قمنا بتغطية هجمات التصيد الاحتيالي وكيفية عملها ومكونات البريد الإلكتروني التصيد الاحتيالي ومكونات البنية التحتية للتصيد الاحتيالي وأدوات تقييم التصيد الاحتيالي مثل Gophish وSET وكيفية البقاء محميًا من هجمات التصيد الاحتيالي. يستخدم هذا الفيديو مادة المختبر من غرفة TryHackMe تسمى التصيد الاحتيالي وجزء من مسار الفريق الأحمر.
وقمنا أيضًا بتغطية السيناريوهات العملية لتحليل البريد الإلكتروني للتصيد الاحتيالي باستخدام PhishTool وAny.run. قمنا في السيناريو الأول بتحليل رسالة بريد إلكتروني تتظاهر بأنها مرسلة من Netflix، بينما احتوى السيناريوهان الآخران على مرفقات ضارة أجرت مكالمات إلى خوادم ضارة وأسماء نظام أسماء النطاقات (DNS). كان هذا جزءًا من أدوات تحليل التصيد الاحتيالي TryHackMe.
لقد تناولنا أيضًا سيناريو عملي لتحليل التصيد الاحتيالي عبر البريد الإلكتروني باستخدام Thunderbird. لقد سلطنا الضوء على مجالات محددة للتحليل مثل البريد الإلكتروني للمرسل، ومسار العودة، ومجال المرسل، وسجلات نظام التعرف على هوية المرسل (SPF)، وعنوان IP الأصلي، ومرفق البريد الإلكتروني. وجدنا أن مرفق البريد الإلكتروني ضار من خلال تحليله باستخدام VirusTotal. بالإضافة إلى ذلك، احتوت رسالة البريد الإلكتروني على أخطاء نحوية وتم توجيهها إلى مستلم عام. كان ذلك جزءًا من حاولHackMe Greenholt التصيد.
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
أبرز مقاطع الفيديو
التصيد الاحتيالي هو شكل من أشكال الهندسة الاجتماعية يتم تقديمه عبر البريد الإلكتروني لخداع شخص ما إما للكشف عن معلومات شخصية أو بيانات اعتماد أو حتى تنفيذ تعليمات برمجية ضارة على جهاز الكمبيوتر الخاص به. عادةً ما تظهر رسائل البريد الإلكتروني هذه وكأنها واردة من مصدر موثوق به، سواء كان شخصًا أو شركة. وهي تتضمن محتوى يحاول إغراء الأشخاص أو خداعهم لتنزيل البرامج أو فتح المرفقات أو اتباع الروابط إلى موقع ويب مزيف.
لدينا ثلاثة أشياء للتعامل معها فيما يتعلق برسائل البريد الإلكتروني التصيدية: عنوان البريد الإلكتروني للمرسل، والموضوع، والمحتوى.
يمكن تصنيف الأنواع المختلفة من رسائل البريد الإلكتروني الضارة على أنها واحدة مما يلي:
- رسائل إلكترونية مزعجة - رسائل البريد الإلكتروني غير المرغوب فيها التي يتم إرسالها بكميات كبيرة إلى عدد كبير من المستلمين. يُعرف النوع الأكثر ضررًا من البريد العشوائي باسم MalSpam.
- التصيد – رسائل البريد الإلكتروني المرسلة إلى هدف (أهداف) يُزعم أنها من كيان موثوق به لجذب الأفراد لتقديم معلومات حساسة.
- التصيد بالرمح – يأخذ التصيد الاحتيالي خطوة أخرى إلى الأمام من خلال استهداف فرد (أفراد) معين أو مؤسسة معينة تسعى للحصول على معلومات حساسة.
- صيد الحيتان – يشبه التصيد الاحتيالي، ولكنه يستهدف بشكل خاص الأفراد ذوي المناصب العليا في المستوى التنفيذي (الرئيس التنفيذي، المدير المالي، وما إلى ذلك)، والهدف هو نفسه.
