درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
مصطفی خادمی اسلام
امتیاز: 5735
رتبه:86
0
33
13
97
مصطفی خادمی اسلام، کارشناس فناوری اطلاعات و فعال در زمینه شبکه و سیستم های متن باز مدرس لینوکس و اسکریپت نویسی در bash پروفایل کاربر

ویدیوهای پیشنهادی

نصب و اجرای هانی پات پایتونی شامل سرویس های Telnet , ftp , VNC
نصب و اجرای هانی پات پایتونی شامل سرویس های Telnet , ftp , VNC
مدرس: Nima karimi
8,000 تومان
آموزش استفاده از یکی از بهترین ابزارهای رمزگذاری و رمزگشایی فرمت های مختلف
آموزش استفاده از یکی از بهترین ابزارهای رمزگذاری و رمزگشایی فرمت های مختلف
مدرس: Nima karimi
5,000 تومان
پنهان نمودن فایل متنی و صوتی در یک تصویر  با استفاده از ابزار S-Tool در مبحث Steganography
پنهان نمودن فایل متنی و صوتی در یک تصویر با استفاده از ابزار S-Tool در مبحث Steganography
مدرس: Nima karimi
5,000 تومان
شناسایی سیستم عامل با استفاده از ابزار Pof
شناسایی سیستم عامل با استفاده از ابزار Pof
مدرس: Nima karimi
5,000 تومان
شناسایی فایل ها با سطح دسترسی بالا (Full Permision) در لینوکس
شناسایی فایل ها با سطح دسترسی بالا (Full Permision) در لینوکس
مدرس: Nima karimi
5,000 تومان
شناسایی و جستجو Exploit ها با استفاده از ابزار Findsploit
شناسایی و جستجو Exploit ها با استفاده از ابزار Findsploit
مدرس: Nima karimi
6,000 تومان
آشنایی با ابزار تست نفوذ nc و sniff ترافیک مربوط به این ابزار با استفاده از Wireshark
آشنایی با ابزار تست نفوذ nc و sniff ترافیک مربوط به این ابزار با استفاده از Wireshark
مدرس: Nima karimi
7,000 تومان
آشنایی با ابزار فوق العاده D-Tect برای شناسایی آسیب پذیری های XSS , Sql injection , Wordpress و انجام Port scan
آشنایی با ابزار فوق العاده D-Tect برای شناسایی آسیب پذیری های XSS , Sql injection , Wordpress و انجام Port scan
مدرس: Nima karimi
8,000 تومان
آموزش شناسایی بدافزارهای اختصاصی وب و وب سرور با استفاده از ابزار OWASP Web Malware Scanner
آموزش شناسایی بدافزارهای اختصاصی وب و وب سرور با استفاده از ابزار OWASP Web Malware Scanner
مدرس: Nima karimi
35,000 تومان
آموزش ساخت یک KeyLogger نرم افزاری ساده و قدرتمند
آموزش ساخت یک KeyLogger نرم افزاری ساده و قدرتمند
مدرس: taghandiki
20,900 تومان

امنیت شبکه های اجتماعی (قسمت اول)

تاریخ 26 ماه قبل
نظرات 4
بازدیدها 1321
سلام دوستان
امروز میخوایم ببینیم یک هکر چجوری حساب ما توی شبکه های اجتماعی رو هک میکنه و ما چه کارهایی باید بکنیم که این اتفاق نیفته.
بحث ما شبکه های اجتماعی ای هست که شما توسط یک Browser به اونا وصل میشید نه چیزی مثل تلگرام یا واتس آپ، البته شاید در یکسری از انواع حملات یکی باشن ولی بعضی از حملات هم متفاوت هست.
قبلا درباره امنیت در شبکه های اجتماعی مانند تلگرام در یک مقاله پرداختیم و الان هم میخوایم درباره حساب هایی مثل فیسبوک یا لینکد این صحبت کنیم.
هر روز درباره هک میشنویم، یاهو هک میشه گوگل هک میشه حتی شرکت های امنیتی هک میشن. در بیشتر اوقات یک هکر این کار ها رو نمیکنه و یک گروه از هکر های بزرگ با روش های بسیار پیشرفته و گاهی کشف نشده این شرکت ها رو هک میکنن. اگر شما هم حسابتون تو این شرکت ها باشه خب نمیتونید کاری انجام بدید چون دیتابیس این شرکت هک شده.
حالا بیایم سر بحث اصلی خودمون که روش کنترل داریم. همه شرکت هایی که حساب کاربری برای ما درست میکنن نسبت به امنیتی که مدنظرشون هست به ما پیشنهاد های امنیتی ای میدن که اگر اونا رو رعایت نکنیم ممکنه به راحتی حتی یکی از دوستان خودمون هم ما رو هک بکنه.


