اخبار امنیت سایبری (جلسه 45ام) با موضوع Social Engineering که در تاریخ دوازدهم شهریورماه 1401 در اتاق مرتبط با آن در کلاب Peneter.com برگزار شد رو از طریق پخش کننده زیر میتوانید گوش بدهید یا دانلود نمایید.
Listen to #45# CyberSecurity News 2022.09.03 (1401.06.12) byPeneter.com on hearthis.at
درود و عرض ادب دارم خدمت همه ی دوستان و عزیزانی که در اتاق هستند. امیدوارم هرکجا که هستید شاد و سلامت و تندرست باشید. با چهل و پنجمین اتاق از مجموعه اخبار سایبری تحت کلاب پنتر این هفته هم در خدمت دوستان عزیز هستیم. خب از هفته گذشته ما یک تغییری رو در برنامه ی هفتگی خودمون داشتیم. اشاره ای شده بود قبلا که ما از این به بعد غیر از بحث مرور اخبار سایبری هفتگی ایران و جهان، روی یک موضوع خاص هم صحبت هایی رو خواهیم داشت. حالا بصورت دقیق تر ما جزئیات رو بحث خواهیم کرد. که هفته گذشته با اولین تاپیکی که انتخاب شده بود، بحث Revenge porn بود. این هفته موضوع Social Engineering سهیل عزیز مطالبی رو خدمت دوستان ارائه خواهند کرد و حالا اگر فرصت بشه بحث پرسش و پاسخ هم در انتهای بحث خواهیم داشت. من برای آغاز بحث سعی میکنم یک مرور کوتاهی روی یکسری از مهمترین اخباری که تو حوزه سایبری در هفته گذشته اتفاق افتاد داشته باشیم. البته حجم اخبار خیلی زیاده، من یه موارد خاصش رو دستچین کردم. اگر علاقه داشتید که اخبار بیشتری رو ببینید اکانت سوشال مدیای توییتر من یا سهیل عزیز رو اگر دوستان دنبال کنید، می تونید اطلاعات بیشتری رو به همراه منابع خبری اخباری که انتشار پیدا کرده رو ببینید. خبری که هفته گذشته سروصدا کرد در مورد بحث یه حمله باج افزاری به دولت شیلی بود. با این خبر شروع می کنم. در آمریکای جنوبی ما حملات باج افزاری زیادی رو طی سال گذشته شاهد بودیم. کشورهایی مثل آرژانتین ، برزیل، کاستاریکا، مونته گر، پرو، حتی آرژانتین اگه یادم باشه یکسری از اطلاعات فردی لیونل مسی و یکسری از بازیکنان تیم ملی آرژانتین درز پیدا کرد روی اینترنت و حملات باج افزاری مختلفی روی این پلتفرم ها در زمان های مختلفی صورت گرفته بود.. و حالا در یکی از آخرین ها که روی دولت شیلی صورت گرفته بوده، در 25 آگوست ماه گذشته (کمتر از یک هفته پیش) اینها تونسته بودن به یکسری از سیستم های یکی از نهادهای دولتی (دولت شیلی به جزئیات بیشتری اشاره نکرده) ولی تایید کردن که یک مجموعه از سرورهای این نهاد دولتی که اطلاعات خاص و مشخصی از اپلیکیشن های دولت شیلی بوده، اینها رمزنگاری شده و Encrypt شده توسط هکرها و درخواست باج کردن برای پرداخت صورت بگیره. سرورها هم سرورهای گویا VMware ESXi که احتمال زیاد یک مجموعه VM روشون بوده. یک خبر دیگه اون خبری بود که یک قانونی رو در انگلستان گویا دولت انگلستان داره تایید می کنه در مورد این بحثی که بخوادMobile Provider ها یا کلا شرکت های مخابراتی که در انگلستان هستند، بحث Security Control ها رو براشون خیلی سفت و سخت تر اعمال کنه. از این لحاظ که حالا اگر اطلاعات کاربران به بیرون درز پیدا کنه. حتی بحث Availability سرویس خیلی مهمه. اگر این سرویس ها از دسترسی خارج بشن، اینها باید یک جریمه نسبتا سنگینی رو پرداخت کنن که جالبیش این بود که توی گزارش که من دیدم از خود دامنه gov.uk مال دولت انگلستان منتشر شده بود. اصل خبر رو هم publish کرده بودن، که اون جریمه میتونه تا 10 درصد گردش مالی اون کمپانی باشه. و تا 100 هزارپوند در روز اینها میتونن جریمه بشن، اگر بخاطر سهل انگاری در بحث امنیت اطلاعات مشتریانشون به بیرون درز پیدا کنه. یا بعضا بحث های Privacy یا track کردن مشتریان هم کیس های زیادی بوده که اینها جریمه شدن. حتی یکی از جریمه هایی که هفته گذشته سروصدا کرد و جالب بود مربوط به پارلمان نروژ بود. یعنی دولت نروژ اومده بود پارلمان نروژ رو جریمه کرده بود. یه مبلغی نزدیک 200 هزاردلار اگه اشتباه نکنم بخاطر اینکه اینها گویا یکسری از سرورهاشون هک شده بود و بعد از بررسی هایی که کرده بودن، دیدن استانداردهای کنترل های امنیتی که تعریف شده بود از طرف دولت نروژ، اعمال نشده بود. و بخاطر همین هم این هک صورت گرفته بود.
درمورد آسیب پذیری TikTok هم Microsoft گزارشی رو منتشر کرد. روی پلتفرم اندروید که میتونن مهاجمین بیان یکسری از اکانت ها رو Takeover کنن از طریق کلیک کردن روی یک لینک آلوده. Browser هایی که داخل خود اپلیکیشن ها وجود داره. یک خبر دیگه درمورد Flashpoint Intelligence یک نهادی هست که میاد هر از چندگاهی گزارش هایی مخصوصا تو حوزه کریپتوکارنسی من دیدم که پابلیش میکنه و یک گزارشی رو اخیرا منتشر کرده بود. اول شاید شما بخونید به نظر غیرواقعی بیاد. ولی وقتی من جزئیاتش رو نگاه کردم گویا درست بوده که یک شخصی در روسیه بخاطراینکه 16 دلار اومده بود دونیت کرده به کمپین ضدفساد الیکسا ناوالین که درواقع مخالف دولت پوتین هست، و این شخص رو بازداشت کردن. حالا این الیکسا ناوالین چهره ایه که خیلی سروصدا کرد. میدونید که تو اخبار خونده بودیم که مسموم شده بود بوسیله آژانس های اطلاعاتی روسیه. میره آلمان و دومرتبه برمیگرده روسیه محاکمه میشه. الان در زندان هست. حتی یک کیس جالب دیگه درمورد این، این بود که FSB یا آژانس اطلاعات امنیت روسیه اومده بود از Deep Fake استفاده کرده بودن که خودشون رو جای ناوالین جا بزنن تا در مکالماتی که تحت اسکایپ با نمایندگان پارلمان اروپا داشتن بتونن از اینا اطلاعات بگیرن. دور و بر این بنده خدا اخبار عجیب غریب زیاد میشنویم. ولی بحث دونیشن 16 دلار به کمپین ضدفساد توسط یکی از طرفدارانش که این شخص هم بازداشت شده، بخاطر درز دیتابیسی بوده که صورت گرفته. دیتابیس به دست نیروهای امنیتی افتاده و اینها تونستن transaction ها ، اطلاعات تماس و یکسری جزئیات رو بدست بیارن و درنهایت اون شخصی که این دونیشن رو انجام داده پیدا کنن و بازداشت کنن.
یک خبری هم درمورد بلاروس بود. گروه هکری بنام بلاروسین سایبر پارتیزن . این گروه از زمان جنگ اکراین طرفدار اکراین بود. یعنی بین اکراین و روسیه اینها علیه بلاروس بودن. چون دولت بلاروس کلا پشتیبان پوتین و روسیه هست. اینها حملات زیادی رو انجام داده بودن. یکسری راه آهن کل بلاروس رو دچار اختلال کرده بودن. آخرین کاری که اینها هفته گذشته کرده بودن، گویا کل اطلاعات پاسپورت شهروندان بلاروس رو تونسته بودن از دیتابیس وزارت خارجه یا دولت بلاروس بدست بیارن. حتی مشخصات و شماره پاسپورت و تمام اطلاعات مربوط به چیزی که من روی اکانت توییترشون دیدم، از رئیس جمهور بلاروس منتشر کرده بودن و یکسری اطلاعات دیگه. که البته اینها باید وریفای بشه ولی خب روی این اکانت و چندین اکانت توییتر دیگه من دیده بودم که این رو تایید کرده بودن. این هم یک کار خیلی بزرگی هست. مخصوصا بدست آوردن اطلاعات پاسپورت خب خیلی میتونه مورد سواستفاده زیادی قراربگیره. و حتی این سران کشورها معمولا اگر اطلاعات پاسپورتشون درز پیداکنه، بلافاصله عوض میکنن. همون داستانی که درمورد نخست وزیر استرالیا اتفاق افتاد. که از طریق یکی از شهروندان استرالیا از طریق کارت پروازش که که این شخص توی اینستاگرام اومده بود عکسش رو گذاشت بود، تونسته بود بیاد شماره تماس و شماره پاسپورت نخست وزیر استرالیا رو بدست بیاره و درنهایت این رو اعلام کرد. سعی کردن این مشکل رو رفع کنن. و شماره پاسپورت ایشون رو عوض کردن.
