التصيد الاحتيالي (Phishing) والهندسة الاجتماعية

لو سألت مختصين في الأمن السيبراني عن “أكثر سبب يتكرر وراء الاختراقات”، غالبًا ستسمع إجابة واحدة: الإنسان. كثير من الهجمات لا تحتاج عبقرية تقنية بقدر ما تحتاج “خدعة” ذكية تجعل الضحية يضغط رابطًا، يفتح ملفًا، أو يسلّم كلمة المرور بيده. هنا يأتي دور التصيد الاحتيالي والهندسة الاجتماعية: أساليب تعتمد على التأثير النفسي وبناء الثقة الزائفة بدلًا من كسر الحماية التقنية مباشرة.

التصيد الاحتيالي (Phishing) هو محاولة احتيال رقمية تهدف إلى خداع الضحية كي يقدم معلومات حساسة (مثل كلمات المرور، رموز التحقق، بيانات البطاقة، أو معلومات الحساب) أو يقوم بخطوة تفتح الباب للهجوم (مثل تنزيل ملف خبيث).
أما الهندسة الاجتماعية (Social Engineering) فهي مفهوم أوسع يشمل كل أساليب التلاعب النفسي التي يستخدمها المهاجم للوصول إلى هدفه: معلومات، أموال، وصول لأنظمة، أو حتى نشر إشاعة وخلق ضغط داخل مؤسسة.

هذا المقال يشرح: ما هو التصيد والهندسة الاجتماعية، أنواعهما، كيف يعملان نفسيًا، أهم العلامات التحذيرية، وأمثلة واقعية شائعة، ثم خطوات وقائية واضحة للأفراد والشركات.

أولًا: ما هو التصيد الاحتيالي؟

التصيد الاحتيالي هو نوع من الهجمات يعتمد على انتحال جهة موثوقة (بنك، شركة توصيل، منصة حكومية، زميل عمل، دعم فني…) وإقناع الضحية باتخاذ إجراء يضرّه.

أهداف التصيد عادةً تكون:

  • سرقة بيانات الدخول (اسم مستخدم/كلمة مرور)

  • سرقة رموز التحقق (OTP) أو أكواد المصادقة

  • سرقة معلومات مالية

  • تثبيت برمجية خبيثة

  • تحويل مالي عبر خداع الموظفين (Business Email Compromise)

التصيد لا ينجح لأنه “سحر”، بل لأنه يستغل سلوكيات بشرية طبيعية مثل الاستعجال والثقة والخوف والرغبة في حل المشكلة بسرعة.

ثانيًا: ما هي الهندسة الاجتماعية؟

الهندسة الاجتماعية هي “فن” استغلال السلوك البشري للوصول إلى هدف أمني. قد تتم عبر الإنترنت أو الهاتف أو حتى في الواقع. التصيد أحد أدواتها، لكنها تشمل أيضًا:

  • إقناع موظف بإعطاء معلومات

  • التظاهر بأنه مسؤول/مدير/فني دعم

  • استغلال التعاطف أو الخوف

  • استغلال ضغط الوقت

  • جمع معلومات صغيرة من مصادر عامة ثم استخدامها لإقناع الضحية

الهندسة الاجتماعية تعتمد على قاعدة بسيطة:
إذا لم تستطع اختراق النظام… اخدع الشخص الذي يملكه.

ثالثًا: أنواع التصيد الاحتيالي والهندسة الاجتماعية

1) التصيد عبر الرسائل (Email Phishing)

هو الأشهر: بريد يبدو رسميًا يطلب منك تحديث بياناتك أو دفع فاتورة أو تأكيد شحنة أو فتح ملف.

أبرز خصائصه:

  • شعار الشركة وألوانها

  • أسلوب “مستعجل”

  • رابط يقود لصفحة مزيفة شبيهة بالأصل

  • أحيانًا ملف مرفق (PDF/Word) يحتوي رابطًا أو ماكرو ضار

2) التصيد عبر الرسائل النصية (Smishing)

رسالة SMS أو واتساب/تيليجرام تزعم أنها من بنك أو شركة توصيل أو جهة حكومية، وتضع رابطًا.

لماذا ينجح؟

  • الهاتف بيئة سريعة، والناس تقلل التدقيق

  • صعوبة رؤية الرابط الحقيقي كاملًا

  • الاعتماد الكبير على الرسائل في الخدمات

3) التصيد عبر المكالمات (Vishing)

يتصل المهاجم ويقدم نفسه كموظف بنك أو دعم فني أو شركة شحن، ويطلب منك:

  • رمز تحقق وصل لك

  • تحديث بيانات بطاقة

  • تأكيد رقم الهوية

  • تحميل تطبيق “مساعدة” للتحكم بالجهاز

ميزة هذا النوع: الصوت يجعل الخداع أقوى لأن فيه ضغطًا لحظيًا وتفاعلًا مباشرًا.

