Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L13
الفرق الحمراء — الهجوممتقدم70mL13

Social Engineering — البني آدم أرخى نقطة في المنظومة

Phishing و Vishing و Pretexting — إزاي بتتعمل عليك بسهولة

#Phishing#OSINT#Pretext#BEC

ليه الإنسان هو أرخى نقطة في المنظومة؟

تشبيه — شرح مبسط
بُص. بنيت سور سمكه 10 متر.. حطّيت EDR على كل جهاز.. صرفت مليون دولار على SIEM.. وجاء البواب فتح الباب لراجل قاله "أنا من الصيانة". انتهت اللعبة.

- طب ده مش حصل معايا.. أنا موظفيني واعيين يا حضرتك.

ها ها ها.. يا نجم الجيل. متوقّع كالعادة. فوق 80% من الاختراقات بتبدأ بغلطة موظف. مش ثغرة في كود — قرار بشري اتاخد في 3 ثواني. وبنسبة 99%، اللي بيدوس على اللينك هو نفس اللي حضر training السنة اللي فاتت وقالك "أنا فاهم".
واقعة Twitter 2020
مهاجمين عيال صغيرة (أحدهم كان عنده 17 سنة) كلموا موظفين دعم في تويتر، قالوا "إحنا من الـ IT الداخلي وفي مشكلة في VPN". اخدوا access لأدوات admin داخلية، خطفوا حسابات Obama و Bezos و Musk، وعملوا scam بـ Bitcoin سرقوا بيه أكتر من 100 ألف دولار. ما استخدموش zero-day. استخدموا تليفون.

مبادئ الإقناع — Cialdini

  • Authority — هيبة المنصب — "أنا من الـ IT". الناس بتنفّذ للزي الرسمي من غير ما تسأل.
  • Urgency — ضغط الوقت — "حسابك هيتقفل خلال ساعة". لما العقل يتحط تحت ضغط، بيختصر التفكير.
  • Scarcity — الفرصة الأخيرة — "فاضل 10 أماكن بس". الخوف إن الحاجة تفوتك بيغلب الحساب الهادي.
  • Social Proof — ضغط الجماعة — "كل زمايلك خلصوا التحديث". محدش حابب يبقى الشاذ في القاعدة.
  • Liking — الألفة — يكلّمك بصيغة صاحب أو زميل قديم. بترخّي حذرك تلقائي.
  • Reciprocity — رد الجميل — يقدم لك حاجة صغيرة الأول، فبتحس إنك مدين له بطلبه.
  • Commitment — التورّط التدريجي — يخليك توافق على حاجة صغيرة، فالكبيرة بتعدّي ورا الأولى من غير مقاومة.

أنواع الهجمات — اعرف اللي قصادك

Phishing عام
إيميل جماعي بطعم عمومي (تحديث، فاتورة). شبكة واسعة، نسبة الإصابة منخفضة بس العدد بيعوّض.
Spear Phishing
موجّه لشخص بعينه بعد OSINT دقيق — نسبة النجاح بتفرق 30 ضعف عن الـ Phishing العام.
Whaling
صيد الكبار: المدير المالي والـ C-level. الرسالة بتبقى على مقاس الشخص نفسه.
Vishing
هجوم بالصوت على التليفون، الغالب بينتحل صفة الـ IT أو البنك.
Smishing
SMS — "في طرد بيستناك، ادوس الرابط دلوقتي".
BEC (Business Email Compromise)
انتحال صفة الـ CEO عشان يصدر أمر تحويل عاجل — أكبر بند خسائر مالية في الإحصائيات الرسمية.
Baiting
يسيب USB في الباركينج، ودايماً بيلاقي حد فضولي يركّبه.
Tailgating
دخول فعلي ورا موظف من غير بطاقة. "اتفضل يا فندم، الباب لسه مفتوح".

بناء حملة Phishing احترافية (تمرين مصرّح به)

01
OSINT
جمع أسامي، إيميلات، الـ stack التقني، الأنماط الداخلية.
02
اختيار الـ Pretext — السبب
"تذكرة جديدة في Jira" / "إعادة تعيين password" / "رسالة خارج المكتب من المدير".
03
بناء الـ Landing Page
tools
evilginx2 -p phishlets/  # MFA bypass via reverse proxy
gophish + chameleon       # كامل: حملة + تتبع
modlishka                # 2FA-bypassing reverse proxy
goPhish                  # حملات تدريبية</Code>
04
Typosquatting — دومين شبيه
bash
dnstwist target.gov         # توليد دومينات متشابهة
# ت𝖺rget.gov, target-gov.com, target.g0v, t4rget.gov
05
ضبط الإيميل بشكل شرعي
SPF + DKIM + DMARC على دومين الإرسال، مع تسخين الـ IP عشان تعدي فلاتر السبام.
06
تحليل النتائج
معدل الفتح، معدل الضغط، الـ creds اللي وصلت، حالات الـ MFA bypass.

