تستهدف الهندسة الاجتماعية العقول البشرية لتحويل نوايا المهاجمين الخبيثة إلى هجمات إلكترونية فعلية.
إنه يلعب على جشعك وخوفك وانعدام الأمن لخداعك لإعطاء كلمات المرور الخاصة بك وغيرها من المعلومات الحساسة. من الشائع تلقي رسائل بريد إلكتروني أو نصوص مشبوهة تحتوي على تحذيرات وعروض محدودة الوقت ، مما يشجعك على إدخال التفاصيل السرية.
يجب أن تكون مدركًا ومنتبهًا على مدار الساعة ، خاصةً عندما ترى عروضًا سخية مشكوكًا فيها وتحذيرات مشؤومة مع عواقب غامضة.
محتويات المقالة
ما هي الهندسة الاجتماعية؟
في الأمن السيبراني ، الهندسة الاجتماعية هي ممارسة خبيثة لخداع الناس للكشف عن معلوماتهم الحساسة باستخدام التلاعب النفسي. يمكن للمهاجمين إجراء هجوم هندسة اجتماعية بخطوة واحدة أو أكثر أثناء استخدام تقنيات مختلفة.
كل عقل مختلف ، وكذلك تحيزاته المعرفية. تستخدم الهندسة الاجتماعية التحيزات المعرفية المختلفة للعقل البشري لتصميم ناقل وتقنية مناسبة للهجوم.
يستفيد المهاجمون بشكل غير عادل من تعقيدات صنع القرار هذه لإحداث تغييرات في تقنياتهم. إنه يضيف إلى إنتاج العديد من تقنيات الهندسة الاجتماعية التي تستهدف بشكل حصري المجموعات أو الأفراد.
وبالتالي ، يصبح من الضروري بالنسبة لك البحث عن الانحرافات وتهديدات الهندسة الاجتماعية باستمرار. بالنسبة للمؤسسات ، من المهم للغاية مراقبة التهديدات نظرًا لأن اعتماد تسجيل دخول واحد تم اختراقه قد يؤدي إلى خرق أمني لا يمكن احتواؤه.
يُنصح بتجهيز دفاعك بأنظمة منع التسلل والكشف عنه ، وجدران الحماية ، وبرامج مكافحة البريد الإلكتروني العشوائي ، وآليات الدفاع الأخرى. سيساعدونك في اكتشاف واحتواء هجوم الهندسة الاجتماعية عند ظهور المحن.
مراحل هجوم الهندسة الاجتماعية
ينقسم هجوم الهندسة الاجتماعية إلى أربع مراحل على النحو التالي:
البحث: يلعب جمع المعلومات حول اهتمامات الضحية والحياة الشخصية والمهنية والسمات المماثلة دورًا مهمًا في تحديد معدل نجاح الهجوم.
البدأ بالتنفيذ: يبدأ المهاجمون محادثة سلسة مع الأهداف دون ترك أي فجوة للشك أو عدم الثقة.
الهجوم: عندما يتم إشراك الأهداف بشكل مناسب ، يتحرك المهاجمون لاسترداد المعلومات التي يبحثون عنها أو يخدعون الضحايا للقيام بعمل ما.
النهاية: بمجرد تلبية دوافع المهاجمين ، يقومون بقطع الاتصال مع الضحية دون إثارة أي شك.
تقنيات وهجمات الهندسة الاجتماعية
لا تقتصر تقنيات الهندسة الاجتماعية على عدد محدد ، ولكن مفاهيمها الأساسية توحد التقنيات المتنوعة في مجموعات فريدة.
التصيد Phishing
التصيد الاحتيالي هو أسلوب هندسة اجتماعية شائع تصادفه كثيرًا.
يمكنك ملاحظتها في رسائل البريد الإلكتروني المشبوهة في صندوق الوارد أو مجلدات البريد العشوائي. تحمل رسائل البريد الإلكتروني هذه مرفقات ضارة متخفية في صورة ملفات أصلية ، والتي يمكنها تثبيت برامج ضارة أو برامج ترويع على جهازك عند تنزيلها.
في بعض الحالات ، بدلاً من إرسال المرفقات ، يستخدم المهندسون الاجتماعيون الروابط. تنقلك هذه الروابط إلى موقع ويب ضار يتلاعب بك للكشف عن معلوماتك الحساسة. تستخدم الشركات برامج مكافحة البريد الإلكتروني العشوائي لحماية المستخدمين من عمليات التصيد الاحتيالي.