این چند تا اخبار بود. حالا من برای اینکه نمیخوام وقت در واقع از دستمون خارج بشه، و در همون یک ساعت بمونیم، من تا همینجا بسنده می کنم. از سهیل عزیز میخوام که ادامه اخبار رو بگن و بریم سر موضوع اصلی. سهیل جان استیج در اختیار شماست.
خیلی ممنون داود جان، درود و عرض ادب خدمت تمامی دوستانی که در اتاق حضور دارن. من چندتا ددلاین رو روش تمرکز میکنم. اولین ددلاینی که برای من جالب بود، توی 25 اگوست اکانت وی ایکس آندرگرند از یکی از فروم های زیرزمینی یک داکیومنتی رو منتشر کرد که درمورد RC exploit روی iOS و گوشی های آیفون و اندروید و یکسری از گوشی های دیگه بود. این داکیومنت تا قسمتیش فنی بود و بعد قسمتی درمورد قیمتش بود که 8 میلیون دلار قیمت این مجموعه اکسپلویدها بودش که شرکت اینتلکسا که یک شرکت اسپانیایی هستش، این محصول رو میفروخت. خیلی سروصدا کرد توی هفته گذشته. حالا تحلیلی که من درموردش خوندم که مدیستون لیدرگروه Google Zero Project هست، تحلیلی درمورد داکیومنت اینتلکسا کرده بود. اشاره کرد که اولا این 8 میلیون واسه 10 تا دیوایس بوده که بعضی ها میگفتن فقط واسه iOS هست. درمورد ورژن iOS اومد توضیح داده، طبق داکیومنتی که توضیح داد بود، اینتلکسا فقط ورژن 15.4.1 رو میتونست بصورت آرسی بزنه، تا 16 می بود که پچ واسش اومدش. که از اون به بعدش رو شرکت نمیتونست ساپورت کنه. یعنی توی این داکیومنت نبوده.
درمورد Android Zero-day ها هم صحبت کرده بود که حالا یکسری zero-day هایی که کشف شده از کیت اندروید، به تاریخ انتشار Security Update هم اشاره کرده بود. حالا این پک exploit kit تا ماه می قابل استفاده بوده. حالا اگه بعدش آپدیت داده باشه شرکت اینتلکسا، مشخص نیست هنوز.
بریم سراغ ددلاین بعدی، 26 آگوست درمورد Security Bridge شرکت LastPass صحبت کرده بود. منتهی خبرش خیلی پیچید که LastPass هک شده پسوردهاش. اما من چیزی که پیگیر بودم این بود که هکرهایی که دسترسی گرفتن بودن از LastPass پسوردی توی سرورها نبوده که بخوان ازش سواستفاده کنند. صرفا دسترسی به شبکه گرفتن و هیچ دسترسی به پسوردها یا hash اون پسوردها حتی نداشتن. یعنی هیچ پسوردی از سمت LastPass ذخیره نمیشه. این دو خبری بود که از نظر من جالب بود. حالا خبرهای دیگه ای هم هست که میتونید از تویتتر داود جان وتوییتر من دنبال کنید. میریم سراغ بحث اصلیمون.
طبق نظری که با دوستان داشتیم قرارشد که ما هرهفته یک موضوع سایبری رو بررسی کنیم. هفته پیش درمورد Revenge pornبود. این هفته درمورد Social Engineering هست که نامربوط هم نیست با Revenge porn . و Social Engineering رو شاید خیلیهاتون شنیده باشین ولی خب من سعی میکنم که یکسری تعاریف رو بدیم و یکسری تکنیک ها رو درموردش صحبت کنم بصورت فنی و هم بصورت تاریخچه روش های مهندسی اجتماعی. که یک مجموعه درکنار همدیگه داشته باشیم. خب اولا یک تعریفی درمورد مهندسی اجتماعی بدم.
مهندسی اجتماعی درواقع هنر فریفتنه. که از مجموعه روش هایی استفاده میکنه که با دستکاری اختیارات manipulation of authority افراد اقدام میکنه افراد رو مجبور میکنه که یک عمل غیرمجاز رو انجام بدن. حالا بالاترین سطحش این میشه که اجازه میده فرد یا همون هکر وارد سیستمش بشه. و این دستکاری معمولا هدفش چندین عامله. احساسات آدمها هستن، احساس ترس، طمع، از دست دادن فرصت و.. و حالا بعضی موقع ها احساس میکنه اگه به یه نفر تو موقعیتی یک احساس خوبی بهش دست میده. و بیشتر مواقع که این احساسات به آدمها دست میدن و موجب میشن که یکسری اطلاعات محرمانه بدن که ممکنه اطلاعات شخصی خودشون باشه. یا اطلاعات محرمانه شرکتشون باشه. همه اینها بخاطر عدم دانش و آگاهی سایبری هستش.
بریم روی تاریخچه مهندسی اجتماعی. مهندسی اجتماعی اگر خیلی شنیده باشید فکرمیکنید که از زمان ……….. بوده. ولی خیلی قبل تر از اون بوده. اگر بخوایم بیایم جزو legend های این قضیه رو بررسی کنیم، اولین کسی که از مهندسی اجتماعی استفاده کرد فراند ابنیگل بودش که شاید فیلم Catch …………. رو شما دیده باشین. سال 1960 این فرد اومدش خودش رو با روش …………. یعنی خودش رو جا میزد با عنوان شغل های دیگه. به عنوان خلبان، دکتر و وکیل. که بعدا توسط FBI دستگیر شد و جزو کارشناس FBI شد. بعدتر اگر بخوایم بیایم توی هدلاین تاریخی مون میایم برمیخوریم به شخصی بنام الی کوهن که شاید خیلی به گوشتون خورده باشه. این شخص یک مامور رد بالای موساد بوده که سال 1967 از همون روش ………. یعنی خودش رو جای شخصی بنام ………… جا زدش و تونست به بالاترین سطح سیستم دفاعی سوریه که میشه وزارت دفاعش دسترسی پیدا کنه وزیر دفاع بشه و حالا اگر علاقه مند هستید میتونید سریالی رو Netflix اگر اشتباه نکنم درست کرده بنام ………….. که درمورد تاریخچه اینکه الیکوهن چجوری تونست اون کارو انجام بده. یعنی از روش ………. استفاده کنه و این کارها رو انجام بده. و این هم جزو تکنیک های مهندسی اجتماعیه. بیایم جلوتر میخوریم به آقای Kevin Mitnick. تفاوت آقای Kevin Mitnick.با افراد قبلی این بودش که فردی بودشش که علاقه مند بود به تکنولوژی دنیای سایبری. و تقریبا تو اون سالهایی بود که افراد زیادی تو حداقل کشور آمریکا تو حوزه سایبری فعالیت میکرد. تو حوزه هک تلفن ها، هک رادیو و کارهای جالبی تو این حوزه ها میکردن. توی اون موقعین قرارگرفتن آقای Kevin Mitnick.و درکنار دوستانش قرارگرفتن و اون کنجکاوی که این فرد داشت و حالا رفتاری که تو محیط باهاش شد. از طرف خانواده باعث شد که به سمتی سوق پیدا کنه که الان می بینیم که آقای Kevin Mitnick. یک پیوتی توی تاریخ هست که Social Engineering رو همه اومدن شناختن. یعنی مهندسی اجتماعی رو با آقای Kevin Mitnick. الان می شناسن. حتی تو کتابهای …………ماژول Social Engineering رو وقتی میان تدریس میکنن، درمورد آقای Kevin Mitnick. صحبت میکنن. و حالا اگر این هدلاین رو بریم جلوتر و تایم لاین 2011 بیایم شرکت RSA توسط فیشینگ اتک هک شد و هکر تونست دسترسی پیدا کنه به Two Factor Authentication که از طریق فیشینگ بود که جلوتر میگیم فیشینگ چی هستش. بعد توی تایم لاین 2013 ارتش سایبری سوریه اقدام به هک کردن Associated Press کرد. وقتی اکانت توییترش رو هک کرد یک خبری گذاشت درمورد بمب گذاری توی white house و زخمی شدن باراک اوباما. سال 2013 با استفاده از متد فیشینگ شرکت تارگت هک شد و 40 میلیون credit card به سرقت رفت. جلوتر بیایم یک سریالی رو ما داشتیم بنام مستر ربات که سال 2015 بود. که میاد توضیح میده درمورد شخصی بنام الیوت که هکری هست که صبح ها وایت هت هست. در شرکتی کار میکنه و کارش جلوگیری از حملات سایبریه. شبها هم بلک هته و شروع میکنه به هک کردن. تمام متدهایی که این شخص استفاده میکنه، خارج از بحث اکلسپلوتینگ با استفاده از دیوایس هایی که استفاده میکنه توی سریال. همه اون روشها ، مجموعه تکنیک های مهندسی اجتماعیه.
حتی سال 2015 وزارت کار آمریکا از طریق حمله watering Hole هک شد. و بخاطر آسیب پذیر بودن ………. تونستن وبسایت ها رو آلوده کنن و هرکسی که اون سایت رو باز میکرد، بصورت اتوماتیک میرفت توی سیستمش نصب میشد. حالا بریم یکم درمورد تکنیک های مهندسی اجتماعی صحبت کنیم. بعد برمیگردیم درمورد آقای Kevin Mitnick صحبت میکنیم.
تکنیک های مهندسی اجتماعی
مهمترین و اصلی ترین تکنیک شخصی که بخواد مهندسی اجتماعی انجام بده استفاده از روش های Open-source intelligence (OSINT) . تکنیک هایی هست که میشه با اون اطلاعاتی رو از سه سطح اینترنت جمع آوری کرد. اینترنت هم یه Surface Web داره هم Dark Web و هم Deep Web. و خیلی از ما روزانه فقط از Surface Web استفاده میکنیم. و خبر نداریم که توی Dark Web و Deep Web چه اطلاعاتی از ما منتشر شده و گهگاهی پیش میاد که خیلی از این اطلاعاتی که توی Dark Web و Deep Web منتشر میشه بعد از یه زمانی توسط یه شخصی میاد توی توییتر گفته میشه. و مشخص میشه که فلان سازمان یا فلان شرکت هک شده و مثلا 80 میلیون رکورد توسط شرکت ایرانی پابلیک شده. اولین متد مهندسی اجتماعی متد Pretexting هستش که شخصی که میخواد مهندسی اجتماعی انجام بده با استفاده از اطلاعاتی که توی OSINT بدست آورده میاد یه سناریویی رو customize میکنه برای اون فرد. که حالا این سناریو میتونه برای تایید یه نفر باشه. یعنی از طرف بانک بهش زنگ میزنه برای یه تراکنش مالی نیازمند این هستیم که شمارو تایید کنیم. و شما باید detail حسابتون رو بدین. و خودتون رو تایید هویت بکنید. که با استفاده از بدست آوردن این اطلاعات، میتونه دسترسی پیدا کنه به شبکه های اجتماعی یا حتی خود بانک که این اتفاق توی تاریخ افتاده. سال 2015 مدیر وقت CIA توسط هکرها هک شد. هکرها اول اومدن خودشون رو جای ……… جا زدن و اقدام کردن به گرفتن اطلاعات از شخص جان بران و با استفاده از همون اطلاعاتی که گرفتن تونستن اکانت AOL مدیر وقت CIA رو تو سال 2015 هک کنن. بزرگترین متدی که سالانه میلیاردها دلار ضرر میزنه، متد فیشینگ هستش. متد فیشینگ مجموعه ای از چندین متد هست. گاهی اون شخص هکر با استفاده از سیستم VOIP تماس میگیره و شروع میکنه با شما صحبت کردن. و یکسری اطلاعات فردی میگیره برای اینکه بخواد با شما مصاحبه کنه با سازمان بر اساس اون تم مهندسی اجتماعی که هکرها ازش استفاده میکنن، سناریوها میتونه متفاوت باشه. یا از طرف بانک یا کارفرما زنگ میزنه. فیشینگ میتونه از طریق ایمیل باشه، خیلی بهش برخوردیم. خیلی ساله که حتی Email gateway ها هم سخته براشون بخوان ایمیل فیشینگ هارو بصورت 100% بگیرن و خیلی از سازمان ها الان توسط همین روشها دارن هک میشن. و این سازمانها، سازمان های رده بالا هستن. شرکت های معمولی نیستن. حتی APT Group ها از این روش ها استفاده میکنن. بعد SMS فیشینگ که توی ایران خیلی زیاده. معمولا SMS ی به فرد داده میشه که اپلیکیشن رو از سمت adliran نصب کن. یا نیازمند تراکنش هست برای اینکه یه حکمی بر علیه یک فرد ثبت شده که اگه بخواد اون حکم رو ببینه نیازمند پرداخت هست. و بعد متد Spear phishing میاد برعکس فیشینگ تعداد خاصی از افراد رو هدف قرار میده. ولی فیشینگ مثل یه ماهیگیر میمونه که تور ماهیگیری رو خیلی بزرگ میندازه و هرچیزی که صید کنه، صید کرده و براش مهم نیست که مدیر سازمان رو بزنه یا حتی فرد عادی. ولی Spear phishing فقط یکسری افراد رو مورد هدفشون قرار میدن و این افراد با توجه به Pretexting که آماده کردن هر فردی سناریوی خاص خودشو داره واسه ارسال ایمیل. یکی ایمیل job هست، یکی ایمیل پیشنهاد سفر با قیمت ارزونتر یا خرید خونه. هرکسی تمش فرق میکنه. و بعد ……. افرادی که دسترسی خاص به سازمان دارن یا حتی افراد government هستن حتی افراد امنیتی هستن که اونارو هکرها مورد هدف قرارمیدن که بتونن از گوشیشون یا سیستم شخصیشون دسترسی بگیرن. بعد از این متدها، متد Watering Hole متدی هست که خیلی بیشتر ………….. ازش استفاده میکنن. میان سایت هایی که بازدید بالایی دارن ازش دسترسی میگیرن یا exploit kit شون رو نصب میکنن رو سایت یا اینکه فایلهاشو آلوده میکنن تو سایتهای download media یا حتی سایت های معروفی که مثلا فرض کنید که یک media مثل VLC که پلیر بصورت رایگان دارن ارائه میکنن. که همین چندوقت پیش خبرشو شنیدیم که VLC آلوده شده بود. از این متد استفاده میکنن برای مورد هدف قراردادن افراد. یه متد بعد از اون شاید شما تو سریال مستر ربات هم بهش برخورده باشین، متد Baiting هستش. متد Baiting که حالا تله ای میذارن معمولا برای افراد، به اینصورت هست که میان از فلش های آلوده استفاده میکنن و یکسری فلش رو میگیرن و درواقع آلوده ش میکنن به exploit و این فلش ها رو درکنار درب ورودی سازمان یا واحد خاصی یا محیط اطراف سازمان قرارمیدن و افرادی که حس کنجکاویشون زیاده یا خیلی دوست دارن بدونن این فلش های گم شده توش چی هست، ممکنه این فلش رو ببرن وارد سازمانشون کنن. اگه فلش ممنوع نباشه، توی سریال مستر ربات هم این رو دیده بودین. یا اینکه معمولا این افراد که حس کنجکاویشون بالاست، این فلش هارو میبرن به سیستم های شخصیشون میزنن که بعدها ممکنه ازشون اطلاعات شخصی یا حتی فیلم های شخصی بیرون بیاد. متد بعدی که توی ایران خیلی بکار اومده، شرکت های بازاریابی استفاده کردن، که شمار برنده شدین ، متدی هست بنام quid pro quo . این متد براش مهم نیست که دامنه اون قربانیان کی هستش. یه لیست بلندی از شماره تلفن ها داره و شروع میکنه زنگ زدن. سناریوش هم یکیه. برای هرکسی سناریو درنظر نگرفته و منتظره یک نفر تو تورش بیوفته. و حالا اون یه نفرکه توی تورش میوفته با این سناریو که شما برنده شدین و این جایزه خیلی خاصه. فقط کافیه شما هزینه ارسال رو پرداخت کنین. که این متد در واقع توسط کلاهبرداران استفاده میشه. اگر هکرها بخوان از این متد استفاده کنن معمولا بعد از هک کنن سیستم VOIP سازمان رو. شروع میکنن به داخلی های سازمان تماس میگیرن و خودشون رو به عنوان پشتیبان معرفی میکنن. و بالاخره یکی پیدا میشه که با سیستمش مشکلی داره. و بعد از اینکه دسترسی میگیرن از سیستمش با اجازه اون فرد، میتونن وارد شبکه سازمان بشن از طریق VOIP و ادامه ماجرا. یا حتی متدی داریم بنام honey trap که معمولا هکرها پیش میاد که از این متدها استفاده میکنن. خودشون رو جا میزنن جای سلبریتی و توی سایت های dating خودشون رو جا میزننن جای اون سلبریتی و سعی میکنن ارتباط برقرار کنن با اون فرد خاص. که حالا اون فرد خاص از متد OSINT استخراج شده از سازمانی که این فرد توی سازمان خاصی هستش و بعد از اینکه وارد رابطه با اون فرد میشن، سعی میکنن اطلاعات اون سازمان رو از این فرد استخراج کنن. دو تا متد داریم که خیلی شبیه به هم هستن. شاید با همدیگه اشتباه گرفته بشن. متد ……….و متد……….. . این دو متد شاید تا الان بهش برخورده باشین. چون بر اساس آداب و رسوم ما هرموقع یک نفر دستش پر هستش و داره نزدیک میشه به در منزل یا جایی که شما دارید میریم تو. ممکنه شما در رو براش نگه دارید از روی احترامی که قائل هستین. که من بهش میگم کم دانشی هستش. و اون فرد رو راه بندین تو منزل یا تو شرکتتون. که این متد ………….. هستش. و حالا متد ……….. معمولا متدی هست که چند دلیل میتونه داشته باشه. اول اینکه یه نفر نمیدونه که یه نفر دنبالش افتاده. یعنی فرد سازمانی داره وارد سازمان میشه. میخواد از گیت رد بشه و من که هکر هستم، سعی میکنم کنار این رد بشم. حتی یک fake id هم دارم و موقعی که میخوام از کنارش رد بشم، نشون میدم. که security gate بذاره من رد بشم. اینکه اصلا security gate نداره و من فقط وانمود میکنم که همراه یک کارمند سازمان هستم و سعی میکنم وارد سازمان بشم. که این هم دلیلش کمبود آگاهی سایبری هستش. یعنی اینکه افراد سازمان بدونن که نباید هرکسی دنبالشون راه بیوفته بیاد توی ساختمون، یا نباید اجازه بدن که همچنین چیزی رخ بده، خب قاعدتا افرادی که تو حوزه ……………. نمیتونن براحتی وارد سازمان ها بشن.
