x32x01
  • بواسطة x32x01 ||
الهندسة الإجتماعية من بين أقوى طرق الإختراق وأقواها أيضا، فهي لا تعتمد على اختراق جهاز أو حاسوب أو هاتف، بل اختراق العقل البشري، والسيطرة عليه. وصدق أو لا تصدق، حتى هذه المهمة تتطلب مجموعة من أدوات الهندسة الاجتماعية التي تساعدك في إتمام هذه المهمة.

أولا - ما هي الهندسه الاجتماعيه؟
(لدي مقاله توضح كل شيء عن الهندسه الاجتماعيه إن كان لديك وقت اخبرني لارسالها لك و إن لم يكن لديك وقت ف سأعيد شرحها بطريقه بسيطه في هذه المقاله)
الهندسة الإجتماعية (Social Engineering) او كما يفضل الكثيرون استخدام مصطلح اختراق العقول، هي عبارة عن مجموعة من التقنيات التي تقوم بممارستها على شخص محدد، فتتيح لك تجميع الكثير من المعلومات والبيانات حول الهدف من خلال كسب ثقته والتلاعب به، تلك المعلومات أو البيانات التي تقوم بتجميعها، يمكنك تصنيفها لاحقا والحصول على معلومات سرية من خلالها، ككلمة سر منصات التواصل الإجتماعي مثلا.
كمثال لذلك، نقوم بتحديد هدف محدد ولنقل زميل لك في العمل، تقوم بمحادثته ( بحسابك الخاص أو حساب آخر ) وتحاول كسب ثقته، التقرب منه، فيخبرك بمعلومات بسيطة كتاريخ ميلاده، أو كم يملك في البنك، أو مكان ازدياده، أو صديق الطفولة لديه، يمكنك لاحقا مثلا الولوج لأحد حساباته الخاصة وطلب نسيان كلمة السر، قد يخبرك في سؤال استرجاع الحساب: اذكر لنا إسم صديق الطفولة، وبما أنه لديك هذه المعلومة من قبل فاعتبره تم اختراقه !

ثانيا - إذن بعد معرفتك بالهدف خلف الهندسة الإجتماعية، دعونا الآن أستعرض عليكم أبرز أدوات الهندسة الإجتماعية.

1- اداة Social Engineer Toolkit (SET)

أداة SET او اختصاراً لـ Social Engineer ToolKit هي أداة تأتي بسطر أوامر كونسول بدل واجهة GUI، وهي تأتي بتقنيات وخصائص كثيرة تساعدك في تجربة الهندسة الإجتماعية على مختلف المستويات، إذ تأتي بأدوات لصناعة صفحات مزورة أو Phishing لمواقع شهيرة كفيسبوك، تويتر، جيمايل، وغيرهم. كما تأتي بإمكانية صناعة كود QR أثناء فحصه من طرف المستخدم تحصل على معلومات حوله، تأتي أيضا بتقنيات مختلفة للإختراق كإرسال بريد SMS بتقنيات الـ Scaming، ومجموعة من الهجمات المختلفة التي تهدف لتعطيل خدمات خاصة للمستخدم. الأداة منفصلة ومفتوحة المصدر، ويمكن تنصيبها على أنظمة اللينكس بكل سهولة، كما أنها تأتي مجهزة في أنظمة أخرى مثل الكالي لينكس.

2- اداه Maltego
تعتبر أداة Maltego من أقوى الأدوات الخاصة بتجميع وتنظيم المعلومات، حين تتعامل مع الهندسة الإجتماعية فإن المعلومات والبيانات هي الخط الفاصيل بينك وبين اختراق عقل الضحية التي تستهدفها. في Maltego سيمكنك صناعة مخططات متعددة مترابطة لكل المعلومات التي تجمعها (Linked Analysis)، من خلالها ستُبقي كل المعلومات التي جمعتها نُصب عينيك أولا، ثم يمكنك استنتاج أو استخراج معلومات أخرى بالإعتماد عليها.

3- اداة Metasploit (MSF)
تعتبر اداة Metasploit أحد أضخم الأدوات الخاصة بالإختراق والذي يضم عدد هائل من الأدوات الثانوية داخله، ومن بينها أداة MSF التي يمكن استغلالها في مجال الهندسة الإجتماعية. الـ MSF تأتي بأنواع مختلفة أولا أبرزها الـ MSF Venom Payload Creator، وهي أداة تُمكنك من خلالها من صناعة برامج أو تطبيقات بسيطة يمكن إرسالها للمستخدم من أجل كشف ثغرات في جهازه أو التحكم به، كما يمكن من خلالها صناعة صفحات مزورة أو محاكاة صفحات ويب مختلفة بهدف خداع المستخدم في الأخير لإدخال معلوماته الشخصية أو كلمات السر، والتوصل بها في أداة الـ MSF. الأداة موجودة في الـ Metsaploit فسواء كنت تستخدم نظام يضم هذه الأداة، أو قمت بتحميلها بشكل منفصل، ففي جميع الأحوال سيمكنك الوصول لها من خلال سطر الأوامر.

