https://virgool.io/feed/@m_47719764 Media activist Developer fa 2026-06-17 00:38:44 https://files.virgool.io/upload/users/3394542/avatar/o8KMjc.jpg?height=120&width=120 https://virgool.io/@m_47719764 https://virgool.io/@m_47719764/%D9%85%D9%87%D9%86%D8%AF%D8%B3%DB%8C-%D8%A7%D8%AC%D8%AA%D9%85%D8%A7%D8%B9%DB%8C-%D9%8F-%D9%87%DA%A9-%D8%A7%D9%86%D8%B3%D8%A7%D9%86-%D9%87%D8%A7-%D9%BE%D8%A7%D8%B1%D8%AA-%DB%B2-tqt9rzfzklex مهندسی اجتماعی فریب انسان هامروری بر مهندسی اجتماعیهر زمان که خواستیم مهندسی اجتماعی را تعریف کنیم از تعاریف ۱۰ سال قبل استفاده شده است. بیایید آن را کمی اصلاح کنیم؛ اما قبل اینکه به تعریف مهندسی اجتماعی برسیم بیایید یک نکته بسیار مهم را بررسی کنیم: مهندسی اجتماعی از نظر سیاسی درست نیست! شاید درک این مطلب برای مردم سخت باشد اما این واقعیت دارد که مهندسی اجتماعی از چنین واقعیت هایی همچون سوگیری جنسیتی٬ تعصب نژادی و سوگیری سنی ٬ و همچنین ترکیبی از آنها استفاهد میکند.برای مثال فرض کنید باید به ساختمان مشتری نفوذ کنید٬ برای اینکار باید بهانه ای را ایجاد کنید تا بتوانید به راحتی وارد ساختمان شوید.و تیم شما از افراد مختلف تشکیل شده است. اگر تشخیص دهید که بهترین بهانه برای انجام نفوذ ٬ کارکنان سرایداری میباشد٬ کدام یک از افراد زیر را انتخاب میکند؟ کدام یک مناسب تر خواهد بود؟-- مرد ۴۰ ساله با رنگ موی سفید-- زن آسیایی ۴۳ ساله-- زن ۲۷ ساله لاتین تبار و اگر تشخیص دهید که بهترین بهانه برای نفوذ به ساختمان استفاده از آشپزخانه بین سازمانی ( ارائه آشپز) باشد کدام را انتخاب میکنید؟ -- مرد ۴۰ ساله با رنگ موی سفید-- زن آسیایی ۴۳ ساله-- زن ۲۷ ساله لاتین تبار واقعیت این است که یک مهندس اجتماعی ماهر میتواند هر یک را که انتخاب کند از آن بهترین خروجی کار را دریافت میکند با کمترین تفکر. اما کدام یک میتواند بهترین انتخاب ما باشد؟ باید به یاد داشته باشید که تفکر٬ تفکر دشمن است برای یک مهندس اجتماعی.با در نظر گرفتن این موضوع بیایید مهندسی اجتماعی را تعریف کنیم...مهندسی اجتماعی هر نوع عملی است که فرد را در شرایط مختلف تحت تاثیر قرار میدهد تا کاری را انجام دهد که یا به سود او باشد و یا به ضرر او.حالا چرا اینقدر گسترده و کلی تعریف کردیم ؟ چون من معتقدم که مهندسی اجتماعی همیشه دارای ابعاد منفی نیست. زمانی بود که میتوانستید بگویید : ( من یک هکر هستم ) بدون اینکه مردم برای مراقبت از خودشون فرار بکنند یا هر دستگاه دیجیتالی خود را از خود دور نمایند. هکر بودن زمانی به معنای این بود که کسی که بتواند و بداند که چه کاری انجام میدهد. - مثلا زمانی به کسی که بتونه یک صندلی رو در یک مکان گنبدی شکل در یک پایه بندازه و ثابت بمونه و در عمل کار خارق العاده ای انجام بده هکر میگفتیم. هکر تبلیغات فقط به دانش قانع نبود و میخواست در درونیات هرچیزی را کاوش کند.سپس بعد اینکه فهمید حالا هکر میبیند که میتواند دور بزند یا آن را بهبود دهد یا از آن بهره برداری کند؟ و یا هدف اصلی را تغییر دهد. وقتی شروع به نوشتن کردم نمیخواستم این مطالب همیشه ابعاد منفی ٬ کلاهبرداری و وحشت را داشته باشد. در اصل همان اصولی که افراد بد از آن استفاده میکنند میشود افراد خوب نیز از آن استفاده بکنند در واقع همین رو میخواهیم نشون بدیم.