tgoop.com/ProjectSigma_CSFZ/178
Last Update:
الهندسة الإجتماعية : فن إختراق العقل !
لا تحتاج الى تعلم التكويد او البرمجة او لغة البايثون لتحترف او على الأقل لتفهم و تمارس الهندسة الإجتماعية، فالهندسة الإجتماعية تلعب على شطرين رئيسين : معرفة كم جيد من المعلومات حول الضحية التي تنوي إختراقها، ثم معرفة كيفية التلاعب بها و تنظيمها بطريقة غير مثيرة للريبة. الهندسة الإجتماعية ببساطة هي جعل أي شخص يقوم بأي شيئ تريده او يقوم بتوفير أي نوع من المعلومات التي تريدها دون الحاجة بإستخدام فقط بعض التقنيات التكنولوجية مثل الحاسوب او الإنترنت ثم تنظيم أفكارك و قراءة ردة فعل الضحية و التعامل معها بطريقة إحترافية الى حين كسب ثقته الكاملة و توفير كل المعلومات التي تحتاجه من معلومات او بيانات مثل معلومات الولوج لحسابات شخصية او غيرها من البيانات.تستخدم الهندسة الإجتماعية بشكل كبير رقميا، إذ يجلس خلف الشاشة شخص معين قد جهز نفسه جيدا من أجلك، و لا يمكننا ان نقول ان استخدامها ضعيف في العالم الحي، بل شائع كذلك، إذ يستطيع ممارس الهندسة الإجتماعية أخذ اي نوع من البيانات بطيب خاطر للضحية.
الأدوات المستخدمة في الهندسة الإجتماعية :
سأذكر هنا ان الأداة الأساسية في عملية الهندسة الإجتماعية بعد القدرات العقلية على التلاعب بالطبع هي أداة Maltego، وفرنا شرحا وافيا لأداة Maltego في أكثر من مناسبة، منها مقالنا حول أفضل ادوات إختراق للويندوز، او أقوى ادوات نظام Kali Linux، تسمح لك أداة Maltego بتجميع كل أنواع المعلومات و البيانات حول ضحية معينة، ثم تقوم بالربط بين كل هذه المعلومات من أجل إستخراج بيانات محددة، فمن خلال تجميع العديد من المعلومات حول الضحية، و إن اردت ممارسة الهندسة الإجتماعية توجب عليك فعل ذلك بالتأكيد، ثم تنظيم هذه المعلومات حسب نظام معين، حتى ان الأداة قد توفر لك بعض الإقتراحات مثلا لكلمات سر من خلال تلك المعلومات قد يستخدمها الضحية في احد حساباته، او إستخراج معطيات أخرى إنطلاقا من المعطيات الموجودة. من Maltego سننتقل مباشرة لأداة SE Toolkit الموجودة كذلك في العديد من أنظمة الإختراق المعروفة، تسمح لك أداة SE Toolkit بصناعة العديد من الصفحات و الأرقام و غيرها من الأدوات الوهمية، فمثلا تستطيع من خلالها صناعة صفحة فيسبوك تتضمن صورة مثلا و عليها تعليقات وهمية من إستخراج رابط لها، يمكنك إرسالها للضحية للإطلاع عليها، اي شيئ سيدخله في تلك الصفحة مثل تعليق او ربما كلمة سر و غيرها ستتوصل بها، نعم يستخدم البعض هذه الطريقة لإختراق حسابات فسيبوك، يبقى الفرق هنا في قدراتك في إقناعه للولوج للصفحة و كتابة كلمة السر حقا. يمكن إستخدام أدوات حية او فيزيائية كذلك في عمليات الهندسة الإجتماعية، مثل إستخدام كاميرات المراقبة من أجل تسجيل مقطع معين و تأويله حسب ما تريده أنت، اي ان تخبره ان هذا المقطع تم في الفلان الفلاني و هكذا كوسيلة لإقناع الضحية، أو إستخدام بعض برمجيات الهاتف مثل Caller ID Spoofing مثل الذي استخدمته المخترقة السابقة من أجل إجراء إتصال برقم هاتف الضحية مثلا او اي رقم هاتف آخر .
إختراق شركة كاملة بنقرة زر واحدة ... و بعض الهندسة الإجتماعية كذلك !
" دايفيد " هو مختص في مجال الإختراق، ليس إختراق الحواسيب فقط، بل إختراق العقول أيضا، تريد شركة X إستخدام " دايفيد " من أجل الولوج و الحصول على بعض البيانات الخاصة بالعملاء في الشركة لأغراض محددة. يُمسك دايفيد حاسوبك ثم يستخدم برمجية معينة من أجل الحصول على رقم هاتف احد العملاء في الشركة ثم يقوم بإستخدام Caller ID Spoofing هو الآخر من أجل الإتصال برقم يشبه احد العاملين في الشركة، فيتصل بمكتب التقنية او الـ IT و يُخبرهم ان حاسوبه لا يستطيع الولوج إلى المواقع الضرورية بالنسبة له فأن استطاع المساعد تقديم الإفادة من أجله، يدرف " دايفيد " بعض العبارات في إتصاله مثل " اسف، اعتذر اعلم انني اخرق في مجال الكمبيوتر فرجاءََ ان استطعت مساعدتي "، يخبره المساعد ان يمده برابط الموقع الذي يريد الولوج إليه، يوفره له دايفيد ثم يلج إليه المساعد، ينقر بعدها على زر وسط الموقع، زر او رابط قد برمجه " دايفيد " مسبقا من أجل التحكم الكامل في حاسوب كل من ينقر عليه، و بذلك فقد إستطاع " دايفيد " الحصول على صلاحيات الولوج لحاسوب المساعد، الذي بدوره يملك صلاحيات الولوج لخوادم الشركة و كل متعلقاتها. إختراق للعقل + تهكير للحواسيب = إختراقات كبرى !
BY Project Sigma - Cyber Security From Zero
Share with your friend now:
tgoop.com/ProjectSigma_CSFZ/178