حالا با چه روشی هایی ما هک میشیم؟

اولین مورد هک شدن با روشی به نام Phishing هست.
خب هکر در این روش چیکار میکنه؟
در این روش یک هکر یا با استفاده از برنامه هایی مثل Beef که در کالی هم هست میاد صفحه ورود سایت مورد نظر رو انتخاب و دانلود میکنه و اون رو روی سروری قرار میده یا اینکه خودش کد ها رو در میاره که این بستگی به کیفیت کار و علم هکرمون داره. حالا با یه مقدار کد زنی یا استفاده از همون برنامه ها کار های دیگه ای میکنه. در مرحله اول به برنامه میگه که به طور مثال وقتی فونیکس حساب کاربری و رمز رو زد به من ایمیل کن یا میگه به فلان سرور بفرست و در مرحله دوم برای اینکه شما رو گول بزنه که حتی روحتون هم خبردار نشه که هک شدید شما رو redirect میکنه به همون صفحه اصلی.
حالا چه اتفاقی میفته؟
یه ایمیل فیک میسازه به شما یک ایمیل میده به انگلیسی که فونیکس عزیز شما مشکل امنیتی داری بدو بیا رمزت رو عوض کن و یه لینک هم میده که لینک اون صفحه ساختگی هست. شما وارد میشی و میبینی بله سایت فیسبوک اومد بالا و میگه حالا یوزر و پست رو بزن و شما هم میزنی، حالا چی میشه؟ شما میری به صفحه اصلی فیسبوک با همون قابلیت redirect ای که هکرمون گذاشته بوده و پیش خودت فکر میکنی که خب صفحه یک بار reload شده و دوباره یوزر پس رو تو سایت اصلی میزنی و وارد میشی و اصلا متوجه نمیشی که شما یوزر و پست رو به راحتی دادی به هکرمون :)
خب حالا راهکار چیه؟
اولا که گول هیچگونه ایمیل و پیامی رو نخورید. اگر فیسبوک بخواد خبری به شما بده حتما تو اکانت خودتون ذکر میکنه نه با ایمیلتون و راه دوم هم یک نگاه ساده به url ای هست که دارید توش رمزتون رو میزنید. شکل غیر عادی ای از url رو دیدید شک کنید، تاکید میکنم هر شکلی رو چون راهکارهای عجیبی هست که واقعا url رو شبیه چیزی میکن که شما گول بخورید پس وقتی میخواید وارد فیسبوک بشید فقط url خود فیسبوک رو بزنید و اگر اسمی شبیه بود شک کنید.



حالا بریم سراغ راه دوم که پسورد های ذخیره شده تو مرورگر ماست
این یکی از خطرناک ترین راه ها هست. شاید هرکسی نتونه استفاده بکنه از این راه چون باید به دستگاه شما دسترسی داشته باشه ولی مشکل از جایی شروع میشه که حتی دوستان و آشنایان ما برای شوخی هم که شده میخوان این کار رو بکنن و حتی اگر دوست و آشنا نباشه کافیه یک مقدار با مهندسی اجتماعی بیاد جلو.
چند بار در روز دوستانتون یا اطرافیانتون توی محل کار یا دانشگاه میگن که فلانی یک لحظه لپ تاپت رو بده تا یچیزی بریزم رو فلشم یا اطلاعات فلش رو بریزم رو هاردم یا خیلی چیزای دیگه؟ خب شما یا نباید لپ تاپتون رو به کسی بدید که نمیشه :) یا اینکه اطلاعاتتون میره رو هوا.
چجوری؟
خب یکسری برنامه هست که یک مقدار تاریک هستن :) یعنی اینکه هرکسی نمیشناستشون و تو هر جایی گیر نمیاد و حتی تو کالی یا جاهای دیگه هم نیست ولی کاربری خیلی آسونی دارن، این یعنی چی؟ یعنی نیاز نیست نصب بشن و به صورت پورتابل میان بالا و دستورات خاصی ندارن و فقط علم استفادشون رو میخواد هکرمون و اینکه بتونه برنامه رو پیدا کنه.
خب فلش رو نصب میکنه به دستگاه ما و ما هم که از همه جا بیخبر به حرف زدنمون با یقیه ادامه میدیم، هکر عزیز cmd رو باز میکنه و برنامه رو اجرا میکنه ( چون فقط از cmd قابل اجرا هست ) و به محض اجرا برنامه میره داخل فایلی که رمز مرورگر اونجا ذخیره میشه و تمام رمز ها رو میکشه بیرون. شاید باورش سخت باشه که بگم خیلی وقت ها این برنامه روی لپ تاپ ادمین سایت ها باز شده و حساب کاربری سایتشون در اومده یا حساب ورود مدیران و استاد ها در دانشگاه ها یا جاهای دیگه و خیلی خطرناک تر ( به قول مهران مدیری دیدم که میگم:) ) حساب شبکه اجتماعی شما هم تو همینجا ذخیره میشه و به راهتی هک میشید و روحتون هم خبر نداره و حتی اگر شکایتی هم صورت بگیره هیچ کاری نمیشه کرد چون پلیس در نهایت در رجیستری دستگاه شما میرسه به این برنامه ولی اینکه کی این برنامه رو اجرا کرده رو هیچکس نمیفهمه چون شما در روز به خیلیا لپ تاپ میدید.