وقتی بتوانید بفهمید که چگونه تصمیم گیری میشود میتوانید بفهمید یک مهاجم چگونه در عرض ثانیه های اندک با استفاده از احساسات عاطفی شما و... میتواند شما را وادار به انجام کاری بدون تفکر کند.ما در بدن هورمونی به نام اکسی توسین وجود دارد. این هورمون با اعتماد بسیار مرتبط است و زمانی ترشح میشود که احساس میکنیم کسی به ما اعتماد دارد. و این نکته را داشته باشید که مغز شما نه تنها هورمون اکسی توسین را هنگامی که کسی به شما اعتماد کرده است بلکه زمانی که شما به کسی اعتماد کرده اید نیز ترشح میکند.این پدیده حضوری ٬ تلفنی ٬ اینترنتی نیز شکل میگیرد.ماده شیمیایی دیگری که مغز ما تولید میکند دوپامین است. دوپامین یک انتقال دهنده عصبی است که توسط مغز ما تولید میشود در لحظات شادی ٬ لذت و تحریک آزاد میشود.حالا اکسی توسین را با دوپامین ترکیب کنید :) حالا یک کوکتل مغزی مهندسی اجتماعی خواهید داشت که میتوانید هر دری را که میخواهید باز کنید. دوپامین و اکسی توسین در طول زمان صمیمیت های ما ترشح میشوند٬ البته میتوان در لحظات صحبت عادی نیز ترشح شد. دقیقا این گفتگو ها در هسته مهندسی اجتماعی قرار دارند.من معتقدم ما روزانه با همسر ٬ روسا ٬ همکاران ٬ روحانیون ٬ درمانگر ها ٬ افراد خدماتی و هر کس که با آنها دیدار میکنید به شکل ناآگاهانی از همین اصول استفاده میکنیم. در نتیجه درک مهندسی اجتماعی و برقراری ارتباط اکنون برای همه مردم ضروری است. در دنیای فناوری برقراری ارتباط با استفاده از ۲۸۰ یا بیشتر ایموجی شکل گرفته است یادگیری نحوه مکالمه سخت تر شده چه برسد به اینکه چه زمانی از این مهارت علیه ما استفاده شده است... حتی جلوتر بریم میبینیم که رسانه های اجتماعی جامعه ای را ایجاد کرده اند که گفتن همه چیز درباره خود به همه قابل قبوله و حتی تبلیغ نیز محسوب میشه. وقتی از یک دیدگاه مخرب مهندسی اجتماعی را بررسی میکنم آن را به ۴ بردار زیر تقسیم میکنم: SMSshing: بله این یک چیز واقعی است در واقع همان SMS فیشینگ میباشد که از طریق پیام های متنی میباشد مانند شکل زیر: این حمله SMSshing افراد زیادی را به دام خود انداخته استاین برای ولز فارگو هستش اما چیزی که دیوانه کننده هست اینه که من حتی اصلا از آن استفاده نمیکنم ولی این حمله را دریافت کردم. این حملات برای سرقت اطلاعات کاربر و یا نصب بدافزار در دستگاه تلفن شما و گاهی اوقات هر دو انجام میشود.Vishing:این فیشینگ در واقع از حالت صوتی استفاده میکند. از به عنوان یک بردار از سال ۲۰۱۶ به بعد بسیار روند افزایشی به خود دیده است. برای مهاجم آسان ٬ ارزان و سود آور است. و همچنین غیر ممکن است که مهاجم را که از شماره های جعلی خارج از کشور استفاده میکند را شناسایی و پیدا کنید.Phishing: موضوعی که بیشترین بحث را در زمینه مهندسی اجتماعی دربرمیگیرد فیشینگ است٬ فیشینگ برای تعطیل کردن کارخانه ها ٬ هک کردند DNS ٬ ایجاد نقض در کاخ سفید و همچنین ده ها شرکت بزرگ و سرقت میلیون ها دلار از کلاهبرداری های مختلف و میتوان به راحتی گفت فیشینگ خطرناکترین بردار حمله میباشد.Impersonation / جعل هویت :این یکی متفاوت بوده و تنها کاری که میتوانستیم انجام دهیم قرار دادن آن در آخر لیست میبود. با این حال قرار گرفتن آن در لیست بسیار ما را خوشحال خواهد کرد. در ۱۲ ماه گذشته ما داشتیم صد ها داستان از افرادی که هویت پلیس ٬ ماموران فدرال و حتی کارمندان میبود را جمع آوری میکردیم ٬ که مرتکب جنایات واقعا وحشتناکی شده بودند. مثلا در آوریل ۲۰۱۷ مردی هویت خود را پلیس معرفی کرده بود و آن را جعل کرده بود که البته دستگیر شد ٬ او با پورنوگرافی کودکان کار میکرد و از جعل هویت خود سو استفاده میکرد.