- التصيد الاحتيالي عبر الهاتف - ينقل التصيد الاحتيالي إلى الأجهزة المحمولة عن طريق استهداف مستخدمي الهواتف المحمولة برسائل نصية معدة خصيصًا.
- التصيد الاحتيالي - يشبه التصيد الاحتيالي عبر الرسائل النصية القصيرة، ولكن بدلاً من استخدام الرسائل النصية لهجوم الهندسة الاجتماعية، تعتمد الهجمات على المكالمات الصوتية.
عندما يتعلق الأمر بالتصيد الاحتيالي، عادةً ما تكون طريقة العمل هي نفسها اعتمادًا على هدف البريد الإلكتروني.
على سبيل المثال، يمكن أن يكون الهدف هو الحصول على بيانات الاعتماد، وهدف آخر هو الوصول إلى الكمبيوتر.
فيما يلي الخصائص النموذجية المشتركة بين رسائل البريد الإلكتروني التصيدية:
- ال اسم/عنوان البريد الإلكتروني للمرسل سوف يتنكر ككيان موثوق به (انتحال البريد الإلكتروني)
- تتم كتابة سطر موضوع البريد الإلكتروني و/أو النص (النص) بعلامة الشعور بالإلحاح أو يستخدم كلمات رئيسية معينة مثل فاتورة, معلق، إلخ.
- تم تصميم نص البريد الإلكتروني (HTML) ليتوافق مع كيان موثوق به (مثل Amazon)
- نص البريد الإلكتروني (HTML) منسق أو مكتوب بشكل سيء (على عكس النقطة السابقة)
- يستخدم نص البريد الإلكتروني محتوى عامًا، مثل عزيزي السيد/سيدتي.
- الارتباطات التشعبية (يستخدم في كثير من الأحيان خدمات تقصير عناوين URL لإخفاء أصله الحقيقي)
- أ مرفق ضار الظهور كوثيقة شرعية
GoPhish – (مفتوح المصدر التصيد نطاق) - getgophish.com
GoPhish هو إطار عمل قائم على الويب لتسهيل إعداد حملات التصيد الاحتيالي. يسمح لك GoPhish بتخزين بياناتك SMTP إعدادات الخادم لإرسال رسائل البريد الإلكتروني، لديها أداة قائمة على الويب لإنشاء قوالب البريد الإلكتروني باستخدام محرر WYSIWYG بسيط (ما تراه هو ما تحصل عليه). يمكنك أيضًا جدولة وقت إرسال رسائل البريد الإلكتروني والحصول على لوحة تحكم تحليلية توضح عدد رسائل البريد الإلكتروني التي تم إرسالها أو فتحها أو النقر عليها.
SET – (مجموعة أدوات الهندسة الاجتماعية) – Trustedsec.com
تحتوي مجموعة أدوات الهندسة الاجتماعية على العديد من الأدوات، ولكن بعض الأدوات المهمة للتصيد الاحتيالي هي القدرة على إنشاء التصيد بالرمح الهجمات ونشر إصدارات مزيفة من مواقع الويب الشائعة لخداع الضحايا لإدخال بيانات الاعتماد الخاصة بهم.
Droppers عبارة عن برامج يتم خداع ضحايا التصيد الاحتيالي لتنزيلها وتشغيلها على نظامهم. قد يعلن برنامج القطارة عن نفسه على أنه شيء مفيد أو مشروع مثل برنامج ترميز لعرض مقطع فيديو معين أو برنامج لفتح ملف معين.
عادةً لا تكون البرامج الضارة بحد ذاتها ضارة، لذا فهي تميل إلى اجتياز اختبارات مكافحة الفيروسات. بمجرد التثبيت، يتم فك حزمة البرامج الضارة المقصودة أو تنزيلها من خادم وتثبيتها على كمبيوتر الضحية. عادةً ما تتصل البرامج الضارة بالبنية التحتية للمهاجم. يمكن للمهاجم السيطرة على جهاز الكمبيوتر الخاص بالضحية، والذي يمكنه استكشاف الشبكة المحلية واستغلالها بشكل أكبر.
