- بواسطة x32x01 ||
قصة حقيقية من مؤتمر SecureWorks - خدعة على لينكدإن 👤🎣
في فبراير، حصلت واقعة حقيقية عرضها فريق من شركة SecureWorks في مؤتمر أمني. القصة بتبدأ برسالة على LinkedIn من ست اسمها Mia Ash - عرضت خدمات تصوير فوتوغرافي على موظف شغال في شركة كبيرة بالشرق الأوسط. الراجل حب الفكرة وابتدوا يتكلموا عن التصوير، وبسرعة العلاقة الرقمية اتطورت: من لينكدإن لفيسبوك وبعدين واتساب.إزاي الخدعة اتنفّذت؟ 🧩
- التواصل اليومي: اتكلموا تقريبًا كل يوم لمدّة شهر، وخلصت المحادثة إنهم يفضّلوا يتكلموا على واتساب.
- الاستبيان المشبوه: Mia بعتت للموظف ملف Excel فيه "استطلاع عن الكاميرات" وطلبت يملّيه بسرعة من الكمبيوتر علشان يطلع أحسن. الموظف حمّل الملف من جهاز الشغل وعباه وبعتله بسرعة.
- بعدها اختفت Mia: بعد أسبوع ماحدّها ردّتش، وفجأة لقى الموظف إن فيه نشاط غريب ومحاولات اختراق على الشبكة الرئيسية للشركة - والنتيجة إن فيروس دخل الشبكة من جهاز الموظف عن طريق الملف اللي نزّله: ملف Excel كان مُلوَّث.
مين وراء Mia؟ وما هي حقيقتها؟ 🕵️♀️
لما SecureWorks حققوا، اكتشفوا إن Mia شخصية مزيفة تمامًا: الصور مسروقة، بيانات ملفقة، وحساباتها مش حقيقية - اتعملت بعناية على مدار سنة كاملة. الفريق اللي بناها اسمه OilRig أو Cobalt Gypsy - مجموعة مرتبطة بدولة وتحاول تستهدف شركات البترول والتقنية والخدمات الصحية في المنطقة.ليه الحكاية دي مهمة؟ - دروس عملية للكل 👇
1. قلّل معلوماتك المتاحة على الإنترنت 📵
كل ما معلوماتك الشخصية متاحة (الهوايات، النادي، الوظيفة)، كل ده يتجمّع ويبقى مادة لصنع قصة مقنعة تخدعك.2. خلي حذرك من الملفات المرفقة حتى لو من "صديق" 💥
ملف Excel أو Word مش آمن لو جاي على غير المتوقع - خصوصًا من حد لسه معرفته قليلة. لو حد طلب فتح ملف من جهاز الشغل، استشير الـ IT أو الـ Security team.3. دايمًا افحص الحسابات على السوشال ميديا بعين شكوكيّة 🔎
لو حد جديد في شبكة علاقاتك ومظهره "مثالي" أو كل حاجته محضرة بعناية (صور كثيرة، تفاعل مزيف)، خليك شكّاك.4. فعّل حماية البريد والشبكات ونظام كشف الاختراق 🛡️
- فعّل المصادقة الثنائية (2FA) على كل حساباتك المهمة.
- حاول تستخدم سياسات تمنع تشغيل ماكروز في ملفات Office على أجهزة الشركة.
- راقب السلوك الشبكي لاكتشاف نشاط مش طبيعي بسرعة.
5. التدريب ورفع وعي الموظفين مهم جدًا 👥
الشركات لازم تدرب الموظفين على حملات phishing حقيقية وتقيم استجابتهم، ومين يبلغ ومين يتواصل مع الـ Security فورًا.خلاصة - الإنترنت مكان سهل للتلاعب لو مش حذر 😶🌫️
القصة دي مثال واضح إزاي هندسة اجتماعية مُحكمة (علاقة مزيفة، حزمة ملفات بسيطة) ممكن تفتح باب لاختراق شركة كبيرة. فإذا كنت أونلاين - قلّل مشاركة تفاصيلك، لا تثق بسرعة، وفكّر دايمًا قبل ما تنزّل وتفتح ملفات من مصادر جديدة. التعديل الأخير:
