قمنا بتغطية هجمات التصيد الاحتيالي وكيفية عملها ومكونات البريد الإلكتروني التصيد الاحتيالي ومكونات البنية التحتية للتصيد الاحتيالي وأدوات تقييم التصيد الاحتيالي مثل Gophish وSET وكيفية البقاء محميًا من هجمات التصيد الاحتيالي. يستخدم هذا الفيديو مادة المختبر من غرفة TryHackMe تسمى التصيد الاحتيالي وجزء من مسار الفريق الأحمر.

وقمنا أيضًا بتغطية السيناريوهات العملية لتحليل البريد الإلكتروني للتصيد الاحتيالي باستخدام PhishTool وAny.run. قمنا في السيناريو الأول بتحليل رسالة بريد إلكتروني تتظاهر بأنها مرسلة من Netflix، بينما احتوى السيناريوهان الآخران على مرفقات ضارة أجرت مكالمات إلى خوادم ضارة وأسماء نظام أسماء النطاقات (DNS). كان هذا جزءًا من أدوات تحليل التصيد الاحتيالي TryHackMe.

لقد تناولنا أيضًا سيناريو عملي لتحليل التصيد الاحتيالي عبر البريد الإلكتروني باستخدام Thunderbird. لقد سلطنا الضوء على مجالات محددة للتحليل مثل البريد الإلكتروني للمرسل، ومسار العودة، ومجال المرسل، وسجلات نظام التعرف على هوية المرسل (SPF)، وعنوان IP الأصلي، ومرفق البريد الإلكتروني. وجدنا أن مرفق البريد الإلكتروني ضار من خلال تحليله باستخدام VirusTotal. بالإضافة إلى ذلك، احتوت رسالة البريد الإلكتروني على أخطاء نحوية وتم توجيهها إلى مستلم عام. كان ذلك جزءًا من حاولHackMe Greenholt التصيد.

احصل على ملاحظات شهادة OSCP

الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب

أبرز مقاطع الفيديو

التصيد الاحتيالي هو شكل من أشكال الهندسة الاجتماعية يتم تقديمه عبر البريد الإلكتروني لخداع شخص ما إما للكشف عن معلومات شخصية أو بيانات اعتماد أو حتى تنفيذ تعليمات برمجية ضارة على جهاز الكمبيوتر الخاص به. عادةً ما تظهر رسائل البريد الإلكتروني هذه وكأنها واردة من مصدر موثوق به، سواء كان شخصًا أو شركة. وهي تتضمن محتوى يحاول إغراء الأشخاص أو خداعهم لتنزيل البرامج أو فتح المرفقات أو اتباع الروابط إلى موقع ويب مزيف.

لدينا ثلاثة أشياء للتعامل معها فيما يتعلق برسائل البريد الإلكتروني التصيدية: عنوان البريد الإلكتروني للمرسل، والموضوع، والمحتوى.

يمكن تصنيف الأنواع المختلفة من رسائل البريد الإلكتروني الضارة على أنها واحدة مما يلي:

  • رسائل إلكترونية مزعجة - رسائل البريد الإلكتروني غير المرغوب فيها التي يتم إرسالها بكميات كبيرة إلى عدد كبير من المستلمين. يُعرف النوع الأكثر ضررًا من البريد العشوائي باسم MalSpam.
  • التصيد –  رسائل البريد الإلكتروني المرسلة إلى هدف (أهداف) يُزعم أنها من كيان موثوق به لجذب الأفراد لتقديم معلومات حساسة.
  • التصيد بالرمح – يأخذ التصيد الاحتيالي خطوة أخرى إلى الأمام من خلال استهداف فرد (أفراد) معين أو مؤسسة معينة تسعى للحصول على معلومات حساسة.  
  • صيد الحيتان – يشبه التصيد الاحتيالي، ولكنه يستهدف بشكل خاص الأفراد ذوي المناصب العليا في المستوى التنفيذي (الرئيس التنفيذي، المدير المالي، وما إلى ذلك)، والهدف هو نفسه.
  • التصيد الاحتيالي عبر الهاتف - ينقل التصيد الاحتيالي إلى الأجهزة المحمولة عن طريق استهداف مستخدمي الهواتف المحمولة برسائل نصية معدة خصيصًا.
  • التصيد الاحتيالي - يشبه التصيد الاحتيالي عبر الرسائل النصية القصيرة، ولكن بدلاً من استخدام الرسائل النصية لهجوم الهندسة الاجتماعية، تعتمد الهجمات على المكالمات الصوتية.

