הנדסה חברתית מושלמת ב2 דקות: הכירו את Sherlock, Zphisher וsetoolkit

תקיפות הנדסה חברתית נחשבות לתקיפות הנפוצות ביותר בעולם הסייבר. אומנם לרוב הם גורמות פחות נזק ממתקפות הכופרה הנפוצות גם-כן, אך ללא ספק הן גורמות לנזק ליותר בני אדם בפער ניכר, כנראה אין אחד ממכם שלא פגש בהם כמה עשרות פעמים לכל הפחות, ובל נשכח, הן גם אלו שגורמות למתקפות כופרה לקרות. לולי הנדסה חברתית, אף אחד לא היה מוריד את תוכנת הכופרה למחשב שלו.

ואתם יודעים מה הופך את מתקפות ההנדסה החברתית לכל-כך משמעותיות? אז בראש ובראשונה זו כמובן חוסר המודעות, שאגב, גם בישראל נמצאת בשפל גדול, בכל הנוגע ללחיצה על לינקים חשודים והורדת קבצים. אבל יותר-מכך, גם אם אתם עם מודעות מכובדת, אף אחד לא מבטיח לכם שלא תיפלו בפח. ישנם כל-כך הרבה שיטות וכלים לביצוע הנדסה חברתית, כאלו שעוזרות לכם להפוך את המתקפה לכמעט מושלמת. לא עוד לינק לאתר של paypal שנראה כאילו עוצב על-ידי ילד בן 12 ולא עוד מיילים מכתובות מוזרות שגורמות לנו לחשוב פעמים לפני הכניסה להודעת המייל. במדריך הבא אציג לכם שלושה כלי קוד פתוח שהופכים את משימתם של האקרים לקלה ומקצועית הרבה יותר, כזו שללא זהירות יתירה, תגרום לכולכם ליפול בפח ולהעביר את פרטיכם. אם אתם האקרים אתיים, המדריך הזה נועד לסייע לכם בביצוע מתקפות הנדסה חברתית במסגרת מבצעי מבדקי חדירה שאתם עורכים באישור ולהציג לכם כלים שלא יצריכו ממכם השקעה מיוחדת, מלבד כתיבת פקודות בודדות – כדי להפיל את היעד בפח. יש אומנם עוד המון כלים רלוונטים, אך כדאי שתכירו גם את הכלים שאסקור כאן. אם אתם אזרחים מן השורה, הייתי ממליץ לכם בכל זאת לעבור על המדריך, רק כדי להבין כיצד בקלות כל-כך גדולה האקרים יכולים להפיל אתכם בפח ולהיזהר בהתאם. אם אתם פושעים פוטנציאלים ובאתם לפה בשביל לתקוף אחרים ולפגוע בהם (גם אם אתם חושבים ש"מגיע להם"), אתם לא במקום הנכון וכדאי שתקראו את פסקת הציטוט שמופיעה לאחר הפסקה הקרובה.

הכלי הראשון שאסקור יסייע לנו לבדוק האם למשתמש יש חשבון בפלטפורמות אותם אנו רוצים לתקוף. הכלי השני שאסקור יסייע לנו לבנות דף פישינג של הפלטפוורמות המובילות בלחיצת כפתור ויציג לנו את הפרטים שיוזנו לתוך דף הפישינג ע"י היעד. הכלי השלישי שאסקור יאפשר לנו לשלוח מייל למשתמש מכל שם נבחר ומכל כתובת מייל שנבחר, גם אם זו הכתובת המקורית של facebook, של paypal או של כל שירות אחר. כמו-כן, נוכל לבצע גם דרכו בנייה של דף פישינג בלחיצת כפתור, תוך תחכום והפניית היעד לאחר הזנת הפרטים בדף הphising, לאתר המקורי של הפלטפורמה, ע"מ לצמצם את חשדותיו.

