چرا مهندسی اجتماعی؟

مهندسی اجتماعی، هنر دستکاری روانشناختی انسان‌ها برای دستیابی به اطلاعات یا اجرای اعمالی است که به نفع مهاجم تمام می‌شود. در بسیاری از موارد، این روش مؤثرترین و کم‌هزینه‌ترین راه برای دسترسی اولیه به یک سازمان است، زیرا اغلب از حفره‌های امنیتی فنی سیستم‌ها عبور کرده و مستقیماً بر روی عامل انسانی تمرکز می‌کند. درک اصول و تکنیک‌های مهندسی اجتماعی برای هر متخصص امنیتی، چه در نقش مدافع و چه در نقش مهاجم اخلاقی (Ethical Hacker)، حیاتی است.

آنچه در این دوره خواهید آموخت

این دوره جامع، شما را با ابعاد مختلف دسترسی اولیه از طریق مهندسی اجتماعی آشنا می‌کند. سرفصل‌های کلیدی شامل موارد زیر هستند:

• مبانی روانشناسی در مهندسی اجتماعی: درک اصول کلیدی مانند اضطرار، کنجکاوی، ترس، کمک‌خواهی و سوءاستفاده از اعتماد برای فریب دادن کاربران.
• تکنیک‌های جمع‌آوری اطلاعات (Reconnaissance): یادگیری روش‌های جمع‌آوری اطلاعات هدفمند از منابع عمومی (OSINT) و شبکه‌های اجتماعی برای ایجاد پروفایل دقیق از قربانیان.
• ایجاد و اجرای حملات فیشینگ (Phishing): طراحی ایمیل‌های فیشینگ متقاعدکننده، ساخت صفحات جعلی ورود، و استفاده از تکنیک‌های پیشرفته برای دور زدن فیلترهای امنیتی.
• حملات مهندسی اجتماعی از طریق تلفن (Vishing) و پیامک (Smishing): یادگیری نحوه اجرای حملات صوتی و متنی برای فریب کاربران و دریافت اطلاعات حساس.
• حملات مبتنی بر رسانه فیزیکی: بررسی روش‌هایی مانند استفاده از فلش مموری‌های آلوده (USB Dropping)، ساخت دستگاه‌های مخرب قابل حمل و سایر روش‌های دسترسی فیزیکی.
• تکنیک‌های پیشرفته و سناریوهای عملی: شبیه‌سازی حملات پیچیده‌تر با ترکیب چندین تکنیک، مانند ایجاد کمپین‌های هدفمند بر اساس اطلاعات جمع‌آوری شده.
• ابزارها و پلتفرم‌های مورد استفاده: معرفی و کار با ابزارهای تخصصی برای خودکارسازی و اجرای مؤثرتر حملات مهندسی اجتماعی.
• ملاحظات قانونی و اخلاقی: تأکید بر اهمیت رعایت قوانین و چارچوب‌های اخلاقی در هنگام اجرای تست‌های نفوذ و مهندسی اجتماعی.

مزایای شرکت در این دوره

شرکت در این دوره به شما مزایای قابل توجهی می‌بخشد:

• افزایش چشمگیر مهارت‌های عملی: این دوره بر روی سناریوهای واقعی تمرکز دارد و شما را قادر می‌سازد تا دانش خود را به طور مستقیم در محیط‌های شبیه‌سازی شده به کار گیرید.
• درک عمیق‌تر از تهدیدات: با یادگیری چگونگی اجرای حملات، دیدگاه شما نسبت به نقاط ضعف امنیتی تغییر کرده و می‌توانید به طور مؤثرتری از سازمان خود در برابر این حملات محافظت کنید.
• آمادگی برای گواهینامه‌های تخصصی: محتوای دوره با استانداردهای بسیاری از گواهینامه‌های معتبر امنیت سایبری همخوانی دارد و می‌تواند به آمادگی شما برای کسب آن‌ها کمک کند.
• دسترسی فیزیکی و پایدار: محتوای دوره بر روی فلش مموری 32 گیگابایتی ارائه می‌شود که دسترسی آسان، امکان مطالعه آفلاین و نگهداری طولانی مدت آن را تضمین می‌کند. این بدان معناست که شما همیشه به منابع آموزشی خود دسترسی خواهید داشت، بدون نیاز به اتصال اینترنت یا نگرانی از حذف شدن دوره‌ها از پلتفرم‌های آنلاین.
• محتوای به‌روز و پیشرفته: با توجه به تاریخ ارائه (2024-7)، مطالب دوره بازتاب‌دهنده آخرین روندها و تکنیک‌های مورد استفاده در حوزه مهندسی اجتماعی است.

پیش‌نیازها

برای بهره‌مندی کامل از این دوره، داشتن دانش پایه در زمینه‌های زیر توصیه می‌شود:

• آشنایی با مفاهیم اولیه شبکه‌های کامپیوتری (TCP/IP، DNS).
• آشنایی با سیستم‌عامل‌ها، به خصوص ویندوز و لینوکس.
• درک ابتدایی از مفاهیم امنیت سایبری و تست نفوذ.
• آشنایی با اصول اولیه کامپیوتر و کار با نرم‌افزارها.

با این حال، دوره به گونه‌ای طراحی شده است که حتی اگر پیش‌نیازها را به طور کامل نداشته باشید، با کمی مطالعه و تلاش مضاعف می‌توانید مفاهیم را فرا بگیرید.

ساختار و سرفصل‌های تفصیلی دوره

این دوره به چندین بخش اصلی تقسیم شده است که هر بخش به صورت تخصصی به جنبه‌ای از مهندسی اجتماعی می‌پردازد:

بخش 1: مقدمه‌ای بر دسترسی اولیه و مهندسی اجتماعی

• تعریف دسترسی اولیه و اهمیت آن در چرخه حیات حمله (Attack Lifecycle).
• مروری بر تاریخچه و تکامل مهندسی اجتماعی.
• روانشناسی انسان به عنوان هدف اصلی: مقاومت در برابر تکنیک‌های فنی در مقابل نقاط ضعف انسانی.
• اخلاق در تست نفوذ و مهندسی اجتماعی: مرزهای قانونی و مسئولیت‌ها.

بخش 2: جمع‌آوری اطلاعات (OSINT)

• شناسایی منابع اطلاعاتی عمومی: وب‌سایت‌ها، شبکه‌های اجتماعی، فروم‌ها.
• استفاده از موتورهای جستجوی پیشرفته و ابزارهای OSINT.
• تحلیل شبکه‌های اجتماعی: ساخت پروفایل هدف، شناسایی روابط و علایق.
• تکنیک‌های جمع‌آوری اطلاعات در مورد زیرساخت‌های فنی و کارکنان.

بخش 3: حملات فیشینگ ومهندسی اجتماعی از طریق ایمیل

• شناخت انواع حملات فیشینگ: Spear Phishing, Whaling, Clone Phishing.
• ساخت ایمیل‌های فیشینگ مؤثر: انتخاب قالب، زبان و محتوا.
• تکنیک‌های ایجاد صفحات جعلی (Fake Login Pages) با استفاده از ابزارهای تخصصی.
• دور زدن فیلترهای امنیتی ایمیل و آنتی‌ویروس‌ها.
• مدیریت کمپین‌های فیشینگ و تحلیل نتایج.

بخش 4: حملات صوتی و متنی (Vishing & Smishing)

• اصول ایجاد یک سناریوی Vishing متقاعدکننده.
• تکنیک‌های استفاده از شماره‌های جعلی (Spoofing) و تماس‌های از پیش ضبط شده.
• طراحی پیامک‌های Smishing هدفمند و مخرب.
• مدیریت مکالمات حساس و حفظ نقش.

بخش 5: دسترسی فیزیکی و USB Dropping

• استراتژی‌های اجرای USB Dropping: انتخاب محل، نوع فلش و محتوا.
• ایجاد فلش مموری‌های آلوده با استفاده از ابزارهای خاص.
• تکنیک‌های مخفی‌سازی بدافزار بر روی فلش.
• راهکارهای جلوگیری از آلودگی از طریق USB.

بخش 6: تکنیک‌های پیشرفته و ترکیب حملات

• استفاده از BadUSB و حملات مرتبط.
• تکنیک‌های pretexting (ایجاد یک سناریو یا بهانه) پیچیده‌تر.
• مدیریت حملات چند مرحله‌ای (Multi-stage Attacks).
• مصرف‌گرایی (Baiting) و Quid Pro Quo (چیزی در ازای چیزی).

بخش 7: ابزارها و پیاده‌سازی عملی

• معرفی جامع ابزارهایی مانند SET (Social-Engineer Toolkit)، Gophish، و ابزارهای OSINT.
• پیاده‌سازی سناریوهای واقعی با استفاده از این ابزارها در محیط آزمایشگاهی.
• تحلیل لاگ‌ها و نتایج حملات برای ارزیابی اثربخشی.

بخش 8: دفاع در برابر مهندسی اجتماعی

• آموزش کارکنان و افزایش آگاهی امنیتی.
• پیاده‌سازی سیاست‌های امنیتی مؤثر.
• استفاده از ابزارهای تشخیص و جلوگیری از حملات مهندسی اجتماعی.
• ایجاد یک فرهنگ امنیتی قوی در سازمان.

مناسب برای چه کسانی است؟

این دوره برای گروه‌های زیر بسیار ارزشمند است:

• متخصصان امنیت سایبری و کارشناسان تست نفوذ: برای تسلط بر یکی از مهم‌ترین روش‌های نفوذ.
• مدیران و کارشناسان IT: برای درک تهدیدات و تقویت دفاع سازمانی.
• پژوهشگران امنیتی: برای دستیابی به دانش عمیق‌تر در زمینه تکنیک‌های حمله.
• افراد علاقه‌مند به حوزه هک اخلاقی: برای یادگیری روش‌های مدرن دستیابی به دسترسی اولیه.
• کارشناسان HR و تیم‌های امنیتی داخلی: برای طراحی برنامه‌های آگاهی‌بخشی مؤثر به کارکنان.