عندما يتعلق الأمر بالتصيد الاحتيالي، عادةً ما تكون طريقة العمل هي نفسها اعتمادًا على هدف البريد الإلكتروني.

على سبيل المثال، يمكن أن يكون الهدف هو الحصول على بيانات الاعتماد، وهدف آخر هو الوصول إلى الكمبيوتر.

فيما يلي الخصائص النموذجية المشتركة بين رسائل البريد الإلكتروني التصيدية:

  • ال اسم/عنوان البريد الإلكتروني للمرسل سوف يتنكر ككيان موثوق به (انتحال البريد الإلكتروني)
  • تتم كتابة سطر موضوع البريد الإلكتروني و/أو النص (النص) بعلامة الشعور بالإلحاح أو يستخدم كلمات رئيسية معينة مثل فاتورةمعلق، إلخ.
  • تم تصميم نص البريد الإلكتروني (HTML) ليتوافق مع كيان موثوق به (مثل Amazon)
  • نص البريد الإلكتروني (HTML) منسق أو مكتوب بشكل سيء (على عكس النقطة السابقة)
  • يستخدم نص البريد الإلكتروني محتوى عامًا، مثل عزيزي السيد/سيدتي.
  • الارتباطات التشعبية (يستخدم في كثير من الأحيان خدمات تقصير عناوين URL لإخفاء أصله الحقيقي)
  • أ مرفق ضار الظهور كوثيقة شرعية

GoPhish – (مفتوح المصدر التصيد نطاق) - getgophish.com

GoPhish هو إطار عمل قائم على الويب لتسهيل إعداد حملات التصيد الاحتيالي. يسمح لك GoPhish بتخزين بياناتك SMTP إعدادات الخادم لإرسال رسائل البريد الإلكتروني، لديها أداة قائمة على الويب لإنشاء قوالب البريد الإلكتروني باستخدام محرر WYSIWYG بسيط (ما تراه هو ما تحصل عليه). يمكنك أيضًا جدولة وقت إرسال رسائل البريد الإلكتروني والحصول على لوحة تحكم تحليلية توضح عدد رسائل البريد الإلكتروني التي تم إرسالها أو فتحها أو النقر عليها.

SET – (مجموعة أدوات الهندسة الاجتماعية) – Trustedsec.com

تحتوي مجموعة أدوات الهندسة الاجتماعية على العديد من الأدوات، ولكن بعض الأدوات المهمة للتصيد الاحتيالي هي القدرة على إنشاء التصيد بالرمح الهجمات ونشر إصدارات مزيفة من مواقع الويب الشائعة لخداع الضحايا لإدخال بيانات الاعتماد الخاصة بهم.

Droppers عبارة عن برامج يتم خداع ضحايا التصيد الاحتيالي لتنزيلها وتشغيلها على نظامهم. قد يعلن برنامج القطارة عن نفسه على أنه شيء مفيد أو مشروع مثل برنامج ترميز لعرض مقطع فيديو معين أو برنامج لفتح ملف معين.