متدی که شاید ازش شنیده باشین خیلی، متدی هستی هست بنام ……….. که معمولا هکرها میان از اون استفاده میکنن که یک fake alert از FBI یا CIA یا هر نهاد امنیتی میاد روی سیستمشون و میترسونتشون که شما یک فعالیت غیرقانونی انجام دادید. مثل ویروس FBI و مجابشون میکنه که دیگه نباید این کار رو انجام بدین، برای اینکه ما چشم پوشی کنیم باید غرامتی رو به فدرال بدین، یا به سازمان امنیتی ما بدین که ما چشم پوشی کنیم. متد ……… هست که شاید بهش بر خورده باشید.
متد دیگه ای هم شبیه این هستش که بهش میگن security software که معمولا از addons ها هستش، وقتی که روی سیستم شما نصب میشه ممکنه Alert روی سیستم شما بیاد که سیستم شما اینفکت شده. شما رو ریدایرکت کنه به سایتی که خدمات IT Security میده یک نفر باهاتون کانکت بشه تو چت و ازتون بخواد که درمورد اون error بهش بگید و بگه من میخوام بهتون کمک کنم که از این متد گروه هندی و پاکستانی استفاده میکردن برای گول زدن افراد مسن تو آمریکا. و اون ها رو مجاب میکردن که سیستم هاشون هک شده و با استفاده از ID Card شون میومدن گیفت کارت اپل یا آمازون میخریدن. متد بعدی که معمولا نهادهای امنیتی ازش استفاده میکنن، داونسن دایرینگ یا همون آشغال گردی هستش که سازمان ها یا شرکتهایی که هیچ مکانیزم امنیتی برای امحای اطلاعات ندارن، میان از اونها استفاده میکنن. اطلاعات رو استخراج میکنن. و از اون آشغال ها و ممکنه بعضی از این اطلاعات اسم برخی افراد سازمان باشه یا شماره حساب ها باشه. با استفاده از اونها بشه به اطلاعات دیگه ای دسترسی پیدا کرد. توی تاریخچه کارهایی که کرده، یکی از اینها تو سن 12 سالگی با استفاده از داونسن دایرینگ اومده سیستم تیکت لس آنجلس باس رو دور زده بصورت مجانی و بعد از اینکه بلیط ها رو پیدا کرده دوباره ازشون استفاده کرده بصورت مجانی میرفته از اتوبوس استفاده میکرده برای اینکه بره مدرسه. این متدی هست که متداوله، شاید کمتر به گوشمون خورده باشه.
یه متدی که شاید بعضیا آگاهی نداشته باشن و از روی عدم آگاهی میرم یکسری اطلاعات رو میدن به هکرها، متد فارمینگ هست. که حالا این متد در واقع میخوان دیتاست از افراد در حوزه های مختلف داشته باشن، مثلا دیتا ساینس، دیتا سکیوریتی، ادمین سازمان خاص و… و میبرنتون تو یکسری از سوالات و ازتون سوالات private میپرسه که مربوط به سازمان شما میشه. مثلا تو سازمانتون از کدوم فایروال استفاده میکنین. کدوم فایروال رو بیشتر استفاده میکنین. شبکه تون VLAN بندیه یا نه. چه نوعی VPN Server ی استفاده میکنین. اگر بخوان وارد سازمانی بشن، اینجوری میان اطلاعات رو جمع میکنن. حتی APT29 از متد فارمینگ استاده میکرد. هکرهای روسیه از متد فارمینگ استفاده میکردن. و شرکت های آمریکایی رو گول میزدن و یکسری از اطلاعات رو ازشون میگرفتن.
متد دیگه ای که الان خیلی مورد استفاده هست و کشور ما خیلی نسبت بهش آسیب پذیر هست متد Data Bridge هست. سایتهای زیادی که مربوط به سایت های دولتی ایران یا شرکت های خصوصی هستن، دیتای ایرانی ها رو دارند و این دیتاها تو سال های مختلف هک شدن و الان در دسترس هست. حالا این دردسترس بودن ممکنه پولی باشه. ممکنه بعضی ها رایگان باشه. ممکنه تو فروم خاصی باشه. ولی در کل کسی که کارش هک هست به هر روشی به اون دیتا میرسه. کاری که میکنه اینه که دسترسی به اون دیتابیس پیدا میکنه و با correlate کردن این دیتابیس ها، اطلاعات رو درکنار هم قرارمیده و از اون میتونه به آدرس خونه، اسم و فامیل، نام پدر، شماره شناسنامه، شماره حساب، پلاک ماشین، نوع ماشین، خرید و فروش خانه و همه اینهارو درکنار هم قرار میده و واسش pretexting یا سناریو آماده کنه. یا کلاهبرداری کنه یا اونو هک کنه و بعدا ازش یجوری پول بگیره.
متد دیگه ای که شاید خیلی بیشتر در موردش آگاهی رسانی شده باشه، متد ………… هستش که افرادی که معمولا میخوان هک کنن یا social engineer هستن سعی میکنن که پشت شما قرار بگیرن تا پسوردتون رو ببینن، وارد سازمان بشن.
بریم سراغ آقای Kevin Mitnick و ببینیم که از کجا شروع شد. هرکسی که با امنیت آشنا باشه، حتما اسم kelvin Mitnick به گوشش خورده. حالا بدون هیچ اغراق و تعصبی، آقای Kevin Mitnick جزو بزرگترین هکرهای دوران ما بوده. همونجور که اشاره کرد از متد داونسن دایرینگ استفاده کرده تو 12 سالگی و تونسته که کارت های اتوبوس های لس آنجلس رو دور بزنه و دسترسی پیدا کنه به روشی که بلیط اتوبوس ها مجانی باشه برای رفتن به مدرسه. در 16 سالگی تونست سیستم های مربوط به شرکت DEC رو هک کنه. بعد از اینکه سیستم ها رو هک کرد، دسترسی پیدا کرد به شماره تلفن هایی که administrator های اون سازمان بودن. و اینجا بود که در 16 سالگی شروع کرد به استفاده از متد مهندسی اجتماعی و زنگ میزد به تک تک این افراد و اونها رو مجاب کرد که پسورد پروژه رو بدن که مدیر پروژه اون موقع پسورد رو دو دستی تقدیم Kevin Mitnick کرد. با استفاده از اون پسورد وارد سیستم ها شد و سورس کدها رو دانلود کرد. نتیجه ی این هکی که انجام داد و سورس کد رو به سرقت برد، 160 هزاردلار محکوم شد که باید غرامت میداد به شرکت DEC.
دقیقا سال بعدش بیشتر مجاب شد که بیاد از این تکنیک ها استفاده کنه واسه نفوذ در سازمان های بیشتر و تو سن 17 سالگی شرکت ……….. رو هک کرد و بعد از هک کردن و کپی کردن اطلاعات این شرکت، دادگاه به این نتیجه رسید که باید این رو تحت مراقبت قراربده که دیگه این اقدامات رو انجام نده. منتهی Kevin Mitnick در واقع نان استاپ بود. سال 1982 دانشگاه کالیفرنیای جنوبی رو هک کرد و متوجه شدن و 6 ماه زندان برای اولین بار تو سن 18 سالگی وارد زندان شد. بعد از بیرون اومدن از زندان باز به کارش ادامه داد و پایان کارش نبود. سال 1987 سانتاکروز رو هک کرد. سال 1988 دوباره شرکت DEC رو هک کرد و این شرکت خیلی شاکی شد. چون دفعه قبل چون سنش پایین بود اول میخواستن 4 میلیون دلار محکومش کنن، ولی خب سیستم قضایی آمریکا گفت 160 هزاردلار بیشتر نمیتونم محکوم کنم. مجاب شدن که این رو برای مدت خیلی طولانی تر به زندان بندازن ولی خب وکیلش تونست دادگاه رو مجاب کنه این شخص معتاده به تکنولوژی و هک کردن. و این یک جور قمار واسه ش میمونه و نیاز به مشاوره داره برای اینکه هک کردن رو بذاره کنار. علاوه بر اینکه یک سال زندان بود، 6 ماه هم تحت مراقب قرارداشت و مشاوره پی در پی واسه اینکه این کار رو برای همیشه بذاره کنار. ولی خب این کار رو کنار نذاشت. علاوه بر اینکه کنار نذاشت، سعی کرد شرکت های بیشتری رو هک کنه. ولی این شرکت ها شرکت های بزرگی بودن تو زمان خودشون. شرکت نوکیا، شرکت موتورولا، شرکت ناول رو با استفاده از روش مهندسی اجتماعی هک کرد. افراد رو گول میزد و پسورد رو دودستی بهش تقدیم میکردن. برای اینکه نمیدونستن واقعا چه اتفاقی میوفته که این کارها رو انجام بدن.
وقتی که سال 1995 Kevin Mitnick شرکت پسیو بیگبل رو دوباره به سیستم هاش وارد شد ولی این بار هک نکرد. تله ای گذاشت بود دولت که فردی رو بهش نزدیک کردن که روش دسترسی به Voice mail ها بدون اینکه اون شخص بدونه دسترسی داشته باشیم. یعنی اینکه پیغامی رو افراد براتون میذارن، Kevin Mitnick بدون اینکه طرف بدونه میتونستن Voice mail های افراد رو بخونه. حالا این آسیب پذیری بود که توی سیستم هاشون بود. ولی خب اومدن یجور دیگه نشون دادن اتهام رو. اتهام رو سنگین کردن و اتهام جاسوسی زدن. که داره از یک ایالت جاسوسی میکنه و خیلی دیر Kevin Mitnick فهمید که واسه ش تله گذاشتن. و واسه یه مدتی ناپدید شد و تو حین ناپدید شدن شخص متخصص امنیتی بود که کارش Security Research بودش و مشاوره خیلی از سازمان ها بود، بنام تومورو شومارا که اگه توی دادگاه Kevin Mitnick هم ببینید، عکس این شخص رو می بینید که دقیقا پشت Kevin Mitnick قرار گرفته و این شخص و جامورکوف دو فردی بودن که ضربه بزرگی به Kevin Mitnick زدند و تقریبا 5 سال از عمرش رو کاری کردن که وارد زندان بشه. و برای مدت طولانی تو زندان باشه، واسه اینکه یجوری اومدن نمایش دادن که این شخص علاوه بر اینکه هک میکرد با روش social engineering ضربه میزد، ولی این برعکس کاری بود که Kevin Mitnick میکرد و تنها هکری بوده که تو طول تاریخ وقتی که از روشهای مهندسی اجتماعی استفاده میکرده، صرفا برای این بوده که میخواسته بره تو شبکه و سورس کدها رو بخونه. و هیچ موقع تو هیچ کجای تاریخ شما نمیتونین برین بگردین این رو پیدا کنین که Kevin Mitnick از این روش استفاده کرده واسه اینکه ضربه ای به سازمان بزنه یا یه نفر رو تهدید کنه یا دزدی کنه. وقتی که Kevin Mitnick این شخص تومورو شومارا رو شناسایی کرد و میدونست که تو سیستمش دسترسی پیداکنه به سازمان های دیگه، سیستم این فرد رو هک میکنه و هک سیستم این فرد سال 1994 بوده که توی مصاحبه ای هم که این فرد داشته میاد اشاره میکنه که سیستمش هک شده. این رو کی میفهمدن؟ یک سال بعد میفهمن که درواقع از شرکت فریدام پریواسی متوجه میشن که از سیستم storage شون بیش از مجاز استفاده شده که مال شرکت بل بوده که بهشون اطلاع میدن. وقتی که میان بررسی میکنن این سیستم storage رو میفهمن که کلیه اطلاعات سیستمشون اونجاست و از این اطلاعات استفاده کرده بود واسه هک کردن شرکت هایی مثل نوکیا، موتورولا، ناول و.. . چون این فرد مشاور بوده تو اون سازمان ها و اینکه علاوه بر اون Security Researcher بوده و exploit داشته رو سیستمش. از اون استفاده میکرده. بعد از اینکه شومارا متوجه میشه، سعی میکنه که بگرده دنبال اینکه چه کسی سیستمش رو هک کرده و تا چه حد از این اطلاعات استفاده کردن و کجاها رو دسترسی پیدا کردن. که خودش به تنهایی این کار رو انجام نمیده. چند نفر رو اون زمان استخدام میکنن و با کلی اینور اونور رفتن و گشتن متوجه میشن که از اون اطلاعات واسه هک کردن شرکت نتکام استفاده شده. نتکام یک دیتاسنتری هست که علاوه بر اینکه اون زمان سرویس شبیه dialup میداده، یه سری سرویس هایی مثل credit card های نتکام میداده که حالا بعضی از این شرکت ها credit card های خودشون رو دارن. وارد اون شبکه میشه 200 هزار credit card رو اطلاعاتش رو کپی میکنه ولی خب هیچ موقع از اونها استفاده نکرده، دزدی نکرده، خرید انجام نداده. این بر خلاف اون اون چیزی بود که شومارا و جان مارکوف قصد داشتن، به همگان نشون بدن تو دادگاه برعلیه Kevin Mitnick استفاده کنن و این شخص درواقع هکره و بولد تو زمان حاضرشونه و باید زندان بیوفته و اگه بیرون باشه ممکنه به government و مردم آسیب بزنه. حالا روند اینکه چجوری track کردن و پیدا کردن Kevin Mitnick رو ، یه روند خیلی جالبی بوده. شومارا متوجه میشه که یه نفر به شرکت نتکام متصله و لوکیشن این شخص رو میخوان پیدا کنن. ولی منتهی با استفاده لوپی که داخل اون سیستم Dial-Up انداخته بوده، سوئیچینگ این فرد رو نمیتونستن پیداکنن. بین دو تا شرکت سوئیچینگ لوپ افتاده بود. بین شرکت ZTE و Sprint و میرن دوتا شرکت رو سر میزنن و مطمئن میشن که از شرکت Sprint هست و بعد میفهمن یه آسیب پذیری تو سوئیچ وجود داره که Kevin Mitnick از اون استفاده میکرد. و یجوری خودش رو untraceable میکرد و نمیتونستن پیداش کنن. همونجور که میدونین سیستم های Dial-up به این صورت بودش که زنگ میزدین و خط تلفنتون مشخص بود. و اگه کار غیرقانونی هم انجام میدادین سریع شناسایی میشدین. سیستم های الان هم تقریبا به همین صورته. بعد از اینکه شومارا متوجه میشه و لوکیشن اون هکر رو پیدا میکنه و مطمئن نیست که Kevin Mitnick هست یا نه، از سن خوزه و اون شرکت Sprint میرن به ریلی هیلز و یکی از متخصصین Sprint باهاش میاد و با استفاده از فرکانسی که استفاده میکرده به اینترنت متصل میشده، تونستن لوکیشن رو پیدا کنن. و وقتی لوکیشن رو پیدا کردن، لوکیشن رو میدن به FBI و یک هفته بعد با مجوز FBI میاد Kevin Mitnick رو دستگیر میکنه. و این میشه پایان کارهای مخربی که Kevin Mitnick توی تاریخ انجام داد. تقریبا 4 و نیم سال داخل زندان بود. که یک عده زیادی میان جمع میشن و سعی میکنن حمایت کنن از Kevin Mitnick و حالا اون هکرهای اون زمان بودن. و بعد از این 4 و نیم سال که میاد بیرون، سعی میکنه که بیاد آگاهی رسانی کنه درمورد این روش هایی که استفاده میکرده برای هک کردن. برای اینکه بیاد آگاهی رسانی کنه، تقریبا با چند هزار مجله مصاحبه داشته، مصاحبه تلویزیونی و… که شما میتونید برید مشاهده کنید. فیلمی که بر علیه ش ساخته شده، ترکداون هست که یه فیلم تقریبا هالیوودیه و غیرواقعی هستن. که میاد Kevin Mitnick رو یک شخص منفی نشون میده. ولی اون کتاب هایی که به نظر من برای هر شخصی که تو دنیای Security هستش یا حتی میخواد آگاهی داشته باشه و سرش کلاه نره، لازمه بخونه، اولین کتابش هست که سال 2001 منتشر شد و این کتاب به زبان خیلی ساده ای هست. اسم این کتاب The Art of Deception هست یا همون هنر فریفتن. که مهندسی اجتماعی که در اول بحث بهش اشاره کردیم. The Art of Deception میاد مثال های مختلف میاره و تو این مثال ها که حالا از لحاظ واقعی بودن که واقعا زنگ نزده به شرکت ها و این کارها رو انجام بده. ولی واقعا این روشهایی که روی افراد مختلف بخاطر اینکه دانشش رو ندارن جواب میده. که زنگ بزنین خودتون رو مدیر معرفی کنید و یک گزارشی رو بخواین، زنگ بزنین خودتون رو منشی معرفی کنین. این کتاب تقریبا کلش بصورت سناریو بیس هست و اگر واقعا بخواین بدونین هکرها از چه سناریو هایی استفاده میکنن، و این سناریوها واقعا آسون هستن و سطحشون پایینه. ولی اگه واقعا اطلاعی نداشت باشین توی موقعیت خاص قراربگیرین، هکرها میتونن از اون سناریو استفاده کنن.
