سيناريو يوميات هاكرز: اختراق بنكي بالفيشنج!!!

سيناريو من يوميات الهاكرز - اقرأ وتعلَّم ​

دي قصة حقيقية من مشروع Red Team عملناه كـ محاكاة لاختبار أمان بنك: الهدف كان نعرف هل فعلاً ممكن حد يخترقهم وإيه اللي ممكن يوصلوله لو حصل الاختراق. هاقولك بالحكاية خطوة بخطوة وبسلاسة علشان تستفيد من طريقة تفكير الهاكرز وازاي تقدر تحمي بيها نفسك أو شركتك.

إزاي بدأنا التجهيز؟ ​

أول حاجة عملناها إننا جمعنا معلومات عن البنك والموظفين - LinkedIn وحاجات عامة تانية. الهدف مش اختراع فكرة، الهدف إنك تفهم مين الناس اللي بتتعامل معاهم، مين مسؤول عن إيه، وازاي بيتصرفوا يوميًا.

بعد كده قسمنا الناس لمجموعات حسب الدور الوظيفي والسلوك - مش كل الموظفين نفس السيناريو هينفع معاهم. التجزئة دي مهمة علشان تبني سيناريوهات فيشينج متوافقة مع كل مجموعة.

الفكرة اللي نفعت: استغلال الاهتمامات المحلية ​

بما إن البنك في هولندا، ركّزنا على حاجة مشهورة هناك: الرياضة - ناس كتير بتجري وبتروح الجيم. لقينا إن البنك راعي لبطولة رياضية محلية - معلومة عامة وشبه متاحة.

فكرنا: نعمل صفحة تسجيل بسيطة للبطولة، ونقدّم “هديّة” (Ticket) للناس اللي يسجّلوا. الصفحة ما كانتش تطلب بيانات حساسة، بس بعد ما الواحد يملاها، يحصل عنده ملف Word (تذكرتك) فيه الـ ticket.

التنفيذ: رسالة فيشينج مصممة للمجموعة ​

بعتنا الإيميل لخمس موظفين معينين بس، وقلنالهم: لو سجّلت هتاخد تذكرتين - خد لك واحدة واهديها لحد صاحبك. الإيميل كان قريب للواقع جدًا، بالـ tone الصح والمحتوى اللي يخلي الموظف يثق.

النتيجة؟ لما الموظف فتح الملف واشتغل الـ payload بتاعنا، دخل الجهاز في الـ Cobalt Strike - وفي وقت قليل ابتدت تنتشر في شبكة البنك من غير ما نبعث الملف لأي حد تاني!

اللي حصل هنا: الموظفين بدأوا ينشروا الملف “بطريقة غير مقصودة” لأن السيناريو كان ذكي ومقنع.

ليه الحيلة نجحت؟ ​

1. بحث سياقي مظبوط: استخدمنا اهتمامات وثقافة المجتمع المحلي (هولندا → الرياضة).
2. استخدام جهة موثوقة: رعاية البنك للبطولة عطتنا مصداقية.
3. رسالة بسيطة ومغريّة: عرض هدية/تذكرة يخلي الناس تتصرف بسرعة ومش تفكر كتير.
4. ملف يبدو عادي: الملف ما طلبش صلاحيات أو بيانات واضحة تخلّي الضحية يشك.
5. انتشار داخلي: الناس نفسها ساعدت على نشر الـ payload داخل الشبكة من غير قصد.

دروس مهمة للـ Blue Team وبتوع الحماية ​

• ما تستهونش بالمعلومات العامة: رعاية، فعاليات، بيانات موظفين - كل ده ممكن يتحول لبوابة هجوم.
• افتح تدريب Phishing مستمر للموظفين وخلّيهم يتعاملوا بحذر حتى مع عروض “الهدايا” الظاهرية.
• راجع سياسات فتح الملفات المرسلة عبر الإيميل: منع تشغيل macros أو حظر امتدادات معينة.
• راقب السلوك داخل الشبكة: حركة C2 أو اتصالات غير متوقعة لازم تتولّد عنها إنذار.
• حدِّث سياسات الـ least privilege: لو حد اتخترق، لازم يكون تأثيره محدود على الأنظمة التانية.

نصيحة سريعة للـ Red Teamers ​

التفوق مش في التقنية بس، لكن في المعرفة البشرية: فهم ثقافة الضحية، توقيت الإرسال، ولغة الرسالة - كل ده بيعمل فرق كبير. التجارب الواقعية دي بتعلّم إن الـ social engineering هو نصف الهجوم.