حالا چیکار کنیم که این اتفاق نیفته؟
یک مقدار به خودمون سختی میدیم و هر حساب کاربری ای که باهاش وارد میشیم رو نمیدیم مرورگر ذخیره کنه و لحظه ای که میپرسه ذخیره کنم شما میگی زحمت نکش خودم هروقت خواستم بیام تو حسابم یوزر و پس رو میزنم :)



خب تو قسکت سوم میریم سراغ هک حساب ایمیل شما
نصف این بحث میشه همون هک شدن خود سایت که کاری از دستمون بر نمیاد (مثلا خود گوگل هک بشه) و نصف دیگش دست ماس. میتونیم با گذاشتن پسورد سخت از ورود اجباری هکر جلوگیری بکنیم و دو مورد بالا رو هم رعایت بکنیم که ایمیلتنون هک نشه




قسمت بعدی درباره یکی از روش های مهندسی اجتماعی هست با نام Masked Passwords
خب تو این از راه های ساده داریم تا راه های پیچیده ( توجه داشته باشید برای هک نیازی نیست حتما خدای کامپیوتر و کالی باشیم همونطور که بزرگ ترین هکر تاریخ و ابداع کننده کلمه مهندسی اجتماعی آقای kevin mitnick رو همه با مهندسی اجتماعی میشناسن) شما تو این قسمت نیاز به کامپیوتر ندارید و خودتونید و وسایل دیگه به هر شکلی که رمز رو ببینید. ساده ترین شکل دیدن پسورد با چشم هست که مثلا شما رمز رو میزنید و دوستتون میبینه حالا یکم پیچیده تر زمانی هست که هکر شما رو به جایی میبره که دوربین های مخفی داره که همه جا میفروشن مثل دوربین در خودکار یا دوربین های جیبی یا حتی مثلا تو شرکتی که دوربین مدار بسته داره یا تو راهی که شاید خنده دار باشه ولی خیلیا استفاده میکنن استفاده از فسفر هست :) مثل فیلم ها
مثلا هکر ما به شما ماژیکی میده یا کتاب یا هرچیزی که روش فسفر زده شما اون رو لمس میکنید و بعد با دستگاه وارد حساب میشید، حالا کافیه دستگاه برای خود هکر باشه و بعد از این کار سر شما رو به کار دیگه ای مشغول کنه، حالا کافیه با چراغی که فسفر رو میتونه ببینه کلید ها رو بررسی کنه و ببینه مثلا شما روی دکمه های f r i m n a e کلیک کردید و حالا با ترکیب های مختلف امتحان میکنه تا به رمز شما که fireman بوده میرسه (شاید کمی پلیسی به نظر بیاد ولی حواستون باشه بعضی وقت ها هک حساب های کاربری خیلی ارزش داره برای یک هکر بسته به شخص مورد نظر).


خب امیدوارم این قسمت مفید بوده باشه
چند مورد دیگه هم هست که فردا بررسی میکنیم و نمیخوام یک مقاله اونقدر طولانی بشه که خوندنش حوصله آدم رو سر ببره
شاد و پیروز باشید
Phone-X
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
  • این برنامه ها که فرمودید برای پسورد رو از مرورگر میکشه بیرون چی هست؟
  • متاسفانه آموزش هک ممنوعه تو سایت
  • البته اگر هم آزاد بود فرستادنش کار درستی نبود چون ممکنه سو استفاده بشه و در آخر برای آدم دردسر ساز میشه
  • اگر خودتون بگردید و پیدا کنید بهتره به نظرم

برای ارسال نظر ابتدا به سایت وارد شوید