هک از طریق مهندسی اجتماعی

شروع موضوع توسط mhmmdshirazi ‏2017/4/13 در انجمن شبکه و اینترنت

  1. mhmmdshirazi

    mhmmdshirazi کاربر فوق حرفه ای

    ارسال‌ها:
    835
    امتیازات:
    +2,256 / -110
    نام مرکز سمپاد:
    شهید HELL ! kINGDOM
    شهر:
    tehran
    سال فارغ التحصیلی:
    90
    دانشگاه:
    دانشگاه امیر کبیر
    رشته دانشگاه:
    مهندسی مکاترونیک
    تلگرام:
    اینستاگرام:
    سلام
    مهندسی اجتماعی یا social engineering یک روش هکه که از دیرباز بوده و هست. تو این روش فرد هکر توسط خود شما شما رو هک میکنه یعنی به یک شکلی شما رو راضی میکنه که اطلاعاتی رو که میخواد بهش بدید!! یه مثالش رو چون همین الان دیدم تصمیم گرفتم اینجا چنین تاپیکی زده شه.

    برای من یک ایمیل اومد با این متن

    Dear Sir,
    I hope this email finds you well. This is Behrooz Anvari, business
    manager from Marestan Co. Ltd.
    We look to cooperate with your company if your price and conditions
    are favourable.
    Kindly please check the attached inquiry No.36-1792 and provide me
    with draft proforma invoice.
    Thank you in advance.
    Best Regards,
    Behrooz Anvari.

    یک متن تجاری کاملا حرفه ای

    خب آدم تحریک میشه که اتچمنت رو باز کنه و ببینه حرف حساب طرف چیه!!

    پ.ن. اگه با هکر حرفه ای تری طرف باشید و سیستم عاملتون ویندوز باشه با باز کردن اتچمنت باختید!! پس باز نکنید!!

    اتچمنت یک فایل html با اسم Inquiry No.36-1792.html بود.

    خب دیگه باید تو بد ترین شرایط هم اینجا ادامه دادن رو بیخیال شید چون اتچمنت های رسمی همه بلا استثنا پی دی اف اند!!

    من باز چون کرم داشتم و میخواستم نشون بدم به شما نحوه ی هک این دوست ناشیمون رو باز کردم اتچمنتش رو
    پ.ن. اینکه اینهمه جرات به خرج دادم فقط به این خاطره که روی مک این کارارو کردم لطفا تو ویندوز ازین شوالیه بازی ها در نیارید!!

    بعد از باز کردن با این پیام روبرو شدم

    [​IMG]


    خب دیگه الان کاملا بدیهیه که دوستمون قصد هک داره :D
    گرچه میتونست خیلی منطقی تر بگه ولی خب اینجا ۱۰۰٪ خودشو لو داد
    با کلیک روی اکی این صفحه باز میشه:

    [​IMG]

    که دقیقا شکل ساین این ه گوگله با این فرق که آدرس یه آدرس چرتیه و HTTPS هم نیست!!
    من واسه اینکه ارادتم رو به هکر نشون بدم تو یوزرنیم و پسورد فهش نوشتم و ساین این کردم و با کمال ناباوری گوگلم ساین این شد!! :D چون از اول هم ساین این بود و این صفحه فقط دزد اطلاعات بود!!

    دیگه خلاصه مراقب باشید این روش هک خیلی رایج شده!!
     
    • لایک لایک x 17
  2. mhmmdshirazi

    mhmmdshirazi کاربر فوق حرفه ای

    ارسال‌ها:
    835
    امتیازات:
    +2,256 / -110
    نام مرکز سمپاد:
    شهید HELL ! kINGDOM
    شهر:
    tehran
    سال فارغ التحصیلی:
    90
    دانشگاه:
    دانشگاه امیر کبیر
    رشته دانشگاه:
    مهندسی مکاترونیک
    تلگرام:
    اینستاگرام:
    در ادامه این رو هم بگم که بهروز انوری یک شخصیت واقعیه و همینطور شرکت مارستان یک شرکت کاملا معتبر صنایع پزشکیه که ۳۰ و خورده ای ساله داره کار میکنه!!
    http://www.marestan.com
    و اینکه یه ایرادی که داره امضای ایمیل ه افرادی که تحت عنوان یک مجموعه بزرگ میل میزنن حتما در امضاشون آدرس شماره تلفون و آدرس سایت شرکت رو میذارن
     
    • لایک لایک x 9
  3. AliR3za

    AliR3za کاربر فوق فعال

    ارسال‌ها:
    141
    امتیازات:
    +256 / -27
    نام مرکز سمپاد:
    ...
    شهر:
    ...
    سال فارغ التحصیلی:
    1391
    رشته دانشگاه:
    مهندسی نرم افزار
    سلام
    گفتین تو ویندوز باز نکنم یعنی چی مگه فایل html نیست و یه صفحه فیک نیست خوب تو مک یا لینوکس یا ویندوز چه فرقی میکنه ؟
     