عادةً لا تكون البرامج الضارة بحد ذاتها ضارة، لذا فهي تميل إلى اجتياز اختبارات مكافحة الفيروسات. بمجرد التثبيت، يتم فك حزمة البرامج الضارة المقصودة أو تنزيلها من خادم وتثبيتها على كمبيوتر الضحية. عادةً ما تتصل البرامج الضارة بالبنية التحتية للمهاجم. يمكن للمهاجم السيطرة على جهاز الكمبيوتر الخاص بالضحية، والذي يمكنه استكشاف الشبكة المحلية واستغلالها بشكل أكبر.

اختيار الحق التصيد يعد المجال الذي ستبدأ منه هجومك أمرًا ضروريًا لضمان حصولك على الميزة النفسية على هدفك. يمكن لمشاركة الفريق الأحمر استخدام بعض الطرق التالية لاختيار اسم النطاق المثالي.

النطاقات منتهية الصلاحية:

على الرغم من أنه ليس ضروريًا، إلا أن شراء اسم نطاق به بعض التاريخ قد يؤدي إلى تسجيل أفضل لنطاقك عندما يتعلق الأمر بمرشحات البريد العشوائي. تميل عوامل تصفية البريد العشوائي إلى عدم الثقة في أسماء النطاقات الجديدة تمامًا مقارنة بالأسماء التي لها بعض التاريخ.

القرفصاء المطبعي:

Typosquatting يحدث عندما يبدو المجال المسجل مشابهًا جدًا للنطاق المستهدف الذي تحاول انتحال هويته. فيما يلي بعض الطرق الشائعة:

خطأ إملائي: جوجل.كوم مقابل جوجل.كوم

فترة إضافية: go.ogle.com مقابل google.com

تبديل الأرقام بالحروف: g00gle.com مقابل google.com

الصياغة: googles.com مقابل google.com

كلمة إضافية: googleresults.com مقابل google.com

قد تبدو هذه التغييرات غير واقعية، ولكن للوهلة الأولى، يميل العقل البشري إلى ملء الفراغات ورؤية ما يريد رؤيته، أي اسم النطاق الصحيح.

إجابات الغرفة | محاولة التصيد الاحتيالي HackMe

ما هو نوع التلاعب النفسي الذي يعد التصيد جزءًا منه؟

ما نوع حملة التصيد الاحتيالي التي تشارك فيها الفرق الحمراء؟

ما هو التكتيك الذي يمكن استخدامه للعثور على العلامات التجارية أو الأشخاص الذين تتفاعل معهم الضحية؟

ما الذي يجب تغييره في علامة ربط HTML لإخفاء الرابط؟

أي جزء من البنية التحتية للفريق الأحمر يمكن أن يجعل موقع الويب يبدو أكثر أصالة؟

ما هو البروتوكول الذي يحتوي على سجلات TXT التي يمكنها تحسين إمكانية تسليم البريد الإلكتروني؟

ما هي الأداة التي يمكنها أتمتة حملة التصيد الاحتيالي وتتضمن التحليلات؟

ما هي كلمة المرور لبراين؟
هل تميل القطارات إلى أن تكون ضارة؟
ما هو الأفضل، استخدام نطاق منتهي الصلاحية أم جديد؟ (قديم / جديد)

ما هو المصطلح المستخدم لوصف تسجيل اسم نطاق مشابه به خطأ إملائي؟

ما الذي يمكن أن تحتويه مستندات Microsoft Office، والتي عند تنفيذها يمكنها تشغيل أوامر الكمبيوتر؟
ما هو CVE الأخير الذي تسبب في تنفيذ التعليمات البرمجية عن بعد؟
ما هو العلم من التحدي؟

إجابات الغرفة | أساسيات تحليل التصيد الاحتيالي في TryHackMe

يعود تاريخ البريد الإلكتروني إلى أي إطار زمني؟
ما هو المنفذ المصنف على أنه نقل آمن لـ SMTP؟

ما هو المنفذ المصنف على أنه نقل آمن لـ IMAP؟

ما هو المنفذ المصنف على أنه نقل آمن لـ POP3؟

ما هو عنوان البريد الإلكتروني المطابق لـ "الرد على"؟

بمجرد العثور على عنوان IP الخاص بمرسل البريد الإلكتروني، أين يمكنك استرداد المزيد من المعلومات حول عنوان IP؟