في بعض الأحيان ، يستهدف المحتالون مجموعة صغيرة بدلاً من شن هجوم تصيد على نطاق واسع. يجرون بحثًا شاملاً على المجموعة المستهدفة لتتوافق مع اهتماماتهم وكسب ثقتهم. تسمى هذه الأنواع من هجمات التصيد الاحتيالي بالرمح .
تشكل هجمات التصيد الاحتيالي بالرمح تهديدات كبيرة للمؤسسات حيث يساعد البحث وراءها في إخفاء المهاجمين كموظفين حقيقيين.
تتضمن حملات التصيد بالرمح كميات كبيرة من الاستطلاع.
يستخدم المهاجمون مواقع التواصل الاجتماعي مثل LinkedIn و Twitter و Instagram وغيرها لجمع معلومات حول هدف ما. يستخدمون المعلومات الشخصية والمهنية لإعداد بريد إلكتروني يبدو أصليًا ولكنه يحمل نية خبيثة خفية.
عنصر آخر من عناصر التصيد الذي يتطلب انتباهك هو التصيد (أو التصيد الاحتيالي للمكالمات الهاتفية). يستخدم الجاني نظام استجابة صوتية تفاعلية خادع (IVR) مصمم لتكرار الرد الصوتي التفاعلي لمؤسسة أو بنك في هجوم تصيد احتيالي.
يرسل المهاجمون بريدًا إلكترونيًا إلى الضحايا ، لإقناعهم بالاتصال برقم مجاني يربطهم بجهاز الرد الصوتي التفاعلي المارق. يرشدهم نظام الاستجابة الصوتية التفاعلية لإدخال بيانات اعتماد المستخدم على صفحة ويب ضارة ، تشبه صفحة شرعية.
يقوم الضحايا بإدخال كلمات المرور الخاصة بهم عدة مرات ، لكن صفحة الويب الضارة ترفضهم. يخدع الضحايا في الكشف عن كلمات مرور مختلفة للمهاجم.
التصيد الإحتيالي عبر الرسائل القصيرة
عندما يتم تنفيذ التصيد الاحتيالي باستخدام خدمة الرسائل القصيرة (SMS) ، فإنه يطلق عليه عادة التصيد الاحتيالي . يستدرج المهاجمون الضحايا إلى مواقع الويب الضارة عن طريق خداعهم للنقر فوق ارتباط ضار في رسالة نصية. يخفي المهاجمون هذه الرسائل لتكرار تنبيهات استلام البريد أو التسليم ، أو الجوائز الجذابة ، أو الخصومات ، أو التحذيرات التي تشجع المستلم على اتخاذ إجراء.
أصبحت Sony Pictures ضحية لهجوم هندسة اجتماعية في عام 2014. أرسل مجرمو الإنترنت العديد من رسائل التصيد الاحتيالي المدعمة بمرفقات البرامج الضارة للوصول إلى شبكة Sony.
أجرى المهاجمون استطلاعًا سريًا لبضعة أشهر. عندما تمكنوا من الوصول إلى الشبكة ، بدأوا في إرسال رسائل بريد إلكتروني تحتوي على تهديدات للمديرين التنفيذيين والموظفين في الشركة ، والوصول إلى المعلومات السرية وغيرها من البيانات الحساسة.
الإصطياد
يغلف الطُعم جميع أساليب الهندسة الاجتماعية التي تغري الضحية المستهدفة بالطُعم.
عادةً ما تستخدم هذه التقنية طُعمًا جسديًا ولكنها لا تقتصر عليه. في البيئات الرقمية ، يمكن تسليم الطعوم عن طريق إنشاء إعلانات ضارة واستخدام وسائط مماثلة.
يمكن للمهاجم إرسال طُعم مادي على شكل قرص ثابت خارجي ، و USB ، وقرص مرن ، وأقراص مضغوطة ، وأقراص DVD ، وما شابه. ستجده في الأماكن العامة التي يمكن للموظفين الوصول إليها. يقوم الممثلون السيئون بوضع علامات على الطعوم بملصقات قد تهمك أكثر من غيرها. على سبيل المثال ، يمكن أن تكون قائمة تقييم وترقيات وأشياء مماثلة.
