش مصنوعی؛ هدف جنگ‌های آینده
- چگونه خطرات ایمنی محل کار دیتاسنترها را کاهش دهیم
- سوالاتی که باید پیش از ترک شغل، از خودتان بپرسید!
- چگونه مدیران باهوش مصنوعی تصمیم‌های بهتری می‌گیرند؟
- چگونه بدون اخراج کارمندان هزینه‌ها را کاهش دهیم؟

#مجله

✅ Channel
💬 Group

فصلنامه ویراگستر / شماره ۲۹ / تابستان ۱۴۰۴

#مجله

✅ Channel
💬 Group

🔎 گزارش HackerOne 2025 منتشر شد

برخی از مهم‌ترین یافته‌ها:
- رشد ۲۱۰٪ گزارش‌های آسیب‌پذیری مرتبط با هوش مصنوعی
- جهش ۵۴۰٪ در حملات Prompt Injection
- بیش از ۳ میلیارد دلار خسارت احتمالی پیشگیری شده
- مجموعاً ۸۱ میلیون دلار پاداش (Bounty) به هکرهای کلاه‌سفید پرداخت شده

#Report

✅ Channel
💬 Group

The Rise of the Bionic Hacker

Hacker-Powered Security #Report
9th Edition | hackerone | 2025

✅ Channel
💬 Group

🖥️ وبینار رایگان تکامل کشف تهدید

⏪ آیا تیم امنیتی شما با انبوهی از هشدارها و حملاتی که از لایه‌های مختلف عبور می‌کنند، دست و پنجه نرم می‌کند؟ با پیچیده‌تر شدن تهدیدات سایبری، ابزارهای سنتی مانند SIEM دیگر به تنهایی کافی نیستند.
⏪ در این وبینار، ما به بررسی مسیر تکامل امنیت سایبری خواهیم پرداخت: از ریشه‌های SIEM سنتی تا ظهور قابلیت‌های پیشرفته XDR.
⏪ به ما بپیوندید تا بیاموزید چگونه یک رویکرد ترکیبی و هم‌افزا از SIEM و XDR می‌تواند چه مزایایی را برای سازمان شما به ارمغان بیاورد

📅 دوشنبه ۱۴ مهرماه ۱۴۰۴ ساعت ۱۱ الی ۱۲

ثبت‌نام:
🔗 http://radsecure.ir/webinar

#همایش_نمایشگاه_رویداد

✅ Channel
💬 Group

🔺گزارش zimperium از ۸۰۰ وی‌پی‌ان‌ رایگان

- بسیاری از افراد فکر می‌کنند استفاده از VPN روی موبایل یعنی امنیت و آرامش خیال. اما تحقیقات جدید نشان می‌دهد بسیاری از اپلیکیشن‌های VPN، به‌ویژه نسخه‌های رایگان، نه تنها محافظ شما نیستند بلکه می‌توانند خودشان به یک تهدید جدی تبدیل شوند.
- یک بررسی جامع از حدود ۸۰۰ اپلیکیشن VPN رایگان برای اندروید و iOS توسط زیمپریوم (Zimperium) نشان می‌دهد شمار قابل‌توجهی از این برنامه‌ها خطرات جدی امنیتی و حریم خصوصی دارند. از استفاده از نسخه‌های قدیمی OpenSSL (در معرض آسیب‌پذیری Heartbleed) گرفته تا پذیرش گواهی‌های جعلی که امکان حملات MITM را فراهم می‌کن، این اپ‌ها می‌توانند اطلاعات شخصی و سازمانی را در معرض افشا قرار دهند.

