الوحدة الخامسة: الهندسة الاجتماعية وأساليب الاحتيال

مقدمة الوحدة

في هذه الوحدة، سنستعرض مفاهيم الهندسة الاجتماعية وكيفية استغلالها في الهجمات السيبرانية، مع عرض لأبرز الأساليب الخادعة التي تستهدف العامل البشري للوصول إلى المعلومات والأنظمة. سنتعلم كيفية بناء صفحات التصيد الاحترافية واستخدام أدوات مثل Social-Engineer Toolkit (SET) و Gophish، بالإضافة إلى وسائل الوقاية من هذه الهجمات.

الوقت المقدر لإكمال هذه الوحدة: 6 ساعات

مقدمة إلى الهندسة الاجتماعية

ما هي الهندسة الاجتماعية؟

الهندسة الاجتماعية هي فن التلاعب بالأفراد لدفعهم إلى الكشف عن معلومات سرية أو تنفيذ إجراءات معينة. تعتمد على استغلال الثغرات في السلوك البشري بدلاً من الثغرات التقنية في الأنظمة.

أنواع الهندسة الاجتماعية

التصيد (Phishing): رسائل احتيالية تحاكي جهات موثوقة
التصيد المستهدف (Spear Phishing): هجمات مخصصة لضحية معينة
الاحتيال عبر الهاتف (Vishing): استخدام المكالمات الهاتفية
التصيد البدني (Baiting): استخدام وسائط مادية مثل USB
الانتحال (Pretexting): إنشاء سيناريو خيالي للخداع

إحصائيات مهمة

98% من الهجمات السيبرانية تعتمد على الهندسة الاجتماعية
التكلفة المتوسطة لهجوم تصيد ناجح: $1.6 مليون
30% من رسائل التصيد يتم فتحها من الضحايا
12% من الضحايا ينقرون على الروابط الخبيثة
90% من خروقات البيانات ناتجة عن أخطاء بشرية

مبادئ علم النفس المستغلة

الالتزام والاتساق

الميل إلى الالتزام بالسلوك المتسق مع القرارات السابقة

الإثبات الاجتماعي

الميل إلى تقليد سلوك الآخرين في المواقف الغامضة

الإعجاب

الميل إلى قبول طلب من شخص نعرفه أو نحبه

السلطة

الميل إلى طاعة الأوامر من أشخاص في مواقع السلطة

المعاملة بالمثل

الميل إلى رد الجميل عند تلقي هدية أو معروف

الندرة

الرغبة في الأشياء التي تبدو محدودة الكمية أو الوقت

هجمات التصيد الاحتيالي

التصيد التقليدي (Phishing)

رسائل جماعية ترسل لأعداد كبيرة من المستخدمين، تحاول خداعهم للكشف عن معلومات حساسة مثل كلمات المرور أو بيانات البطاقات الائتمانية.

التصيد المستهدف (Spear Phishing)

هجمات مصممة خصيصًا لضحية معينة، تستخدم معلومات شخصية لزيادة مصداقية الرسالة. غالبًا ما تستهدف الموظفين التنفيذيين (يسمى حينها Whaling).

التصيد عبر الرسائل القصيرة (Smishing)

هجمات تصيد تتم عبر رسائل SMS تحتوي على روابط خبيثة أو أرقام هواتف احتيالية.

تصميم حملات التصيد

عناصر رسالة التصيد الفعالة

عنوان جذاب ومُلح
إحساس بالإلحاح أو الخوف
مظهر احترافي يحاكي الجهات الموثوقة
رابط أو مرفق خبيث
طلب واضح للإجراء (تسجيل الدخول، التحديث، etc.)

بناء صفحات التصيد

نسخ تصميم الموقع الأصلي بدقة
استخدام نطاقات مشابهة (مثال: faceb00k.com)
نموذج تسجيل دخول لجمع البيانات
إعادة توجيه إلى الموقع الحقيقي بعد جمع البيانات
شهادة SSL لزيادة المصداقية

أدوات الهندسة الاجتماعية

Social-Engineer Toolkit (SET)

