🟠 اعتماد بی‌جا؛ وقتی کارمند پشتیبانی فکر کرد دارد به همکارش کمک می‌کند 🔹در سال ۲۰۲۰، چند مهاجم تصمیم گرفتند به ابزارهای داخلی توییتر دسترسی پیدا کنند؛ اما برای رسیدن به هدف، سراغ هک فنی نرفتند. آن‌ها سراغ کارکنان رفتند. 🔸مهاجمان با بعضی از کارمندان توییتر تماس گرفتند، خودشان را همکار داخلی معرفی کردند و گفتند از بخش فناوری شرکت هستند و برای حل یک مشکل کاری کمک می‌خواهند. برای اینکه حرفشان باورپذیر شود، از اصطلاحات و اطلاعاتی استفاده کردند که در فضای واقعی توییتر رایج بود. 🔹بعد، کارمندان را به صفحه‌ای هدایت کردند که شبیه صفحه ورود داخلی توییتر بود. کارمند تصور می‌کرد وارد سامانه شرکت شده، اما در واقع اطلاعات ورودش را در صفحه‌ای وارد می‌کرد که مهاجمان ساخته بودند. همان چند ثانیه کافی بود. 🔸مهاجمان با اطلاعات به‌دست‌آمده وارد ابزارهای داخلی توییتر شدند؛ ابزارهایی که به کارمندان اجازه می‌دادند بعضی حساب‌ها را مدیریت کنند. نتیجه این شد که از حساب چند چهره مشهور و شرکت بزرگ، مثل باراک اوباما، ایلان ماسک، اپل و دیگران، برای انتشار پیام کلاهبرداری استفاده شد. ❗️نقطه اصلی حادثه این بود که کارمند، یک درخواست قلابی را واقعی تصور کرد. نکات امنیتی مهم ▪️هر تماس یا پیام داخلی که شما را به صفحه ورود می‌فرستد، باید از مسیر مستقل بررسی شود. ▪️مهاجم ممکن است اطلاعات واقعی بدهد، اما اطلاعات واقعی همیشه نشانه هویت واقعی نیست. ▪️صفحه ورود سازمانی را از روی لینک پیام‌ها باز نکنید؛ آدرس را از مسیر رسمی وارد کنید. ▪️ابزارهای داخلی حساس باید طوری طراحی شوند که با فریب یک حساب کاربری، کل سیستم آسیب نبیند. 🇮🇷 متسا | مرجع ترویج سواد امنیتی #مهندسی_اجتماعی #اعتماد_بی‌جا #هک @matsa_ir

📽ببینید: 🔷در مکالمات تلفنی آیا از هویت تماس گیرنده آگاهی داریم؟ 🇮🇷 متسا | مرجع ترویج سواد امنیتی #تخلیه_تلفنی #افشای_اطلاعات @matsa_ir