اختيار الحق التصيد يعد المجال الذي ستبدأ منه هجومك أمرًا ضروريًا لضمان حصولك على الميزة النفسية على هدفك. يمكن لمشاركة الفريق الأحمر استخدام بعض الطرق التالية لاختيار اسم النطاق المثالي.
النطاقات منتهية الصلاحية:
على الرغم من أنه ليس ضروريًا، إلا أن شراء اسم نطاق به بعض التاريخ قد يؤدي إلى تسجيل أفضل لنطاقك عندما يتعلق الأمر بمرشحات البريد العشوائي. تميل عوامل تصفية البريد العشوائي إلى عدم الثقة في أسماء النطاقات الجديدة تمامًا مقارنة بالأسماء التي لها بعض التاريخ.
القرفصاء المطبعي:
Typosquatting يحدث عندما يبدو المجال المسجل مشابهًا جدًا للنطاق المستهدف الذي تحاول انتحال هويته. فيما يلي بعض الطرق الشائعة:
خطأ إملائي: جوجل.كوم مقابل جوجل.كوم
فترة إضافية: go.ogle.com مقابل google.com
تبديل الأرقام بالحروف: g00gle.com مقابل google.com
الصياغة: googles.com مقابل google.com
كلمة إضافية: googleresults.com مقابل google.com
قد تبدو هذه التغييرات غير واقعية، ولكن للوهلة الأولى، يميل العقل البشري إلى ملء الفراغات ورؤية ما يريد رؤيته، أي اسم النطاق الصحيح.
إجابات الغرفة | محاولة التصيد الاحتيالي HackMe
ما نوع حملة التصيد الاحتيالي التي تشارك فيها الفرق الحمراء؟
ما الذي يجب تغييره في علامة ربط HTML لإخفاء الرابط؟
ما هو البروتوكول الذي يحتوي على سجلات TXT التي يمكنها تحسين إمكانية تسليم البريد الإلكتروني؟
ما هي الأداة التي يمكنها أتمتة حملة التصيد الاحتيالي وتتضمن التحليلات؟
ما هو المصطلح المستخدم لوصف تسجيل اسم نطاق مشابه به خطأ إملائي؟
إجابات الغرفة | أساسيات تحليل التصيد الاحتيالي في TryHackMe
ما هو المنفذ المصنف على أنه نقل آمن لـ IMAP؟
ما هو المنفذ المصنف على أنه نقل آمن لـ POP3؟
ما هو عنوان البريد الإلكتروني المطابق لـ "الرد على"؟
بمجرد العثور على عنوان IP الخاص بمرسل البريد الإلكتروني، أين يمكنك استرداد المزيد من المعلومات حول عنوان IP؟
في لقطات الشاشة أعلاه، ما اسم مرفق PDF؟
في الجهاز الظاهري المرفق، قم بعرض المعلومات في email2.txt وأعد إنشاء ملف PDF باستخدام بيانات base64. ما هو النص الموجود في ملف PDF؟
ما هو الكيان الموثوق به الذي يتنكر به هذا البريد الإلكتروني؟
ما هو البريد الإلكتروني للمرسل؟
ما هو سطر الموضوع؟
ما هو رابط URL ل - انقر هنا؟ (أدخل عنوان URL الذي تم إلغاء تنشيطه)
إجابات الغرفة | أدوات تحليل التصيد الاحتيالي TryHackMe
ما هو اسم الموقع الرسمي للبنك الذي حاول موقع capitai-one.com أن يشبهه؟
ما هي العلامة التجارية التي تم تصميم هذه الرسالة الإلكترونية لانتحال شخصيتها؟
ما هو عنوان البريد الإلكتروني من؟
من خلال ما يمكنك جمعه، ما هو المجال الذي تعتقد أنه سيكون موضع اهتمام؟ ديفانج المجال.
ما هو عنوان URL المختصر؟ قم بإلغاء تحديد عنوان URL.
