الهندسة الاجتماعية: أشهر أدوات اختراق العقول!

مقدمة سريعة - إيه هي الهندسة الاجتماعية؟ ​

الهندسة الاجتماعية أو اختراق العقول هي طريقة بتخلي حد يفضّل يشارك معاك معلومات أو يثق فيك من غير ما تحاول تكسر جهازه. الهجوم هنا على العقل مش على الجهاز. الموضوع خطير جداً لو حد عايز يسرق حساباتك أو بياناتك، ولازم نفهم الأدوات والطُرق علشان نحمي نفسنا.

ليه الهندسة الاجتماعية خطيرة؟ ​

• لأنها بتلعب على عاطفة الناس وثقتهم.
• الأدوات بتسهل العملية وبتخليها سريعة.
• الضحية ممكن ما تعرفش إنها اتخدعت لحد ما يحصل الضرر.
• ممكن تفتح باب لاختراق كامل للحسابات أو الشبكات.

إزاي بيشتغل المهاجم؟ (خطوات بسيطة) ​

1. يحدد هدف واضح (زميل، عميل، أو شخص مشهور).
2. يجمع معلومات عن الهدف (اسم، ميلاد، إيميل، حسابات).
3. يكسب ثقته بمحادثة أو صفحة مزوّرة.
4. يستخدم معلومة بسيطة كـ answer لاستعادة كلمة السر.
5. يدخل ويستولي على الحسابات أو يسرق بيانات مهمة.

Social Engineer Toolkit (SET) ​

أداة سطر أوامر قوية جداً، بتخليك تعمل صفحات Phishing مزورة لمواقع مشهورة، تولد أكواد QR، وتبعت SMS مزيفة وأنواع تانية من الهجمات الاجتماعية. متاحة على لينكس وموجودة في توزيعات زي كالي.

Maltego (تجميع وربط المعلومات) ​

لو عايز تجمع معلومات وتربطها ببعض علشان ترسم صورة كاملة عن الهدف، Maltego ممتاز. تقدر تدخل أي بيانات: إيميلات، حسابات، IPs، وتطلع خرائط مترابطة تساعدك تفهم شبكة العلاقات.

Metasploit / MSF (تحضير payloads) ​

Metasploit إطار كبير وفيه MSF اللي بتسمح تعمل برامج أو تطبيقات بسيطة تبعتها للهدف علشان تكشف ثغرات أو تخدع المستخدم و تاخد بياناته. الوصول بيكون عادة عن طريق سطر الأوامر.

WifiPhisher (صيد شبكات الواي فاي) ​

الأداة دي بتخليك تنسخ شبكة واي فاي وتبث نسخة مقلدة. لما حد يتصل هيطلع له صفحة تطلب الباسورد، ولو دخله هيوصلك. لازم تبقى شاطر شوية في الهندسة الاجتماعية علشان الضحية يصدّق الصفحة.

BlackEye (Phishing سهل وبسيط) ​

أداة مفتوحة المصدر بتديك واجهة سهلة تختار منها الموقع اللي عايز تنسخه. بعد شوية خطوات هتطلعلك رابط أو IP تبعته للهدف، ولما يدخل ويكتب بياناته هتيجي عندك.

Buster (تجميع أماكن تسجيل الإيميل) ​

الأداة دي بتدور على المواقع والحسابات المرتبطة بإيميل معين. مفيدة جداً لو عايز تعرف المنصات اللي الضحية مسجل بيها بنفس الإيميل، وكمان تطلع معطيات DNS أو مواقع مسجلة.

Catphish (دومينات شبيهة تقلل الشك) ​

لو رابط الـ IP واضح ومريب، Catphish بيدور على دومينات قريبة من اسم الموقع الأصلي علشان الرابط يبقى شكله أقرب للحقيقي، وبكده تقل الشكوك ويزيد احتمال دخول الضحية.

CredSniper (Phishing مع SSL و2FA) ​

ميزة قوية: يدعم SSL وبيحاكي صفحات بتطلب 2FA، يعني ممكن يلتقط أكواد التحقق لو الضحية دخلها - ومن هنا خطورته بتزيد.
وده الرابط بتاعها على GitHub

Email2Phonenumber (الإيميل لرقم) ​

أداة بايثون بتحاول تطلع رقم التليفون من الإيميل عن طريق البحث في منصات تانية أو تقنيات برمجية. مفيدة لو ناوي تستخدم SMS كجزء من الهجوم.

Evilginx (MITM وسرقة الكوكيز) ​

الأداة دي بتشتغل كوسيط في الشبكة (Man-In-The-Middle) وتقدر تجيب الـ Cookies اللي بتخلي المتصفح يفضل متصل بالحساب من غير كلمة سر. بتتعامل مع حركة البيانات في الشبكة وتسرق معلومات مهمة.

نصايح أمان مهمة ضد الهندسة الاجتماعية ​

• ما تدخلش بياناتك في أي لينك جاي من مصدر مش معروف.
• اتأكد من الـ URL والـ SSL قبل ما تدخل أي كلمة سر.
• فعل المصادقة الثنائية 2FA وما تعيدش استخدام نفس الباسورد.
• ما تشاركش معلومات شخصية على السوشيال بسهولة (تاريخ الميلاد، أرقام، أسماء الأقارب).
• خليك حذر من الرسائل اللي بتحاول تضغط على عواطفك (خوف، طمع، استعجال).

خاتمة - افهم علشان تحمي ​

الهندسة الاجتماعية مش مجرد أدوات، هي مزيج من علم نفس وتقنيات. لما تفهم الطرق والأدوات تقدر تحط دفاعات أفضل وتحمي نفسك وحساباتك. استخدام الأدوات دي في أفعال غير قانونية خطر وممكن يجرّاك لمشاكل - افهمها علشان تحمي مش علشان تضر.