"חשוב להדגיש שוב: המדריך הבא נועד אך ורק עבור האקרים אתיים ועבור הכרת צורת הפעולה של התוקפים, ע"מ להתגונן טוב יותר. כל שימוש לא חוקי שייעשה בעזרת מדריך זה הוא על אחריותו הבלעדית של המבצע. רשויות אכיפת החוק יוכלו למוצא בקלות כל פושע אשר ישתמש בכלים המוצגים לפעולות בלתי חוקיות (ללא הסכמת היעד לדוגמא) והוא צפוי לספוג עונשים כבדים"

השלב הראשון מבחינת התוקף בעת ביצוע תקיפת 'הנדסה חברתית', זהו בירור פרטים על היעד – ע"מ למקד את התקיפה ולבצע אותה בצורה טובה יותר. נכון, מרבית תקיפות ההנדסה החברתית שאנו מכירים עובדות בשיטת מצליח – סביר לומר שלכל אחד מכם יש חשבון פייסבוק, אז אם אשלח לכולכם הודעה "מטעם פייסבוק" על כך שאתם מחוייבים לאמת את חשבונכם, לאף אחד מכם זה לא ידליק נורה אדומה. מצד שני, כשאתם עובדים בחברות מסוימות, אליהם התוקף מכוון בצורה ספציפית (כמו גם במקרה שאנו מבצעים בדיקת חדירה), ייתכן והתוקף ערך מחקר מקיף עליכם ע"מ לגרום להודעת ההנדסה החברתית להיראות משכנעת יותר.

אם אקבל לכתובת המייל שלי הודעה של: "אליה, אתה נדרש לאמת את חשבונך". היא תיראה לי הרבה יותר אמינה מאשר הודעה סתמית של "אתה נדרש לאמת את חשבונך". אם אני מתכנן לטוס לחו"ל בעוד כשבוע ואקבל מייל מpaypal על כך שנדרש אימות של פרטיי ע"מ לאשר את העסקה כלפי חברת התעופה, זה ייראה לי הרבה יותר אמין מאשר הודעה סתמית של paypal על כך שאני נדרש לאמת את פרטיי. מה מבצע התוקף בשלב איסוף המידע? בעזרת מגוון כלים הוא יכול להוציא עליכם המון המון מידע, החל מכתובת המייל שלכם ועד מידע רגיש ואישי שנוגע אליכם. אבל לפעמים לא צריך 'כלים', אפשר פשוט להיכנס לחשבון הפייסבוק שלכם ולראות פוסט בסגנון של: "רק עוד שבוע נשאר עד ללונדוןןןןן :-)) !!". כעת אני יודע שבעוד שבוע אתם טסים ללונדון ואוכל לתכנן את המתקפה שלי בהתאם.

לאיסוף מידע על היעד ישנם עשרות כלים נפוצים ושימושיים ובמדריך זה לא אתייחס אליהם, אני כן ארצה להתמקד בכלי ספציפי, שיסייע לנו לבדוק באלו פלטפורמות שמצריכות הזנת שם משתמש וסיסמא משתמש המשתמש, כך שנוכל למקד את תקיפותנו כלפי אותם פלטפורמות.

  1. Sherlock

הכירו את Sherlock. כלי קוד פתוח שמאפשר לנו לכתוב שם משתמש כלשהו, ולאחר סריקה קצרה, הוא יציג לנו את כל הפלטפורמות בהם שם המשתמש קיים. בהתחשב בכך שמרבית בני האדם משתמשים באותו שם משתמש עבור כל הפלטפורמות שלהם, נוכל כשלב ראשון להשתמש בכלי זה ע"מ לדעת באלו שירותים משתמש היעד שלנו ובכך, כיצד למקד את התקיפה. נשתמש עבור ההדגמה בשם המשתמש cyber-il.

נדגים את שימוש הכלי בkali 2020. ניכנס לTerminal בעזרת ctrl + alt + t ונוריד את הכלי מgithub:

sudo git clone https://github.com/sherlock-project/sherlock.git

(אם אין לכם git, התקינו אותו בעזרת הפקודה sudo apt install git)

כעת ניכנס לתיקיית ההתקנה:

cd sherlock

ונתקין את שאר המודולים שהכלי צריך עבור תפקוד תקין ונמצאים בתוך הקובץ request.txt:

sudo python3 -m pip install -r requirements.txt

(אם אין לכם pip, התקינו pip בעזרת הפקודה sudo apt-get install python3-pip)

כעת נבצע שוב את הפקודה cd sherlock ע"מ להיכנס לתיקייה בה נמצא קובץ ההפעלה של הכלי.