تمام حملات اجتماعی که میخوانید را میتوان در این چهار بردار تقسیم کرده و جای داد. و اما ما اخیرا شاهد حملاتی هستیم که به آنها حملات ترکیبی میگویند. مهندسان اجتماعی مخرب از ترکیبی از اینها برای دستیابی به منافع خود استفاده میکنند. وقتی این نوع حملات را تجزیه و تحلیل میکنیم ٬ شروع به دیدن یک سری الگو ها میکنیم که نه تنها انواع ابزار ها و فرایند ها را شناسایی میکند بلکه میتوانند به یک متخصص امنیت نیز کمک کند تا نحوه انجام این حملات را با وضوح بیشتری تعریف کند و سپس از نتایج جهت آموزش و محافظت استفاده کند که من آن را هرم مهندسی اجتماعی نامیده ام.ادامه داردبخش دوم reza d3v reza d3v Tue, 23 Jul 2024 00:27:40 +0330 https://virgool.io/@m_47719764/%D9%85%D9%87%D9%86%D8%AF%D8%B3%DB%8C-%D8%A7%D8%AC%D8%AA%D9%85%D8%A7%D8%B9%DB%8C-%D9%8F-%D9%87%DA%A9-%D8%A7%D9%86%D8%B3%D8%A7%D9%86-%D9%87%D8%A7-enis5c6dpoix مهندسی اجتماعیمهندسی اجتماعیعلم هک انسان هامطالب در یک نگاهنگاهی حرفه ای به دنیای مهندسی اجتماعی ۱چیزی که من میبینم را میبینی ؟ ۲پروفایل افراد از طریق ارتباطات ۳تبدیل شدن به هرکسی که میخواهید باشید ۴من میدانم چطور تورا مانند خودم بکنم ۵تحت تاثیر ۶ساخت کار هنری تو ۷میتونم ببینم که تو چی نگفتی ۸هک انسان ها ۸آیا ام ای پی پی دارید؟ ۹حالا چی؟ ۱۰فصل اول : نگاهی حرفه ای به دنیای مهندسی اجتماعیفکر می کنم امنیت شما موفقیت شماست و کلید موفقیت شما کام خوب شماستهنوز به خوبی به یاد دارم وقتی شروع به نوشتن پاراگراف اول مهندسی اجتماعی کرد ؛ جلوی کامپیوترم نشسته بودم : هنر هک انسان ؛ به ۲۰۱۰ برمیگشت ٬وسوسه شدم به شما بگویم آن زمان با از دوطرف کتاب مینوشتیم با استفاده از ماشین تحریر این میتونه خیلی دراماتیک باشه و نمیخواهم چنین باشه !در اون زمان وقتی راجع مهندسی اجتماعی در اینترنت سرچ میکردید با چند صفحه از اسطوره مهندسی اجتماعی کوین میتنیک و چند ویدیو از شیوه های مخ زنی دخترا یا دریافت همبرگر رایگان از مک دونالد مواجه میشدید.و حالا بعد گذشت ۱۳ سال مهندسی اجتماعی تبدیل به یک اصطلاح خانگی شده است.در سه چهار سال گذشته من مهندسی اجتماعی را در امنیت ٬ آموزش ٬ دولت ٬ روانشناسی و نظامی و هرچیز دیگری که تصور کنید دیده ام. این انتقال این سوال رو مطرح میکنه که چرا؟ یکی از همکارانم به من میگفت تقصیر توست ! و البته که فکر میکنم او با توهین این سخنان را گفته است٬ البته من نسبت به این اظهار نظر غرور را حس کرده ام. و با همه اینها من احساس نمیکنم که باعث فراگیر شدن اصطلاح مهندسی اجتماعی باشم.من معتقدم که همه آن را میبنند و از آن استفاده میکنند٬ نه تنها ساده ترین بردار حمله است بلکه مهندسی اجتماعی هزینه بسیار کمی دارد٬ همچنین خطر بسیار کمتری نسبت به دیگر حملات دارد. تیم من همه اخبار مربوط به حملات مهندسی احتماعی را جمع کرده و وب را برای آمار ها جستجو میکند.من خیلی راحت میتونم بگویم که در سال ۲۰۱۷ بیش از ۸۰ درصد رخنه های امنیتی مربوط به مهندسی اجتماعی بوده است. IMB اعلام میکند که میانگین هزینه های این نقض ها ۳.۶۲ میلیون دلار آمریکا بوده است و وقتی که پتانسیل پرداخت زیاد است مطمئنا مشخص میشود که چرا مهاجمان از حملات اجتماعی استفاده میکنند؟!