في لقطات الشاشة أعلاه، ما هو معرف URI للصورة المحظورة؟

في لقطات الشاشة أعلاه، ما اسم مرفق PDF؟

في الجهاز الظاهري المرفق، قم بعرض المعلومات في email2.txt وأعد إنشاء ملف PDF باستخدام بيانات base64. ما هو النص الموجود في ملف PDF؟

ما هو الكيان الموثوق به الذي يتنكر به هذا البريد الإلكتروني؟

ما هو البريد الإلكتروني للمرسل؟

ما هو سطر الموضوع؟

ما هو رابط URL ل - انقر هنا؟ (أدخل عنوان URL الذي تم إلغاء تنشيطه)

ما هو بيك؟

إجابات الغرفة | أدوات تحليل التصيد الاحتيالي TryHackMe

ما هو اسم الموقع الرسمي للبنك الذي حاول موقع capitai-one.com أن يشبهه؟

كيف يمكنك الحصول على موقع الارتباط التشعبي يدويًا؟
انظر إلى إخراج السلاسل. ما هو اسم ملف EXE؟

ما هي العلامة التجارية التي تم تصميم هذه الرسالة الإلكترونية لانتحال شخصيتها؟

ما هو عنوان البريد الإلكتروني من؟

ما هو IP الأصلي؟ قم بإلغاء تحديد عنوان IP.

من خلال ما يمكنك جمعه، ما هو المجال الذي تعتقد أنه سيكون موضع اهتمام؟ ديفانج المجال.

ما هو عنوان URL المختصر؟ قم بإلغاء تحديد عنوان URL.

ما الذي يصنفه AnyRun هذا البريد الإلكتروني؟

ما هو اسم ملف PDF؟

ما هو تجزئة SHA 256 لملف PDF؟

ما عنواني IP المصنفين على أنهما ضاران؟ قم بإلغاء تحديد عناوين IP. (إجابة: IP_ADDR، IP_ADDR)

ما هي عملية Windows التي تم وضع علامة عليها حركة مرور سيئة محتملة?

ما هو تصنيف هذا التحليل؟

ما هو اسم ملف الاكسل؟

ما هو تجزئة SHA 256 للملف؟

ما هي المجالات المدرجة على أنها ضارة؟ قم بإلغاء تحديد عناوين URL وإرسال الإجابات بالترتيب الأبجدي. (إجابة: URL1، URL2، URL3)

ما هي عناوين IP المدرجة على أنها ضارة؟ قم بإلغاء تحديد عناوين IP وإرسال الإجابات من الأدنى إلى الأعلى. (إجابة: IP1، IP2، IP3)

ما هي الثغرة الأمنية التي يحاول هذا المرفق الضار استغلالها؟

إجابات الغرفة | رسائل البريد الإلكتروني التصيدية TryHackMe أثناء العمل

ما هي العبارة التي يبدأ بها البريد الإلكتروني للمرسل المبهم؟
لا يوجد رد
ما هو المجال الجذر لكل عنوان URL؟ قم بإلغاء تحديد عنوان URL.
ديفريت[.]xyz
استخدمت عينة البريد الإلكتروني هذه أسماء بعض الشركات الكبرى ومنتجاتها وشعاراتها مثل OneDrive وAdobe. ما هو اسم الشركة الآخر الذي تم استخدامه في رسالة البريد الإلكتروني التصيدية هذه؟
سيتريكس
ما الذي يجب على المستخدمين فعله إذا تلقوا رسالة بريد إلكتروني أو رسالة نصية مشبوهة تدعي أنها من Netflix؟
قم بإعادة توجيه الرسالة إلى phishing@netflix.com
ماذا يعني نسخة مخفية الوجهة؟
نسخة كربونية صماء
ما هي التقنية التي تم استخدامها لإقناع الضحية بعدم تجاهل البريد الإلكتروني والتصرف بسرعة؟
الاستعجال
ما هو اسم الملف القابل للتنفيذ الذي يحاول مرفق Excel تشغيله؟
regasms.exe

