موضوعنا اليوم
يتمحور في
أخطاء الدعم الفني !!
هي أخطاء فادحة قد تستغلها كــ ثغرة !
هنا سناخذ مثال كتوضيح للفكرة ليس آكثر .
الدعم الفني للهوتميل او الـ Hotmail Support
حينما تريد اختراق بريد هوتميل فآنك تسعي بشتي الطرق لآختراق جهاز الضحية
و الحصول علي كلمات السر عبر خاصية الـ key logger
ولكن في الهندسة الاجتماعية الامر يختلف
فأنت اما تحاول استخلاص المعلومات الخاصة بالبريد من الشخص صاحب البريد نفسه
باية وسيلة خداعية كرسائل السبام او معرفة المعلومات منه عن طريق التعامل المباشر وغيرها ..
او تحاول الحصول علي البريد نتيجة لخطأ يقع فيه الدعم الفني المقدم لخدمة البريد ..
شركة مثل الهوتميل تقوم بتسجيل دخولك اليها والتعامل مع الدعم الفني
ولكن بصورة غير مباشرة . فأنت تتعامل في البداية مع السكربت الخاص
بالدعم الفني و الذي تمت برمجته لتنفيذ اوامر المستخدمين
في حال امتلكوا المعلومات الصحيحة التي تخول لهم تلك الصلاحية .
او التواصل عن طريق ايميلات الدعم الفني وهذه في حالات الطواريء القصوي
او تلك التي تحتوي علي مشكلات لم يقدر السكريبت بحلها ..
وحينما نقوم بطلب استعادة لكلمة السر عبر تأكيد البيانات السرية للبريد
يقوم السكربت بأعطائك الصلاحية في تعديل كلمة السر الخاصة بك
اذا امتلكت المعلومات التي تمت برمجتها سابقآ فيه و تلك التي تكون مسجلة داخل قواعد البيانات ..
كمثال : الدولة ، المدينة او الولاية ، الكود البريدي ، اجابة السؤال السري ..
ذلك ما يسمي بالاستكشاف الديناميكية العمل لسكربت الدعم الفني
حينها نقوم بمحاولة استخلاص المعلومات من الهدف نفسه ..
ولكن نتوقف قليلا هنا .
فلماذا لا نحاول ايجاد خطا مآ في سكريبت الدعم الفني
قد يخدمنا او يعمل لصالحنا او علي الاقل يوفر علينا الوقت و المجهود في معرفة المعلومات المطلوبة ..
نتابع الخدمات المقدمة من شركة الهوتميل
ونجرب كل الاختيارات الخاصة بها ونسجل طريقة عملها
ونري الطرق المختلفة التي تطلب بها المعلومات في جميع الخدمات
نري الان كيف يصبح الموضوع اسهل
ففي كل محاولة استعادة كلمة السر في كل خدمات ويندوز لايف او هوتميل يطلب منك المعلومات التي سبق ذكرها .
الدولة / المدينة / الكود البريدي / ربما تاريخ الميلاد / اجابة السؤال السري
ولا يقبل اذا كانت احد المدخلات ناقصة ...
ولكن في احد الخدمات المقدمة علي الموقع بعد التدقيق فيه ومتابعة كافة الخدمات الموجودة عليه
وجدنا خطوة تختصر لنا كل تلك المدخلات الي واحدة فقط وهي اجابة السؤال السري ..
جرب هذا الرابط هنا
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]ستجد انه يطلب منك فقط اجابة السؤال السري فقط
دون الحاجة الي بقية المعلومات .
وهو خطأ بسيط في سكربت الدعم الفني الخاص بالموقع في تلك الجزئية التي تتعلق بالويندوز لايف موبايل
وهو مجرد مثال فقط لما يمكن الحصول عليه من مراقبة الدعم الفني او تتبع خطواتهم ..
و طرقهم للمساعدة في الحالات الطارئة كتغير كلمة السر الخ .....
على ما أظن أن الفكرة وصلت !!!
الهندسة الأجتماعية
التي لا اجد لها أي أثر في منتدياتنا العربية
الهندسة الاجتماعية هي استخدام الدمج ما بين علم النفس و التقنية للوصول لاهدافنا ..
وهي على جبلة واحده في هذا العالم
او هي القدرة علي التعامل مع الكوادر القائمة علي ادارة النظام بالسلب او الايجاب
الأمساك بالضحية بعدة طرق
ويقوم المهندسون الاجتماعيون الغرب في استخدام الهندسة الاجتماعية فيما يلي :
اقتباس:
الحصول علي اشياء حياتية في المقام الاول كالعمل في احدي الشركات الكبري
او مواعدة الفتيات ببلادهم
الحصول علي وجبات مجانية من المطاعم الشهيرة
الاقامة في الفنادق بالمجان
الحصول علي تخفيضات في المجمعات التجارية الشهيرة
مقابلة الشخصيات الشهيرة
التلاعب في درجاتهم الدراسية
وينتقل ما بعدها المهندسون الى درجة اخري بعدما ينتهوا من العبث بالهندسة الاجتماعية :
اقتباس:
الاختراق المتقدم
الحصول علي معلومات سرية من الشركات الكبري
الاستفادة من قدراتهم في الربح للآموال عن طريق المعلومات التي يحصلون عليها
اختراق شركات الهاتف
اختراق شركات الانترنت ببلادهم
السيطرة علي اكبر عدد من الاهداف كآسلوب وقائي
التلاعب بكل من يواجههم في الحياة
ولنا ان ان نعرف ان المفاوضين في قضايا الاختطاف و الرهائن في المباحث الفيدرالية الامريكية
هم مهندسون اجتماعيون بدرجة مقبولة
ختاما أرجو أن تكون الفكرة قد وصلت
و لا تحكمو بهذه السرعة على هذا العالم
لأن عالم البرمجيات والالكترونيات والمعلومات واسع كالمنضمة لامداد لها !!!
المراجع :
+
+
+
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]