قصة حقيقية... كيفية التعرف على المحتال باستخدام OSINT والهندسة الاجتماعية.

visible

date

Jul 6, 2024

thumbnail

slug

using-osint-social-engineering-to-scam-a-scamme

author

status

Public

المقدمة

تلقيت رسالة بريد إلكتروني في عملي عام 2022، ووصلت مباشرة إلى مجلد البريد العشوائي، كما ينبغي له...

إنها عملية احتيال قديمة جدًا أصبحت كليشيه في كثير من أنحاء العالم. الأمير الأجنبي أو ربما رجل الأعمال الغني والميت الذي نجح وكيله في انتقائي من بين جميع الأشخاص الذين يملكون بريدًا إلكترونيًا على الأرض ليكون المستفيد الوحيد من ثروة محددة بشكل غريب! يا لها من حظ!

أعني، لا تهتم بحقيقة أنني لا أستطيع حتى جمع ما يكفي من الحظ للفوز بالسحب الشهري لبطاقات الأعمال في مطعم Subway المحلي الخاص بي، يبدو أن الأمور بدأت تتحسن أخيرًا!

البداية

هل تساءلت يومًا من هو الشخص الذي يكون على الجانب الآخر من أحد هذه الرسائل الإلكترونية؟

حسنًا، لقد فعلت، وعلى الرغم من أنها بدت مهمة مستحيلة في ذلك الوقت، قررت أن أحاول كشف المحتال على الطرف الآخر من الخط ومعرفة نوع النهاية التي كانوا يخططون لها لي، ضحيتهم الأقل حظًا والأقل امتيازًا. ما نتج كان رحلة برية في عالم OSINT والهندسة الاجتماعية لن أنساها أبدًا!

التخطيط والتحضير

في البداية، أخذت لحظة لتحديد هدف. بينما قد تتغير الأمور مع مرور الوقت، في البداية أعرف أنني أريد استخراج معلومات من المحتال قد تساعدني في التعرف عليه في الحياة الواقعية. حسنًا، عظيم، كيف أفعل ذلك؟ أحتاج إلى التفكير في نوع الأشخاص الذين يتوقع المحتال التعامل معهم عندما ينجح. غير ماهرين تقنيًا؟ ربما غير حكماء بشأن التكنولوجيا؟ ربما جشعين؟ سأحتاج بالتأكيد إلى لعب دور لتحقيق هدفي وأعتقد أن كلما تصرفت بشكل يشبه ما اختبروه من ضحايا سابقين، كلما كان من المرجح أن أستطيع استخلاص شيء منهم.

جمع المعلومات الأولية

على الرغم من أنني شبه متأكد من أنني أتعامل مع عنوان بريد إلكتروني جديد تم إنشاؤه حديثًا، لا يمكنني الافتراض أنهم لم يرتكبوا أي خطأ وعدم القيام بالبحث عنه. لذلك أتحقق من جميع المربعات المعتادة للبدء: تشغيل البريد الإلكتروني عبر أدوات اختراق البيانات، مثل haveibeenpwned.com، emailrep.io، Google، والتحقق من الجزء الخاص باسم المستخدم في whatsmyname.app.

كل ذلك كان فشلًا، كما كان متوقعًا. الآن أعلم أنني سأحتاج إلى بدء التفاعل النشط في هذه المرحلة، لذلك أشغل الجهاز الافتراضي، وأفتح بريدًا إلكترونيًا وهميًا في Gmail، وأبدأ العمل. لن أرسل لهم بريدًا إلكترونيًا من حساب عملي وأعرض أي شيء عني، لذلك سيتم ذلك تحت اسم مستعار مفضل لي.

التفاعل مع المحتال

لذلك أنا أرسل بريدًا إلكترونيًا باردًا لهم من حساب جديد لم يرونه من قبل، ولكن بالنظر إلى حقيقة أنني متأكد من أنهم أرسلوا رسائل بريد إلكتروني غير مرغوب فيها إلى عدد لا يحصى من العناوين البريدية في بحثهم عن ضحية، شككت في أنهم سيلاحظون ذلك على الإطلاق. كنت على حق. قد تلاحظ أيضًا توقيعي في البريد الإلكتروني حيث أحاول فعليًا خداعهم مرة أخرى. هل يبدو نادي صيادي الكنوز مثيرًا بما يكفي للنقر على الرابط في توقيعي؟ إذا فعلوا ذلك، فسيتم التقاط عنوان IP الخاص بهم على الفور قبل إعادة توجيههم إلى موقع ويب عادي تمامًا وغير ضار قمت ببرمجته ليكون الوجهة النهائية.