دومین کتاب Hardware Hacking سال 2004 بود. تو زمان خودش هکرهای بزرگ اومدن سیستم پلی استیشین و سیستم های دیگه رادیویی رو هک کردن و اون security man ی که اومده بود این audit کرده بود آقای Kevin Mitnick بود. که حالا زیاد به به مهندسی اجتماعی مربوط نیستش. بعدیش کتاب The Art of Intrusion هست. کتاب دیگه ای که سال 2007 منتشر شد CIA Dirty Trick بود که اون روش هایی که جاسوس های CIA استفاده میکردن ازش برای نزدیک شدن به افراد مختلفی که خیلی بزرگ بودن تو تاریخ برای جاسوسی کردن یا منهدم کردن اونها. که یکی از سرفصل های این کتاب این بود که وارد ایران شدن و اشخاصی که تو سفارت آمریکا بودن رو خارج کردن و روش های مهندسی اجتماعی که استفاده کردن برای دورزدن افراد کمیته، اون روش ها هم اومده ذکر شده که چجوری اومدن اینها رو گول زدن. پنج کیس بزرگ هک های Social Engineering داریم که توی تاریخ خیلی غرامت های بزرگی واسه اون کمپانی ها داشتن. اولیش شرکت تارگت بود که 18 و نیم میلیون دلار خسارت دید بخاطر data bridge که رخ داد. Data bridge چطوری رخ داد؟ چون تارگت شرکت خرده فروش هست با شرکت های کوچیک خیلی زیادی کار میکرد و این شرکت های کوچیک که زیاد هم هستن متصلن به شرکت اصلی، هرکدوم اکانتی داشتن و با استفاده از مهندسی اجتماعی یکی از این اکانت ها دزدیده شد و از اون طریق وارد شبکه شدن و نکته ای که این داره واسه سازمان ها این بود که وقتی شما یک کسب و کاری دارید که فقط امنیت اون براتون ملاک نیستش، مثل دیتاسنترهایی که شرکت های کوچیک میگیرن که اینترنت بفروشن، اگه هرکدوم از این شرکت ها کامپرامایز بشن، شرکت شما هم کامپرامایز میشه اگه نکات امنیتی رو رعایت نکنین. حالا این متونه با exploit باشه یا خیلی ساده یوزر و پسورد فردی رو بدزدن. بعدش اسکم سال 2020 بود توی توییتر که از طریق فیشینگ یک ایمیلی ارسال شده برای یکی از کارمندان توییتر و دسترسی گرفتن از توییتر و اکانتی رو verify کردن و اون اکانت که تیک رو گرفته بود اومد اشاره کرده بود که اگه بیتکوین به من بدید دو برابرش میکنم. دابل بیتکوین هم که خیلی معروف هستش تو کریپتو اسکم ها تقریبا تو چند دقیقه تونست 100 هزاردلار اسکم بکنه که حالا علاوه بر اینکه با مهندسی اجتماعی یه شخصی رو توی توییتر زدن یکی از کارمندان توییتر. یه مهندسی اجتماعی دیگه هم استفاده کرده که افراد دیگه ای رو گول زده بوده واسه حرص و طمعشون که میخواستن یه مقدار بیت کوینی رو دوبرابر کنن که همچنین چیزی اصلا مسخره ست. یکی از بزرگترین . Data bridge هایی که با استفاده از مهندسی اجتماعی انجام شدش، سال 2013 یاهو بود که از طریق فیشینگ یکی از کارمندان این شرکت مورد هدف قرار گرفته بود، یعنی اکثر این حملاتشون با یه ایمیل ساده هست که attachment ی داره و اون رو که باز میکنن exploit میشه و بعد دسترسی میگیرن از زیرساختش و برای چندین سال دسترسی دارن به زیرساخت. که این دسترسی که گرفتن برای چندین سال از یاهو دسترسی داشتن، که اول فکرنمیکردن اون کسانی که مورد حمله قرارگرفتن 500 میلیون نفر بودن که بعدا متوجه شدن که کل افرادی که داخل یاهو اطلاعات داشتن تمام اطلاعاتشون رفته. این بزرگترین Data bridge ی بود که رخ داده بود در شبکه های اجتماعی. که این یاهو هم یکی از دلایلی که محو شد بخاطر همین بود. بصورت کلی مهندسی اجتماعی خیلی چیز پیچیده ای نیست و اگر علاقه مند هستید که بیشتر درموردش بدونید 3 تا منبع رو بخونید به نظرم کافیه، یه Art of Deception ، و سریال Mr. Robot و سریال دیگه ای که بنظرم روش های human element manipulation رو درموردش صحبت میکنه، سریال لایتومی هستش. این سریالی هست که کارشناس انسان ها هست و هرکسی که وارد اتاقی میشه با این فرد، تروریست یا قاتل یا هرچیزی که هست از روی اون المنت هایی که این انسان داره، مثل خارش صورت ، لگد زدن یا تکون دادن پا ، سر تکان دادن، خاراندن مو و… به اطلاعاتی دست پیدا میکنن و اطلاعات کاملا علمی هستن. اشخاصی هم که مهندسی اجتماعی انجام میدن و کلاهبرداری های بزرگ بودن توی تاریخ، این دانش رو داشتن و وقتی که به تارگشتون بر میخوردن با توجه به این خصوصیت هایی که افراد داشتن میتونستن اینهارو گول بزنن. یکسری اطلاعات رو ازشون بگیرن. عرایض بنده تمومه. امیدوارم که هفته ی خوبی رو در پیش داشته باشید. شب و روزگارتون خوش
نکاتی که سهیل جان اشاره کردن نکات اصلی و کلیدی بود، من دو نکته که بخوام در ادامه بگم، بحث کل کانسپت Social Engineering رو به عنوان The art of manipulating می بینیم، بیشتر برای اینه که به ما یه اینتری پوینتی بده به یک سیستم. حالا شما با استفاده از اون Social Engineering اون دسترسی اولیه رو در خیلی از وقت ها به یک سیستم میگیرین. حالا سیستم فیزیکی میتونه باشه، یک سازمان باشه، یک سرور یا هر ریسورس دیگه ای. یا حتی اطلاعات ارزشمندی که میتونه توی لپ تاپ باشه. توی فولدری باشه. و بعد اون بحث exploitation صورت میگیره.الان بخاطر اینکه تکنیک هایی که مثلا کلاسیک بود، اون بحث فیشینگ که اشاره شد. باز بحث OSINT امنیتش اینجا بیشتره. حالا شماره اگه بخوایم یک Social Engineering انجام بدین، یک pretext ی باید وجود داشته باشه. اون تارگت رو مطالعه کنید. اطلاعات مختلفی ازش بگیرید. و وقتی میخوان یک مکالمه ای رو با اون آغاز کنید، تو اون مکالمه جزئیاتی رو فراهم کنید که اون شخص متوجه باشه که در واقع شما یک pretext ی با این دارید. یا بتونه اعتماد اونو جلب کنید. اشاره ای که من در اکثر اتاق ها میکنم، که شما هم فرض کنید که میدونین وقتی ایمیلی برای شما میاد که میگن مثلا روی لینکی کلیک کنید، الان دیگه الان 60-70 درصد افرادی که تو فیلد هستن بازم میدونن که روی لینک نباید کلیک کنن. ولی اگه مثلا اون شخصی که داره این ایمیل رو میفرسته به شما، میدونه که شما یک پسری دارید که امروز صبح گذاشتینش مدرسه و مثلا مسابقه فوتبال داره و تو اون ایمیلی که برای شما میاد بگه که آره من از مدرسه دارم تماس میگیرم. مدیر مدرسه هستم. مثلا یه مشکلی برای پسرتون تو مسابقه فوتبال پیش اومده ، اگه میشه روی این لینک کلیک کنید ما کانسنت شما رو لازم داریم. مثلا که بفرستیمش دکتر معاینه بشه یا همچنین چیزی. وقتی که انگشت بذارن روی نقطع ضعف شما یا اونجایی که شما خیلی بهش اهمیت میدین. اونجاست که دیگه احساسی برخورد میکنیم و راحت روی لینک کلیک میکنیم. یا همون بحث کانکسکت که اشاره کردم. یعنی این مهمترین بحث هست یا همون کمک کردن به همنوع که سهیل عزیز اشاره کرد. مثلا یک نفر دستش پره میخواد وارد ساختمان بشه، Access Card هم نداره، کسی که داره کمک میکنه در رو برای این نگه میداره. خانومی که مثلا خودش رو حتی بصورت یک خانم باردار نشون میده، این جزو سناریوهایی بوده که هکرهایی که نفوذ فیزیکی کردن به سازمان ها، این ها رو به اشتراک گذاشتن. که