🔸تحریف پنهان جریان اطلاعات؛ تهدیدی فراتر از افشای اطلاعات. «بخش سوم: چگونه سازمان‌ها از این نوع نفوذ پیشگیری می‌کنند؟» «کنترل پنهان جریان اطلاعات» یک الگوی نفوذ بسیار بی‌صدا و خطرناک است که به‌جای سرقت داده‌ها، بر تحریف مسیر تصمیم‌گیری تمرکز دارد. 1️⃣ ایجاد مسیرهای گزارش‌دهی چندگانه. اطلاعات مهم نباید فقط از یک فرد یا یک کانال عبور کند. وجود چند مسیر گزارش‌دهی باعث می‌شود احتمال فیلتر یا تحریف اطلاعات کاهش پیدا کند. 2️⃣ دسترسی مدیران به داده‌های خام. مدیران باید در صورت نیاز بتوانند به داده‌های اولیه و واقعی دسترسی داشته باشند. این کار کمک می‌کند صحت گزارش‌های خلاصه‌شده بررسی شود. 3️⃣ جلسات مستقیم بین واحدها بدون واسطه‌های ثابت برگزاری گفت‌وگوهای مستقیم بین تیم‌ها باعث کاهش سوءتفاهم و حذف فیلترهای غیرضروری می‌شود. ارتباط مستقیم تصویر دقیق‌تری از مسائل ایجاد می‌کند. 4️⃣ مقایسه بین داده‌ها، گزارش‌ها و نتایج عملیاتی. اطلاعات ارائه‌شده باید با نتایج واقعی و عملکرد میدانی تطبیق داده شود. این مقایسه کمک می‌کند اختلاف‌ها و خطاهای احتمالی سریع‌تر شناسایی شوند. 5️⃣ فرهنگ شفافیت: ترس از گزارش‌دهی نباید وجود داشته باشد. کارکنان باید احساس امنیت کنند تا بتوانند مشکلات و واقعیت‌ها را بدون نگرانی گزارش دهند. فضای شفاف مانع پنهان شدن اطلاعات مهم می‌شود. 6️⃣ صحت‌سنجی چندمنبعی اطلاعات یک موضوع مهم بهتر است از چند منبع مستقل بررسی شود. مقایسه سه منبع مختلف کمک می‌کند خطا یا سوگیری احتمالی مشخص شود. 7️⃣ نظارت رفتاری بر نقش‌هایی که همیشه وسط جریان اطلاعات هستند. برخی نقش‌ها به‌طور طبیعی در مرکز تبادل اطلاعات قرار دارند. نظارت بر عملکرد این نقش‌ها کمک می‌کند تمرکز بیش از حد قدرت اطلاعاتی ایجاد نشود. 🇮🇷 متسا | مرجع ترویج سواد امنیتی ‌ #تحریف_اطلاعات @matsa_ir

⭕️ عملکرد بمبهای کنسروی که توسط آمریکا در روستاهای شیراز بر سر مردم ریخته شدند 🇮🇷 متسا | مرجع ترویج سواد امنیتی #بمب_کنسروی #جنگ_رمضان @matsa_ir

💠 آرزوی سردار ایرانی من هرگز نمی‌خواهم که زیر بیرق بیگانه باشم. آرزوی من تنها این است که استقلال ایران، حفظ و پرچم اقتدار این مملکت در اهتزاز بماند. 🇮🇷 متسا | مرجع ترویج سواد امنیتی #ستارخان #از_ایران_بگو @matsa_ir

🔸 اجاره کارت بانکی (پول‌شویی) آیا می‌دانستید واگذاری کارت بانکی، اطلاعات حساب یا دسترسی به همراه‌بانک به اشخاص دیگر در برابر دریافت مبلغ ماهیانه، می‌تواند شما را در معرض اتهامات کیفری و مسئولیت‌های حقوقی قرار دهد؟ در این روش، حساب بانکی شما به‌عنوان مسیر انتقال وجوه مشکوک مورد استفاده قرار می‌گیرد و در صورت بروز تخلف، رد تراکنش‌ها و مسئولیت اولیه متوجه صاحب حساب خواهد بود. ⚠️ هشدار: شیوه سوءاستفاده چگونه است؟ 🔻طرح پیشنهاد درآمد ثابت و کم‌ریسک: افراد سودجو با عناوینی مانند «کار اینترنتی»، «همکاری با شرکت»، «فعالیت صرافی»، «درگاه پرداخت» یا «رفع محدودیت سقف تراکنش» پیشنهاد اجاره کارت/حساب می‌دهند. 🔻دریافت اطلاعات و دسترسی‌های حساس: در بسیاری از موارد صرفاً شماره کارت کافی نیست و از شما کارت فیزیکی، رمز اول/دوم، رمز پویا، CVV2، تاریخ انقضا یا حتی دسترسی به پیامک‌های بانکی و همراه‌بانک را مطالبه می‌کنند. 🔻استفاده از حساب برای عبور دادن وجوه غیرقانونی: وجوه حاصل از فعالیت‌های مجرمانه مانند قمار، کلاهبرداری، قاچاق، خرید و فروش غیرقانونی کالا/ارز یا موارد مشابه، از حساب شما عبور داده می‌شود تا منشأ پول پنهان گردد. 🔻خرد کردن تراکنش‌ها برای دشوار کردن ردیابی: مبالغ معمولاً به‌صورت پرتعداد و خرد (تراکنش‌های ریز و پشت‌سرهم) جابه‌جا می‌شوند، اما ثبت و سابقه بانکی در نهایت به نام شما باقی می‌ماند. 🚩 نشانه‌های هشداردهنده 🔻درخواست کارت بانکی، رمزها، سیم‌کارت، نصب نرم‌افزار ناشناس یا دسترسی به تلفن همراه شما 🔻تأکید بر محرمانه‌بودن موضوع و منع صحبت با دیگران 🔻ارائه توجیه‌های غیرشفاف مانند «فقط چند تراکنش ساده است»، «مسئولیتی ندارد»، «همه انجام می‌دهند» 🔻مشاهده تراکنش‌های غیرعادی: واریز و برداشت‌های پرتعداد، مبالغ نامتعارف، یا توضیحات تراکنش غیرشفاف ✅ راهکار امنیتی (پیشگیری و اقدام صحیح) 🔻عدم واگذاری اطلاعات بانکی: کارت، رمزها و دسترسی همراه‌بانک کاملاً شخصی و غیرقابل واگذاری است. 🔻رد قاطع اجاره کارت/حساب: درآمد ماهیانه ارزش ریسک مسدودی حساب و تبعات قضایی/اعتباری را ندارد. 🔻پایش امنیت حساب: پیامک بانکی را فعال نگه دارید و تراکنش‌ها را مرتب کنترل کنید. 🔻اقدام فوری در صورت واگذاری/شک: کارت را مسدود، رمزها را تغییر و دسترسی‌ها را بازنشانی کرده و از مسیر بانکی/قانونی پیگیری کنید. 🔻انتخاب مسیر قانونی همکاری: فعالیت شفاف با قرارداد معتبر و حساب رسمی انجام می‌شود، نه اجاره کارت دیگران 🇮🇷 متسا | مرجع ترویج سواد امنیتی #پول‌شویی @matsa_ir

