🧪1. LAB هجوم التصيد الاحتيالي باستخدام GoPhish

🎯 الهدف الأساسي: التخطيط، الإعداد، وتنفيذ حملة تصيد احتيالي (Phishing Campaign) ضد منظمة مستهدفة باستخدام إطار عمل GoPhish مفتوح المصدر لتقييم مدى ضعفها تجاه هجمات الهندسة الاجتماعية، مع تتبع استجابات المستخدمين وجمع البيانات.

🔧 الأدوات المستخدمة:

• GoPhish: إطار عمل مفتوح المصدر مصمم خصيصًا لمحاكاة هجمات التصيد الاحتيالي.

• متصفح الويب: مثل Firefox، للوصول إلى لوحة تحكم GoPhish الإدارية وتجربة صفحة الهبوط المزيفة.

• ملف CSV: يحتوي على قائمة الأهداف (Targets) المراد استهدافها في الحملة.

• ملف قالب البريد الإلكتروني (Text/HTML): يحتوي على نص البريد الإلكتروني الذي سيتم استخدامه في رسالة التصيد الاحتيالي.

• خادم SMTP محلي: يُستخدم لإرسال رسائل البريد الإلكتروني الصادرة (يعمل على localhost على المنفذ 25 في هذا المعمل).

• خادم ويب محلي: لاستضافة صفحة الهبوط المزيفة التي سيتوجه إليها الضحايا (يعمل على localhost على المنفذ 8080 في هذا المعمل).

📜 خطوات التنفيذ:

📊 مرحلة الإعداد الأولي وتشغيل GoPhish

✨ تشغيل خادم GoPhish تحتاج إلى تشغيل خادم GoPhish.

✨ الوصول إلى لوحة تحكم GoPhish الإدارية إذا فتحت متصفح Firefox وذهبت إلى العنوان المحلي، فستتمكن من الوصول إلى واجهة GoPhish الإدارية:

https://localhost:3333

إدخال كلمة مرور بمجرد تسجيل الدخول، ستنتقل إلى لوحة التحكم الرئيسية (Dashboard) لـ GoPhish.

📊 مرحلة تصميم حملة التصيد الاحتيالي

✨ إعداد ملف تعريف الإرسال (Sending Profile) إذا أردت أن تبدو رسائل البريد الإلكتروني التي ترسلها وكأنها قادمة من مصدر معين وموثوق به، فستقوم بإعداد ملف تعريف إرسال:

1. إنشاء ملف تعريف جديد: قم بتسمية الملف التعريفي، على سبيل المثال red.

2. تحديد عنوان المرسل (From): إذا أردت أن يبدو البريد الإلكتروني وكأنه قادم من دعم فني، فسيكون عنوان المرسل support@xx.0.x.

3. تحديد خادم SMTP (Host): إذا كنت تستخدم خادم SMTP محليًا، فسيكون المضيف localhost:25.

4. تحديد بيانات الاعتماد (Username/Password): إذا كان لديك حساب بريد إلكتروني مخصص لإرسال الرسائل منه، فستستخدم red@xx.0.x وكلمة المرور المحددة في التعليمات.

5. تجاهل أخطاء الشهادة: تأكد من تحديد خيار "Ignore certificate errors".

6. 🔑 اختبار الإرسال: إذا أردت التأكد من أن الإعدادات صحيحة وأن GoPhish يمكنه إرسال رسائل البريد الإلكتروني بنجاح، فأرسل بريدًا إلكترونيًا اختباريًا إلى victim@xx.0.x.

✅ نقطة التحقق: إذا تلقى حساب الضحية (intern@xx.0.x) البريد الإلكتروني الاختباري الذي أرسلته، فهذا يعني أن ملف تعريف الإرسال يعمل بنجاح ويمكنك المتابعة.

✨ إنشاء صفحة الهبوط (Landing Page) إذا أردت خداع الضحايا لتقديم معلومات حساسة (مثل كلمات المرور)، فستحتاج إلى صفحة هبوط مزيفة تبدو واقعية:

1. تصميم الصفحة: استخدم صفحة ويب محلية محاكية لصفحة إعادة تعيين كلمة المرور، والتي يمكن الوصول إليها على localhost:8080. 💡 في سيناريو اختبار حقيقي، ستقوم بتسجيل نطاق (domain) خاص بك واستضافة هذه الصفحة على خادم عام لتبدو أكثر مصداقية.

2. خيارات الصفحة:

   • Capture Submitted Data: إذا أردت جمع البيانات التي يكتبها الضحية في الحقول (مثل كلمات المرور)، فحدد هذا الخيار.

   • Redirect to: بعد أن يقوم الضحية بإرسال بياناته، قم بإعادة توجيهه إلى صفحة أخرى (في هذا المعمل، يتم إرجاعه إلى localhost:8080).

   • ملاحظة: في بيئة المعمل هذه، قد لا تلتقط صفحة الهبوط المحلية البيانات المرسلة بشكل صحيح دائمًا، لكنها توضح المفهوم.

✨ إنشاء قالب بريد إلكتروني (Email Template) إذا أردت أن تبدو رسالة التصيد الاحتيالي مقنعة وواقعية قدر الإمكان، فستصمم قالب بريد إلكتروني بعناية:

1. استيراد المحتوى: إذا كان لديك ملف قالب بريد إلكتروني (مثل email template.txt الموجود على سطح المكتب)، فانسخ محتواه. 💡 التبسيط التلقائي: قوالب البريد الإلكتروني الاحترافية غالبًا ما تكون مكتوبة بلغة HTML وتتضمن جداول وعناصر تصميم لجعلها تبدو كرسائل حقيقية.

