(1)
سوف أتحدث في هذا الثريد عن كيفية وصول محققي المكتب الفيدرالي والخدمة السرية للأشخاص الثلاثة المتهمين بالوصول للحسابات الموثقة بتويتر لشخصيات سياسية واقتصادية التي تمت بتاريخ 15 يوليو 2020. وفيها بعض الدروس المستفادة في التحقيق الرقمي للجرائم المعلوماتية.
#الامن_السيبراني
سوف أتحدث في هذا الثريد عن كيفية وصول محققي المكتب الفيدرالي والخدمة السرية للأشخاص الثلاثة المتهمين بالوصول للحسابات الموثقة بتويتر لشخصيات سياسية واقتصادية التي تمت بتاريخ 15 يوليو 2020. وفيها بعض الدروس المستفادة في التحقيق الرقمي للجرائم المعلوماتية.
#الامن_السيبراني
(2)
من الدروس المستفادة المهمة إن أضعف حلقه دائما هي العنصر البشري. وللمعلومية هؤلاء المتهمين لا يطلق عليهم مخترقين محترفين فقط استطاعوا خداع العنصر البشري بأعطاء المعلومة التي ساعدتهم بإتمام عملية القرصنة.
#الامن_السيبراني #أمن_المعلومات #DFIR
من الدروس المستفادة المهمة إن أضعف حلقه دائما هي العنصر البشري. وللمعلومية هؤلاء المتهمين لا يطلق عليهم مخترقين محترفين فقط استطاعوا خداع العنصر البشري بأعطاء المعلومة التي ساعدتهم بإتمام عملية القرصنة.
#الامن_السيبراني #أمن_المعلومات #DFIR
(3)
نبدأ أولا بأسماء المتهمين وهم ثلاثة أشخاص:
1- جراهام إيفان كلارك 17 سنة ولقبه هو "كيرك" من فلوريدا – تامبا ويعيش في كاليفورنيا وهو الرأس المدبر وصاحب الفكرة
2- ميسون شيبارد 19 سنة ولقبه هو "تشايون" من بريطانبا
3- نيما فازلي 22 سنة ولقبه هو "رولكس" من فلوريدا- أورلاندو
نبدأ أولا بأسماء المتهمين وهم ثلاثة أشخاص:
1- جراهام إيفان كلارك 17 سنة ولقبه هو "كيرك" من فلوريدا – تامبا ويعيش في كاليفورنيا وهو الرأس المدبر وصاحب الفكرة
2- ميسون شيبارد 19 سنة ولقبه هو "تشايون" من بريطانبا
3- نيما فازلي 22 سنة ولقبه هو "رولكس" من فلوريدا- أورلاندو
(4)
التحضير للعملية بدأت بتاريخ 3 مايو 2020 وتسمى عملية جمع المعلومات، عندما حاول جراهام كلارك إلى الدخول لبرنامج إدارة الدعم الفني لحسابات تويتر مباشره ولكن لم يستطع من الدخول في بادئي الأمر.
التحضير للعملية بدأت بتاريخ 3 مايو 2020 وتسمى عملية جمع المعلومات، عندما حاول جراهام كلارك إلى الدخول لبرنامج إدارة الدعم الفني لحسابات تويتر مباشره ولكن لم يستطع من الدخول في بادئي الأمر.
(5)
ولكن أستطاع بالدخول على أداة لطرف ثالث يستعملها موظفي الدعم الفني في عملية إدارة حسابات تويتر على الرغم إن هذه الأداة يستخدم فيها عملية المصداقية الثنائية في التحقق من الدخول.
ولكن أستطاع بالدخول على أداة لطرف ثالث يستعملها موظفي الدعم الفني في عملية إدارة حسابات تويتر على الرغم إن هذه الأداة يستخدم فيها عملية المصداقية الثنائية في التحقق من الدخول.
(6)
من غير الواضح كم من الوقت استغرق كلارك للقيام بذلك، ولكن العملية استخدمت فيها الهندسة الاجتماعية تسمى "هجوم التصيد عبر الهاتف" لخداع بعض موظفي تويتر والوصول إلى حساباتهم، وتم النجاح مع أثنين من موظفي تويتر.
من غير الواضح كم من الوقت استغرق كلارك للقيام بذلك، ولكن العملية استخدمت فيها الهندسة الاجتماعية تسمى "هجوم التصيد عبر الهاتف" لخداع بعض موظفي تويتر والوصول إلى حساباتهم، وتم النجاح مع أثنين من موظفي تويتر.
(7)
بعد ذلك قام كلارك بتسويق مقدرته باختراق حسابات تويتر عن طريق محادثات الدردشة الخاصة به على منتدى ديسكورد وهو منتدى مخصص لبيع وشراء حسابات التواصل الاجتماعي وكان الهدف هو الحصول على المال عن طريق مقدرته بتغير إعدادات أي من حسابات تويتر.
بعد ذلك قام كلارك بتسويق مقدرته باختراق حسابات تويتر عن طريق محادثات الدردشة الخاصة به على منتدى ديسكورد وهو منتدى مخصص لبيع وشراء حسابات التواصل الاجتماعي وكان الهدف هو الحصول على المال عن طريق مقدرته بتغير إعدادات أي من حسابات تويتر.
(8)
تم التواصل مع شخصين في منتدى الدردشة المذكور لعل وعسى يتم الشراء من قبلهم وهما فازلي وشيبارد وأدع كلارك لهما بأن لديه صلاحية الدعم الفني لحسابات تويتر وتصديقا لكلامه يستطيع تغير إعدادات حساباتهم الشخصية على تويتر وفعلا تم ذلك كما هو موضح بالصورة المرفقة.
تم التواصل مع شخصين في منتدى الدردشة المذكور لعل وعسى يتم الشراء من قبلهم وهما فازلي وشيبارد وأدع كلارك لهما بأن لديه صلاحية الدعم الفني لحسابات تويتر وتصديقا لكلامه يستطيع تغير إعدادات حساباتهم الشخصية على تويتر وفعلا تم ذلك كما هو موضح بالصورة المرفقة.
(9)
وبهذا أقتنع فازلي وشيبارد بأن كلارك لديه صلاحية الدعم الفني لحسابات تويتر. تطورت الفكرة إلى أكبر من ذلك وأتفق الثلاثة على الأعلان على إحدى المنتديات بإمكانية كلارك إلى الوصول للحسابات في تويتر. يعتقد أن الكثيرين دفعوا له المال للوصول إلى حسابات تويتر.
وبهذا أقتنع فازلي وشيبارد بأن كلارك لديه صلاحية الدعم الفني لحسابات تويتر. تطورت الفكرة إلى أكبر من ذلك وأتفق الثلاثة على الأعلان على إحدى المنتديات بإمكانية كلارك إلى الوصول للحسابات في تويتر. يعتقد أن الكثيرين دفعوا له المال للوصول إلى حسابات تويتر.
(10)
فازلي كان أحد المشترين وهو المسؤول عن بث الرسالة الاحتيالية وأنشأ محفظة بالعملة المشفرة بتكوين على موقع كوين بيس لأرسال المبالغ إليها وقد تم تحويل ما مقداره 117000 دولار بعملة البتكوين ولما تم اكتشاف الأمر من قبل موقع كوين بيس أوقفت عمليات التحويل للعنوان المشتبه فيه.
فازلي كان أحد المشترين وهو المسؤول عن بث الرسالة الاحتيالية وأنشأ محفظة بالعملة المشفرة بتكوين على موقع كوين بيس لأرسال المبالغ إليها وقد تم تحويل ما مقداره 117000 دولار بعملة البتكوين ولما تم اكتشاف الأمر من قبل موقع كوين بيس أوقفت عمليات التحويل للعنوان المشتبه فيه.
(11)
مما حال دون تحويل مبلغ 280000 دولار إلى عنوان البتكوين المشتبه فيه.
بعد ذلك تم أكتشاف الأختراق من قبل تويتر لحسابات الأشخاص وتم إيقاف خاصية التغريد لتلك الحسابات بالإضافة إلى إيقاف حساب كلارك لأن حسابه أصبح يملك صلاحية مماثلة لموظفي الدعم الفني.
مما حال دون تحويل مبلغ 280000 دولار إلى عنوان البتكوين المشتبه فيه.
بعد ذلك تم أكتشاف الأختراق من قبل تويتر لحسابات الأشخاص وتم إيقاف خاصية التغريد لتلك الحسابات بالإضافة إلى إيقاف حساب كلارك لأن حسابه أصبح يملك صلاحية مماثلة لموظفي الدعم الفني.
(12)
فيما بعد أظهرت تحقيقات تويتر الخاصة بأن كلارك أستطاع بالدخول على 130 حساب من ضمنهم 45 حساب أستطاع إعادة تعين كلماتهم السرية و 36 حساب أستطاع بالدخول على رسائلهم الخاصة.
فيما بعد أظهرت تحقيقات تويتر الخاصة بأن كلارك أستطاع بالدخول على 130 حساب من ضمنهم 45 حساب أستطاع إعادة تعين كلماتهم السرية و 36 حساب أستطاع بالدخول على رسائلهم الخاصة.
(13)
في اليوم الثاني أي بتاريخ 16 يوليو 202 قدمت إدارة تويتر شكوى جنائية رسمية ليبدأ مكتب التحقيقات الفدرالي والخدمة السرية بالتحقيق بالحادثة. وفقًا لوثائق التحقيق، استخدم مكتب التحقيقات الفدرالي البيانات التي تم مشاركتها على وسائل التواصل الاجتماعي ومن قبل وكالات الأعلام.
في اليوم الثاني أي بتاريخ 16 يوليو 202 قدمت إدارة تويتر شكوى جنائية رسمية ليبدأ مكتب التحقيقات الفدرالي والخدمة السرية بالتحقيق بالحادثة. وفقًا لوثائق التحقيق، استخدم مكتب التحقيقات الفدرالي البيانات التي تم مشاركتها على وسائل التواصل الاجتماعي ومن قبل وكالات الأعلام.
(14)
وتم الحصول على سجلات الدردشة ومعلومات تفصيلية عن مستخدمي منتدى الدردشة ديسكورد وكذلك حصل مكتب التحقيق الفدرالي على نسخة من قاعدة بيانات منتدى أو جي يوزر لأن بعض الإعلانات والرسائل تم نشرها على المنتدى.
وتم الحصول على سجلات الدردشة ومعلومات تفصيلية عن مستخدمي منتدى الدردشة ديسكورد وكذلك حصل مكتب التحقيق الفدرالي على نسخة من قاعدة بيانات منتدى أو جي يوزر لأن بعض الإعلانات والرسائل تم نشرها على المنتدى.
(15)
كذلك تم الحصول على البيانات الخاصة من موقع كوين بيس المختصة بالعمليات المالية للبتكوين وعناوين البتكوين المستخدمة من قبل المتورطين في الاختراق.
كذلك تم الحصول على البيانات الخاصة من موقع كوين بيس المختصة بالعمليات المالية للبتكوين وعناوين البتكوين المستخدمة من قبل المتورطين في الاختراق.
(16)
بعد ربط البيانات المجمعة من المصادر الثلاثة، تمكن مكتب التحقيقات الفدرالي من تتبع هويات المتورطين على المواقع الثلاثة عن طريق البريد الإلكتروني وعناوين البرتوكولات الخاصة بهم.
بعد ربط البيانات المجمعة من المصادر الثلاثة، تمكن مكتب التحقيقات الفدرالي من تتبع هويات المتورطين على المواقع الثلاثة عن طريق البريد الإلكتروني وعناوين البرتوكولات الخاصة بهم.
(17)
طبعا هنالك خطأ وقع فيه فازلي وهو استخدام أسم المستخدم الخاص به في منتدى ديسكورد وربطه بصفحته على منتدى أو جي يوزر وكان هذا أحد الأدلة لكشف هويته.
طبعا هنالك خطأ وقع فيه فازلي وهو استخدام أسم المستخدم الخاص به في منتدى ديسكورد وربطه بصفحته على منتدى أو جي يوزر وكان هذا أحد الأدلة لكشف هويته.
(18)
وكذلك أستخدم أثنين من البريد الإلكتروني الخاص به واحد مسجل على صفحته في منتدى أو جي يوزر والبريد الإلكتروني الثاني أستخدمه للوصول لحسابات تويتر وأيضا نفس الإيميلات أستخدمهم بالتسجيل في كوين بيس للعملات المشفرة وموثقهم بصورة رخصة القيادة الخاصة به.
وكذلك أستخدم أثنين من البريد الإلكتروني الخاص به واحد مسجل على صفحته في منتدى أو جي يوزر والبريد الإلكتروني الثاني أستخدمه للوصول لحسابات تويتر وأيضا نفس الإيميلات أستخدمهم بالتسجيل في كوين بيس للعملات المشفرة وموثقهم بصورة رخصة القيادة الخاصة به.
(19)
وكذلك فازلي أستخدم أنترنت منزله للدخول على المواقع الثلاثة مما سهل عملية المحققين للتعرف عليه من خلال عنوان البروتكول الخاص بالمنزل.
وكذلك فازلي أستخدم أنترنت منزله للدخول على المواقع الثلاثة مما سهل عملية المحققين للتعرف عليه من خلال عنوان البروتكول الخاص بالمنزل.
(20)
بالنسبة للشوبارد أستخدم نفس الطريقة بربط البريد الإلكتروني الخاص به وصورته الشخصية برخصة القيادة للتسجيل في موقع العملات المشفرة كوين بيس بالإضافة إلى إستخدام نفس عنوان العملة المشفرة المستخدمة في عملية الاختراق لشراء لعبة فيديو عبر الأنترنت.
بالنسبة للشوبارد أستخدم نفس الطريقة بربط البريد الإلكتروني الخاص به وصورته الشخصية برخصة القيادة للتسجيل في موقع العملات المشفرة كوين بيس بالإضافة إلى إستخدام نفس عنوان العملة المشفرة المستخدمة في عملية الاختراق لشراء لعبة فيديو عبر الأنترنت.
(21)
هذه الأخطاء الفادحة تدل على أن فازلي و شوبارد ليس مخترقين محترفين بل قراصنة وهدفهم هو الحصول على المال.
هذه الأخطاء الفادحة تدل على أن فازلي و شوبارد ليس مخترقين محترفين بل قراصنة وهدفهم هو الحصول على المال.
(22)
بعد الانتهاء من التحقيقات أعلن المدعي العام أن العقل المدبر هو جراهام إيفان كلارك وتم القبض على القراصنة الثلاثة.
بعد الانتهاء من التحقيقات أعلن المدعي العام أن العقل المدبر هو جراهام إيفان كلارك وتم القبض على القراصنة الثلاثة.
جاري تحميل الاقتراحات...