📝 مهندسی اجتماعی بخش هفتم_ حمله به مدیران و افراد کلیدی ؛🔰Whaling –فیشینگ مدیران ارشد ؛🔸Whaling حمله‌ای هدفمند به مدیران ارشد یا افراد با دسترسی‌های حیاتی است. 🔻هدف: 🔹دریافت مجوزها یا اطلاعات سازمانی حیاتی. 🔻به عنوان نمونه: 🔹«مدیرعامل ایمیلی جعلی از "بانک" دریافت می‌کند و برای تأیید فوری پرداخت، باید وارد حساب خود شود…» 🔻ترفند مهندس اجتماعی: 🔹ساخت پیام متناسب با موقعیت شغلی فرد قربانی. 🚨نکته امنیتی: 🔹مدیران باید آموزش امنیتی ویژه ببینند. 🔹تأیید چندمرحله‌ای برای تراکنش‌ها الزامی شود. 🔹حساس‌ترین حساب‌ها را با لایه‌های امنیتی بیشتر محافظت کنید. 📌 _بیایید کمی بیشتر حواسمان را جمع کنیم_ 🇮🇷 متسا | مرجع ترویج سواد امنیتی #مهندسی_اجتماعی @matsa_ir

اپیزود هفتم رادیوچه؛ ماجرای جاسوسی یک معاون وزیر در این اپیزود سراغ یکی از حساس‌ترین و بحث‌برانگیزترین پرونده‌های امنیتی می‌رویم؛ ماجرای معاون وزیری که سال‌ها در قلب ساختار اداری حضور داشت اما پشت پرده، درگیر شبکه‌ای پیچیده از ارتباطات محرمانه بود. این اپیزود روایت شکل‌گیری این پرونده، نحوه کشف ماجرا و پیامدهایی است که بر فضای سیاسی و امنیتی کشور گذاشت. 🔴 [ویدئوکست در یوتیوب ](https://youtu.be/UFuhn0GGllY) 🇮🇷 متسا | مرجع ترویج سواد امنیتی @matsa_ir

🔴 چطور یک تماس «پشتیبانی گوگل»، حساب یک طراح متا را خالی کرد؟ ماجرای واقعی — و چند اشتباه سیستمی که نباید تکرار شوند 📌 روایت کوتاه: «دیوید»، طراح تجربه کاربری (UX Designer)، تماسی از فردی به نام «نورمن» دریافت کرد که خود را نماینده پشتیبانی گوگل معرفی می‌کرد. نورمن مدعی شد شخصی در حال تصاحب حساب دیوید است و حتی مدارکی مانند گواهی فوت و کارت شناسایی برای اثبات ارسال کرده است. دیوید برای اطمینان بیشتر درخواست مدرک کرد؛ دقایقی بعد ایمیلی از نشانی legal@google.com دریافت کرد — همه‌چیز، از طراحی گرفته تا شماره پرونده، کاملاً واقعی به نظر می‌رسید. نورمن از او خواست کدی را که روی صفحه‌اش ظاهر می‌شود بخواند تا «اثبات زنده بودن» انجام شود. دیوید این کار را کرد... و ۴۰ دقیقه بعد، حساب Coinbase او خالی شد. ❗ *اما چرا تقصیر گوگل است*؟ سه نقص سیستمی کلیدی در این حادثه نقش داشتند: 1️⃣ *جعل در فیلد* From: ایمیل از نشانی جعلی ارسال شده بود، اما فیلترهای امنیتی گوگل آن را شناسایی نکردند و پیام مستقیماً وارد Inbox شد. 2️⃣ *پنهان بودن هدر ایمیل در iOS*: اپ Gmail روی iOS جزئیات هدر ایمیل را نمایش نمی‌دهد؛ بنابراین دیوید نتوانست منبع واقعی پیام را ببیند و جعلی بودن آن را تشخیص دهد. 3️⃣ *همگام‌سازی ابری Authenticator*: ویژگی جدید Google Authenticator باعث شد کدهای 2FA که قبلاً فقط روی دستگاه ذخیره می‌شدند، در فضای ابری قابل‌دسترسی باشند — و همین، پس از مهندسی اجتماعی موفق، راه را برای دسترسی کامل مهاجم باز کرد. 🛡️ درس‌هایی فوری برای همه کاربران هرگز کد تأیید دومرحله‌ای را در تماس یا چت برای کسی نخوانید. همیشه آدرس کامل فرستنده و هدر ایمیل را بررسی کنید (در صورت امکان از نسخه وب یا دسکتاپ استفاده کنید). همگام‌سازی ابری Authenticator را فقط در صورت ضرورت فعال کنید؛ برای حساب‌های حساس از کلیدهای سخت‌افزاری یا MFA خارج از باند استفاده کنید. ایمیل‌ها یا تماس‌های به ظاهر رسمی را فقط از طریق کانال‌های رسمی پشتیبانی تأیید کنید (مثلاً با ورود مستقیم به وب‌سایت و ثبت تیکت). 🇮🇷 متسا | مرجع ترویج سواد امنیتی #امنیت_سایبری #فیشینگ #مهندسی_اجتماعی @matsa_ir

♦️جاسوسی صنعتی، جنگی پنهان در دنیای شرکت ها (قسمت دوم) 🔹در روزگاری که صنعت و تکنولوژی با سرعت خیره کننده ای در حال پیشرفت و نوآوری هستند، جاسوسی و خرابکاری صنعتی به یکی از دشمنان عمده شرکت ها و سازمان ها تبدیل شده. این امر لزوم آگاه سازی و آموزش شگردهای این نوع از جاسوسی را دوچندان می سازد. #جاسوسی_صنعتی #خرابکاری_صنعتی @matsa_ir

این‌ها بچه‌های خودمانند... دخترهای خودمانند.... ‌ 🇮🇷 متسا | مرجع ترویج سواد امنیتی ‌ #هویت_ملی ‌ @matsa_ir

🔻 پست همسر شهید دکترعلیمحمدی ‌ 🇮🇷 متسا | مرجع ترویج سواد امنیتی ‌ @matsa_ir

🔻 امنیت در عصر هوش مصنوعی 🛜 به مناسبت ۹ آذر روز جهانی امنیت سایبری 🇮🇷 متسا | مرجع ترویج سواد امنیتی #امنیت_سایبری @matsa_ir

✅ همه حرفاتون رو به همه نزنید.. ‌ 🇮🇷 متسا | مرجع ترویج سواد امنیتی ‌ #حفاظت_گفتار #چشم_زخم ‌ ‌ @matsa_ir

🇮🇷 متسا | مرجع ترویج سواد امنیتی ‌ #حدیث_روز ‌ @matsa_ir

🔴 سرمایه‌گذاری زیر ذره‌بین امنیت؛ نگاهی به قانون NSIA بریتانیا ‌ ❓آیا می‌دانستید بریتانیا قانونی دارد که نه فقط سرمایه‌گذاری، بلکه خرید زیرساخت‌ها و فناوری حساس را زیر ذره‌بین امنیت ملی می‌برد؟ 🔹قانون National Security and Investment Act 2021 (NSIA) از ۴ ژانویه ۲۰۲۲ اجرا شده و نشان می‌دهد بریتانیا معتقد است در عصر جدید، نبردها دیگر فقط با جنگ افزار نیست؛ با مالکیت، فناوری و تاثیرگذاری اقتصادی است. ‌ ‌ 🔸هدف NSIA، محافظت از منافع امنیتی بریتانیا در برابر تراکنش‌هایی است که ممکن است کنترل فناوری حساس، زیرساخت یا داده را در دست بازیگران خارجی بگذارد. 🔹این قانون به دولت بریتانیا این قدرت را می‌دهد که تراکنش‌هایی را که «تغییر کنترل» در شرکت‌ها یا دارایی‌های حساس ایجاد می‌کند بررسی کند، حتی اگر سرمایه‌گذار خارجی نباشد. ‌ سازوکار آن دست‌کم این‌گونه است: 🔺 فهرستی از ۱۷ بخش حساس (فناوری پیشرفته، انرژی، ارتباطات، امنیت، زیست‌فناوری و …) تعریف شده است. ‌ 🔻 اگر معامله‌ای در این بخش‌ها رخ دهد، باید یا اعلام شود یا ممکن است دولت دخالت کند و وارد فرآیند بررسی شود. ‌ 🔺 تخلف از این قانون می‌تواند مجازات‌های شدیدی در پی داشته باشد: حبس تا ۵ سال یا جریمه‌ای برابر با ۱۰ میلیون پوند یا ۵٪ گردش مالی جهانی. ‌ ❗جالب اینجاست که NSIA می‌گوید: «ما مشتاق سرمایه‌گذاری هستیم، اما نه آنی که امنیت ملی را تهدید کند.» ‌ ⬅️بنابراین، این قانون، تنظیم‌گری قدرت نرم اقتصادی است: ابزاری برای محافظت از فناوری، مالکیت و داده‌های حساس. یعنی: مالکیت خارجی دیگر صرفاً اقتصادی نیست، بلکه امنیتی است. ‌ 💡نتیجه روشن است: 🔹 برای بریتانیا، سرمایه‌گذاری خارجی ممنوع نیست؛ اما نظارت‌شده است. 🔹 هر معامله‌ای که ممکن است جایگاه امنیت یا فناوری مهمی را دچار ریسک کند، می‌تواند متوقف یا مشروط شود. ‌ ‌ 🇮🇷 متسا | مرجع ترویج سواد امنیتی ‌ #NSIA #نفوذ #قدرت_نرم #امنیت‌ملی #سرمایه‌گذاری_خارجی