🔸بهتر است بدانید!!! (افزونه‌های مرورگر؛ ابزار رایگان یا چشم نامرئی؟) امروزه بسیاری از کاربران برای راحتی بیشتر، از افزونه‌های مرورگر مانند دانلودرها، مترجم‌ها یا مسدودکننده‌های تبلیغات استفاده می‌کنند. نصب این ابزارها بسیار ساده است، اما پشت این سادگی، موضوعی مهم نهفته است. بیشتر افزونه‌ها برای عملکرد خود، درخواست دسترسی‌های گسترده‌ای مانند «خواندن و تغییر اطلاعات در همه وب‌سایت‌ها» دارند. این بدان معناست که آن‌ها می‌توانند فعالیت‌های اینترنتی شما، صفحات بازدیدشده و حتی اطلاعات واردشده در فرم‌ها را مشاهده کنند. از آنجا که برخی افزونه‌های رایگان مدل درآمدی شفافی ندارند، ممکن است داده‌های کاربران را جمع‌آوری و استفاده تجاری کنند یا در به‌روزرسانی‌های بعدی سطح دسترسی خود را افزایش دهند. بنابراین، بهتر است بدانید که افزونه‌های مرورگر ابزارهایی ساده و بی‌خطر نیستند. برخی از آن‌ها می‌توانند همانند نرم‌افزارهای مستقل، به گستره وسیعی از داده‌های شخصی و حساس کاربر دسترسی داشته باشند. پیش از نصب هر افزونه، لازم است بررسی شود که آیا میزان دسترسی درخواستی آن متناسب با کارکردش است، و آیا شما حاضر هستید چنین سطحی از اعتماد را به یک ناشناس در فضای اینترنت واگذار کنید؟ 🇮🇷 متسا | مرجع ترویج سواد امنیتی @matsa_ir

🔻 توماس جفرسون: وطن، آشیانه‌ی امنی است که همگان در حفظ دیواره‌هایش شریک‌اند. 🇮🇷 متسا | مرجع ترویج سواد امنیتی #به_نام_آزادی #توماس_جفرسون @matsa_ir

🇮🇷 متسا | مرجع ترویج سواد امنیتی #سخن_روز @matsa_ir