נכתוב כתוב את פקודת העזרה, שתציג לנו את הדגלים האפשריים בsherlock:

python3 sherlock --help 

וכעת נבצע את הסריקה בפועל. כאמור, לצורך הדוגמא, אנו רוצים לחקור אחר משתמש בשם cyber. אז נשתמש בפקודה הבאה:

python3 sherlok.py cyber

ונקבל את כל הפרופילים בעשרות רשתות חברתיות שונות של cyber-il:

2. Zphisher

כעת, יעבור התוקף לשלב הבא והוא בניית דף הפישינג. "בניית"? הצחקתם אותנו. הכירו את Zphisher – הכלי שיאפשר לכם בניית דף פישינג לכל שירות מוכר שרק תבחרו, תוך פחות מדקה, בעזרת פקודה אחת.

שוב נשתמש בkali ונוריד את הכלי מgithub עם הפקודה הבאה:

sudo git clone https://github.com/htr-tech/zphisher.git

לאחר התקנת הכלי, נתקין כלים נוספים שנדרשים עבור פעילות תקינה של zphisher (לרובכם הכלים הללו כבר יהיו מותקנים, אך בכל זאת):

sudo apt install curl php wget -y

כעת ניכנס לספריית הכלי:

cd zphisher

ניתן הרשאות ריצה לקובץ:

sudo chmod +x zphisher.sh

כעת נפעיל את הכלי, הפעם בעזרת bash ולא python, שכן הכלי מבוסס bash:

sudo bash zphisher.sh 

לאחר ביצוע הפקודה, נראה לפנינו רשימה של 29 שירותים מוכרים, כגון Gmail, facebook, Paypal ועוד רבים וטובים. בשביל לקבל דף פישינג של אחד מהשירותים הללו פשוט נציין את הid של אותו שירות (המספר שמופיע לידו), לדוגמא – נרצה לקבל דף phishing של google, אז נציין 3.

כעת נישאל איזו צורה של דף ההתחברות אנו נרצה לקבל, נבחר באפשרות השנייה:

כעת נישאל על איזה שירות אנו רוצים לאחסן את הדף. על הכתובת המקומית, על Ngrok או אפשרויות אחרות. נבחר במקרה הזה בכתבות המקומית, localhost.

והנה, קיבלנו דף phishing זהה אחד לאחד לאתר המקורי של gmail, הייתם מזהים?

והנה של PayPal, הייתם מזהים?

כעת, אם תזינו בurl את כתובת הlocalhost שלכם ו"תתחברו לחשבון שלכם" דרך דף הphising, תופנו לדף השחזור חשבון של google ע"מ להסיר חשד ואנחנו נקבל מאחורי הקלעים, בתוך הzphisher את כתובת הip ושם המשתמש והסיסמא שלכם (כמובן שכשאנו מבצעים כלפי יעד מרוחק במסגרת מבדק חדירה, שימוש בlocalhost לא יהיה רלוונטי ונצטרך להשתמש בNgrok/דומיין מותאם).

אוקיי, אז התוקף הצליח ליצור דף פישינג והוא יודע בוודאות שליעד יש אכן חשבון באותה פלטפורמה לה דף הפישינג מתחזה. כיצד כעת הוא יוכל לשלוח אלינו מייל ולגרום לנו להיכנס לדף הphising, מבלי לעורר חשד?

3. Social-Engineer Toolkit

הכירו את הכלי הפנטסטי Social-Engineer Toolkit. מדובר בכלי מאד יעיל שמאפשר לתוקף שורה ארוכה של דרכים לביצוע הנדסה חברתית, גם כאלו שיכללו exploits שונים (פעולה רלוונטית מאד בעת ביצוע בדיקת חדירה), בעזרת פקודות בודדות. אני אציג את 2 השימושים הבולטים ביותר בכלי זה עבור הנדסה חברתית סטנדרטית:

1. שליחת מייל ליעד תוך התחזות לכל כתובת מייל (כן, גם לכתובת הרשמית של פייסבוק) שנרצה שתוצג ככתובת המקור ולכל שם שנרצה שיוצג כשם השולח. זהו למעשה החלק האחרון שחסר לנו ע"מ להשלים את פעולת הphisind.

2. פעולה דומה לפעולה שביצענו בzphisher, אך עם הרבה יותר יכולות. כאן נוכל להביא לtoolkit כתובת של כל אתר שנבחר והוא יבנה דף זהה לחלוטין בשרת המקומי שלנו. כאשר המשתמש יזין את הפרטים שלו בדף ההתחזות, הוא מיד יופנה לדף ההתחברות המקורי של האתר ואנו נקבל את הפרטים שהוא הזין בדף הphishing.

אני דווקא אפתח עם האפשרות השנייה, מכיuון שלאחר מכן אני רוצה להציג לכם את שליחת מייל הphising, עם לינק לדף הphising שיצר לנו Social-Engineer Toolkit, שלדעתי קצת יותר מרשים מדף הphising שיצר לנו zphisher.

הפעם, על-אף שsetoolkit (קיצור של Social-Engineer Tollkit) מגיע מותקן built-in בכל מערכת Kali linux, אנו נשתמש בDebian נקי עבור התקנת הכלי מלכתחילה, שכן לרוב הגרסה הקיימת בKali מגיעה עם חיסורים שונים ולא פעם ניתן להיתקל במהלך העבודה בה בבאגים מוזרים. ככלל: תמיד כדאי שתניחו את מכונת הKali בצד ותשתמשו בDebian נקי עבור אימוני ההאקינג שלכם. Debian הרבה יותר נקי, הרבה יותר מאובטח ויבטיח לכם עבודה טובה ומהירה יותר עם פחות באגים. זה לא אומר לא להשתמש כלל בkali, הkali מאד נוח עבור מקרים בהם אנו צריכים כלי באופן חד פעמי ובמקום להוריד אותו אפשר להשתמש בהתקנה הקיימת כבר בKali / מקרים בהם אנו רוצים לבדוק כלי מסוים.

אם כן, נוריד את הכלי מGithub בעזרת הפקודה הבאה:

sudo git clone https://github.com/trustedsec/social-engineer-toolkit.git

לאחר סיום ההורדה, ניכנס לתיקיית ההתקנה:

cd social-engineer-toolkit

ונתקין את מודולי הpip שהתוכנה זקוקה להם עבור האפשרויות השונות שהיא מציעה:

sudo pip3 install -r requirements.txt

הסבר לפקודה: אנו מבקשים מpip שייכנס לקובץ שמגיע בתיקיית ההתקנה – requirements.txt ויתקין את כל המודולים הקיימים בו. לולי ה r-, הpip היה מבין שאנו רוצים להתקין את requirements.txt ומודול כזה לא קיים. r- בא לומר לו – תיכנס באופן רקורסיבי לקובץ ותתקין את כל מה שקיים בו. שוב: אם אין לכם pip, כבר הצגתי למעלה כיצד ניתן להתקין אותו. כמובן שקודם לכן תצטרכו להתקין python עם הפקודה sudo apt-get install python3

כעת, לאחר ההתקנה, נפעיל את התוכנה:

sudo python setup.py

וזהו, סיימנו. setoolkit מותקן במערכת שלנו והוא אף הפך למשתנה סביבתי, כך שנוכל להגיע אליו מכל מקום במערכת.

ניכנס לכלי בעזרת הפקודה:

sudo setoolkit

בהתחברות הראשונה לכלי, נתבקש לאשר את תנאי השימוש בו. קראו את הכללים ואם אתם מסכימים להם כתבו (y (yes:

הכלי יציג לנו את האפשרויות השונות, אנו נבחר ב1 – social engineering attacks.

כעת, מכיון שאנו רוצים לבצע הנדסה חברתית עם תבנית של אתר כולשהו, נבחר ב2 (website attack vectors):

לאחר מכן, בשאלה הבאה, נבחר ב3 (credential harvester attack method), שכן אנו רוצים לגנוב את פרטי ההתחברות של המשתמש:

ולסיום נבחר ב2 (site colner), ע"מ שנוכל לציין כתובת ולקבל את התבנית של האתר:

כעת נזין את כתובת הip שלנו, בה האתר יתארח (כאמור, תוכלו לבדוק מהי כתובת הip שלכם בעזרת הפקודה sudo ifconfig):

192.168.150.9

ונזין את כתובת האתר, אותו אנו רוצים לדמות. במקרה הזה נרצה לקבל תבנית זהה לזו של פייסבוק:

http://facebook.com

כעת, אם נזין בכל מחשב ברשת שלנו את הכתובת: 192.168.150.20 על הפורט שצויין, 80 – נגיע לדף זהה אחד לאחד לדף המקורי של פייסבוק. כעת אם נזין את הפרטים שלנו בדף, לדוגמא, אזין שם משתמש וסיסמא, לאחר לחיצה על "התחבר", אני יועבר לדף ההתחברות המקורי של פייסבוק ואילו התוקף (מכונת הDebian במקרה הזה) יקבל את הפרטים שהזנתי. הנה דף הדמה שמוצג לי (ליעד) עם הפרטים שהזנתי:

ואכן, אם אכנס למכונת הDebian שלי, אראה את הפרטים שהוזנו:

עד כאן הכל מעולה. איך כעת נוכל לשלוח ליעד מייל phising ונגרום לו להתחבר לחשבון הפייסבוק שלו מכתובת שתיראה מספיק אמינה בשביל שהוא לא יחשוד בכך שמדובר בphising? זה הזמן להכיר שירות נוסף שמציע לנו setoolkit: שליחת מיילים לכל דורש, תוך התחזות לאיזו כתובת דוא"ל שרק נבחר (גם לכתובת המייל הרשמית של פייסבוק או כל שירות אחר!) ולאיזה שם שנבחר (שם שולח ההודעה).

עבור שימוש בשירות אנו צריכים שרת SMTP פעיל, שכן יכולת ההתחזות שנציג מבוססת על פגם אבטחה בפרוטוקול הSMTP. עבור כך, ניצור אחד כזה בSMTP2GO, שירות אירוח שרתי SMTP שמאפשר גם שימוש חינמי לתקופת ניסיון. ניתן להגיע אליו בכתובת הבאה: www.smtp2go.com.

נבחר באפשרות Try SMTP2GO Free (אלא אם כן אתם מעוניינים לרכוש את השירות גם ללא ניסיון…):

כעת נתבקש להזין דוא"ל. מכיוון שלא ניתן ליצור שרת SMTP עם כתובות דוא"ל בתחומים ציבוריים כגון gmail, אם יש לכם כתובת בשרת דוא"ל פרטי, תצטרכו להשתמש בה. אם אין לכם כזו, אתם יכולים להשתמש בשירות שמספק כתובות דוא"ל חד פעמיות בשם Email generator, תוכלו להגיע אליו כאן.

נחזור שוב לsmtp2go ונזין את כתובת הדוא"ל שלנו:

לאחר הזנת הפרטים והסכמה לתנאים, נקבל לחשבון הדוא"ל שלנו מייל אימות. נאמת את הפרטים ולאחר שנאשר את חשבון שלנו בSMTP2GO. נלחץ בעמוד הבית של החשבון שלנו על הלשונית settings וניכנס לשדה user, שיציג לנו את פרטי חשבון הsmtp2go:

כעת אנו יכולים לחזור בחזרה לsetoolkit. נלחץ על ctrl + c כדי לחזור לממשק הראשי ונבחר שוב ב1 – מתקפת הנדסה חברתית:

בשאלה השנייה, נבחר הפעם באפשרות ה5, מתקפת דיוור:

נישאל איזו סוג של מתקפה אנו רוצים לבצע. במקרה הזה אנו רוצים לבצע מתקפה כלפי מייל ספציפי, אז נבחר באפשרות הראשונה:

נתבקש להזין את כתובת הדוא"ל של היעד, פה צריך להבהיר נקודה חשובה: שירותי ענק כמו gmail חוסמים כברירת מחדל קבלת הודעות מאפליקציות כאלו, בעיקר בגלל מתקפות מסוג זה (ניתן לשנות זאת בהגדרות החשבון). עם-זאת, שרתי מייל פופולריים כמו וואלה! דואר עדיין מאפשרים קבלת הודעות כאלו. מלבד זאת, כשאנו מבצעים הנדסה חברתית במהלך בדיקת חדירה אנו מבצעים אותה פעמים רבות כלפי כתובות בשרת הדוא"ל של החברה, שלא מעט פעמים לא יהיה מוגדר נכון מבחינת אבטחה ויאפשר לנו את ביצוע המתקפה. בהתאם לכך, במקרה הזה נשתמש לצורך ההדגמה במייל המאוחסן בוואלה! דואר ככתובת היעד:

כעת נישאל האם אנו רוצים להשתמש בכתובת הgmail עבור ביצוע המתקפה או בכתובת מותאמת אישית, בעזרת שרת הSMTP שלנו. נבחר כמובן באפשרות השנייה:

כעת נתבקש להזין את כתובת הדוא"ל שתוצג לנמען ככתובת הדוא"ל של השולח, במקרה הזה אנו רוצים להערים היעד כביכול אנחנו פייסבוק, אז אשתמש רק עבור ההדגמה ובשביל שתראו שהדבר אפשרי בכתובת המקורית של פייסבוק (אם תסתכלו בהודעות המייל שאתם מקבלים מפייסבוק, תראו שאתם מקבלים מהכתובת הזו):

נתבקש להזין את 'שם השולח' שיוצג ליעד, נבחר כמובן בfaebook:

כעת נצטרך להזין את פרטי שרת הSMTP שלנו. כאמור, את הפרטים נוכל לראות בשדה user שבלשונית settings בחשבון שלנו בsmtp2go (בעת לחיצה על שם המשתמש שמוצג בחלונית שצילום מסך שלה ניתן לראות למעלה, תיפתח חלונית שתציג גם את הסיסמא).