نکته --> از سال ۲۰۱۷ مطالعات درباره نقض در IMB تولید شده بود میتوانید آن را در لینک زیر ببینید: https://www-03.ibm.com/security/data-breach/شاید بگویید نگران این نیستی که مردم را به ابزار خطرناکی مسلح میکنی؟ اما برای من مهندسی اجتماعی مانند هر جنگ دیگر است. برای کمک به این موضوع به داستان بروس لی اشاره میکنم که او وارد آمریکا شد٬ جایی که تعصب نژاد پرستی موج میزد و او کاری را انجام میداد که هیچ کسی آن را انجام نمیداد. به مردم یاد میداد از هر رنگ و هر نژادی. او به دانشگاهی که رفته بود اهالی آن دانشگاه فکر میکردند از جنگ میدانند و بروس لی با آنها مبارزه میکرد. او حریفانش را شکست میداد اما در آخر آنها تبدیل به شاگردان او شدند. میشه چه برداشتی از این موضوع کرد؟ خب مردم باید خود را با انواع شیوه های جنگی وفق دهند در غیر اینصورت از دشمن ضربه خواهند خورد. آیا این احتمال وجود داشت که شاگردان بروس لی از آنچه یاد میگرفتند را تبدیل به ابزار بد کنند؟ بله ٬ اما بروس این را میدید که بتواند آنها را در برابر خطرات آماده کند.پس جواب من به سوال شما "نگران این نیستی که مردم را به ابزار خطرناکی مسلح کنی" من نمیتوانم نحوه استفاده شما از این اطلاعات را کنترل کنم ٬ شما میتوانید این اطلاعات را دریافت کنید و پول مردم را بدزدید و یا بتوانید از آنچه در بیرون اتفاق می افتد دفاع کنید! پس انتخاب با خودتان است.یادگیری برای دفاع این متد جدید حمله به چیزی فراتر از یادگیری استفاده از این برای حمله است. یعنی شما باید مانند سبک رزمی بروس لی علاوه بر تعادلی بین یادگیری حمله ٬ یادگیری دفاع و یادگیری زمان آن نیاز دارید. همانطور که مهندسی اجتماعی را یادمیگیرید باید مانند افراد بد فکر کنید در عین حال بدانید که فرد خوب ماجرا هستید.برای داشتن فکر مردم باید سمت قدرت قوی باشید اما به سمت تاریکی نروید.اکنون چه چیزی تغییر کرده است؟این یک سوال اساسی درباره مهندسی اجتماعی است. در پاسخ بایستی گفت نه زیاد! شما میتونید برگردید و به جستجو های خودتون درباره حکایات مختلف مهندسی اجتماعی که یک راهی طولانی است برگردید. به عنوان مثال یکی از داستان های مستندی که میتوانم پیدا کنم در کتاب مقدس است. و این داستان در حدود ۱۸۰۰ سال پیش اتفاق افتاده است ٬ البته حدودا ! حضرت یعقوب خواستار برکتی بود که قرار بود به برادر بزرگترش عیسو داده شود. حضرت یعقوب که میدانست پدرش حضرت اسحاق بینایی ضعیفی داشت به حواس های دیگر تکیه میکرد تا بداند با چه کسی صحبت میکند٬ با این حال حضرت یعقوب لباس عیسو را پوشیده و غذایی را تهیه کرد به عیسو همیشه تهیه میکرد. از قبیل عیسو پرمو بود ولی حضرت یعقوب موی کمی در بدن داشتند در نتیجه او پوست دو بز جوان را به بازو و پشت گردن خودش بست ٬ وقتی حضرت استحاق دستش را به سمت او برد تا از حواسی مانند لامسه بویایی استفاده کند تا بفهمد او عیسو است یا یعقوب اما موفق نشد و به اشتباه تشخیصش حضرت یعقوب بود. و از مهندسی اجتماعی به آن زمان میرسد.از سپیده دم تاریخ ثبت شده است که انسان ها انسان های دیگر را فریب میدهند و از آنها یا کلاهبرداری میکنند و یا ... در ظاهر ممکن است چیز های جدیدی از مهندسی اجتماعی نباشد ولی این بدان معنا نیست که هیچ چیزی تغییر نکرده است.