إطار عمل متكامل لتنفيذ هجمات الهندسة الاجتماعية

                                        git clone https://github.com/trustedsec/social-engineer-toolkit.git

                                        cd social-engineer-toolkit

                                        pip3 install -r requirements.txt

                                        python3 setoolkit

Gophish

منصة مفتوحة المصدر لاختبار التصيد الاحتيالي

                                        # تحميل من https://getgophish.com

                                        ./gophish

Evilginx2

أداة متقدمة لسرقة جلسات العمل عبر هجمات Man-in-the-Middle

                                        git clone https://github.com/kgretzky/evilginx2.git

                                        cd evilginx2

                                        make

Zirikatu

أداة لإنشاء تطبيقات Android خبيثة

                                        git clone https://github.com/kinghacker0/Zirikatu.git

                                        cd Zirikatu

                                        chmod +x zirikatu.sh

                                        ./zirikatu.sh

استخدام SET لإنشاء حملة تصيد

1

تشغيل SET

python3 setoolkit

2

اختيار خيار التصيد الاحتيالي

                                    اختر: 1) Social-Engineering Attacks

                                    ثم: 1) Spear-Phishing Attack Vectors

3

اختيار طريقة الهجوم

                                    اختر: 2) Website Attack Vectors

                                    ثم: 3) Credential Harvester Attack Method

4

تحديد خيار النسخ

                                    اختر: 2) Site Cloner

                                    أدخل عنوان URL للاستنساخ: https://facebook.com

                                    أدخل عنوان IP للاستماع: your_ip

أمثلة واقعية لحملات خادعة

حملة "تحديث كلمة المرور"

رسالة بريدية تبدو وكأنها من قسم تكنولوجيا المعلومات في الشركة، تطالب الموظفين بتحديث كلمات مرورهم بسبب "مشكلة أمنية". الرابط يقود إلى صفحة تسجيل دخول مزيفة تجمع بيانات الاعتماد.

حملة "تتبع الشحنة"

رسالة نصية أو بريدية تدعي وجود شحنة قيد التوصيل، مع رابط لتتبع الشحنة. الرابط يؤدي إلى صفحة تطلب تثبيت تطبيق أو إدخال معلومات شخصية.

حملة "مكافحة غسيل الأموال"

رسالة تدعي أنها من البنك، تشير إلى نشاط مشبوه على الحساب وتطلب التحقق من الهوية. تستهدف سرقة بيانات تسجيل الدخول للخدمات المصرفية عبر الإنترنت.

حملة "فاتورة غير مدفوعة"

بريد إلكتروني يحتوي على "فاتورة" مرفقة بصيغة PDF أو DOC تحتوي على أكواد خبيثة، أو رابط لموقع لدفع الفاتورة المزعومة.

وسائل الوقاية من الهندسة الاجتماعية

للأفراد

تحقق دائمًا من عنوان المرسل وروابط المواقع
لا تفتح مرفقات أو تنقر على روابط غير متوقعة
استخدم المصادقة الثنائية (2FA) حيثما أمكن
كن متشككًا في الرسائل التي تخلق إحساسًا بالإلحاح
أبلغ عن محاولات التصيد إلى قسم تكنولوجيا المعلومات

للمؤسسات

نفذ برامج تدريبية منتظمة على التوعية الأمنية
أجري اختبارات تصيد دورية للموظفين
استخدم حلول تصفية البريد الإلكتروني
طبق مبدأ أقل صلاحيات (Least Privilege)
أنشئ سياسة إبلاغ عن الحوادث الأمنية

كيفية اكتشاف رسائل التصيد

أخطاء إملائية ونحوية في الرسالة
عناوين بريدية غريبة أو غير رسمية
روابط لا تطابق النص الظاهر (احومر عليها بالفأرة قبل النقر)
طلبات غير عادية لمعلومات شخصية أو مالية
تهديدات أو وعود تبدو غير واقعية

أدوات مساعدة للكشف عن التصيد

PhishTool: لتحليل رسائل التصيد المشبوهة
URLScan.io: لفحص الروابط المشبوهة
VirusTotal: لفحص الملفات والروابط
Have I Been Pwned: للتحقق من تسريب بياناتك

اعتبارات أخلاقية وقانونية

تحذير هام

استخدام تقنيات الهندسة الاجتماعية على أفراد أو مؤسسات دون إذن صريح يعتبر جريمة إلكترونية يعاقب عليها القانون في معظم الدول. هذه المواد مقدمة لأغراض تعليمية فقط، لمساعدة المتخصصين في الأمن السيبراني على فهم التهديدات وحماية أنظمتهم.

متطلبات اختبار التصيد القانوني

الحصول على موافقة كتابية من الإدارة
تحديد نطاق واضح للاختبار
عدم تجاوز الحدود المتفق عليها
حماية البيانات التي يتم جمعها
تدمير البيانات بعد انتهاء الاختبار

الشهادات الأخلاقية

CEH (Certified Ethical Hacker)
OSCP (Offensive Security Certified Professional)
CISSP (Certified Information Systems Security Professional)
Security+