נזין את שם המשתמש ואת הסיסמא (שימו לב שבעת כתיבת הסיסמא לא תיראו את האותיות שנכתבו וסימון הכתיבה גם לא יזוז, אך בפועל הסיסמא תיכתב):

כעת נזין את כתובת שרת הSMTP שלנו ואת פורט שרת הSMTP (פרטים אלו גם כן מופיעים בחשבון שלכם בSMTP2GO):

כעת נישאל האם נרצה להגדיר את ההודעה כהודעה חשובה, נבחר בyes:

נישאל האם נרצה להוסיף קבצים להודעה, נציין n (קיצור של No) ב2 השאלות:

חסר מאפיין alt לתמונה הזו; שם הקובץ הוא תמונה12-1-1024x38.png

כעת נישאל האם אנו רוצים להזין טקסט או קוד html, מכיוון שאני רוצה לעצב הודעה שתיראה תואמת ומפתה להודעה המקורית של פייסבוק, אבחר באפשרות הhtml:

כעת אצטרך להזין את הקוד ולאחר סיום הכתיבה לכתוב END ע"מ לשלוח את ההודעה. לאחר התלבטות קצרה, החלטתי לא לשתף אתכם בקוד הhtml, זאת מכיוון שעניין עיצוב ההודעה זו אחד מהדרכים שמאפשרות ליעדי התקיפה לזהות שמדובר בphising ולשמחתנו, עבור הרבה מפושעי הphising זו החוליה החלשה ואני לא רוצה לעזור להם לחזק אותה (למרות שאגב גם ההודעה שאציג לכם עוד ניתנת לשיפור, עד הפיכתה לזהה אחד לאחד להודעה המקורית של פייסבוק). אם אתם האקרים אתיים, כנראה שאתם שולטים בשפת הHTML ותוכלו לכתוב הודעה דומה בצורה פשוטה. אם אתם טרם שולטים בשפה הזו, כדאי שתעצרו ותשקיעו בלימוד שלה.

זו ההודעה שתוצג למשתמש (ברגע שהמשתמש ילחץ על קוביית הconfirm request הוא יופנה לאתר הphising שיצרנו קודם לכן):

שימו לב: בחרתי באפשרות 'אביב כוכבי רוצה להיות חבר שלך בפייסבוק', מכיון שזו פעולה שתגרום ליעד להסתקרן/להתרגש, להפסיק לחשוב לרגע וללחוץ על הקובייה שתפנה אותו לאתר הphishing. למען האמת, הודעה זו תגרום אומנם להרבה מהיעדים כן ללחוץ על ההודעה, אך להרבה אחרים להיזהר שכן בהתחשב בכך שלא ידוע שיש לרמטכ"ל צה"ל פייסבוק, ייתכן ומדובר במתחזה. הודעה הרבה יותר אפקטיבית תהיה אם נשלח לעובד בחברה בה אנו עושים את בדיקת החדירה הודעה יותר מותאמת. לדוגמא, אם העובד הוא אוהד של קבוצת הכדורגל בית"ר ירושלים, נוכל לשלוח לו 'משה חוגג רוצה להיות חבר שלך בפייסבוק' (הבעלים של קבוצת הכדורגל…), כאשר בתוך ההודעה נציג גם חברים משותפים של חוגג ושל היעד, ע"מ לגרום להודעה להיראות עוד יותר אמינה.