4) التصيد عبر الروابط (Link Phishing)

قد يأتي في أي قناة: بريد، رسالة، منشور، إعلان… الفكرة واحدة: رابط يقود لصفحة مزيفة أو ملف خبيث.

5) التصيد الموجّه (Spear Phishing)

ليس عشوائيًا. المهاجم يجمع معلومات عنك (وظيفتك، زملاؤك، مشروعك) ثم يرسل رسالة تبدو “مخصصة” لك.

مثال:
“مرحبًا أحمد، أرسلت لك ملف العرض الخاص بمشروع (X) مع التعديلات… فضلاً راجعه اليوم.”

كلما كانت الرسالة مخصصة، زادت نسبة النجاح.

6) تصيد الحيتان (Whaling)

يستهدف المدراء التنفيذيين أو أصحاب الصلاحيات العالية: CEO / CFO / مدير موارد بشرية… لأن اختراق حساب واحد منهم قد يمنح المهاجم وصولًا واسعًا.

7) اختراق البريد التجاري (BEC)

هذا نوع خطير ومكلف. المهاجم ينتحل بريد مدير أو مورد ويطلب تحويلًا ماليًا أو تغيير رقم حساب مستفيد أو إرسال ملفات حساسة.

فكرته: “أبغى فلوس… بس بطريقة رسمية.”

8) انتحال الهوية على منصات التواصل

حساب مزيف باسم شخصية معروفة أو مسؤول في شركة، ثم رسائل خاصة: “أرسل رقمك” أو “أحتاج كود” أو “في فرصة عمل”.

9) الاستدراج عبر ملفات/مرفقات

ملف Word “فاتورة”، أو PDF “كشف حساب”، أو رابط “سيرة ذاتية”. الهدف: تثبيت برمجية أو سرقة بيانات.

10) الهندسة الاجتماعية في الواقع (Physical)

  • شخص يتظاهر بأنه موظف صيانة ويدخل المكتب

  • ترك USB في مكان عام مكتوب عليه “رواتب”

  • التسلل خلف موظف عند بوابة الدخول (Tailgating)

رابعًا: كيف يعمل التصيد نفسيًا؟

نجاح التصيد والهندسة الاجتماعية ليس صدفة؛ يعتمد على “مفاتيح نفسية” متكررة:

1) الإلحاح والضغط

“خلال 30 دقيقة سيتم إيقاف حسابك.”
العقل تحت الضغط يختصر التفكير، ويختار أسرع حل.

2) الخوف

الخوف يضعف القدرة على التحقق.
“تم رصد دخول غير معتاد… تحقق الآن.”

3) الطمع أو المكافأة

“مبروك! ربحت قسيمة/جائزة… اضغط لاستلامها.”

4) السلطة والهيبة

إذا قال “أنا المدير” أو “أنا من البنك”، كثيرون يترددون في التشكيك.

5) الفضول

عنوان مثل: “شاهد صورتك هنا” أو “ملف مهم عنك”.

6) التشابه والاعتياد

رسالة تشبه رسائل حقيقية من شركة تتعامل معها، فتتعامل معها تلقائيًا.

7) المساعدة/التعاطف

“أنا موظف جديد، أحتاج دعمك بسرعة.”
الناس تحب تساعد، وهذه نقطة ضعف يستغلها المهاجم.

خامسًا: أشهر العلامات التي تكشف التصيد

هذه “قائمة فحص” بسيطة تساعدك تكتشف الاحتيال بسرعة:

1) رابط غريب أو غير مطابق

  • نطاق مختلف قليلًا: بدل bank.com يصبح bänk.com أو bank-security.com

  • استخدام روابط مختصرة بدون سبب

  • رابط لا يتطابق مع اسم الجهة

قاعدة ذهبية: لا تضغط الرابط من الرسالة. ادخل بنفسك للموقع من المتصفح أو التطبيق الرسمي.

2) طلب معلومات لا تُطلب عادة

  • كلمة المرور

  • رمز OTP

  • بيانات البطاقة كاملة

  • رقم سري أو PIN

أي جهة محترمة لا تطلب هذه الأشياء عبر رسالة أو اتصال.

3) أسلوب مستعجل أو تهديدي

“سيتم إيقاف حسابك”
“آخر فرصة”
“سيتم اتخاذ إجراء قانوني”

4) أخطاء لغوية أو صياغة غير معتادة

أحيانًا تكون واضحة، وأحيانًا المهاجم يكتب جيدًا، لكن قد تلاحظ “نبرة غير طبيعية” لرسائل الجهة المعتادة.

5) عنوان مرسل مريب

قد يظهر اسم البنك، لكن البريد الحقيقي مختلف.
الاسم الظاهر لا يكفي، انتبه للبريد/النطاق.

