Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L15
الفرق الحمراء — الهجوممتقدم70mL15

الهندسة الاجتماعية وتقنيات التصيّد

التصيد الاحتيالي، انتحال الشخصية، والتلاعب البشري

#Phishing#OSINT#Pretext#BEC

لماذا «الإنسان» هو أضعف حلقة؟

تشبيه — شرح مبسط
تستطيع أن تبني جدراناً بسماكة 10 أمتار، لكن لو وقف الحارس عند الباب و فتحه لأي شخص يقول «أنا من الصيانة»، فلا قيمة لكل الجدران. أكثر من 80% من الاختراقات تبدأ بخطأ بشري.

مبادئ الإقناع — Cialdini

  • السلطة (Authority) — «أنا من تكنولوجيا المعلومات».
  • الإلحاح (Urgency) — «حسابك سيُقفل خلال ساعة».
  • الندرة (Scarcity) — «10 أماكن فقط».
  • الإجماع (Social Proof) — «كل زملائك أكملوا التحديث».
  • الإعجاب (Liking) — انتحال شخصية صديق.
  • المعاملة بالمثل (Reciprocity) — هدية صغيرة قبل الطلب.
  • الالتزام (Commitment) — اطلب «نعم» صغيرة قبل الكبيرة.

أنواع الهجمات

Phishing عام
رسالة بريد جماعية بطعم بسيط (تحديث، فاتورة).
Spear Phishing
مستهدفة لشخص بعد OSINT — نسبة نجاحها 30 ضعف.
Whaling
تستهدف المدراء التنفيذيين تحديداً.
Vishing
صوتي عبر الهاتف، غالباً لانتحال صفة الـ IT.
Smishing
SMS — «طرد ينتظر، اضغط الرابط».
BEC (Business Email Compromise)
انتحال CEO لإصدار أمر تحويل عاجل — أكبر خسائر مالية على الإطلاق.
Baiting
USB مرمي في موقف السيارات.
Tailgating
الدخول الفعلي خلف موظف بدون بطاقة.

بناء حملة phishing احترافية (تمرين مصرّح)

01
OSINT
جمع أسماء، إيميلات، تقنيات، أنماط داخلية.
02
اختيار البيع — Pretext
«تذكرة جديدة في Jira» / «إعادة تعيين كلمة المرور» / «بريد خارج المكتب من المدير».
03
بناء الـ landing page
tools
evilginx2 -p phishlets/  # MFA bypass via reverse proxy
gophish + chameleon       # كامل: حملة + تتبع
modlishka                # 2FA-bypassing reverse proxy
goPhish                  # حملات تدريبية</Code>
04
تسجيل دومين مشابه — Typosquatting
bash
dnstwist target.gov         # توليد دومينات متشابهة
# ت𝖺rget.gov, target-gov.com, target.g0v, t4rget.gov
05
إعداد البريد بشكل شرعي
SPF + DKIM + DMARC على دومين الإرسال، مع تسخين IP لتجنب فلاتر السبام.
06
تحليل النتائج
معدل الفتح، معدل الضغط، معدل تسليم الـ creds، الـ MFA bypass.

MFA Bypass عبر Adversary-in-the-Middle

أدوات مثل evilginx2 تعمل كوكيل عكسي بين الضحية و الموقع الحقيقي. الضحية تدخل اسمها و كلمتها و رمز MFA — كل شيء يمر بشكل طبيعي، لكن المهاجم يلتقط الـ session cookie النهائي.

نتيجة
حتى MFA الكلاسيكي (TOTP, SMS) لا يحمي من هذا الهجوم. فقط FIDO2 / WebAuthn / Passkeys محصّنة لأنها مرتبطة بالدومين الأصلي.

الدفاع — المستوى التقني

  1. SPF/DKIM/DMARC بسياسة p=reject.
  2. ABnti-spoofing داخل الـ inbound mail (Microsoft Defender for Office, Proofpoint, Mimecast).
  3. Sandbox للمرفقات + URL rewriting + click-time scanning.
  4. FIDO2 / Passkeys بدلاً من TOTP/SMS — يمنع AiTM phishing تماماً.
  5. Conditional access — منع الدخول من بلدان أو IPs غير معتادة.
  6. Browser isolation للأقسام الحساسة.
  7. كشف الدومينات المتشابهة المُنشأة حديثاً (DomainTools / urlscan.io watchlists).

الدفاع — المستوى البشري

  • تدريب دوري قصير (15 دقيقة شهرياً أفضل من ساعتين سنوياً).
  • محاكاة phishing داخلية: من تنقر، تتدرب — لا تُعاقب.
  • زر «Report Phish» في الـ mail client يوصل الرسالة فوراً للـ SOC.
  • قاعدة الـ Out-of-Band verification لأي طلب مالي: اتصال هاتفي بالرقم الموثق، لا بالرقم في الإيميل.
  • ثقافة «لا توبيخ» للإبلاغ المبكر — أهم بكثير من العقوبة.
مؤشر نجاح
المؤسسات الناجحة معدل الإبلاغ فيها أعلى من معدل النقر — تُكافأ على ذلك.
السابق
برمجيات الفدية وهجمات سلسلة التوريد
التالي
أمن الهواتف المحمولة وإنترنت الأشياء والأنظمة الصناعية