4- اداة WifiPhisher
من الممكن انك استخدمتها من قبل وإن لم تستخدمها فهناك مقاله خاصه عن ال Wifiphisher تشرح كل شيء عن هذه الاداه
إذن أداة WifiPhisher هي عبارة عن أداة تسمح لك بصناعة صفحات Phishing لكن هذه المرة مخصصة لشبكات الواي فاي، بحيث من خلالها سيمكنك أولا تعيين شبكة الواي فاي المستهدفة، ثم نسخ كل خصائصها وبث شبكة واي فاي شبيهة بها، الفرق الوحيد بين الشبكتين سيكون أنه عند محاولة شخص ما الإتصال من تلك الشبكة، فإن صفحة ستنبثق تخبره بتأكيد كلمة سر شبكة الواي فاي، بعدها ستستطيع بدورك الحصول على كلمة السر الخاصة بالشبكة. لكن هذه العملية لن تنجح من تلقاء نفسها دائما، لا بد من تطبيق بعض خصائص الهندسة الإجتماعية أثناء ممارسة فن اختراق شبكات الواي فاي باستخدام أداة Wifiphisher.

5- اداة BlackEye
أداة Blackeye هي أداة مفتوحة المصدر )موجودة على Github للتنصيب وإدماجها بشكل منفصل) كما أنها تأتي في مجموعة من أنظمة الإختراق المتعددة مثل Blackarch.
تتيح لك هذه الأداة إمكانية صناعة صحفات Phishing متخصصة وشبيهة بالمواقع الأصلية التي تحاول صناعة نسخة منها، الأداة سهلة الإستخدام ولا تحتاج إلى أي مهارة أو سطر أوامر من اجل التعامل معها، يكفي اولا تحميل الأداة وتشغيلها ( إن كنت تستخدم نظاما يدعمها من قبل فيكفي تشغيلها ) ثم ستظهر لك واجهة الأداة التي تقترح عليك الإختيار من بين العشرات من مواقع التواصل الإجتماعي أو مواقع شهيرة عامة، مثل فيسبوك، انستغرام، تويتر، جوجل، بايبال، ووردبريس، تويتش وغيرهم، ثم استكمال الخطوات، لتحصل في الأخير على رابط عبارة عن IP Adress يمكنك إرساله للضحية، وفي حالة قام بإدخال أي معلومات في الرابط، ستحصل على نفس تلك المعلومات في الأداة.

6- اداة Buster
أداة Buster هي أداة مفتوحة المصدر متوافرة لنظام اللينكس بشكل خاص، ويمكن تحميلها بشكل منفصل، وتأتي في بعض التوزيعات مدمجة في الأنظمه. تتيح لك أداة Buster إمكانية التحقق من منصات التواصل الإجتماعي والمواقع الخاصة ببريد إلكتروني معين، فأنت أثناء ممارستك لعمليات الهندسة الإجتماعية، يجب عليك أن تكون ملماً بكل المعلومات الخاصة بالهدف الذي تستهدفه. أداة Buster تتيح لك إدراج بريد إلكتروني معين ( للهدف ) ثم استخراج كل المواقع والمنصات التي تسجل فيها هذا المستخدم بنفس البريد الإلكتروني، حتى استخراج المواقع أو عناوين الـ DNS التي تم حجزها ( أشبه بـ WHOIS )، واستخراج معطيات أخرى كثيرة حول البريد الإلكتروني.

7- اداة Catphish
أداة أخرى مفتوحة المصدر من أدوات الهندسة الإجتماعية المتطورة، بالرغم من سهولة فكرة الأداة إلا أنها مفيدة جدا في مجال الهندسة الإجتماعية بشكل عام. استخدامك للأدوات السابقة مثلا SET من أجل تجسيد صفحة مزورة لموقع ما ستكون نتيجته في الأخير عبارة عن رابط IP Address ( مثلا رابط الصفحة سيكون 192.168.6.1 او 12.0.0.1 )، وهو امر واضح فعند إرساله للضحية يبدو الأمر واضحا بشكل كبير أنه رابط اختراق.
يأتي Catphish لحل هذه المشكلة بطريقة مختلفة كثيراً، الأداة تسمح لك بالبحث عن النطاقات الرخيصة القريبة للموقع الذي تريد استهدافه، بافتراض أنك قمت بصناعة صفحة مزورة لـ LinkedIn، تقوم بالبحث في أداة Catphish عن أسماء نطاقات متاحة قريبة للـ Linked In.
ستقوم الأداة باستعراض النتائج القريبة للموقع، وذكر ما إذا كان النطاق متاحا لتقوم بالحصول عليه، ثم ربطه مع رابط الصفحة المزورة، وبذلك تكون نسبة التشكيك في رابط الصفحات المزورة أقل، وسيبدو الرابط أيضا أكثر مصداقية.