נמתין עד לקבלת הודעת אישור מsetoolkit שהמייל נשלח:

כעת אם ניכנס לכתובת המייל שלנו בוואלה! מייל, נראה את ההודעה הבאה (שימו לב לשם השולח):

ניכנס להודעה, והנה (שימו לב לכתובת השולח):

למען האמת, את פעולת שליחת ההודעה נוכל לבצע גם בעזרת קוד פייתון פשוט שיעשה שימוש בספריות smtplib וmime:

import smtplib
from email.mime.text import MIMEText
from email.mime.multipart import MIMEMultipart
from email.header import Header
from email.utils import formataddr

"smtp_server_address = "mail.smtp2go.com
"username = "gusronk.com
"password = "Enter The Password
port = 2525
sender_email = formataddr((str(Header("Facebook", "utf-8")), "[email protected]"))
"destination_email = "Destination email address


message = MIMEMultipart("alternative") #We will specify "alternative" when we send an html message
message["Subject"] = "Aviv Kochavi Wants to be friends on "facebook
message["From"] = sender_email
message["To"] = destination_email

 \""" = html_message 
"""<p>'Enter the html code here'</p>

html = MIMEText(html_message, "html")
message.attach(html)

:with smtplib.SMTP(smtp_server_address, port) as server_smtp
(server_smtp.login(username, password
)server_smtp.sendmail
()sender_email, destination_email, message.as_string
(
()server_smtp.quit

("print("the message was sent successfully

איך מתגוננים?

מודעות, זהירות ועוד פעם מודעות, זהירות. זו הדרך היחידה שלנו להבטיח שלא ניפגע ממתקפת Phishing. אף-פעם, אבל אף-פעם, גם אם אתם בטוחים ב100% שקיבלתם את המייל מהכתובת הנכונה של הפלטפורמה ואתם גם בטוחים ב100% שהכתובת שמוצגת לכם היא הכתובת של הפלטפורמה, אל תיכנסו ללינק שיוצג לכם במייל או בהודעה (הנה, ראיתם, כתובת המייל הנכונה של הפלטפורמה לא מבטיחה הגנה, כנ"ל גם שירות הודעות הsms של הפלטפורמה). קיבלתם הודעה מpaypal שעליכם לאמת את החשבון שלכם והכל נראה לכם אמין ב100%? מעולה, חפשו בgoogle את paypal, כנסו לאתר הרשמי של החברה, הזינו את שם המשתמש והסיסמא שלכם ואם גם שם יופיע לכם שאתם צריכים לבצע אימות פרטים, בצעו את אימות הפרטים. אגב, זה יכול להיות גם הודעת מייל מ"האחות" עם קובץ שאתה/את חייב לראות, ייתכן והתוקף מתחזה לאח או אחות שלכם במטרה לגרום לכם ללחוץ על הלינק הזדוני/להוריד קובץ זדוני. אף-פעם אל תסמכו על לינקים וקבצים חיצוניים, תשתדלו תמיד (ברמת הסבירות) לבצע את הדברים באופן עצמאי.

כמובן, אף-פעם אל תתנו פרטים אישיים שלכם לאדם זר וגם כשמדובר בבן משפחה שמבקש "קוד שנשלח אליכם בטעות לטלפון", אין קודים שנשלחים בטעות לטלפונים שלכם ומדובר בניסיון (או של בן המשפחה, אך בסבירות גבוהה יותר של מישהו שפרץ לטלפון של בן המשפחה) להשתמש בקוד הזה ע"מ לפרוץ לכם לאחד מהחשבונות שלכם.

לצד ההקפדה על כללים אלו, עשו צעד משמעותי לטובת ההגנה שלכם בעזרת הגדרת אימות דו שלבי לכל הפלטפורמות שאתם מחזיקים בהם. פעולה כזו תסייע לכך שגם אם תיפלו בפח ותזינו פרטי התחברות לדף phising, מכיוון שמלבד פרטי ההתחברות, יש לבצע גם את שלב האימות השני לפני קבלת גישה לחשבון, הרי שניסיונו של התוקף לא יצלח. ניתן למצוא מדריכים רבים באינטרנט לביצוע אימות דו שלבי בכל פלטפורמה שרק תבחרו, כאן תוכלו לראות אחד מצוין של מערך הסייבר הלאומי משבוע שעבר שעוסק בinstegram ובfacebook.

אלו הדברים הבסיסיים והמחייבים של מה לעשות ומה לא לעשות, אך יש באמת רשימה כל-כך ארוכה של דברים שחשוב להקפיד עליהם בשביל שלא תהיו הקורבנות הבאים של מתקפות הphising (ויש מידי יום אלפי קורבנות כאלה…). ההמלצה שלי היא לרכוש את הספר החדש 'בטוחים אונליין' של מיי ברוקס-קמפלר, אושיית סייבר מוערכת, שמסבירה בצורה פשוטה את כללי התעשה והלא תעשה ברשת האינטרנט. גם אם אתם מרגישים שאתם מספיק בטוחים, זה ספר חובה עבור הילדים שלכם שיכולים ליפול בקלות למלכודת הphising (ראיתם בעצמכם כיצד בצורה כל-כך פשוטה ניתן להגיע לתוצאה כל-כך מפתה). וכמובן – אל תתביישו לדבר על הנושא עם משפחה וחברים, הבסיס לכל מתקפות הphising זה חוסר מודעות. תתגברו על בושה של חצי דקה בשביל שהילדים שלכם, שהמשפחה שלכם, או שהחברים שלכם, לא יהיו במצב של בושה גדולה יותר בגלל תמונות אינטימיות שלהם שנגנבו, בגלל מידע אישי שלהם שנגנב או בגלל שיחות חסויות שלהם שנחשפו. תוכלו לרכוש את הספר כאן.

אם אתם לא במצב של להשקיע 35 ש"ח על ספר דיגיטלי, הייתי ממליץ לכם לעבור לכל הפחות על הקורס החינמי 'כלים להתנהגות בטוחה ברשת' שהשיק מערך הסייבר הלאומי יחד עם המרכז לחינוך סייבר בקמפוס. זהו קורס אונליין בן שעתיים שייתן לכם כלים להתנהלות בטוחה יותר ברשת. תוכלו לצפות בו כאן

איך נוכל לאבטח את שרת הדואר הארגוני/פרטי שלנו מפני מתקפות התחזות?

כאמור, עניין ההתחזות לכתובת שאינה שלנו ולדומיין שאינו שלנו שהצגתי במדריך, מבוססת על פגם בשרת הSMTP, שלא מבצע אימות חזק דיו בין השולח בפועל לדומיין שנטען כי הוא השולח. ישנם מספר פרוטוקולים ופתרונות שפותחו עם השנים ע"מ לפתור את הבעיה הזו ומיד אציג את הבולטים מבניהם, אך קודם-לכן חשוב לי לציין כי הפתרונות הללו מיועדים למשתמשים פרטיים. אם אתם מייצגים חברה או עסק, הפרוטוקולים הללו לא יספיקו לכם. ישנם שורה של כלי הגנה שנועדו לאבטח את שרת המייל שלכם ולהבטיח מניעת phising. השקיעו את הכסף עבור כך, זה יחסוך ממכם הפסדים כספיים גדולים בהרבה בעתיד.

Sender Policy Framework

SPF זהו פרוטוקול לאימות דואר אלקטרוני המגיע משרתי SMTP שנועד בעיקר עבור מניעת מתקפות phising מהסוג שציינתי והתחזות לדומיין שאינו שלנו (כמו במקרה שהצגתי, התחזות לדומיין של פייסבוק). SPF מזהה זיוף והתחזות בעזרת מנגנון שמאפשר לשרתי הדואר לבדוק שהודעות המגיעות משם מתחם מסוים מקורן במארח שהוסמך לכך על ידי בעל שם המתחם, כפי שמופיע ברשומות הDNS שלו.

DomainKeys Identified Mail

DKIM זהו פרוטוקול נוסף לאימות 'שולח' הדואר האלקטרוני המבוסס על עיקרון ההצפנה הא-סימטרית. הוא הוא מוסיף לחלקים בולטים בכל הודעה שלנו חתימה דיגיטלית בעזרת מפתח פרטי, ובכך – כשהיעד מקבל הודעה ממוען שמתחזה אלינו, שרת הדואר יבדוק האם ישנה חתימה דיגיטלית להודעה והאם היא זהה למפתח הציבורי של הדומיין שנטען כי הוא השולח, מפתח שיופיע גם כן ברשומות הDNS של השרת.

את הדרך להגדיר SPF וDKIM בשרת המייל הפרטי/ארגוני שלכם לא אסביר במדריך זה ע"מ לשמור על כמות תווים נורמלית, אבל תוכלו למצוא מדריכים רבים ברחבי האינטרנט שיעסקו בנושא זה, בהתאם לספק השירות שלכם.

3 Replies to “הנדסה חברתית מושלמת ב2 דקות: הכירו את Sherlock, Zphisher וsetoolkit”

כתיבת תגובה

האימייל לא יוצג באתר.