ذا ميستيريوس كيس اوف الشركات اللي اتنصب عليها في ملايين
على مدار السنة اللي فاتت ، اشتغلت مع كام شركة اتنصب عليهم في كام مليون حلو كده ، الشركات كلها اتنصب عليهم بنفس الطريقة و نفس الاسلوب ، و للاسف رغم انه الخدعة بسيييييطة جدا الا انها صعب جدا كشفها و فعلا جهنمية ، خلينا نشوف
خطوة رقم 3: يوزر بيكون مش راجل تيكنيكال ، بيكون في العادي بيبعت و بيحول فلوس للخارج ، بيجيلو ايميل تقليدي جدا من شركة هو بيتعامل معاها لاوردر جديد و كل حاجة ، الايميل من ايميل الشركة
خطوة رقم 4: بتفضل الايميلات رايحة جاية عادي ، لحد وقت الاوردر بيجي طلب تغيير الحساب اللي بيتحول ليه الفلوس و تفاصيل التحويل الجديد
لحظة ، هو فين رقم واحد و اتنين ، اتقل…
او في وسط الكلام العادي بيجي ايميل من المورد بطلب تغيير الحساب اللي حاتتحل عليه الفلوس ، طلب عادي من ايميل شركة المورد ، و هنا اليوزر الغلبان بيبص على الايميل ، فعلا من ايميل الشركة ، فيبعت يرد عليه يقوله ممكن تأكد التغيير ، فعلا يجيله التأكيد و هوب يحول الفلوس و بخ
في شركة اعرفها اتنصب عليها في مليون و نص ، و واحدة تانية في 2 مليون ، و في شركة كان حايضيع منها 5 مليون
بس فين المشكلة…..ازاي ده بيحصل….تعالى نشوف
لو شوفت الصورة الاولى ، ده ايميل تقليدي بسيط من ايميلي على الاوتلوك لايميلي على الاوتلوك ، الايميل شكله عااااادي جدا ، بص و راجع كويس
طيب حدوس
Reply
الايميل شكله عادي برضو و تقليدي في الصورة التانية ، ب بص تاني كده ، ستوووووووووووووووووووووووب
بص كويس في الصورة التانية ، في حرف متغير في الايميل ، واخد بالك
بدل
Outlook
بقت
Outluok
و هي دي الثغرة اللي اليوزر الغلبان مش بياخد باله منها خااااااااااااااااااااااااااااااالص
تعالى نبص تاني كده للسيناريو بشوية تفاصيل:
خطوة رقم 1: بيكون حصل اختراق للكومبيوتر في مكان ما اما عند الشركة او المورد و حد شاف الايميلات بين الشركات و عرف طريقة صرف و تحويل الفلوس و الاوردر و فضل لابد في الذرة
خطوة رقم اتنين ، فضل مستني لحد ما اوردر معين حايتحط او تحويل فلوس حايتم و هنا الهاكر يبتدي شغله ، يبعت ايميل من الايميل سيرفر بتاعه بس يضيف في الايميل اللي بيتبعت
Header
بسيط اسمه
Reply-to
في الصورة التالتة حتشوف اني ضفت الهيدر
هنا اما بيجي الايميل في الخطوة 3 ، فهو بيجي شكله من الشركة و طبيعي بطلب تغيير الحساب او تحويل فلوس او او او ، و هنا الراجل بيرد عادي و يطلب التأكيد ، هنا يشتغل ال
Reply-to
و بدل ما يروح الايميل على الايميل اللي في ال
From
بيروح على ال
Reply-to
اللي فيه حرف بسيط متغير اليوزر غالبا مش بياخد باله منه ، ده مش حاجة معقدة لانه ده دور ال
Reply-to
انه بتقول انه الايميل ده جاي من ايميل ، بس الرد يروح لايميل تاني ، بتلاقي الكلام ده كتير اوي في الكساتمر سبورت و الكول سنتر
يبتدي بقا النقاش يتم على الايميل الجديد و الراجل مش واخد باله من حاجة و يجيله التأكيد و كله في السليم و الفلوس تتحول و كل سنة و انت طيب
هل الموضوع ده مؤثر ، فشخ ، و اكتر من شركة اعرفها تم النصب عليها بالشكل ده في ملايين….
طب و الحل يا مرسي ؟!
الموضوع ده معقد اوي لانه ال
Reply to
من ضمن الحاجات التقليدية و الستاندارد بتاعت الايميل هيدرز ، يعني منقدرش نقول انه اي ايميل فيه
Reply-to
يبقا سبام ، مش صح ، ففي عامل مهم جدا على اليوزر ، اضف انه لازم تعمل بروتكشن محترم بيعمل
Anti Spoof
و ان كان الانتي سبوف كان شغال في الحالات دي كلها و مقدرشي يمسكها
مراجع:
Follow me on Twitter
Blog Stats
- 438,288 Visits
Categories
- Active Directory
- announcements
- ARCserve
- Azure
- BackupExec
- bla bla bla
- Book Reviewes
- Career Development
- Chess
- Citrix
- Cloud
- Deep in Active Directory
- Egypt
- Elasticsearch
- Exchange
- Exchange 2010
- Exchange 2010 AKA E14
- Exchange and UC
- Exchange Server 2013
- FCS
- fitness
- food
- forefront
- Hyper-v
- IPility Training Offerings
- IT Events
- Lync
- Lync 2010
- Microsoft
- MOM/SCOM
- MVP
- Netapp
- Netbackup
- News
- nutrition
- OCS 2007 R2/CS14
- OCS2007 R2
- Office 365
- Opalis
- powershell
- random
- Riverbed
- RSA
- SAN
- SCVMM
- Security
- Security related
- SMS/SCCM
- Social Media
- Softgrid
- Storage
- Storage and Networking
- Symantec
- System Center
- Ubuntu
- Uncategorized
- Unified Communications
- كلام في السياسة
- Vcloud Director
- vCloud Ochestrator
- vCloud Orchestrator
- VDI
- VirtualBox
- VMware
- VMware SRM
- Windows Server 2012
- Wirless related
- Xenapp
- Xendesktop
- الش
- حقائق غير تاريخية
Recent Posts
- Elasticsearch – Parse WildFly Application server Logs
- Elasticsearch – how to parse MySQL general log
- Elasticsearch stops immediately after enabling network.host settings in elasticseach.yml file
- You Receive “Unable to Launch Browser input/output error” on Ubuntu Xfce Desktop
- You Recieve Connection Closed when connecting from Fortigate VPN SSL to Windows Server RDP 2012/2016/2019/2022
Archives
- February 2023 (6)
- April 2021 (1)
- August 2020 (2)
- March 2020 (1)
- February 2015 (1)
- September 2014 (1)
- July 2014 (1)
- June 2014 (1)
- March 2014 (1)
- February 2014 (1)
- January 2014 (5)
- December 2013 (4)
- November 2013 (2)
- September 2013 (3)
- August 2013 (3)
- June 2013 (5)
- May 2013 (3)
- April 2013 (3)
- March 2013 (4)
- February 2013 (1)
- January 2013 (3)
- December 2012 (4)
- November 2012 (1)
- October 2012 (5)
- September 2012 (19)
- August 2012 (4)
- July 2012 (5)
- June 2012 (9)
- March 2012 (6)
- February 2012 (1)
- January 2012 (1)
- December 2011 (4)
- November 2011 (1)
- October 2011 (3)
- September 2011 (4)
- August 2011 (1)
- June 2011 (1)
- April 2011 (7)
- February 2011 (5)
- January 2011 (6)
- December 2010 (4)
- November 2010 (5)
- October 2010 (14)
- September 2010 (4)
- August 2010 (9)
- July 2010 (17)
- June 2010 (23)
- May 2010 (23)
- April 2010 (7)
- March 2010 (9)
- February 2010 (5)
- January 2010 (1)
- December 2009 (7)
- November 2009 (4)
- September 2009 (5)
- August 2009 (13)
- May 2009 (2)
- April 2009 (3)
- January 2009 (2)
- December 2008 (5)
- November 2008 (4)
- October 2008 (7)
- July 2008 (2)
- June 2008 (2)
- May 2008 (2)
- April 2008 (30)
- March 2008 (60)
- February 2008 (1)
Cool Blogs
Exchange Team Blog.
http://msexchangeteam.com/
Jonas Anderson Blog
http://www.testlabs.se/blog/