8- اداة CredSniper
أداة أخرى من أدوات الهندسة الإجتماعية تنضم إلى القائمة، وهي أداة CredSniper. توفر لك هذه الأداة إمكانية صناعة صفحات ويب شبيهة بشكل كبير بالصفحات الأصلية للموقع المقصود، فمن خلالها يمكنك صناعة صفحة ويب لخدمات مثل Gmail, Facebook, Twitter، وغيرهم.
الجميل في هذه الأداة والتي يزيدها قوة، أنها أولا تدعم تشفير SSL، أي فتح الرابط في متصفح ويب مثل جوجل كروم سيكون أمر سهل جدا ولن يظهر إشعار ان هذه الصفحة غير محمية، كما أنه يدعم خاصية تأكيد الحساب عبر تقنية المصادقة الثنائية 2FA، بمعنى أنه حتى لو طلب الموقع من المستخدم إدخال كود سيتوصل به في هاتفه الذكي أو بريده، فإن الأداة تدعم استقبالها أيضا.

9- أداة Email2Phonenumber
أداة أخرى مجانية ومفتوحة المصدر مبنية على لغة البرمجة بايثون، هي أداة تستطيع من خلالها استخراج رقم الهاتف الخاص بالهدف انطلاقا من البريد الإلكتروني. معظم المنصات والمواقع تُبرز البريد الإلكتروني الخاص بالمستخدمين، لذا إمكانية الحصول على البريد الإلكتروني قد يكون نسبيا سهل، لكن الحصول على رقم الهاتف قد يكون صعب، وفي نفس الوقت مهم، فربما تريد تجربة الـ SMS Phishing، أو إرسال رسائل لإقناع المستخدم بالوثوق فيك أكثر.
أداة Email2Phonenumber تعمل على مستويات مختلفة، أولا تقوم بالبحث عن رقم الهاتف انطلاقا من الإيميل في مواقع أخرى قد تكون مسجل فيها بنفس البريد ووضعت رقم هاتفك، مثل تويتر أو فيسبوك، إن لم تجد فإنها تقوم بعملية الـ Brute Force لتقنية الـ 2FA، أي مثلا تحاول جعل موقع يقوم بإرسال كود تفعيل لرقم الهاتف لمستخدم مرتبط بالإيميل، وفي حالة الحصول على إجابة يتم تخزين الرقم، وأخيراً في حالة لم تكن محظوظاً تقوم فقط باستخراج رقم عشوائي انطلاقا من مجموعة من البيانات الأخرى ( في الغالب لا يكون صحيح أو فعال.

10- اداة Evilginx
من أجل معرفة دور أداة Evilginx علينا أولا معرفة ما هو الـ Man In The Middle وتقنيتها. الـ MITM ( اختصار للتقنية السابقة ) هي حين تقوم بالتعرض للـ Packets والمعلومات التي يتم إرسالها واستقبالها وسط الشبكة. إرسال واستقبال معلومات بين الشبكة في الغالب يتم عبر : حاسوبك ثم إلى الراوتر، ثم إلى الشبكة. لكن بإضافة جهاز أو برمجية MITM يصبح: حاسوبك، ثم أداة MITM بعدها الراوتر ثم الشبكة. يعني كخلاصة المعلومات التي يتم تداولها بينك وبين الشبكة يستطيع طرف آخر بتقنية MITM التجسس عليها.
أداة Evilginx تقوم بهذا العمل من أجلك، بعد الإتصال من الشبكة يمكنك تشغيل الأداة وتحديد الهدف، وملأ الإعدادات المطلوبة، ثم بعدها سيمكنك التوصل بالمعلومات التي يتم إرسالها في الشبكة باستخدام تقنية الـ MITM، يمكن للأداة أيضا استخدام تقنية معينة لسرقة الـ Cookies الخاصة بالهدف، وكشف المعلومات التي يضمها هذه الاداة

وختاماً
يوجد الكثير من الادوات الاخري التي تتخصص في مجال الاختراق
 

المشاركات المتشابهة

x32x01
الردود
0
المشاهدات
70
x32x01
x32x01
x32x01
الردود
0
المشاهدات
75
x32x01
x32x01
x32x01
الردود
0
المشاهدات
46
x32x01
x32x01
x32x01
الردود
0
المشاهدات
118
x32x01
x32x01
x32x01
الردود
0
المشاهدات
68
x32x01
x32x01
الوسوم : الوسوم
أدوات الهندسة الأجتماعية الهندسة الأجتماعية

الدخول أو التسجيل السريع

نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى

المواضيع
1,558
المشاركات
1,745
أعضاء أكتب كود
192
أخر عضو
Ehab
عودة
أعلى