استدراج المحتال

أبدأ فعليًا في التساؤل... ما هو هدفهم النهائي هنا؟ لا يمكن أن يكون الأمر مجرد سرقة الهوية البسيطة، أليس كذلك؟ ربما يكشف المزيد عن نفسه بينما نواصل.

كما ترون، يتم تحويلي إلى عنوان بريد إلكتروني جديد يبدو أكثر رسمية بكثير. سأمر بسرعة على هذا الجزء من القصة لأنه يتضمن تبادلًا متعددًا للبريد الإلكتروني معهم يؤكدون لي أنهم مستعدون لتحويل الأموال ولكنهم يحتاجون إلى صورة لهويتي، وأنا أتعثر في أسباب مختلفة لعدم قدرتي على إرفاق ملف JPG بسيط بالبريد الإلكتروني، محاولًا إبقائهم على الخط لكشف شيء مفيد.

ولكن في هذه الأثناء، حدث شيء مذهل... لقد نقروا على الرابط!

التحليل والتتبع

لدي عنوان IP للعمل به! بالطبع، لا أعقد آمالًا كبيرة على أن يكون هذا هو عنوان IP الفعلي لشخص ما وليس واحدًا من الزيلونات من عناوين IP VPN المتاحة بسهولة لأي شخص لديه أدنى قدرة على Google، لكنني سأتحقق...

أرى أن مزود خدمة الإنترنت (ISP) هو Orange، من منطقة ساحل العاج في إفريقيا، وأتحقق منه في عدة أدوات مثل maxmind.com، ipinfo.io، و dnslytics.com لمعرفة ما يمكن أن تخبرني به. جميعهم يقولون أن Orange هو مزود خدمة الإنترنت، المنطقة العامة هي أبيدجان في كوت ديفوار، والآن أرى أنه سلبي بالنسبة لـ VPN/proxy/TOR/relay. هذا يبدو واعدًا حقًا!

كشف الهوية

كما ترى، لدينا واحد هيل ماري لنرمي هنا، وهو صديقنا القديم بيانات الاختراق. أسميه هيل ماري لأنه نجح معي بضع مرات فقط على مر السنين مع عناوين IP بسبب عدد من العوامل حول كيفية تغييرها وكذلك الانتقال من IPv4 إلى IPv6، لكنه لا يزال شيئًا يستحق التحقق. وكما اتضح، تم اختراق هذا العنوان IP، وكان مرتبطًا بحساب شخص ما. شخص سنسميه "PB" من الآن فصاعدًا.

هذه أخبار رائعة (محتملة)! أقول محتملة لأن هناك الكثير من النجوم التي يجب أن ترافق معلومات كهذه. أولاً، لا يضع هذا الشخص خلف لوحة المفاتيح في حالتي. ثانيًا، لا نعرف ما إذا كان هذا العنوان IP من الاختراق لا يزال مع هذا الشخص. قائمة العوامل تستمر، ولكن في الوقت الحالي سنسمي "PB" شخصًا مثيرًا للاهتمام ونرى إلى أين تذهب الأمور.

التحقيق باستخدام OSINT

الآن نصل إلى الجزء الممتع، OSINT! نحن نعمل مع بريد إلكتروني واسم، ونريد أن نرى من هو هذا الشخص، ماذا يفعل، وأين هو في العالم.

كان العثور على موطئ قدم في حياة هذا الشخص عبر الإنترنت تحديًا في البداية، لأنه لا يستخدم اسمه الحقيقي المفترض "PB" في مقابض وسائل التواصل الاجتماعي، بل يستخدم نسخة مما سأطلق عليه "Bright Man". إليك نصيحة صغيرة لك... استطعت تحديد ملف تعريف فيسبوك لهذا الشخص من خلال ترك Google يقوم بالعمل نيابة عني، وإنشاء Google dork لعرض النتائج المفهرسة من فيسبوك على وجه الخصوص التي تتضمن أجزاء من اسم "PB" في عنوان URL. شيء مثل site:facebook.com "TERM1 AND TERM2".