خودشون رو بصورت یک زن باردار درمیارن که مثلا Access Card شون رو فراموش کردن. و بعد مثلا کسانی که وارد ساختمان میشن در رو باز میکنن. افرادی بودن که کار و تخصصشون اینه که میرن و قرارداد می بندن با شرکت های مختلف که اون Physical security اینها رو بیان تست کنن که ببینن این سازمان چقدر راحت میتونن واردش بشن و هک کنن. یکی دیگه از همین افرادی که خیلی معروفه کریس تنگی که یک وبسایتی داره به اسم Social-Engineer.com و کتابی داره به اسم Social Engineering The Art of human hacking . ایشون خیلی در همین موارد اتفاقا شرکتی داره که کارش همینه . یعنی در سناریوهایی مختلفی ، مصاحبه ای جک ریسایدر فکرمیکنم تو همین پادکست داشت که با تکنیک های مختلف اینها سعی میکنن وارد ساختمان ها و سازمان های بزرگ و شرکت های خصوصی بشن، branch office هاشون رو وارد بشن بعد با attach کردن یه باکس رسپبری پای مثلا به یه پورت نتورک که جایی قایم کنن، بتونن وارد شبکه بشن. و از این طریق بتونن سیستم اینهارو هک کنن. اگه این کار رو بتونن انجام بدن، نشون میدن که چقدر باگ های امنیتی تو اون سازمان چه از نظر فیزیکی چه از نظر IT وجود داره. این داستان خیلی پیچیده س و اهمیت ش انقدر زیاد هست که الان هرساله در اون کنفرانس Defcon که برگزار میشه، امسال سی امین دوره ش برگزار شد، یک سکشن خیلی خاصی وجود داره که تخصصی روی Social Engineering کار میکنن. یعنی هیچ چیزی هم بحث فنی نیست. یعنی شما وقتی میرین اونجا صحبت میکنین همش بحث manipulate کردن افراد، احساساتشون هست. یعنی نمیان بخوان exploit توضیح بدن یا بحث های فنی. جالبه یکی از همین افرادی که توی یکی از کانتست سالانه ی همین Social Engineering Village یک خانومی بود به اسم ایلیس دنی ، ایشون بالاترین بج Defcon رو تو بحث Social Engineering Village گرفته بود ولی خودش تو مصاحبه ای میگفت من برای کار پیدا کردن برام راحت نبود. چون هرجا میرفتم میگفن بج Defcon رو داری ولی خب بحث های فنی از من میپرسیدن من اونقدر مسلط نبودم. چون تخصص من روی Social Engineering بود. این یه سری نکات هست من فقط خواستم اشاره ای بهش بکنم.
مهدی: خیلی ممنون سهیل جان، ممنون داود جان، محمود جان شما رو میشنویم، بفرمایید درخدمتتون هستیم، دوستانی هم که سوالی دارن یا نقطه نظری میخوان با ما به اشتراک بذارن میتونن بیان بالا یا از طریق چت متنی در خدمتشون باشیم
مرسی دوستان، داود عزیز، سهیل عزیز و مهدی عزیز. من یه سوال داشتم. درمورد وبسایت هایی که اطلاعات شما رو جمع آوری کردن. که فکرمیکنم خیلی درمورد OSINT بحث کردیم. اما خب این اطلاعاتی که هست به مهندسی اجتماعی کمک میکنه برای افرادی که بخوان اپروچ کنن به شما. از یه طرف هم خیلی جاها که سیستم verification knowledge base داره ، اطلاعاتی از شما میپرسه که جاهایی که قبلا زندگی کردین با توجه به تمام اطلاعاتی که تو این وبسایت ها هست خب کار ما رو راحت تر میکنه. من یکبار نشستم چند تا از این وبسایت ها رو چک کردم .دیدم خیلی هاشون فرمی دارن که وقتی اون فرم رو پرمیکنید اون اطلاعات رو حذف میکنن، بعد دیدم تعداد این وبسایت ها بالای 100 وبسایته، بعد دیدم کار خیلی ساده ای نیست و مطمئنن کپی جاهای دیگه هست. دیدم یکسری وبسایت ها هست یکیش delete me هست اگه اشتباه نکنم که این سرویس رو دارن که میرن اطلاعات شما رو از اون وبسایت ها پاک میکنن. یا اگه جای دیگه ای ظاهر شد میرن اطلاعات شما رو پاک میکنن یا درخواست میکنن پاک کنن. آیا سرویس مشابه ای رو پیشنهاد میدین؟ یا باید بیخیال شد؟ مرسی
درمورد سوالتون، این وبسایت هایی که حالا نهادهایی که میان پیشنهاد میدن که ما میتونیم اطلاعات شما رو از روی اینترنت حذف کنیم، این ممکنه در این حدی باشه که از یک وبسایت یا پلتفرم خاصی که شما فرضا میرفتین قبلا سرچ میکردین، فکرمیکنم وبسایتی بود تو آمریکا که با خود شما صحبت کردیم که اگر اسم یک نفر هم بدین کل مشخصات رو شامل آدرس و محل زندگی و تلفن و… رو میداد . که شما شاید فرمی رو پر کنید و به اون پلتفرم بدین، اون پلتفرم اجازه سرچ رو از اون برداره. اون وبسایت هم فقط تو آمریکا قابل دسترسی بود. ولی نکته اینه که اون پر کردن فرم یا موارد عملا دیتای شما رو از هزاران نقطه دیگه که پاک نمیکنه، یعنی شما از همون Service Provider که شما دارید موبایل و سیمکارتتون رو ازش میگیری تا اون کسی که اینترنت منزل شما رو داره میده تا اون پلتفرم های سوشال میدا یا هر سرویس دیگه ای که شما مجانی معمولا دارید استفاده میکنید. همه اینها اون بحث track کردن اطلاعات شما رو دارند. این بحثی که الان مخصوصا تو این چند سال اخیر، یعنی با تمام این قوانینی که تو بحث اتحادیه اروپا و آمریکا و… میذارن برای بحث حریم خصوصی. اگه جایی بگن ما داریم اطلاعات شما رو حذف میکنیم که قابل دسترسی نباشه، اون کسی که بخواد این اطلاعات رو بدست بیاره، میتونه. یعنی شاید مردمی که یه مقدار دانش فنی شون پایین تر باشه، با سرچ ساده نتونن اون اطلاعات رو بدست بیارن. ولی کسی که یه مقدار تجربه داشته باشه، از رفرنس ها وریسورهای دیگه روی وب هست میتونه براحتی این اطلاعات رو بیاد بدست بیاره. حتی سهیل عزیز هم روی این قضیه خیلی صحبت کردن، انقدر tools هایی هستش که الان اوپن سورس با جزئیات خیلی زیاد شما مجانی میتونید روی همه پلتفرم های مختلف نصب کنید. حتی همون نسخه ملتگو، کامیونیتی ورژنش رو فکرکنم سهیل جان یه بار توضیح داد. مثلا چه اطلاعاتی از چه دیتابیس هایی حتی مجانی یا نسخه هایی که بخوان با مقدار کمی پول پرداخت میکنین می بینید چه اطلاعاتی درمورد یه شخص میتونه از روی کل اینترنت بصورت گراف ویژوال به شما بده. که لازم نیست شما برید ساعت ها سرچ کنید. بخاطر همینه من میگم اینها بیشتر یک بیزینسه، شاید طرف بخواد شارژ هم بکنه که بگه بیایم برای شما این اطلاعات رو حذف کنیم. یا شاید داره خودش data collection انجام میده که شما اطلاعات رو بهش میدین که برو این فرم رو پر کن و این ها رو حذف کن. خود همین ممکنه این رو به عنوان pool ی ازش استفاده کنه برای بحث advertisement و ما واقعا نمیدونیم پشت این داستان واقعا چیه. ولی من با توجه به تجربه شخصی خودم میگم، اینها رو خیلی به ابزار موثری نمیدونم. حتی اگه از یکی یا دوتا پلتفرم شاید بتونن حذف کنن. شاید از این پلتفرم هایی که مردم راحت میرن سرچ میکنن شما بتونین فرمی رو پرکنین بگین از اونجا حذف کن. اون هم بخاطر بحث های قانونی که شخص بعدا ممکنه متوجهش بشه میره اون رو حذف میکنه. ولی باز هم اون اطلاعات ممکنه در ده ها وبسایت دیگه دردسترس باشه یا به advertiser های دیگه فروخته شده باشه. که بخوان از اونا استفاده کنن برای تارگت های advertisement . بنابراین من خودم به شخصه این رو خیلی موثر نمیدونم . حالا باز سهیل عزیز هم اگر نکته ای دارن خوشحال میشم بشنوم.