إذا قام أي شخص في مكان عملك بتوصيله بنظام الكمبيوتر الخاص به ، فإنه يسلم برامج ضارة إلى أجهزته. تستخدم الشركات مجموعات حماية نقطة النهاية لمنع الطُعم في مثل هذه المواقف ومنع البرامج الضارة من التثبيت على سطح المكتب أو الكمبيوتر المحمول.
أنت بحاجة إلى التأكد من أن القوى العاملة لديك متعلمة جيدًا ومطلعة على تقنيات الهندسة الاجتماعية لتجنب الوقوع فريسة لها.
يمكن أن يساعدك التعلم المستمر والوعي الذي يتم نقله من خلال برنامج التدريب على الوعي الأمني في تدريب الموظفين على نطاق واسع وتقييم استعدادهم الأمني.
الذريعة
تتضمن عملية التحايل على صياغة سيناريوهات وهمية لإشراك الضحايا وإقناعهم بالتصرف وفقًا لنية المهاجمين الخبيثة. تتطلب هذه التقنية من المهاجم إجراء بحث شامل على الهدف وتنفيذ انتحال الهوية بأكبر قدر ممكن.
يُنظر إلى التحريف المسبق بالإجماع باعتباره التطور الأول في الهندسة الاجتماعية. الآن ، يتم استخدامه لخداع الأشخاص للكشف عن معلوماتهم الشخصية أو بيانات العمل السرية.
في الخطوة الأولى ، يحاول المهاجمون بناء الثقة مع الضحية من خلال انتحال صفة الشرطة أو البنك أو المؤسسات المماثلة التي لها الحق المفترض في المعرفة. قد يحصد المحتالون أهدافهم من معلوماتهم الحساسة مثل رقم الحساب المصرفي ورقم الضمان الاجتماعي وتفاصيل بطاقة الائتمان والعديد من البيانات السرية الأخرى.
الهندسة الاجتماعية العكسية هي مثال نموذجي على الذريعة. هنا ، لا يتصل المهاجمون بالضحية ولكن يتلاعبون بها ليتم خداعهم للاتصال بالمهاجم.
على سبيل المثال ، ملصق على لوحة إعلانات يبلغ عن التغيير في رقم هاتف مكتب خدمة تكنولوجيا المعلومات. في هذه الحالة ، سيتصل الموظفون بالمهاجم من خلال تفاصيل اتصال غير شرعية.
يستخدم بعض المهندسين الاجتماعيين الروبوتات الاجتماعية لإرسال طلبات صداقة على نطاق واسع ثم استخدام تقنيات الهندسة الاجتماعية العكسية. بمجرد أن يحدد المهاجمون أهدافهم المحتملة ، فإنهم يستفيدون من البيانات الشخصية للضحايا على وسائل التواصل الاجتماعي لبناء الثقة وخداعهم للكشف عن معلومات سرية أو حساسة.
الثقب المائي
الثقب المائي أو (هجوم حفرة الري) هو أحد أساليب الهندسة الاجتماعية حيث يلاحظ المهاجمون أو يخمنون مواقع ويب معينة تستخدمها المنظمات يوميًا. بمجرد قيامهم بتضييق نطاق مواقع الويب المألوفة للموظفين ، يقوم المهاجمون بإلحاق العدوى بها باستخدام طروادة أو إضافة تعليمات برمجية ضارة.
وبالتالي ، يصبح بعض الموظفين من المجموعة المستهدفة ضحايا. عندما يريد المهاجم معلومات محددة من المستخدمين ، فقد يهاجمون عناوين IP معينة.
يبدأ التحضير لهجوم حفرة الري بالبحث. ينطوي على مراقبة والتحقيق في مواقع الويب التي تستخدمها المنظمات. الخطوة التالية هي فحص هذه المواقع بحثًا عن نقاط الضعف وإصابتها ببرامج ضارة.
وبحسب ما ورد استخدم المهاجمون تقنية الحفر بالمياه للوصول إلى أنظمة أمنية مشددة. ذلك لأن الفخ يقع في بيئة تثق بها الضحية. قد يتجنب الأشخاص بنجاح النقر فوق ارتباط في رسالة بريد إلكتروني غير مرغوب فيها. لكنهم لن يترددوا في اتباع رابط على مواقع الويب التي يثقون بها.
