أمن المعلومات

تحليل لاحد الروابط والصفحات المزورة التي انتشرت عبر الفيسبوك

السلام عليكم و رحمة الله و بركاته أخوتنا الأعزاء,
 
وصلتني قبل عدة أيام استفسارات حول رسالة خاصة يتم ارسالها لمستخدمي الفيسبوك من حساب يدعى “مبلغ الأخطاء”. المحتوى الخاص بهذه الرسالة كما هو مبين في الصورة التالية :
 

11873552_503565756488255_5598731480319976156_n

 
من الطبيعي و البديهي بأن هذا النوع من أنواع الرسائل هو مجرد رسائل إحتيال و الهدف منها متنوع. فمن الممكن أن يكون الهدف منها اجباركم على زيارة مواقع تحتوي على أكواد جافا خبيثة بهدف تحميل برامج خبيثة على الجهاز الخاص بكم, كما يمكن أن يكون الهدف منها جمع معلومات منكم أو اجباركم على الإشتراك بتطبيقات على الفيسبوك و غيرها من الأسباب المختلفة.
 
لماذا مثل هذا النوع من أنواع الرسائل تعتبر رسائل وهمية؟؟
 
السبب في ذلك بسيط جدا, فلو ارادت شركة الفيسبوك أن تقوم بتنبيهك أو إخطارك باي أمر فهي لن تقوم بمراسلتك عبر الرسائل الخاصة و سيتم تنبيهك بأي أمر يحدث على حسابك عبر التنبيهات أو عبر البريد الإلكتروني أو حتى هاتفك النقال.
 
كما أنه لو فرضنا بأن الفيسبوك ستقوم بإرسال رسالة خاصة لحسابك عوضا عن التنبيهات و الإخطارات أو البريد الإلكتروني الخاص بك, فتأكد بأنه لن يتم إختصار الروابط المرسلة بأي من الخدمة المجانية مثل خدمة goo.gl و bit.ly و cutt.us وفيما لو قامت بإختصار الروابط فإن ذلك سيتم عبر خدمتها الخاصة fb.com .
 
رغم قناعتي بأن هذه الرسالة هي رسالة خداع و رسالة وهمية, الا انني اردت ان اتعرف على الغاية و الهدف منها. لذا بدأت بتحليل الرابط بعدة طرق. ففي البداية قمت بإستخدام خدمات مثل الخدمات التي تقوم بفحص الروابط و تظهر لك مدى وثوقية الرابط وتقوم أيضا بإظهار الرابط الذي يتم تحويلك اليه بعد زيارة الرابط المختصر.
 
بعد استخدام احدى هذه الخدمات (والتي يمكنكم التعرف عليها وكيفية التعامل معها من خلال الفيديو التالي : http://technawi.net/?p=3836 ) تبين بأن الرابط النهائي الذي يتم ارسالي اليه هو الرابط التالي :
 
http://4uxzk.httpsproxy.org/hn1n99ywfcmm/yy/a6/?i=778705895&n=eo524lu41ipv
 
ملاحظة : يرجى عدم زيارة أي من الروابط الموجودة في هذا الموضوع وذلك حفاظا على سلامتكم حيث يمكن استخدامها لإختراقك باساليب أخرى مستقبلا 🙂
 
قمت بعدها بفحص الرابط السابق بخدمة من شركة نورتن والتي تظهر فيما لو كان هذا الموقع قد احتوى سابقا على أي برامج خبيثة أو تم استخدامه في عمليات التصيد (Phishing) و كانت النتيجة كما في الصورة التالية :
 
norton

 
حيث تبين أن هذا الرابط و حسب خدمة نورتن قد تم استخدامه سابقا في عمليات التصيد 😀 .
 
بدأت بعدها بتحليل الرابط فبدأت بإستخدام الأمر wget حيث اردت أن اعرف فيما لو انه سيتم تحويلي اثناء زيارة الرابط الى عدة مواقع. والسبب في ذك يعود الى أن المخترقين بالعادة و لتمويه الروابط يقومون بإختصارها بأكثر من خدمة وهذا فعلا ما وجدته حيث ان الرابط السابق يقوم بإعادة توجيه الزائر عدة مرات. في البداية الى رابط مختصر من خدمة bit.ly و بعده يتم التوجيه الى صفحة في نطاق tradeforeex.com و الذي بدوره يقوم بتوجيه الزائر الى احد النطاقين التاليين :
 
http://hideinwebsite.com
 
http://anylink.org
 
wget

 
بعدها أردت أن أقوم بتحليل كل طلب من هذه الطلبات والتأكد من خلوها من أي أكواد جافا سكريبت خبيثة أو غيرها. لذا قمت بتشغيل كل من المتصفح و برنامج burpsuite و قمت بإعداد المتصفح بحيث يرسل الطلبات لبرنامج burpsuite ليتم اعتراضها وتحليلها من خلاله.
 
بعد أن قمت بتحليل هذه الطلبات تبين خلوها من اي امور غامضة و من اي اكواد خبيثة وذلك كما في الصور التالية :
 
req_01

 
req_02

 
req_03

 
req_04

 
req_05

 
req_06

 
req_07

 
req_08

 
web-01

 
صورة للموقع الاول الذي يتم اعادة توجيه الزوار اليه!!

 
web-02

 
صورة للموقع الثاني الذي يتم اعادة توجيه الزوار اليه!!

 
ولأن ناتج استعراض و تصفح الموقعين السابقين هو كما في الصور السابقة و اللذان يحتويان على عدد من الإعلانات!! إعتقدت في البداية بأن الهدف من هذه الرسالة هو الربح المادي وزيادة الزيارات على المواقع عن طريق خداع المتصفحين, و قمت حينها بكتابة تنويه للأصدقاء و المتابعين عبر صفحتي على الفيسبوك كما في الصورة التالية :
 
post

 
بعدها قام أحد المتابعين بالتعليق بأنه قد وجد أمر غريب و حسب الرابط الذي قام بوضعه لاحظت بأن هذه الخدمة تقوم بتحديد بيانات المتصفح مثل عنوان الإنترنت و الدولة و احداثيات المكان الجغرافي فإعتقدت حينها بأن الهدف منه هو كذلك و خصوصا بأن هذه الطرق تم التطرق اليها سابقا في عدة مقالات سابقة قمنا بنشرها على الموقع.
 
قمت حينها بالتواصل مع هذا المتابع و قمت بتحليل الصفحة مرة أخرى و طلبت منه ان يقوم بتحليلها أيضا من طرفه و من يتوصل منا على اي شيء يراسل الطرف الآخر بما حصل عليه لكي يتم توعية المتابعين و تعريفهم بالغاية من وراء هذا الرابط. الا انه لم اجد اي شيء كما تبين لي بعدها بأن الرابط الذي ارسله هو رابط يتم استخدامه من قبل احدى الشركات التي تقدم خدمات تحليل الزيارات و تقوم بإعطاء مالك الموقع بتقرير حول الزوار و الدول وغيرها وهي خدمة مشابهة لخدمة تحليلات جوجل.
 
لم أقف عند هذا الحد فقمت بإرسال رسالة لصديقي الخبير الأمني محمد الطيار أخبرته فيها بجميع التفاصيل و ما توصلت اليه و طلبت منه بأن نقوم بعمل التحليل مرة أخرى و هذا ما حدث. حيث قام الصديق محمد الطيار بتحليل الرابط بأسلوب آخر مغاير لما قمت به وذلك كالآتي :
 
أولا : قام بعمل ping على عنوان الإنترنت وذلك كما في الصورة التالية :
 
ping

 
تبين من خلال الأمر ping بأن هذا النطاق ماهو الا نطاق بديل للنطاق الأصلي المشار اليه في الصورة السابقة و هو ما تم التأكد منه بواسطة الامر host كما في الصورة التالية :
 
host

 
ثانيا : من خلال الأمر ping في الخطوة السابقة تبين بأن هنالك نطاق بإسم hemzahdz.net وبعد تنفيذ الامر whois للحصول على بيانات النطاق كانت النتيجة كما في الصور التالية :
 
whois

whois-02

 
حيث تبين من بيانات النطاق المسجل بأنه مسجل لشخص من الجزائر يدعى حمزة كما هو واضح.
 
ثالثا : تم تصفح الموقع وذلك لمحاولة الحصول على بيانات أكثر والتعرف أكثر عليه. فتبين بأن هذا الموقع هو موقع يقدم خدمة الصفحات المزورة للعديد من المواقع و منها الفيسبوك كما يظهر في الصورة التالية :
 
web

 
تبين من الصورة السابقة وجود صفحة للفيسبوك و عند زيارتها ظهرت الصفحة كما في الشكل التالي وهي تؤكد ما توصلنا اليه من أن هذا الموقع يقدم خدمة صفحات مزورة أو SCAM للزوار.
 
facebook

 
تبقى لدينا بعد المعلومات التي تم جمعها من قبلنا معرفة ما الغاية من هذا الرابط خصوصا بأنه لا يقوم بتحويل الزائر الى صفحة تسجيل دخول وهمية لموقع الفيسبوك؟؟؟
 
الجواب تعرفنا عليه أثناء تصفحي في صفحة الفيسبوك الخاصة بهم فلقد لاحظت وجود صورة تبين اشكال الصفحات المزورة التي تظهر للاعضاء المسجلين في الموقع و تبين بأن الرابط لإحداها هو لموقع الفيسبوك كما توضحه الصورة التالية :
 
face_post

 
لكن لماذا لم تظهر الصفحة المزورة الخاصة بموقع الفيسبوك؟؟؟
 
من خلال آخر منشور تم نشره على الصفحة بتاريخ 18-8-2015 و بالإعتماد ايضا على التعليقات من قبل الزوار تبين بأن المسؤولين عن الموقع يقومون بعمل تحديثات و اصلاحيات و بأن الزوار لا يستطيعون الدخول للموقع..
 
نتمنى أن يكون هذا التحليل قد لاقى إعجابكم و رضاكم و لا تنسونا من دعواتكم و من تنبيه الاصدقاء من مثل هذا النوع من أنواع الخداع.
 
تابعونا قريبا في مواضيع جديدة بعون الله تعالى 🙂
 
لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

مقالات ذات صلة

‫4 تعليقات

  1. ما شاء الله .. فعلا ابدااع بجمع المعلومات والتحليل . .. رووووووووعه مهندس محمد دايما مبدع

    ستفضل انت “هدفي” للوصول الى مستواك باختبار الاختراق … <3

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

6 − 2 =

إغلاق