سهیل: خیلی ممنون، ببخشید من متوجه نشدم که سوال داشتیم. به نظر من یه جمله قشنگی مایکل هیلدن داره ، که این جمله به نظر من باید سرلوحه زندگیمون باشه. اگر شخصی یا نهادی بخواد به جایی نفوذ کنه و اون اطلاعات رو بدست بیاره، باید بپذیریم که اون رو میتونه بکنه. این رو درواقع دایرکتور سابق CIA و NSA داره میگه درمورد بحث نفوذ کردن یا بدست آوردن اطلاعات. و یه جمله دیگه ای هم هستش به نظرم میتونه جوابی باشه واسه این قضیه. توی دنیای دیجیتال تا زمانی که شما دیتاتون رو share نکردید صاحب دیتاتون هستید. وقتی که او دیتا share بشه، دیگه شما صاحب اون دیتا نیستید. و دیگه هم پاک کردنش تقریبا غیرممکن میشه. چون همونجور هم که بارها بهش اشاره کردیم، اینترنت سه بخش داره. Surface Web, Dark Web, Deep Web . شما نهایتا بتونین از Surface Web یا حالا ایندکس گوگل این رو پاک کنید. ممکنه Search Engine های دیگه تو ایندکسشون وجود داشته باشه. ممکنه تو دارک وب بره، ممکنه تو دیپ وب بره و این بحث رو هفته پیش هم درمورد Revenge porn هم دکتر سجادی بهش اشاره کردن. که وقتی که شخصی میاد عکس خودش رو میذاره برای پارتنر خودش و فکرمیکنه این بصورت پرایویت هست یا از one time توی اینستاگرام میان استفاده میکنن. و فکرمیکنن این اطلاعات یکبار قابل استفاده بوده و کسی نمیتونه دوبار استفاده کنه. ولی نمیشه باز میکنه و وقتی که شما این اطلاعات رو شما یکبار share میکنید بر اساس قانون احتمالا بگیم ممکنه اون شخص آگاه باشه و بتونه سواستفاده کنه و فیلم یا عکس شخصی شما رو ذخیره و بازنشر کنه. توی چندین شبکه اجتماعی بازشر میشه و میشه قضیه Revenge porn . حالا اگه اطلاعات محرمانه باشه وقتی دیتابیس یک سایت مثل یاهو یا فیسبوک یا تلگرام هک شدن و دیتابیسشون فروخته شد، اولین نفری که میخره این رو share کنه دیگه تمومه. اون دیتابیس اونقدر share میشه تو فرو های مختلف گذاشته میشه. که یه بخشی از اطلاعات ما دیگه رفته و بارها اشاره کردیم که اگر از شبکه های اجتماعی بخواین استفاده کنید از یکسری قواعد و قانون مدنظرمون قرار بدیم که از شماره شخصی یا شماره ای که پرایوت زندگیمون هستیم از اون استفاده نکنیم. شماره تلفن که لیک بشه از او طریق میفهمن که شما چه اکانت هایی داشتین. وقتی بفهمن با استفاده از ابزارهایی مثل منتگو که الان تقریبا میشه گفت تا 200 و خورده ای API رایگان دراختیار کسانی که دارن pen test میکنن یا هک میکنن قراردادن که میتونن تو عرض چند ساعت کلیه ی اطلاعات شما رو از سطح Surface, Dark , Deep بیان استخراج کنن. اون هم بصورت رایگان. آخرین نکته هم که بهش اشاره کردم، تا زمانیکه که اطلاعات ما شیر نکنید تو دنیال دیجیتال، صاحب اون اطلاعات هستید. این اطلاعات که میگم میتونه اسم و فامیلتون باشه. میتونه شماره تلفنتون باشه. عکس خانوادگی باشه یا هرکی که این رو شیر کنه دیگه شما صاحب اون اطلاعات نیستید.
مرسی دوستان، بله درست هستش اطلاعاتی که ما به اشتراک میذاریم دیگه صاحبشون نیستیم و جاهای دیگه به اشتراک گذاشته میشن، اما خیلی موقع ها درخواست از طرف ما نبوده. یعنی ….. سوابق زمین توی آمریکا تو خیلی از ایالت ها پابلیک هستش. یعنی شما ایالتی آدرسی بزنی، نشون میده خونه چقدر پرداخت شده، حتی امضاها هم نشون میده. نمیدونم کجای این بند بوده که میتونن اینهارو به اشتراک بذارن. آیا برای مقابله با جاهای دولتی هم راهی هست که بشه درخواست داد که این رکوردها رو بردارن؟
این فکرمیکنم کیسی هست که فکرمیکنم ایالت به ایالت و کشور به کشور فرق میکنه. چیزی که شما فرمودین من تو کانادا ندیدم. یعنی تو کانادا شما میتونید اطلاعات مثلا یه لند یا property رو برین آنلاین ببینین. ولی هیچوقت اون identity اون شخص که ownership اونجا هست یا این بحث امضا بخاطر اون قوانین پرایویسی سفت و سختی که تو کانادا هست اجازه نمیدن که انتشار پیدا کنه. حالا تو آمریکا و ایالتها که قوانین ممکنه تفاوت داشته باشه، قضیه متفاوته. ولی تو کانادا و اروپا به این شکل ندیدم. اون فکرمیکنم بیشتر از سمت دولت محلی یا وب سایت های ایالت ها دارن. برای این قضیه هم فکرمیکنم قاعدتا هم اگر بخواد بصورت حقوقی دنبال بشه بسته به قوانین اون ایالت هست. مخصوصا اگر سیستم دولتی باشه فکرنمیکنم کار راحتی باشه. این بیشتر بحث های حقوقی میشه و فنی نیست. باید وارد تقابلی با نهاد خصوصی یا دولتی بشیم که خیلی پیچیده میشه. از اون طرف بحث پراویسی خدشه دار میشه.
توی ایران هم سایت رسمیا داریم که روزنامه های رسمی که هئیت مدیره شرکت و شرکتها رو اطلاعاتش رو میذاره که برای OSINT کردن شرک ها یا پیدا کردن اینکه یه فرد صاحب چه شرکت هایی هستش میشه ازش استفاده کرد که به نظرم میتونه برای جلوگیری از فراد باشه و هم میتونه بفهمیم یه فرد چند شرکت رو صاحبش هست وسنایریو آماده کنیم برای فرستادن یک ایمیل فیشینگ. خیلی ممنون
ممنون ازتون بابت اطلاعات مفیدی که باهامون به اشتراک گذاشتید. جلسه مفیدی که درمورد مهندسی اجتماعی داشتیم. از شما دوستان و همراهان گرامی ممنونم. باز هم توضیحی بدم به دوستانی که تازه به جمع ما اضافه شدن، هرهفته شنبه شب ها اخبار امنیت سایبری رو تحت کلاب پنتر پوشش میدیم، اگه مایل بودین خود کلاب پنتر، سخنرانان، شبکه های اجتماعیشون رو فالو کنید تا از زمان تشکیل اتاق ها با خبر بشین. اگر هم که علاقه مند به شنیدن خود جلسات برگزار شده کلاب هستید از طریق replay کلاب، کانال یوتیوب، یا بلاگ ما به آدرس peneter.com به فایل صوتی جلسات دسترسی داشت باشید. یک تمهیداتی می اندیشیم که داخل یه سری چنل های پادکست هم بذاریم که کست باکس فکرمیکنم الان دم دست تر باشه. داخل کست باکس هم از هفته های آینده انشالله میتونید به این فایل صوتی جلسات دسترسی داشته باشین. امیدوارم که تو هفته های آینده هم باز درخدمتتون باشیم. لحظات خوب و خوشی رو براتون آرزومندم. شب و روزتون خوش