من الأمثلة البارزة على هجوم حفرة الري حملة المياه المقدسة التي تستهدف الجمعيات الدينية والخيرية الآسيوية. خدع المهاجمون الضحايا لتحديث Adobe Flash ، مما تسبب في الهجوم.
Tailgating
Tailgating هي تقنية هندسة اجتماعية حيث يحاول الجاني الوصول إلى مواقع آمنة عن طريق خداع بعض الموظفين للاعتقاد بأنهم مصرح لهم بالوصول إلى مواقعهم. على سبيل المثال ، للوصول إلى مكتبك ، قد يطلب منك الجاني فتح الباب الأمامي برمز هوية مميز أو بطاقة RFID يخدعك للاعتقاد بأنهم نسوا علامتهم في المنزل.
في بعض الحالات ، قد يحملوا بطاقة هوية مزيفة ويطلبون منك منحهم حق الوصول لأن آلة المقاييس الحيوية لا تقبل بصمات أصابعهم بسبب خطأ تقني.
تستفيد ميزة Tailgating بشكل غير مستحق من المجاملة العامة.
كعمل مفيد ، قد يبقي الموظف الباب مفتوحًا لمهاجم (متنكر في زي موظف آخر) وينسى طلب إثبات الهوية. في بعض الأحيان ، قد يقدم الجاني إثبات هوية مزيفًا مصممًا تمامًا مثل الحقيقي ، ولا يهتم الشخص المخول بتفاصيل الدليل.
فئات المهندسين الاجتماعيين
هناك مجموعة واسعة من المهندسين الاجتماعيين الذين يستخدمون تقنيات مختلفة لجمع المعلومات الحساسة. يمكننا تصنيفها إلى:
- قراصنة القبعة السوداء: هم أشخاص لديهم نوايا خبيثة يرغبون في الانخراط في نشاط غير قانوني للحصول على وصول غير مصرح به إلى أصولك. يستخدم قراصنة القبعة السوداء تقنيات الهندسة الاجتماعية لأن اختراق البشر أسهل عند مقارنتهم بنقاط ضعف الشبكة أو النظام.
- ويستخدم مختبرو الاختراق أساليب متعددة للتحقق مما إذا كان الأشخاص في المؤسسة عرضة للإفشاء عن معلومات سرية وحساسة.
- يستخدم الجواسيس أساليب الهندسة الاجتماعية لجمع المعلومات سرًا عن منظمة أو مؤسسة. هدفهم مرتبط بشكل أساسي بتوفير فوائد إستراتيجية أو مالية للمؤسسة التي وظفتهم.
- يسرق لصوص الهوية معلومات التعريف الشخصية (PII) مثل رقم الضمان الاجتماعي والاسم والعنوان وعنوان البريد الإلكتروني وما إلى ذلك. تقدم هذه المعلومات ، عند بيعها على شبكة الإنترنت المظلمة ، فائدة مالية.
- وسطاء البيانات هم شركات أو وكالات تجمع معلومات عن المستهلكين لأغراض إعادة البيع. هناك حالات حيث يتم خداع السماسرة البيانات عن غير قصد في إعطاء المعلومات الحساسة بعيدا إلى العناصر السيئة، وهو ما حدث في خرق البيانات ChoicePoint .
- قد يستخدم الموظفون الساخطون أو الموظفون السابقون تقنيات الهندسة الاجتماعية لتقريب تهديد داخلي على مؤسسة. الهدف الأساسي هو الحصول على نوع من الانتقام من المنظمة لعدم الوفاء بتوقعاتها ، أو يمكن أن يكون تداول المعلومات التي يتعذر الوصول إليها مقابل المال.
- مندوبي المبيعات الذين يتصلون بك لمعرفة الأنظمة أو التكنولوجيا التي تستخدمها حاليًا ، حتى يتمكنوا من تقديم منتجاتهم وفقًا لمتطلباتك. هناك احتمال أن يكونوا مهندسين اجتماعيين يتظاهرون بأنهم مندوبي مبيعات ويحاولون جمع معلومات حساسة.
- يستخدم عامة الناس تقنيات الهندسة الاجتماعية أكثر مما يدركون. قد يكون مراهقًا يحاول الوصول إلى الحساب الاجتماعي لشريكه من خلال الإجابة على أسئلة الأمان. يمكن أن يكون هناك العديد من حالات الحياة الشائعة الأخرى للهندسة الاجتماعية.