تخطّي الـ MFA باستخدام Adversary-in-the-Middle

أدوات زي evilginx2 بتقعد reverse proxy بين الضحية والموقع الحقيقي. الضحية بتدخّل اليوزر والباسورد وكود الـ MFA — كل حاجة بتعدّي طبيعي للسيرفر الأصلي — بس المهاجم في النص بيلتقط الـ session cookie النهائي. الضحية مش حاسّة بأي عَرض، والـ login نجح فعلاً من جهتها.

اللي بيحصل فعلياً
حتى الـ MFA الكلاسيكي (TOTP, SMS) ما بيحميش من السيناريو ده. FIDO2 / WebAuthn / Passkeys هي الوحيدة المتحصّنة، لأنها مربوطة بالدومين الأصلي تشفيرياً — لو الدومين اختلف، المفتاح ما بيردّش.

الحماية — الطبقة التقنية

  1. SPF / DKIM / DMARC بسياسة p=reject. أي حاجة أقل من كده ضعف صريح.
  2. Anti-spoofing على الإيميل الوارد (Microsoft Defender for Office, Proofpoint, Mimecast).
  3. Sandbox للمرفقات + URL rewriting + click-time scanning.
  4. FIDO2 / Passkeys بدل TOTP/SMS — بيقفل سكة الـ AiTM phishing من أصلها.
  5. Conditional Access — امنع الدخول من دول أو IPs مش معتادة للحساب.
  6. Browser isolation للفرق الحساسة (مالية، إدارية، تنفيذية).
  7. رصد الدومينات الشبيهة اللي اتسجّلت حديثاً عبر DomainTools / urlscan.io watchlists.

الحماية — الطبقة البشرية (الأهم)

  • تدريب قصير ومنتظم (15 دقيقة كل شهر أنفع بكتير من ساعتين كل سنة).
  • محاكاة phishing داخلية: اللي بيدوس بيتدرّب، ما بيتعاقبش. العقاب بيخلّي الناس تخبّي غلطاتها.
  • زرار Report Phish في الـ mail client يوصّل الرسالة فوراً للـ SOC.
  • قاعدة Out-of-Band Verification لأي طلب مالي: ارجع للشخص على الرقم الموثّق عندك، مش الرقم المكتوب في الإيميل.
  • ثقافة "ما فيش لوم" على البلاغ المبكر — بتفرق أكتر من أي عقاب.
مقياس النضج
المؤسسات الناضجة معدّل البلاغات عندها أعلى من معدّل النقر — وبتكافئ اللي بيبلّغ بدل ما بتلوم اللي بيغلط.

غلطات الـ junior — الـ Blue Team جنبه تتفصل

لو فات عليك ده، يبقى مش بتراقب
  • الموظف يبلّغ عن إيميل phishing الساعة 9 الصبح — والـ analyst يفتحها الساعة 4 العصر. في الـ 7 ساعات دول 200 موظف تاني وصلتهم نفس الرسالة.
  • الـ awareness training بقى فيديو من 2018 الناس بتدوس Next عليه من غير ما تشوفه.
  • الـ DMARC على p=none "علشان ما نكسرش حاجة". معناها: أي حد في الدنيا بيقدر ينتحل دومينك.
  • الـ "Report Phish" button مش موجود — الموظف بيـ forward الإيميل لـ IT شخصياً، وبيبوّظ الـ headers.
  • الفريق بيكافئ موظفين على إنهم "ما دوسوش" — ومحدش بيكافئ اللي بلّغ. النتيجة: الناس بتسكت لما تغلط.

الخلاصة: الـ phishing ما بتتحلش بـ tool. بتتحل بثقافة + سرعة رد + قرار إداري إن المكافأة على البلاغ مش على عدم الغلط.

الخلاصة الناشفة

لو شركتك بتركّز على الـ firewall أكتر من الموظفين — أنت بتأمّن المكان الغلط.

الـ attacker بيكلم البشر، مش الـ servers. ابدأ من هناك.

اكتبها على الحيطة اللي قصاد مكتب الـ CISO: اوعى تكافئ "اللي ما دوسش". كافئ "اللي بلّغ". الفرق بين الاتنين هو الفرق بين breach اتقفل في 5 دقايق و breach اكتشفته من tweet.

السابق
CVE Hunting — اصطاد اللي يفرق فعلاً
الوحدة التالية
Cryptography & PKI — من غير فلسفة