2. تعديل القالب:

   • الصق المحتوى المنسوخ في محرر القوالب في GoPhish، وقم بتسميته، على سبيل المثال I need password reset.

   • عدّل الروابط الموجودة داخل القالب لتشير إلى صفحة الهبوط المزيفة التي أنشأتها.

   • 🔑 إضافة صورة التتبع (Add Tracking Image): تأكد من تفعيل هذا الخيار. إذا تم فتح البريد الإلكتروني من قبل الضحية، فستقوم صورة بحجم 1 بكسل بالاتصال بخادم GoPhish للإبلاغ عن عملية الفتح.

✨ إضافة الأهداف (Users and Groups) إذا أردت إرسال رسائل التصيد الاحتيالي إلى مستلمين محددين داخل المنظمة المستهدفة، فستقوم بإضافة أهدافك إلى GoPhish:

1. استيراد الأهداف: إذا كان لديك ملف CSV يحتوي على قائمة بالأهداف (مثل Allison Chains - CEO, Bob Barker - CFO, John Wayne - CMO, و Vic Tim - Intern مع أدوارهم الوظيفية)، فاستورده إلى GoPhish.

   • 🔑 معلومة ذهبية: تأكد من أن عنوان البريد الإلكتروني victim@xx.0.x مدرج في قائمة الأهداف، لأنك ستختبر عليه ولديك وصول إلى صندوق بريده الإلكتروني.

   • يمكنك أيضًا إضافة الأهداف يدويًا واحدًا تلو الآخر إذا كانت قليلة.

📊 مرحلة إطلاق حملة التصيد الاحتيالي

✨ إنشاء وإطلاق حملة جديدة (New Campaign) إذا أصبحت جميع مكونات حملة التصيد الاحتيالي جاهزة، فستقوم بتجميعها في حملة وإطلاقها:

1. تحديد اسم الحملة: على سبيل المثال، I need password reset for target company.

2. تحديد القالب وملف تعريف الإرسال وصفحة الهبوط: اختر قالب البريد الإلكتروني، ملف تعريف الإرسال، وصفحة الهبوط التي قمت بإنشائها.

3. تحديد URL الخاص بالمضيف (URL): إذا كنت تعمل في بيئة معملية محلية، فستحدده على "Host it Locally". في بيئة الإنتاج، سيكون هذا هو النطاق (domain) أو الخادم السحابي الذي قمت بإعداده لاستضافة الحملة.

4. تحديد المجموعة المستهدفة (Group): اختر مجموعة الأهداف التي أضفتها سابقًا.

5. الجدولة (اختياري): يمكنك جدولة وقت بدء أو انتهاء الحملة في تواريخ وأوقات محددة.

6. 🔑 إطلاق الحملة: إذا نقرت على زر "Launch Campaign"، فستبدأ GoPhish بإرسال رسائل البريد الإلكتروني إلى جميع الأهداف المحددة.

✅ نقطة التحقق: إذا رأيت في لوحة تحكم GoPhish أن "Four emails sent" (أربعة رسائل بريد إلكتروني تم إرسالها)، فهذا يعني أن الحملة بدأت بنجاح وأن GoPhish قد بدأ في إرسال الرسائل.

📊 مرحلة تتبع وتحليل النتائج

✨ مراقبة الاستجابات إذا تم إطلاق الحملة، فستتمكن من مراقبة تفاعلات الضحايا في الوقت الفعلي من خلال لوحة تحكم GoPhish:

1. فتح البريد الإلكتروني:

   • انتقل إلى صندوق بريد الضحية (victim@xx.0.x) وافتح الرسالة التي أرسلتها.

   • إذا عدت إلى لوحة تحكم GoPhish وقمت بتحديث الصفحة، فسترى أن البريد الإلكتروني قد تم "Open" (فتحه). يحدث هذا بفضل صورة التتبع المخفية ذات الـ 1 بكسل التي أضفتها إلى القالب.

2. النقر على الرابط:

   • إذا نقر الضحية على رابط "password reset password" داخل البريد الإلكتروني، فسيتم توجيهه إلى صفحة الهبوط المزيفة التي أنشأتها.

   • إذا عدت إلى لوحة تحكم GoPhish وحدثت الصفحة، فسترى أن الضحية قد "Click" (نقر على الرابط).

3. محاولة إدخال البيانات (اختياري):

   • إذا حاول الضحية إدخال كلمة مرور جديدة في صفحة الهبوط المزيفة وقام بتقديمها، فستتمكن (في بيئة حقيقية مع إعداد صفحة الهبوط بشكل صحيح) من التقاط هذه البيانات.

   • في بيئة المعمل هذه، قد لا يتم التقاط البيانات المرسلة بسبب مشكلة في الصفحة ("Page is kind of broken").

✅ نقطة التحقق النهائية: إذا تمكنت من رؤية سجلات فتح البريد الإلكتروني والنقر على الروابط من قبل الضحايا في لوحة تحكم GoPhish، فهذا يؤكد نجاح حملة التصيد الاحتيالي في خداع الضحية للتفاعل.

✨ التقارير النهائية واعتبارات الأخلاقيات إذا اكتملت الحملة، فيمكنك تصدير البيانات والنتائج كملف CSV، ثم ضمها إلى تقرير اختبار الاختراق الخاص بك لتقديمها للعميل. تذكر دائمًا، إذا كنت تستخدم أداة مثل GoPhish، فيجب أن يكون ذلك دائمًا ضمن نطاق اختبار الاختراق وبموافقة صريحة من العميل والمحامين. إذا تجاوزت النطاق، فقد تواجه مشكلات خطيرة وتضر بسمعة العميل أو فريقك. الهدف هو مساعدة العميل على تحسين أمانه، وليس إحداث الفوضى.