كيفية اكتشاف تهديدات الهندسة الاجتماعية
يلعب المهندسون الاجتماعيون على رغبة الناس في الحصول على الرضا. يتنكر المحتالون عمومًا كشخص تثق به أو يحاولون كسب ثقتك في المقام الأول.
يجب أن تكون منتبهًا وحذرًا عندما يحاول شخص لا تعرفه جيدًا بناء الثقة من فراغ.
يمكنك اكتشاف تهديدات الهندسة الاجتماعية عندما تراقب ما يلي:
- بريد إلكتروني من مصدر موثوق به يحفزك على النقر فوق ارتباط غير ذي صلة.
- يطلب زميل أو صديق المساعدة بأقل الطرق المتوقعة ، مما يؤدي إلى الشعور بالإلحاح.
- البريد الإلكتروني للشركة من موقع ويب معروف ولكن باسم مجال غير عادي.
- بريد إلكتروني من القيادة العليا أو زميل في العمل يطلب منك أداء مهمة في أقرب وقت ممكن أو الكشف عن معلومات محددة.
- طلبات التبرع من المنظمات غير الحكومية والمواقع الخيرية الشهيرة التي تستخدم أسماء نطاقات غير منتظمة.
- رسائل تدعي أنك ربحت مكافأة سخية للغاية
- طلب التحقق (OTP ، تغيير كلمة المرور ، إلخ) من المنتجات أو الخدمات التي لم تستخدمها مؤخرًا.
- الرد على سؤال لم تطرحه أبدًا.
- الرسائل التي تخلق عدم الثقة بين زملاء العمل.
- الأشخاص الذين يطلبون منك السماح لهم بالوصول إلى موقع ما .
- رسائل تدعي أنك انتهكت القانون.
- رسائل البريد الإلكتروني التي تطالبك بدفع مبلغ كغرامة عن نشاط غير قانوني قمت به.
- تم إجراء محاولات تسجيل الدخول المتكررة على جهاز غير معروف.
- المستخدمون المصرح لهم الذين يحاولون الوصول إلى معلومات الشركة أو المعلومات المالية خارج نطاقهم.
هذه بعض الإجراءات التي قد تتقارب كتهديدات هندسة اجتماعية ، ولكنها لا تقتصر على ما سبق. تسود مجموعة واسعة من تهديدات الهندسة الاجتماعية في الأعمال التجارية ، ويعد الكشف عنها الخطوة الأولى نحو معالجتها.
كيفية منع هجمات الهندسة الاجتماعية
يمكنك منع هجمات الهندسة الاجتماعية من خلال اعتماد إجراءات مضادة مناسبة.
التوعية والتدريب
تحدث هجمات الهندسة الاجتماعية نتيجة قلة الانتباه والسذاجة. تحتاج إلى توفير الوعي المناسب والمنتظم لموظفيك لإطلاعهم جيدًا على طبيعة التهديدات. يقول بول كوبلر ، العضو المؤسس لـ CYBRI ، “يحتاج البشر إلى التدريب – فهم الحلقة الأضعف.”
“يجب على الشركات توظيف تدريب نصف سنوي موجه لكل مجموعة مستخدمين (المستخدمين النهائيين ، وموظفي تكنولوجيا المعلومات ، وما إلى ذلك) حتى يكون الجميع على دراية بالهجمات الأخيرة”.
يجب أن يكون هناك تدريب مناسب مقدم لحماية نفسك والاستجابة لأنواع مختلفة من تقنيات الهندسة الاجتماعية. على سبيل المثال ، في عملية التخصيص ، إذا طلب منك أحد المهاجمين الذي يتنكر في شكل زميل في العمل منحه حق الوصول ، فيجب أن يتم تدريبك على رفض طلبه بأدب ومساعدته على الاتصال بأفراد الأمن الذين يمكنهم التحقق من هويتهم. وبالمثل ، يمكنك توفير التدريب لجميع سيناريوهات الهندسة الاجتماعية الشائعة والمتطورة.
إطار موحد
تأكد من أن مؤسستك لديها إطار عمل قياسي للتعامل مع المعلومات الحساسة. يحتاج كل موظف إلى معرفة كيفية التعامل مع المعلومات.
عليك أن تبقيهم على اطلاع جيد عند مشاركة المعلومات والتأكد من فهمهم لأنواع المعلومات التي يمكنهم التواصل داخليًا وخارجيًا. يسمح إنشاء إطار عمل معياري لأمن المعلومات لإدارة المعلومات للموظفين بتدريب أنفسهم على متى ولماذا وأين وكيف يجب التعامل مع المعلومات الحساسة.
البروتوكولات والأدوات والسياسات الوقائية
من الضروري أن يكون لديك البرنامج المناسب لمقاومة هجمات الهندسة الاجتماعية. على الرغم من أن أفضل دفاع ضد الهندسة الاجتماعية هو تمكين العقول البشرية لتكون واعية ومتيقظة ، إلا أن الحلول البرمجية مثل جدران الحماية وغيرها من الحلول المتنوعة تساعد في التستر على النهايات السائبة الموجودة حتى بعد برامج التدريب.
ينصح بييرلويجي باجانيني ، الباحث الأمني في معهد InfoSec ، بحماية الهويات الرقمية للمستخدمين من هجمات الهندسة الاجتماعية. يقول باغانيني ، “استخدم أنظمة دفاع مناسبة مثل عوامل تصفية البريد العشوائي ، وبرامج مكافحة الفيروسات ، وجدار الحماية ، وحافظ على تحديث جميع الأنظمة.”
تأكد من أن لديك الترسانة المناسبة من حلول الأمان والبروتوكولات القياسية والسياسات لمنع هجمات الهندسة الاجتماعية في مؤسستك.
الاختبارات والمراجعات
عندما تقوم بتعيين جميع أنظمة الدفاع الوقائي ضد الهندسة الاجتماعية والهجمات الإلكترونية الأخرى ، فمن الأهمية بمكان اختبارها ومراجعتها بانتظام. للتأكد من أن القوة العاملة لديك مقاومة لمحاولات الإقناع ، يمكنك الاستعانة بوكالة خارجية لإجراء هجوم هندسة اجتماعية محكوم وإيجاد الثغرات في إعدادك الحالي.
بالنسبة لأنظمة الأمان ، استفد من اختبار الاختراق لاختبار الطرق المختلفة التي يمكن للمتسلل من خلالها استغلال ثغرة أمنية في أصولك إذا نجح في احتيال الهوية عبر هجوم الهندسة الاجتماعية. قم بإصلاح هذه الثغرات وإجراء فحص منتظم للثغرات الأمنية لتحديد ما إذا كانت هناك نقاط ضعف أمنية جديدة تظهر أم لا.
التخلص السليم من النفايات
من الضروري الاحتفاظ بالنفايات الإلكترونية أو النفايات الورقية لمؤسستك في حاويات ذات أقفال حتى يتم التخلص منها بشكل مناسب من قبل سلطات إدارة النفايات. قد تشمل هذه النفايات محركات الأقراص الصلبة المستخدمة أو أجهزة USB المعيبة أو المستندات الحساسة التي لم تعد مطلوبة.
هذه النفايات لا يمكن أن تكون مفيدة لك. ومع ذلك ، لا يزال بإمكان المهاجمين استخدامه كناقل للهجوم أو للوصول إلى المعلومات الحساسة عن طريق تجديد النفايات الإلكترونية التي تم التخلص منها أو إعادة بناء المستندات الورقية الممزقة.
تأكد من أن مكبات النفايات الخاصة بك خلف بوابات أو أسوار مقفلة ، أو مرئية للموظفين ، لذلك سيلاحظ الناس ما إذا كان أي شخص يحاول التعدي.
هندس عقلك
تهدف هجمات الهندسة الاجتماعية إلى خداع الأشخاص للقيام بشيء لا يفعلونه عادةً. يجب أن تكون مدركًا لذاتك وأن تدرب عقلك في المجالات التي تتصرف فيها باندفاع أو بقلق وتبحث عن علامات وتهديدات هجوم الهندسة الاجتماعية.
Hi my family member! I wish to say that this article is amazing, nice written and include approximately all vital infos. I would like to look extra posts like this.
Thanks for the sensible critique. Me & my neighbor were just preparing to do a little research on this. We got a grab a book from our local library but I think I learned more clear from this post. I am very glad to see such fantastic information being shared freely out there.