یک مثال ویشینگ است. چنین با تعجب نخوانید این کلمه چیز بسیار عجیبی نیست شاید با فیشینگ اشتباه کنید اما این ویشینگ به فرهنگ لغت آکسفورد افزوده شده است. خب این چه اهمیتی دارد؟ چرا باید اهمیت داشته باشد که ویشینگ در فرهنگ لغت وجود دارد؟ این نشان میدهد که مهندسی اجتماعی چقدر بر جهان تاثیر گذاشته است البته این واژگان نیستند که رایج شده باشند. اکنون ابزار ها و خدماتی وجود دارند که به افراد بد در بد بودن کمک میکنند! مثلا یک بار به سرویسی برخوردم که در تصحیح املا ایمیل های فیشینگ تخصص داشت. امیدوارم این کتاب به شما کمک کند! چه متخصص امنیت هستید که به دنبال شیوه های هک انسان ها میگردید و چه فردی که تنها علاقه مند به افزایش دید افق خود دارد یا یک مربی که به دنبال راه حلی برای حل مشکلات.چرا باید این کتاب را بخوانم؟آیا شما یک انسان هستید؟ من میخواهم حدس بزنم کسی که نشسته است این متن را میخواند یک هوش مصنوعی هست یا یک انسان ؟ و این حدس را میزنم که ۹۹.۹۹۹۹۹٪ از مخاطبان این کتاب انسان هستند.مهندسی اجتماعی راهی را اتخاذ میکند که انسان ها برای آن تصمیم میگیرند و از آن آسیب پذیری ها سو استفاده میکنند. هدف مهندسی اجتماعی این است که شما را وادار به تصمیم گیری در موقعیت هایی کند که شما هیچ زمانی ندارید. بیایید درمورد حالات آلفا و بتا صحبت کنیم: حالت آلفا زمانی است که مغز انسان ۸ تا ۱۳ cps کار میکند. به طور کلی رویای روزانه نامیده میشود یا بهتر بگوییم تمرکز آرام مینامیم. حالت بتا زمانی است که مغز انسان ۱۴ تا ۱۰۰ cps کار میکند. این دقیقان همان زمانی است که مغز ما هوشیار بوده و به محیط آگاه است و مراقب تمام چیز هایی که در اطراف ما میگذرد است. خب بهترین حالت کدام است برای یک مهندس اجتماعی؟ معلومه که حالت آلفا٬ زیرا در حالت آلفا فرصت تفکر و حتی آگاهی کم است. این بهترین موقع برای دستکاری و نفوذ جهت انجام عملی بدون مکس است. بیایید مثال بزنیم : شما در تبلیغات حتما دیده اید که به یک باره یک زن مشهور جهت تبلیغ با آهنگی غمگین به صحنه می آید٬ تصویر به بچه گربه ها و یا توله سگ ها که آسیب دیده اند تغییر میکند. حیوانات که به نمایش گذاشته شده اند کثیف میباشند و در حالت مرگ هستند. و حالا زن مشهور به صحنه باز میگردد با اینکه حیوانات سالمی در اطراف او هستند و آنها را با عشق غرق میکند. خب حالا پیام چیه؟ آن حیوانات فقط با چند دلار میتوانند به حیوانات دوست داشتنی و خانگی تبدیل شوند٬ سالم ٬ شاد و برای همه. تصاویر در آگهی مانند آنچه در شکل زیر میبینید است: حیوان مظلوم در آگهیآیا تولید کنندگان تبلیغات تجازی شما را دستکاری میکنند؟ نه به طور کامل. دقیقا چیزی که آنها آموخته اند این است که اگر احساسات شما را دستکاری کنند میتوانند مبالغ زیادی را به جیب بزنن و یا چنین اقدام های متشابهی انجام دهید. احتمال موفقیت چنین دستگاه هایی خیلی بیشتر از درصد موفقیت دلایل منطقی و یا علمی است. هرچه احساسات بیشتر برانگیخته شود منطق کاهش میابد و هرچه منطق کاهش یابد تصمیماتتان بر احساساتتان تکیه خواهد نمود و سریعتر تصمیم خواهید کرد. خب بیایید برگردیم به قبل : اگر انسان هستید این کتاب میتواند به شما در شناسایی چنین حملاتی کمک کند. شما میتوانید یاد بگیرید چگونه از انسانیت شما علیه خودتان استفاده شود ؟ و میتوانید یاد بگیرید که چگونه از چنین حملاتی دفاع کنید تا خود و عزیزانتان را قربانی نکنید... ادامه دارد ... بخش اول reza d3v reza d3v Sun, 21 Jul 2024 18:47:36 +0330