إجابات الغرفة | TryHackMe لمنع التصيد الاحتيالي

الرجوع إلى جدول بناء جملة Dmarcian SPFما هو حرف البادئة الذي يمكن إضافته إلى آلية "الكل" لضمان نتيجة "فشل البرنامج"؟

~

ما هو معنى -الجميع بطاقة شعار؟

يفشل
ما رأس البريد الإلكتروني الذي يوضح حالة نجاح DKIM أو فشله؟
نتائج المصادقة
ما هي سياسة DMARC التي ستستخدمها لعدم قبول رسالة بريد إلكتروني إذا فشلت الرسالة في فحص DMARC؟
ع=رفض
ما هو عدم الإنكار؟ (الإجابة عبارة عن جملة كاملة، بما في ذلك ".")
وتفرد التوقيع يمنع صاحب التوقيع من التنصل من التوقيع.

ما هو مرشح Wireshark الذي يمكنك استخدامه لتضييق نطاق إخراج الحزمة باستخدام رموز حالة SMTP؟

الإجابة الصحيحة: smtp.response.code

وفقًا لحركة مرور الشبكة، ما هي الرسالة الخاصة برمز الحالة 220؟ (لا تقم بإدخال رمز الحالة (220) في الإجابة)

اجابة صحيحة: الخدمة جاهزة

تُظهر إحدى الحزم ردًا يفيد بحظر بريد إلكتروني باستخدام موقع spamhaus.org. ما هو رقم الحزمة ورمز الحالة؟ (لا توجد مسافات في إجابتك)

الإجابة الصحيحة: 156,553

بناءً على الحزمة من السؤال السابق، ما هي الرسالة المتعلقة بصندوق البريد؟

الإجابة الصحيحة: اسم صندوق البريد غير مسموح به

ما هو رمز الحالة الذي يسبق عادةً أمر SMTP DATA؟

الإجابة الصحيحة: 354

ما هو المنفذ الذي تستخدمه حركة مرور SMTP؟

الإجابة الصحيحة: 25

كم عدد الحزم SMTP على وجه التحديد؟

الإجابة الصحيحة: 512

ما هو عنوان IP المصدر لجميع حركة مرور SMTP؟

الإجابة الصحيحة: 10.12.19.101

ما هو اسم الملف المرفق للملف الثالث؟

الإجابة الصحيحة: المرفق.scr

ماذا عن الملف المرفق الأخير؟

الإجابة الصحيحة: .zip

بالنسبة إلى MITRE ATT&CK، ما هو البرنامج المرتبط باستخدام SMTP وPOP3 لاتصالات C2؟

الإجابة الصحيحة: زيبروسي

إجابات الغرفة | TryHackMe لمنع التصيد الاحتيالي

ما هو نقل الرقم المرجعي المدرجة في رسائل البريد الإلكتروني موضوع?

من هو البريد الإلكتروني؟

ما هو عنوان بريده الإلكتروني؟

ما عنوان البريد الإلكتروني الذي سيتلقى الرد على هذا البريد الإلكتروني؟

ما هو IP الأصلي؟

من هو مالك IP الأصلي؟ (لا تقم بتضمين "." في إجابتك.)

ما هو سجل SPF لمجال Return-Path؟

ما هو سجل DMARC لنطاق مسار الإرجاع؟

ما هو اسم المرفق؟

ما هو تجزئة SHA256 للملف المرفق؟

ما هو حجم الملف المرفق؟ (لا تنس إضافة "KB" إلى إجابتك، NUM كيلوبايت)

ما هو امتداد الملف الفعلي للمرفق؟

تجول الفيديو

, ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات