Phishing tool
Phishing tool
في هذة المقالة سيتم شرح مثال لأداة توضح مدى سهولة وفعالية أدوات التصيد الإحتيالي اليوم.
*تم نشر هذه المقالة للأغراض التعليمية فقط لنشر الوعي بين الناس من الوقوع في هجوم التصيد والهندسة الإجتماعية.
التصيد والهندسة الاجتماعية ( Phishing and Social engineering )
التصيد او (Phishing)
أحد أكبر المشكلات التي تواجه معظم المؤسسات اليوم, بحيث يعمل التصيّد على استدراج الضحية للكشف عن بيانات حساباته، مثل
البريد الإلكتروني للمؤسسات وحتى شبكات مواقع التواصل الإجتماعي أيضاً. في بعض
الأحيان، يصعب حتى على المستخدمين الحذرين كشف هذا النوع من الهجوم .
الهندسة الاجتماعية تعتبر الطريقة الأسرع والأقوى لكسب معلومات قيمة عن الأشخاص بحيث يقوم المُهاجم بإستخدام المعلومات القليلة التي يملكها ليكسب ثقة ضحيته. وهناك عدة أدوات تقوم بهذا العمل سيتم شرح واحدة منهم لإنشاء رابط مزيف وطريقة وصول بيانات الضحية للمهاجم من خلاله.
التطبيق العملي
هناك عدة أدوات تقدم نماذج لصفحات مواقع مزيفة تم إنشاؤها مسبقاً ، بحيث يستخدمها المهاجم في إنشاء رابط يشابه صفحة المواقع الأصلية كما هو موضح في الصورة.
سنرى الآن كيف يتم عمل الرابط بكل بساطة, سيتم إختيار Gmail بغرض التوضيح.
الصفحة
التي تم إنشائها
الآن بعد أن أصبح لدى المهاجم الرابط المزيف, أول شيء يحتاجه هو رسالة بريد إلكتروني يرسلها إلى المستخدم لإعلامه بمحاولة مشبوهة لتسجيل الدخول إلى حسابه وأنه يجب عليه تأمين حسابه عن طريق إعادة تعيين كلمة المرور الخاصة به.أو أي حيلة اخرى المهم هنا هو أنه سيتعين على المستخدم أولاً تسجيل الدخول إلى حسابه لإعادة تعيين كلمة المرور الخاصة به.
هناك نماذج وحيل يستخدمها المهاجمين لإقناع الضحية من تسجيل الدخول لحساباتهم ومنها:
الآن بالنسبة للجزء المهم ، سيتم نقل البيانات التي أدخلها الضحية إلى المهاجم. بحيث يمكنه رؤية اسم الحساب وكلمة المرور بشكل مباشر.
كما هو موضح في الصورة هذة كلمة المرور التي ادخلها الضحية ظهرت في شاشة المهاجم
هنا مثال آخر لموقع Paypal
توضح لنا هذه الأداة مدى سهولة تنفيذ هجمات التصيد الاحتيالي و إعطاء فكرة عن مدى خطورة الهندسة الإجتماعية و التصيد ، وفقًا لتقرير مركز الأمن الإلكتروني عن رصده عدداً كبيراً من رسائل البريد الإلكتروني التصيدي تجاوزت الـ26 مليون ايميل .
Comments
Post a Comment