⚫️ چرا این وی‌پی‌ان‌ها خطرناک‌اند؟

1️⃣ کتابخانه‌های قدیمی و پر از حفره امنیتی
برخی از این VPNها هنوز از نرم‌افزارهایی استفاده می‌کنند که آسیب‌پذیری‌های شناخته‌شده‌ای مثل حفره معروف Heartbleed دارند. این یعنی داده‌های حساس کاربران مثل رمزعبور یا اطلاعات شخصی می‌تواند لو برود.
2️⃣خطر حملات مرد میانی (MitM)
وقتی VPN گواهی سرور را درست بررسی نکند، هکر می‌تواند وسط راه قرار بگیرد و تمام ارتباطات رمزنگاری‌شده شما را شنود کند.
3️⃣مجوزهای مشکوک و غیرضروری
بعضی VPNها دسترسی‌هایی می‌خواهند که هیچ ربطی به کارشان ندارد؛ مثل خواندن لاگ‌های گوشی، دسترسی همیشگی به موقعیت مکانی، یا حتی شناسایی دستگاه‌های داخل شبکه خانگی شما! این دسترسی‌ها می‌تواند راهی برای جاسوسی یا فروش داده‌ها باشد.
4️⃣امکان فریب و نفوذ از طریق اپ‌های دیگر
برخی از این برنامه‌ها بخش‌هایی را بدون حفاظت رها کرده‌اند. در نتیجه اپلیکیشن‌های دیگر می‌توانند به تنظیمات VPN دسترسی پیدا کنند، صفحه ورود کاربر را باز کنند و او را فریب دهند تا اطلاعاتش را وارد کند.

چه باید کرد؟
- به هر VPN اعتماد نکنید، مخصوصاً نسخه‌های رایگان یا ناشناس.
- پیش از نصب، مجوزهایی که اپلیکیشن درخواست می‌کند را بررسی کنید.
- تنها از برندها و سرویس‌های شناخته‌شده با سابقه امنیتی معتبر استفاده کنید.
- سازمان‌ها باید مراقب باشند کارکنان از VPNهای نامطمئن در گوشی‌های کاری استفاده نکنند.

نکته مهم:
وی‌پی‌ان قرار است حریم خصوصی و امنیت شما را حفظ کند، اما اگر انتخاب درستی نداشته باشید، دقیقاً برعکس عمل می‌کند و به بزرگ‌ترین تهدید برای اطلاعاتتان تبدیل می‌شود.

🔗 مطالعه کامل گزارش زیمپریوم (zimperium)

#هشدار

✅ Channel
💬 Group

🌐 هوش‌مصنوعی فیشینگ‌ها را طبیعی‌تر می‌کند

- یک پژوهش مشترک بین رویترز و دانشگاه هاروارد نشان می‌دهد ابزارهای مولد متن می‌توانند ایمیل‌های #فیشینگ بسیار واقعی تولید کنند؛ در این آزمایش که از ChatGPT، Grok و DeepSeek استفاده شد، از میان ۱۰۸ شرکت‌کننده، حدود ۱۱ درصد روی لینک‌های مخرب کلیک کردند.
- پدیده «فیشینگ به‌عنوان سرویس» (PhaaS) در بازارهای پنهان رشد کرده و ارائه‌دهندگان خدمات مخرب با اشتراک‌های ماهانه، توان راه‌اندازی دامنه‌ها و صفحات ورود جعلی مشابه سرویس‌هایی مثل گوگل و مایکروسافت را آسان کرده‌اند.
- هم‌زمان، استفاده از دیپ‌فیک صوتی و تصویری باعث شده جعل هویت مدیران و همکاران در حملات مهندسی اجتماعی ساده‌تر و متقاعدکننده‌تر شود. این ابزارها به مهاجمان امکان می‌دهند پیام‌ها را دقیقاً به سبک و صدای اهدافشان شکل دهند.
- تحلیل‌گران هشدار می‌دهند که کشف و خنثی‌سازی حملات فیشینگ تولیدشده با هوش‌مصنوعی باید در سال ۲۰۲۶ به یکی از اصلی‌ترین اولویت‌های تیم‌های امنیت سایبری تبدیل شود.

#هشدار

✅ Channel
💬 Group

🔴 دستگیری فردی که در تلگرام سیگنال معامله ارز دیجیتال می‌فروخت

- رئیس #پلیس_فتا البرز گفت: یک کلاهبردار تلگرامی که با راه‌اندازی یک کانال در ازای ارائه سیگنال غلط مبالغی به میزان ۲۰ هزار دلار از کاربران کلاهبرداری کرده بود، در یکی از استان‌های همجوار شناسایی و دستگیر شد.
- سرهنگ رسول جلیلیان گفت: به دنبال ارجاع پرونده‌های متعدد کلاهبرداری یک کانال تلگرامی از این طریق که گرداننده این کانال با ارائه سیگنال‌های اشتباه در حوزه خرید و فروش رمز ارز مبالغ هنگفتی نیز از مالباختگان دریافت کرده بود، با دستور مقام قضایی شناسایی و دستگیری متهم در دستور کار پلیس فتای استان قرار گرفت.
- وی افزود: علی رغم اینکه متهم با استفاده از شیوه‌های پیچیده هیچ گونه ردی از خود بر جای نگذاشته بود اما با پیگیری‌های شبانه روزی و بهره‌برداری از اقدامات فنی پلیسی، متهم در یکی از استان‌های همجوار شناسایی و توسط ماموران دستگیر شد.

✅ Channel
💬 Group

⚠️شرکت خدمات هاستینگ پارس دیتا
هدف حمله سایبری باج افزاری قرار گرفت.

اطلاعيه مهم - شركت پارس ديتا
اطلاع رسانى فورى درباره اختلال امنيتی و وضعيت خدمات

اعلان امنيتی - توجه فرماييد
كاربران كرامى،
باكمال تاسف به اطلاع مى‌رسانيم كه شركت پارس ديتا اخيراً هدف حمله سايبرى از نوع باج افرارى قرار كرفته است. در اين خصوص، تيم هاى فنی ومتخصصان ما بلافاصله اقدامات لازم را آغاز كرده و به صورت شبانه‌روزى در حال پیگیری و رفع مشكل هستند.
اطمينان داشته باشيد كه حفظ امنيت اطلاعات كاربران و بازگرداندن كامل خدمات در سريع‌ترين زمان ممكن، بالاترين اولويت ماست. در اين مسير تمامى اقدامات پیشگیرانه و حفاظتی نيز در حال اجراست تا از بروز موارد مشابه در آينده جلوگیری شود.

#هک #حمله

✅ Channel
💬 Group

پلیس فتا: دیوار و شیپور محل مناسبی برای خرید و فروش طلا نیستند

- پلیس_فتا تهران درباره افزایش کلاهبرداری‌های اینترنتی هشدار داد و اعلام کرد که خرید و فروش طلا در پلتفرم‌هایی مانند «دیوار» و «شیپور» بسیار پرخطر است.
- داود معظمی گودرزی، رئیس #پلیس_فتا تهران بزرگ، به کاربران توصیه کرد که در خریدهای مجازی دقت بیشتری داشته باشند و هرگز پیش از تحویل کالا، وجهی را پرداخت نکنند. وی تأکید کرد قیمت‌های وسوسه‌کننده اغلب نشانه‌ی کلاهبرداری است.
- گودرزی به مورد یک زوج جوان اشاره کرد که پس از فروش طلا در دیوار، هم دارایی خود را از دست دادند و هم حساب بانکی‌شان مسدود شد، زیرا وجه واریزی از یک حساب سرقتی بود. او از مردم خواست تا هوشیار باشند و برای معاملات اینترنتی تنها از پلتفرم‌های امن با سیستم پرداخت مشخص و مطمئن استفاده کنند تا گرفتار مشکلات قضایی و مالی نشوند.

#هشدار #کلاهبرداری

✅ Channel
💬 Group

SANS Training Roadmap
Last Version

💠 نقشه‌راه آموزش دوره‌های موسسه سنز آپدیت اساسی شد

#SANS #Roadmap #Course #Certificat

✅ Channel
💬 Group

SANS Training Roadmap
Last Version

💠 نقشه‌راه آموزش دوره‌های موسسه سنز آپدیت اساسی شد

#SANS #Roadmap #Course #Certificat

✅ Channel
💬 Group

⭐️ AI Tools for Cybersecurity in 2025

#AI

✅ Channel
💬 Group

❕️ شما کارتان را به هوش مصنوعی از دست نخواهید داد، بلکه کارتان را به کسی از دست خواهید داد که از هوش مصنوعی استفاده می‌کند.
(جنسن هوانگ، مدیرعامل و کوفاندر شرکت انودیا)

#جملات_ناب

✅ Channel
💬 Group

🔴 گزارشی از نبرد‌ سایبری میان حامیان‌غزه و رژیم صهیونیستی و هم‌پیمانانش

این #گزارش تحلیلی به بررسی انواع حملات‌ سایبری، کشورهای احتمالی فعال، گروه‌های هکری مشارکت‌کننده، روزنگار حملات و تاثیر حملات بر زیرساخت‌های حیاتی و... بعد از عملیات طوفان الاقصی می‌پردازد.

#جنگ_سایبری #حمله_سایبری #جنگ_ترکیبی

✅ Channel
💬 Group

🔴 گزارشی از نبرد‌ سایبری میان حامیان‌غزه و رژیم صهیونیستی و هم‌پیمانانش

این #گزارش تحلیلی به بررسی انواع حملات‌ سایبری، کشورهای احتمالی فعال، گروه‌های هکری مشارکت‌کننده، روزنگار حملات و تاثیر حملات بر زیرساخت‌های حیاتی و... بعد از عملیات طوفان الاقصی می‌پردازد.

#جنگ_سایبری #حمله_سایبری #جنگ_ترکیبی

✅ Channel
💬 Group

#DoD Artifical Intelligence Cybersecurity #Risk Management Tailoring Guide

July 2025 | Version 2

#AI

✅ Channel
💬 Group

#DoD Artifical Intelligence Cybersecurity #Risk Management Tailoring Guide

July 2025 | Version 2

#AI

✅ Channel
💬 Group

⚡️ بزرگ‌ترین Data Loss تاریخ کره‌جنوبی
یک آتش‌سوزی گسترده در مرکز داده ملی دولت کره‌جنوبی (NIRS) منجر به از بین رفتن بیش از ۸۵۸ ترابایت اطلاعات حساس دولتی شد.

🧯 حادثه زمانی رخ داد که تیم فنی در حال تعویض باتری‌های لیتیوم‌یونی UPS بود و آتش به سرعت به رک‌های اصلی سرایت کرد.
- شدت دما به حدی بالا رفت که حتی دیتاسنترهای مجاور نیز برای پیشگیری از گسترش آسیب به‌طور کامل خاموش شدند. این خاموشی باعث اختلال در صدها سرویس دولتی و قطع ارتباط سامانه‌های حیاتی به‌مدت چند روز شد.
- بر اساس گزارش‌ها، از مجموع ۶۴۷ سرویس دولتی، تنها ۱۱۵ سرویس بازیابی شده‌اند و روند بازگردانی کامل داده‌ها ممکن است چندین ماه زمان ببرد.
🔴 اما فاجعه اصلی مربوط به سرویس G-Drive (فضای ابری مخصوص کارمندان دولت کره) است که هیچ نسخه پشتیبانی از آن وجود نداشته! و در نتیجه، صدها ترابایت داده کاری برای همیشه از بین رفته است.

✏️ این حادثه، یکی از بزرگ‌ترین نمونه‌های از دست رفتن داده (Data Loss) در سطح ملی محسوب می‌شود و بار دیگر بر ضرورت طراحی راهکارهای Disaster Recovery و استراتژی‌های پشتیبان‌گیری خارج‌ازمحل (Off-site Backup) تأکید می‌کند.
💡 حتی امن‌ترین زیرساخت‌ها هم می‌تونن در چند دقیقه نابود بشن …

✅ Channel
💬 Group