    آخرین ویرایش: ‏2017/4/13
    • لایک لایک x 1
  4. dr.namingstuff

    dr.namingstuff کاربر فوق حرفه ای

    ارسال‌ها:
    815
    امتیازات:
    +3,022 / -183
    نام مرکز سمپاد:
    دبیرستان علامه حلی 1 تهران
    شهر:
    تهران
    سال فارغ التحصیلی:
    98
    به نظر من این اصلا هک نیستش
    سو استفاده از نادانی دیگرانه
     
  5. AliR3za

    AliR3za کاربر فوق فعال

    ارسال‌ها:
    141
    امتیازات:
    +256 / -27
    نام مرکز سمپاد:
    ...
    شهر:
    ...
    سال فارغ التحصیلی:
    1391
    رشته دانشگاه:
    مهندسی نرم افزار
    ای گفتی نادان یاد اون نادانی افتادم که وقتی دبیرستانی بودیم مسئول وبلاگ مدرسه بود اون موقع هنوز داشتن وبسایت زیاد مرسوم نبود وبلاگش بلاگفا بود . یه ایمیل زدم گفتم به سرورهامون حمله شده برای حفظ امنیت پسوردت هرچه سریع تر پسوردتو به پسورد زیر تغییر بده با تشکر مدیریت بلاگفا . اصلا فکرهم نمیکردم جواب بده ولی جواب داد دوروز بعد با همون پسوردی که خودم بهش دادم وارد شدم.
    ولی خوب تجربه ها میگن که خیلی از مردم واقعا تو این زمینه ها نادان اند به خاطر همین تو یه سازمان برای امنیت باید حتما علاوه بر امنیت سیستم ها رو عوامل انسانی هم کار شه خیلی مواقع بوده طرف سیستم هاش از بهترین فایزوال ها و ای دی اس ها و خیلی سیستم های دیگه ایمن شده ولی میبینی یه کارمند احمق داره که اونم یه دوست قطعا صمیمی داره و اون دوست صمیمی هم یه هکر و بقیه اش ...
     
    • لایک لایک x 5
  6. mohammadreza128

    mohammadreza128 کاربر خاک انجمن خورده

    ارسال‌ها:
    1,831
    امتیازات:
    +11,697 / -750
    نام مرکز سمپاد:
    شهید حقانی
    شهر:
    بندرعــباس
    سال فارغ التحصیلی:
    1392

    کلا هر عملی ک باعث نفوذ ب اطلاعات دیگران بشه هک نامیده میشه حالا میخاد اون عمل سوء استفاده از نادانی دیگران باشه ب قول شما یا میتونه کرک کردن و عملیات پیچیده برنامه نویسی یک مهندس کامپیوتر...
     
    • لایک لایک x 5
  7. mhmmdshirazi

    mhmmdshirazi کاربر فوق حرفه ای

    ارسال‌ها:
    835
    امتیازات:
    +2,256 / -110
    نام مرکز سمپاد:
    شهید HELL ! kINGDOM
    شهر:
    tehran
    سال فارغ التحصیلی:
    90
    دانشگاه:
    دانشگاه امیر کبیر
    رشته دانشگاه:
    مهندسی مکاترونیک
    تلگرام:
    اینستاگرام:
    سلام
    ببین ویندوز پر از شکاف های امنیتیه ریز و درشته!! مثلا به سادگی میتونه جای یه صفحه فیک اینترنتی یک اسکریپت کی لاگر باشه!! یا ۱۰۰۰۰ مدل اسکریپتی که ما تو بچگی زمان یاهو مسنجر استفاده میکردیم مثلا واسه هک کردن وبکم و و و ...

    متاسفانه هنوز که هنوزه ویندوز نبسته همه این باگ ها رو
     
    • لایک لایک x 2
  8. AliR3za

    AliR3za کاربر فوق فعال

    ارسال‌ها:
    141
    امتیازات:
    +256 / -27
    نام مرکز سمپاد:
    ...
    شهر:
    ...
    سال فارغ التحصیلی:
    1391
    رشته دانشگاه:
    مهندسی نرم افزار
    همه سیستم عامل ها و یا بهتر بگم همه برنامه ها دارای شکاف های امنیتی ریز و درشت هستند مک و لینوکس هم هیچ دست کمی از ویندوز ندارن برای اطلاع از امار تعداد اسیب پذیری های امنیتی کافیه یه نیگاه به امارهای منتشر شده تو این چندسال اخییر بندازی .
    اصطلاح اسکریپت های کیلاگر رو به کار بردی . برای نوشتن یه کیلاگر شما باید از یه ویژگی به اسم hook یا قلاب استفاده کنی و این میشه برنامه نویسی سیستمی. تو زبان اسکریپتی مثه جاوااسکریپت شما هیچ دسترسی به فایل سیستم طرف نداری و قطعا هم نمیتونی مثه سی یا سی پلاس پلاس کد سیستمی بنویسی .
    و در اخر هم که خیلی برام جالبه که شرکت مایکروسافت به اون بزرگی هنوز نتونسته باگ هایی رو پیدا و پچ کنه که شما از اون باخبری و مایکروسافت بی خبر !!!!!!!!
     
    • لایک لایک x 1
  9. mhmmdshirazi

    mhmmdshirazi کاربر فوق حرفه ای

    ارسال‌ها:
    835
    امتیازات:
    +2,256 / -110
    نام مرکز سمپاد:
    شهید HELL ! kINGDOM
    شهر:
    tehran
    سال فارغ التحصیلی:
    90
    دانشگاه:
    دانشگاه امیر کبیر
    رشته دانشگاه:
    مهندسی مکاترونیک
    تلگرام:
    اینستاگرام:
    ببین من زیاد ازین حرفا شنیدم... قطعا هک و شبکه حوزه تخصصی کارم نیست... ولی متاسفانه تو زمینه تخصصی خودمم افرادی پیدا میشن که اینجوری با قطعیت حرف میزنن راجع به چیزی که نمیدونن... من جوابی ندارم برات فقط کافیه یه سرچ ساده بزنی....
     
    • لایک لایک x 1
  10. dr.namingstuff

    dr.namingstuff کاربر فوق حرفه ای

    ارسال‌ها:
    815
    امتیازات:
    +3,022 / -183
    نام مرکز سمپاد:
    دبیرستان علامه حلی 1 تهران
    شهر:
    تهران
    سال فارغ التحصیلی:
    98
    یه ابهام وجود داره اونم اینه که بعد از اسکریپتی ی نکره وجود داره یانه.
    توی زبان اسکریپتی ای مثل جاوا اسکریپت یا توی زبان اسکریپتی مثل جاوا اسکریپت.
    اولی شامل پایتون می تونه نشه ولی دومی میشه.
     
  11. dr.namingstuff

    dr.namingstuff کاربر فوق حرفه ای

    ارسال‌ها:
    815
    امتیازات:
    +3,022 / -183
    نام مرکز سمپاد:
    دبیرستان علامه حلی 1 تهران
    شهر:
    تهران
    سال فارغ التحصیلی:
    98
    ابهام دومی هم که وجود داره اینه که منظورتون از جاوا اسکریپت نود جی اس که نیست قطعا.
     
  12. AliR3za

    AliR3za کاربر فوق فعال

    ارسال‌ها:
    141
    امتیازات:
    +256 / -27
    نام مرکز سمپاد:
    ...
    شهر:
    ...
    سال فارغ التحصیلی:
    1391
    رشته دانشگاه:
    مهندسی نرم افزار
    دقیقا من چی نمیدونم و دقیقا مشکل حرفایی که زدم چیه ؟ اصلا من حرف نزدم که بخوام با قطعیت هم بگمش من فقط مشکالات فنی صحبت های شما رو گفتم من که چیز عجیبی تو حرفام نگفتم که تو میگی با قطعیت داری حرف میزنی مشکل منم اتفاقا همین قطعیت شما تو گفتن ویندوز شکاف های ریزو درشت داره انگار بقیه ندارن هیچ تعصبی رو ویندوز یا هر سیستم عامل دیگه ای ندارم هم لینوکس کار کردم هم ویندوز تا دلتم بخواد راجع به هردوتاشون میدونم
     
  13. dr.namingstuff

    dr.namingstuff کاربر فوق حرفه ای

    ارسال‌ها:
    815
    امتیازات:
    +3,022 / -183
    نام مرکز سمپاد:
    دبیرستان علامه حلی 1 تهران
    شهر:
    تهران
    سال فارغ التحصیلی:
    98
    من که چیزی نگفتم :D
     
    • لایک لایک x 1
  14. mhmmdshirazi

    mhmmdshirazi کاربر فوق حرفه ای

    ارسال‌ها:
    835
    امتیازات:
    +2,256 / -110
    نام مرکز سمپاد:
    شهید HELL ! kINGDOM
    شهر:
    tehran
    سال فارغ التحصیلی:
    90
    دانشگاه:
    دانشگاه امیر کبیر
    رشته دانشگاه:
    مهندسی مکاترونیک
    تلگرام:
    اینستاگرام:
    در نهایت هم توصیه میکنم این صفحه یه نگاهی به کی لاگر هایی خیلی معروف بندازی و ببینی با چ زبون های زده شده