ما هو اسم ملف PDF؟
ما هو تجزئة SHA 256 لملف PDF؟
ما عنواني IP المصنفين على أنهما ضاران؟ قم بإلغاء تحديد عناوين IP. (إجابة: IP_ADDR، IP_ADDR)
ما هي عملية Windows التي تم وضع علامة عليها حركة مرور سيئة محتملة?
ما هو اسم ملف الاكسل؟
ما هو تجزئة SHA 256 للملف؟
ما هي المجالات المدرجة على أنها ضارة؟ قم بإلغاء تحديد عناوين URL وإرسال الإجابات بالترتيب الأبجدي. (إجابة: URL1، URL2، URL3)
ما هي عناوين IP المدرجة على أنها ضارة؟ قم بإلغاء تحديد عناوين IP وإرسال الإجابات من الأدنى إلى الأعلى. (إجابة: IP1، IP2، IP3)
ما هي الثغرة الأمنية التي يحاول هذا المرفق الضار استغلالها؟
إجابات الغرفة | رسائل البريد الإلكتروني التصيدية TryHackMe أثناء العمل
إجابات الغرفة | TryHackMe لمنع التصيد الاحتيالي
الرجوع إلى جدول بناء جملة Dmarcian SPFما هو حرف البادئة الذي يمكن إضافته إلى آلية "الكل" لضمان نتيجة "فشل البرنامج"؟
~
ما هو معنى -الجميع بطاقة شعار؟
ما هو مرشح Wireshark الذي يمكنك استخدامه لتضييق نطاق إخراج الحزمة باستخدام رموز حالة SMTP؟
الإجابة الصحيحة: smtp.response.code
وفقًا لحركة مرور الشبكة، ما هي الرسالة الخاصة برمز الحالة 220؟ (لا تقم بإدخال رمز الحالة (220) في الإجابة)
اجابة صحيحة: الخدمة جاهزة
تُظهر إحدى الحزم ردًا يفيد بحظر بريد إلكتروني باستخدام موقع spamhaus.org. ما هو رقم الحزمة ورمز الحالة؟ (لا توجد مسافات في إجابتك)
الإجابة الصحيحة: 156,553
بناءً على الحزمة من السؤال السابق، ما هي الرسالة المتعلقة بصندوق البريد؟
الإجابة الصحيحة: اسم صندوق البريد غير مسموح به
ما هو رمز الحالة الذي يسبق عادةً أمر SMTP DATA؟
الإجابة الصحيحة: 354
ما هو المنفذ الذي تستخدمه حركة مرور SMTP؟
الإجابة الصحيحة: 25
كم عدد الحزم SMTP على وجه التحديد؟
الإجابة الصحيحة: 512
ما هو عنوان IP المصدر لجميع حركة مرور SMTP؟
الإجابة الصحيحة: 10.12.19.101
ما هو اسم الملف المرفق للملف الثالث؟
الإجابة الصحيحة: المرفق.scr
ماذا عن الملف المرفق الأخير؟
الإجابة الصحيحة: .zip
بالنسبة إلى MITRE ATT&CK، ما هو البرنامج المرتبط باستخدام SMTP وPOP3 لاتصالات C2؟
الإجابة الصحيحة: زيبروسي
إجابات الغرفة | TryHackMe لمنع التصيد الاحتيالي
من هو البريد الإلكتروني؟
ما هو عنوان بريده الإلكتروني؟
ما هو IP الأصلي؟
من هو مالك IP الأصلي؟ (لا تقم بتضمين "." في إجابتك.)
ما هو سجل SPF لمجال Return-Path؟
ما هو سجل DMARC لنطاق مسار الإرجاع؟
ما هو اسم المرفق؟
ما هو تجزئة SHA256 للملف المرفق؟
ما هو حجم الملف المرفق؟ (لا تنس إضافة "KB" إلى إجابتك، NUM كيلوبايت)
ما هو امتداد الملف الفعلي للمرفق؟