🆘 سناریو خیریه جعلی (مهندسی اجتماعی)

هدف
شناسایی راه‌های ممکن برای نفوذ از طریق بهره‌برداری از احساسات کارکنان به نفع مقاصد امنیتی. (بعضی از سناریوهای منتشر شده قبلاً توسط نهاد‌های جاسوسی با اهداف مشخص انجام شده است.)

تحقیق ابتدایی
اطلاعاتی درباره سازمان (هدف)، فرهنگ آن، و علاقه‌مندی‌های کارکنان جمع‌آوری کنید. این داده می‌تواند شامل رویدادهای گذشته، خیریه‌هایی که سازمان قبلاً با آنها همکاری کرده است، و علاقه‌مندی‌های عمومی کارکنان باشد (از طریق شبکه‌های اجتماعی).

طراحی داستان
یک خیریه جعلی ایجاد کنید که به‌طور خاص به نوعی از بحران یا مسئله اجتماعی ارتباط دارد که می‌دانید کارکنان به آن حساس‌اند.

ایجاد هویت دیجیتال
وب‌سایتی حرفه‌ای و پروفایل‌های شبکه اجتماعی برای این خیریه جعلی ایجاد کنید. این وب‌سایت باید شامل اطلاعات حقیقی و محتوای احساسی باشد که کارکنان را به مشارکت و کمک ترغیب کند.

ارتباط‌گیری
با استفاده از ایمیل‌های #فیشینگ حرفه‌ای، به کارکنان اطلاعاتی درباره این خیریه ارسال کنید و آنها را به شرکت در یک رویداد یا کمک به جمع‌آوری کمک‌های مالی دعوت کنید.

جمع‌آوری اطلاعات
در رویداد یا از طریق فرم‌های آنلاین، کارکنان را تشویق کنید اطلاعات تماس، علاقه‌مندی‌ها، و حتی برخی اطلاعات شغلی را داوطلبانه ارائه دهند.

ارزیابی امنیتی و ارتقا آگاهی
هدف نهایی از این سناریو در دنیای واقعی بررسی نقاط ضعف احتمالی سازمان در برابر حملات مهندسی اجتماعی می باشد و به عنوان یک ابزار برای بهبود سیاست‌های امنیتی و آموزش کارکنان از آن استفاده شود.

اخطار
این سناریو به هیچ عنوان نباید به صورت واقعی و بدون اجازه قبلی سازمان انجام شود. استفاده نابه‌جا از #مهندسی_اجتماعی برای نفوذ یا سوءاستفاده، خلاف قوانین است و می‌تواند موجب مشکلات حقوقی و اخلاقی جدی شود. توصیه می‌شود که این قبیل روش‌ها صرفاً در محیط‌های آموزشی و تحت نظارت دقیق پیاده‌سازی شوند تا بتوان مدیریت امنیتی را ارتقا داد.

@tiivik

#OSINT #Red_Team

✅ Channel
💬 Group
⚡ Boost

معرفی چارچوب و متدولوژی COBIT 2019

#Framework #ISACA #COBIT

✅ Channel
💬 Group
⚡ Boost

معرفی چارچوب و متدولوژی COBIT 2019

#Framework #ISACA #COBIT

✅ Channel
💬 Group
⚡ Boost

#فرصت_همکاری SOC Engineer در شرکت ابرآروان

مهارت‌های لازم:
- نظارت و تحلیل هشدارهای امنیتی
- ارزیابی، اولویت‌بندی، ارتقا و مدیریت هشدارها و کاهش تهدیدها
- پیاده‌سازی استراتژی‌هایی برای جمع‌آوری، نرمال‌سازی و تحلیل لاگ‌ها از فناوری‌های مختلف
- نظارت و اداره زیرساخت SIEM، حفظ سلامت و کارایی سیستم شامل منابع لاگ، هشدارها و گزارش‌ها
- تسلط به رهبری حوادث امنیتی حیاتی با استفاده از چارچوب‌های پاسخ استاندارد برای مدیریت و کاهش تهدیدها
- توانایی یکپارچه‌سازی و بهینه‌سازی سیستم
- توانایی توسعه محتواهای SIEM مانند داشبوردها، گزارش‌ها، قوانین و فیلترها و بهبود اقدامات امنیتی

شرح انتظارات:
- داشتن مدرک کارشناسی یا کارشناسی ارشد در فناوری اطلاعات، امنیت، رایانش ابری، علوم کامپیوتر یا رشته‌های مرتبط
- تجربه گسترده با سیستم‌های SIEM اصلی مانند QRadar، Sentinel، Splunk یا جایگزین‌های منبع باز
- درک قوی از مدیریت رویدادهای امنیتی از هر دو منظر فناوری و فرآیند
- آشنایی با XDR و EDRهای منبع‌باز و تجربه یکپارچگی خروجی این محصولات با SOC
- تخصص اثبات‌شده در پروتکل‌های شبکه و چارچوب‌های امنیتی لازم برای مدیریت موثر تهدیدها
- مهارت در اسکریپت‌نویسی برای خودکارسازی و یکپارچه‌سازی سیستم‌های امنیتی، با تجربه در زبان‌هایی مانند PowerShell یا Python
- توانایی اثبات‌شده در هدایت پروژه‌های امنیتی از آغاز تا پایان، تضمین بهبودهای قوی در وضعیت امنیتی
- داشتن گواهینامه‌های حرفه‌ای مرتبط در زمینه امنیت سایبری، یا مدارک مرتبط
- مهارت در حل مساله و توانایی کار به صورت مستقل و همکاری

ارسال رزومه:
📂 r1c.ir/c6ykn

✅ Channel
💬 Group
⚡ Boost

#اینفوگرافیک تدابیر امنیت سایبری

✅ Channel
💬 Group
⚡ Boost

«مأمور پست هستم» ترفند جدید کلاهبرداران مجازی

- کلاهبرداری در فضای مجازی هر روز با روش‌ها و ترفندهای تازه و مختلفی به‌روز می‌شود. در جدیدترین روش مجرمان در شبکه‌های اجتماعی و پیام‌رسان داخلی توسط اکانتی پیامی با این مضمون می‌فرستد:
«اسم من جعفری است. من پستچی هستم. ابلاغیه قضایی و احضاریه سوم را برایتان آوردم؛ نبودید اما چون شماره‌تان روی نامه بود برداشتم. با این کد شناسایی وارد لینک شوید و احضاریه سوم را ببینید.»
- وقتی فرد بر روی لینک ارسالی کلیک می‌کند بدافزار روی گوشی‌اش نصب می‌شود و برای تمام مخاطبان وی همین پیام به همراه لینک ارسال می‌شود؛ اگر فرد شماره کارت و اطلاعات دیگری وارد کند هم بلافاصله حسابش را خالی می‌کنند.

#هشدار #کلاهبرداری

✅ Channel
💬 Group
⚡ Boost

معاون مبارزه با کلاهبرداری پلیس آگاهی فراجا:
- پرونده‌هایی مبنی بر کلاهبرداری به روش استفاده از برنامه‌های رسیدسازهای جعلی تلفن همراه، رسیدگی به آن در دستور کار قرار گرفت.
- طبق بررسی‌ها مشخص شد متهمان از طریق سایت‌های مجازی جهت خرید کالاها به فروشندگان مراجعه و اعلام داشته کارت عابر بانک همراهشان نیست.
- این افراد در ادامه از طریق درگاه‌های مجازی مبالغ کالاهای خریداری شده را پرداخت که بعد از نشان دادن رسید جعلی پرداخت اینترنتی در داخل گوشی به فروشندگان، از محل متواری می‌شدند.
- با انجام اقدامات اطلاعاتی و پلیسی چهار نفر از متهمان اصلی بازداشت شدند که در بازجویی‌های تخصصی به ۲۰ میلیارد ریال از این طریق معترف شدند.

#هشدار #کلاهبرداری #رسید_جعلی

✅ Channel
💬 Group
⚡ Boost

- یک گروه تهدید (Sapphire Sleet) مرتبط با کره شمالی، بیش از ۱۰ میلیون دلار ارز دیجیتال را از طریق طرح‌های پیچیده (کمپین) #مهندسی_اجتماعی در یک بازه شش ماهه به سرقت برده است.
- یکی از روش‌های اصلی که بیش از یک سال توسط این گروه اتخاذ شده است، ظاهر شدن به عنوان یک سرمایه‌گذار خطرپذیر، ادعای فریبکارانه علاقه‌مندی به شرکت کاربر هدف به منظور راه‌اندازی یک جلسه آنلاین است.
- به اهدافی که طعمه شده و تلاش می‌کنند به جلسه متصل شوند، پیام‌های خطایی نشان داده می‌شود که از آنها می‌خواهد برای کمک با سرپرست اتاق یا تیم پشتیبانی تماس بگیرند.
- اگر قربانی با عامل تهدید تماس بگیرد، بسته به سیستم عامل مورد استفاده برای حل مشکل اتصال فرضی، یک فایل AppleScript (.scpt) یا یک فایل Visual Basic Script (.vbs) برای او ارسال می‌شود …

🔗 https://thehackernews.com/2024/11/north-korean-hackers-steal-10m-with-ai.html

✅ Channel
💬 Group
⚡ Boost

آشنایی با اختصارات سامانه‌های نظام پرداخت و بانکی

شتاب» شبکه تبادل اطلاعات بانکی
ساتنا» سامانه تسویه ناخالص آنی
پایا» سامانه پایاپای الکترونیک
پل» سامانه پرداخت لحظه‌ای
سحاب» سامانه حواله الکترونیک بین بانکی
شبا» شناسه حساب بانکی ایران
تابا» تسویه اوراق بهادار الکترونیک
سماچک» سامانه متمرکز الکترونیکی چک برگشتی
سیما» سامانه یکپارچه مدیریت اوراق بهادار (اوراق مشارکت و گواهی سپرده)
صیاد» صدور یکپارچه الکترونیکی دسته چک
مکنا» مرکز کنترل و نظارت اعتبارات
نسیم» سامانه مدیریت متمرکز حساب‌‌‌های دولتی
سناب» سامانه نظارت بر اطلاعات بانکی
ساها» سامانه احراز هویت اشخاص
شهاب» شناسه هویت الکترونیکی بانکی
نهاب» نظام هویت‌سنجی الکترونیکی بانکی
مانا» مرکز ارائه نشانه الکترونیک سیار
سنا» سامانه نظارت ارزی
نیما» نظام یکپارچه معاملات ارزی
سپاس» سامانه پرداخت الکترونیک بانک
کیپا» کیف پول الکترونیکی
شاپرک» شبکه پرداخت الکترونیکی‌‌‌کارت
چکاوک» سامانه مدیریت الکترونیکی چک
کاشف» مرکز امنیت تخصصی و درگاه تعاملی پیگیری جرایم بانکی
سمات» سامانه متمرکز اطلاعات تسهیلات و تعهدات بانکی
نماد» نظام مدیریت امنیت داده‌ها
سپام» سامانه پیام‌رسانی الکترونیک مالی
مهتاب» سامانه دریافت اطلاعات موردنیاز و تهیه و تنظیم گزارش وضعیت مانده تسهیلات و سپرده‌‌‌های استانی
سیاح» سامانه یکپارچه اطلاعات حساب مشتریان
سامانه وام ازدواج و فرزند
سامانه IFW» استاندارد‌سازی مدل بانکی
سامانه Swift» انجمن ارتباط مالی بین‌المللی بین‌بانکی

#Abbreviations

✅ Channel
💬 Group
⚡ Boost

Title: #OSINT TECHNIQUES: (LEAKS, BREACHES, & LOGS)
Year: 2024
Author(s): Michael Bazzell
Publisher: Independently Published
Language: English
Pages: 171

#Book

✅ Channel
💬 Group
⚡ Boost

Title: #OSINT TECHNIQUES: (LEAKS, BREACHES, & LOGS)
Year: 2024
Author(s): Michael Bazzell
Publisher: Independently Published
Language: English
Pages: 171

#Book

✅ Channel
💬 Group
⚡ Boost

#فرصت_همکاری کارشناس OSINT در موسسه دانش گستر سینا

الزامات:
- تسلط به جستجوی پیشرفته اینترنتی (Google Dorks)
- آشنایی با فضای دارک وب (ِDark Web) و فروم‌های آن
- آشنا به موتورهای جستجوی مجازی و جستجو در اسناد، مدارک و منابع مختلف مکتوب، صوتی و تصویری و استخراج اطلاعات
- آشنا به مهارت‌ها و ابزارهای اوسینت (OSINT)
- آشنا به جستجو در شبکه‌های اجتماعی و استخراج اطلاعات
- تسلط کافی به زبان انگلیسی جهت جستجو در منابع لاتین
- آشنایی با اصول گزارش نویسی 

آشنایی با موارد زیر مزیت محسوب می‌شود:
- ابزارهای: Maltego / Signal hire / Rocket reach / True caller 
- دیتابیس‌های SQL
- آشنایی با مباحث برنامه نویسی و امنیت اطلاعات
- داشتن سابقه فعالیت اوسینت در حوزه امنیت اطلاعات و فضای سایبر 

ارسال رزومه:
📂 Jobinja

✅ Channel
💬 Group
⚡ Boost

✉️ ایمیل
دوست عزیز روز بخیر
من به کمک شما برای انتقال وجوه متعلق به مشتری متوفی من که نام خانوادگی مشابه شما داشت نیاز دارم.
من به شما نیاز دارم که به عنوان یکی از خویشاوندان باقی مانده بایستید.

نشون میده BCC هم زده، قشنگ برای کلی ایمیل فوروارد کرده!

#هشدار #کلاهبرداری

✅ Channel
💬 Group
⚡ Boost

Annual Cyber #Threat #Report 2023-2024

#ACSC

✅ Channel
💬 Group
⚡ Boost

Annual Cyber #Threat #Report 2023-2024

#ACSC

✅ Channel
💬 Group
⚡ Boost

OWASP Top 10 for LLM Applications 2025

#OWASP #AI

✅ Channel
💬 Group
⚡ Boost

OWASP Top 10 for LLM Applications 2025

#OWASP #AI

✅ Channel
💬 Group
⚡ Boost

#فرصت_همکاری کارشناس ارشد سیستم مدیریت امنیت اطلاعات (ISMS) در شرکت هیرسا ویژن

شرایط:
- تجربه در پیاده‌سازی و مدیریت استانداردهای سری 27000
- مهارت در تحلیل ریسک و ایجاد کنترل‌های امنیتی
- آشنایی با ابزارها و تکنیک‌های ارزیابی امنیتی
- توانایی مستندسازی و طراحی فرآیندهای امنیتی
- روحیه تیمی، دقت بالا و البته کمی علاقه به چالش‌های جذاب!

ارسال رزومه:
📂 [email protected]

✅ Channel
💬 Group
⚡ Boost

📌 جزئیات ادعای هک بانک‌ها و دستگیری یک نفر

بانک مرکزی درباره ادعای هک‌ بانک ملت و بلوبانک:
- هنوز هم‌ از دید ما در حوزه سخت افزاری و نرم افزاری بحث هک را در بانک ملت نداشتیم.
- در ۲ ماه گذشته بحث هک به این معنی که فردی بتواند دسترسی غیرمجاز به اطلاعات شبکه بانکی داشته باشد، نداشتیم.
- درباره بلوبانک و چند بانک دیگر اطلاعات خیلی محدودی در کانال‌ها منتشر شد که به دلیل سواستفاده یک نفر از دسترسی مجازش بود. ما این را هک در نظر نمیگیریم.
- این فرد کارمند شبکه بانکی نبود؛ در یک نهاد دیگری که بنا به وظیفه‌شان به انها دسترسی داده بودیم، یک کارمندی سواستفاده کرده بود ولی ارقام داده‌ش بسیار محدود بود.
- این فرد شناسایی و مورد برخورد قرار گرفته و پرونده نیز مشخص و تعیین تکلیف شده است.
تسنیم

#نفوذ #هک #نشت

✅ Channel
💬 Group
⚡ Boost

شیادی که با #هک صفحۀ دختران کم سن و سال در تلگرام، از آن‌ها اخاذی می‌کرد، توسط پلیس دستگیر شد.

#هشدار #کلاهبرداری

✅ Channel
💬 Group
⚡ Boost

بررسی و مرور سریع دو الزام محافظت از داده؛ GDPR و PCI-DSS

- قانون GDPR (General Data Protection Regulation) برای حفاظت از داده‌ها است که توسط اتحادیه اروپا در سال ۲۰۱۸ اجرایی شد، هدف آن حفاظت از اطلاعات شخصی (حریم‌خصوصی) شهروندان اروپایی است، این قانون بر نحوه جمع‌آوری، ذخیره‌سازی، پردازش، و انتقال داده‌های شخصی تأکید دارد، این قانون برای کشورهای عضو اتحادیه اروپا و شرکت‌هایی که (و همچنین سایر کشورها) با داده‌های شهروندان اروپایی سروکار دارند، اعمال می‌شود.

- استاندارد PCI-DSS (Payment Card Industry Data Security Standard) برای حفاظت از اطلاعات کارت‌ها در صنعت پرداخت توسط موسسه PCI Security Standards Council طراحی و توسعه داده شده است، هدفش اطمینان از این است که تمامی سازمان‌ها و کسب‌وکارهایی که با اطلاعات کارت‌های پرداخت سروکار دارند، الزامات امنیتی مورد نظر را رعایت کنند. به سازمان‌هایی که در فرآیند ارزیابی و ممیزی الزمات، انطباق دریافت کنند، گواهینامه رسمی ارائه می‌شود، نسخه ۴.۰.۱ آخرین ویرایش هست.

#GRC

✅ Channel
💬 Group
⚡ Boost