حسنًا، لذا السيد Bright Man هو مجرد شخص مثير للاهتمام هنا، وقد يكون غير مرتبط بعملية الاحتيال، لذلك سأغطيه، لكنني سأقول إنه كان لديه حضور عبر الإنترنت كبير للاستكشاف:

استطعت أيضًا جمع عدة أرقام هواتف وعناوين بريد إلكتروني من أدلة تركها في منشوراته ومقاطع الفيديو الخاصة به عبر الإنترنت، وكذلك تحديد مكان إقامته تقريبًا من خلال تحديد مواقع بعض مقاطع الفيديو الخاصة به على YouTube. لذا، لدي فهم جيد الآن عن هذا الشخص المثير للاهتمام، إذا أصبح ذلك مفيدًا في المستقبل.

الكشف النهائي

كلما كنت أبحث في حياة السيد Bright Man عبر الإنترنت، كان هناك سؤال يحترق في ذهني... ما هو هدف المحتال النهائي؟ من الواضح أن الاحتيال هو من أجل المال، ولكن حتى الآن أسوأ شيء حاولوا القيام به هو الحصول على نسخة من جواز سفري، وعنواني، ورقم هاتفي. هل يمكنهم تحقيق ربح من ذلك؟ بالتأكيد. هل هو أكثر عملًا من مجرد جعلي أرسل لهم المال بطريقة ما؟ نعم.

وفجأة، يصل الجواب أخيرًا إلى بريدي الوارد. إنه احتيال رسوم مسبقة. أُبلغ بأن الحساب الذي يحمل مبلغ 4.6 مليون دولار أمريكي هو "حساب

معلق" يتطلب إعادة التنشيط عن طريق دفع رسوم قبل أن يتمكنوا من إطلاق الأموال بالكامل. أُعرض علي خياران: 1. إعادة تنشيط الحساب والمطالبة بالفوائد الكبيرة المتراكمة مقابل رسوم قدرها 1260 دولارًا أمريكيًا، أو إعادة تنشيط الحساب والتنازل عن الفوائد المتراكمة مقابل رسوم أقل قدرها 860 دولارًا أمريكيًا. كلاسيكي!

الخاتمة

سأحاول مرة أخرى الحصول على معلومات من المحتالين ونرى إلى أين يؤدي ذلك. إذا قمت بتقييم ما حدث، أعلم أنهم يريدونني أن أرسل لهم المال، أعلم أنه يجب أن يكون لديهم طريقة للحصول على ذلك المال، وأعلم أن معلوماتهم المصرفية قد تكشف أدلة جديدة بالنسبة لي، لذا أواصل. أنا مستعد لإرسال المال، فقط أخبرني إلى أين...

الآن، تمكنت من تحديد الضحية الحقيقي وهو توماس سميث، شخص بريء تم استغلاله من قبل المحتالين. جمعت كافة المعلومات الضرورية وأرسلتها للسلطات المحلية لمساعدته. كانت هذه رحلة مثيرة وملهمة في عالم الكشف عن الاحتيال والذكاء الرقمي.

شكرًا لبقائك معي حتى النهاية. آمل أن تكون قد استمتعت بالقصة، وربما التقطت بعض الأشياء، والأهم من ذلك أن تكون قد أصبحت أكثر وعيًا قليلاً بالمخاطر التي تلوح في الأفق عبر الإنترنت.

الأدوات المستخدمة

haveibeenpwned.com - للتحقق مما إذا كان البريد الإلكتروني قد تم تسريبه.

emailrep.io - للتحقق من سمعة البريد الإلكتروني.

whatsmyname.app - للتحقق من اسم المستخدم في مختلف المنصات.

Google - للبحث العام.

maxmind.com - للتحقق من مزود خدمة الإنترنت (ISP) وموقع عنوان IP.

ipinfo.io - للتحقق من مزود خدمة الإنترنت (ISP) وموقع عنوان IP.

dnslytics.com - للتحقق من مزود خدمة الإنترنت (ISP) وموقع عنوان IP.

iknowwhatyoudownload.com - للتحقق مما إذا كان عنوان IP يستخدم لتنزيل التورنت.

epieos.com - للبحث في حسابات البريد الإلكتروني.

truepeoplesearch.com - للبحث عن معلومات الأشخاص والعناوين.