    http://ashiyane.org/forums/forumdisplay.php?286-Keyloggers
     
    • لایک لایک x 1
  15. mhmmdshirazi

    mhmmdshirazi کاربر فوق حرفه ای

    ارسال‌ها:
    835
    امتیازات:
    +2,256 / -110
    نام مرکز سمپاد:
    شهید HELL ! kINGDOM
    شهر:
    tehran
    سال فارغ التحصیلی:
    90
    دانشگاه:
    دانشگاه امیر کبیر
    رشته دانشگاه:
    مهندسی مکاترونیک
    تلگرام:
    اینستاگرام:
    مسله خیلی ساده است! کاملا بر میگرده به سطح دسترسی ای که سیستم عامل ها میدن به برنامه ها و نظارتی که روش دارن!!
    ویندوز واسه جلوگیری از مشکلات این چنینی یه چیزی داره به اسم user acount control که خیلی راحت قبل از نصب هر نرم افزاری اجازه میگیره از یوزر!! نرم افزار های کرک شده تو کشور عزیزمون ایران تو آموزش نصبشون اولین اقدام رو آف کردن این قابلیت ویندوز میدونن...
    تو مک چنین امکانی وجود نداره نرم افزار جدیدی اگر بخواد ران شه به هر طریقی از یوزر اجازه میگیره!!
    این ساده ترین دلیل واسه نفوذ پذیر تر بودن ویندوز (نه به خفنی سیستم عامل ربط داره نه به مایکروسافت پر سابقه صرفا به نحوه استفاده کاربر ربط داره)
    حالا ویندوز سکیور ترین سیستم عامل دنیا وقتی یه کاربر بدون اینکه ببینه چ خبره اجازه ران شدن یه برنامه رو از قبل داده......
     
    • لایک لایک x 1
  16. dr.namingstuff

    dr.namingstuff کاربر فوق حرفه ای

    ارسال‌ها:
    815
    امتیازات:
    +3,022 / -183
    نام مرکز سمپاد:
    دبیرستان علامه حلی 1 تهران
    شهر:
    تهران
    سال فارغ التحصیلی:
    98
  17. AliR3za

    AliR3za کاربر فوق فعال

    ارسال‌ها:
    141
    امتیازات:
    +256 / -27
    نام مرکز سمپاد:
    ...
    شهر:
    ...
    سال فارغ التحصیلی:
    1391
    رشته دانشگاه:
    مهندسی نرم افزار
    نخواستم جواب بدم ولی چندتا نکته هست که خیلی ها این روزا باید بدونن
    1 امنیت یه مفهوم ریاضی دقیقی نیست که بخوایی امنیت سیستم های پیچیده که حاصل چند دهه تکامل میشه رو با یه مثال یا یه قضیه به قول شما ساده زیر سوال ببری وبعد نتیجه بگیری که این سیستم از همه ناامن تره . من تو هیچ پستی نگفتم که ویندوز امن ترین سیستم عامل هست اصلا اعتقادی به امن ترین سیستم عامل ندارم. اصولا پیچیدگی با امنیت رابطه عکس داره هر سیستمی که پیچیده تر شه پس راه های بیشتری هم میتونه برای نفوذ داشته باشه
    2 همه سیستم عامل ها موردحمله قرار میگیرن از جمله لینوکس و مک و قطعا ویندوز که بیشترین استفاده رو میون کاربران انتهایی داره این ربطی به متن باز بودن و یا نبودن سیستم ها نداره بگیم چون فلان سیستم متن بازه پس حتما امن تره همین چندوقت پیش یه اسیب پذیری تو کرنل لینوکس پیدا کردن اسمش هست dirty cow که از سال 2007 تو کرنل لینوکس بوده و همه توزیع عای مطرح از جمله اندروید رو هم تحت تاثیر قرار داد این اسیب پذیری سال 2016 عمومی شده و قبل از اون خدا میدونه کی ها و برای چه اهدافی ازش استفاده میکردن یعنی 9 سال مخفی مونده تو ویندوز هم قضیه همینجوریه اسیب پذیریها پیدا میشن مورداستفاده قرار میگیرن و بعد که پابلیک شدن دیگه ...
    3 این بحثی که شما به uac اشاره کردی اسیب پذیری نیست همینطورهم که خودت گفتی به کاربر مربوط میشه
    4 من دلیل برتری دارن سیستم عامل ها نسبت به همو اصلا متوجه نمشم این که بیاییم از کدهای لینوکس و مک بت بسازیم و بعد اونو بپرستیم اصلا برام قابل قبول نیست . دوست عزیز نرم افزار صرفا و صرفا یه ابزاره بت نیست که بخوابیم بپرستیم ما در اختیار نرم افزار نیستیم اون نرم افزار که در اختیار ماست و خیلی حرفای دیگه که باید زده شه تا این فرهنگ تعصب اسطوره سازی بین ما ایرانیا از بین بره ....
     
    • لایک لایک x 1