6) طلب تثبيت تطبيق أو برنامج “مساعدة”

خاصة في المكالمات: “حمّل تطبيق دعم فني”.
هذه من أخطر العلامات لأن الهدف غالبًا التحكم بجهازك.

7) سيناريو “كلام كثير + خطوة واحدة”

المهاجم يكتب قصة طويلة ثم يطلب منك خطوة واحدة: “اضغط هنا” أو “حوّل هنا” أو “أرسل الكود”.

8) تغييرات مالية بدون تحقق

“غيّر رقم حساب المورد”
“حوّل دفعة عاجلة”
أي تغيير مالي يستحق التحقق عبر قناة ثانية.

سادسًا: أمثلة واقعية شائعة (تحدث يوميًا)

هذه أمثلة بسيطة جدًا، وستلاحظ أنها تتكرر بصيغ مختلفة:

مثال 1: “شحنة معلقة”

رسالة: “شركتنا حاولت التوصيل… ادفع رسومًا بسيطة لإعادة الإرسال.”
تضغط -> صفحة دفع مزيفة -> تُسرق بيانات البطاقة.

مثال 2: “حسابك البنكي في خطر”

مكالمة: “أنا من البنك، رصدنا عملية مشبوهة، أرسل رمز التحقق للتأكد.”
ترسل الرمز -> المهاجم يكمّل تسجيل الدخول وينقل المال.

مثال 3: “فاتورة/عرض سعر”

بريد إلى قسم المحاسبة: “مرفق فاتورة الشهر.”
يفتح الموظف الملف -> يثبت ملف ضار أو يعطي صلاحية للوصول.

مثال 4: “مديرك يطلب تحويل عاجل”

رسالة أو بريد: “أنا في اجتماع… حوّل الآن للمورد.”
الضغط + السلطة = تحويل خاطئ.

مثال 5: “تحديث بيانات منصة”

“تم تحديث شروط الخدمة، سجّل الدخول لتأكيد الموافقة.”
الموقع المزيف يسرق كلمة المرور، ثم يستخدمها على حسابات أخرى إذا كانت نفس الكلمة.

سابعًا: كيف تحمي نفسك كفرد؟

خطوات بسيطة لكنها فعّالة جدًا:

  1. لا تشارك رمز OTP مع أحد
    الرمز مثل مفتاح الباب، لا يُعطى لأي شخص.

  2. ادخل للمواقع بنفسك
    بدل الضغط على الرابط، افتح التطبيق أو اكتب الموقع يدويًا.

  3. فعّل المصادقة متعددة العوامل (MFA)
    حتى لو انسرقت كلمة المرور، يقل احتمال السيطرة على الحساب.

  4. استخدم مدير كلمات مرور
    واعمل كلمات قوية وفريدة لكل خدمة.

  5. حدث جهازك وتطبيقاتك
    التحديثات غالبًا تسد ثغرات تُستغل.

  6. تحقق عبر قناة ثانية
    إذا جاء طلب مالي أو حساس، اتصل بالشخص عبر رقم معروف لديك، وليس الرقم الذي في الرسالة.

  7. كن حذرًا من تطبيقات التحكم عن بعد
    ولا تمنح صلاحيات “Accessibility” أو “التحكم الكامل” لأي تطبيق غير موثوق.

ثامنًا: كيف تحمي شركتك أو مؤسستك؟

في الشركات، التصيد غالبًا يستهدف الموظفين، لذا تحتاج سياسة واضحة:

  1. تدريب دوري على التصيد
    تمارين محاكاة (Phishing Simulation) بدون إحراج، بهدف التعليم.

  2. قواعد صارمة للتحويلات المالية

  • لا تحويلات بناء على بريد فقط

  • أي تغيير حساب بنكي للمورد يحتاج تحقق صوتي + موافقة ثانية

  1. سياسة كلمات المرور وMFA
    إلزام المصادقة متعددة العوامل للحسابات الحساسة والبريد الإداري.

  2. فلترة البريد والمرفقات
    حجب الملفات الخطرة، فحص الروابط، وعزل المرفقات في بيئة آمنة.

  3. صلاحيات أقل (Least Privilege)
    إذا تم اختراق حساب موظف، لا يصبح الاختراق شاملًا.

  4. قناة للإبلاغ السريع
    زر أو بريد خاص: “Report Phishing”
    سرعة الإبلاغ تقلل الضرر.

  5. سجلات ومراقبة
    لتحديد السلوكيات غير الطبيعية والاستجابة بسرعة.

خلاصة

التصيد الاحتيالي والهندسة الاجتماعية أخطر مما يتخيله الكثير؛ لأنها تعتمد على خداع الإنسان، لا على كسر النظام فقط. لها أشكال متعددة: بريد، رسائل، مكالمات، روابط، انتحال، واستهداف موجّه للموظفين والمدراء. وتنجح لأنها تستغل مفاتيح نفسية مثل الخوف والضغط والطمع والسلطة.

أفضل دفاع هو مزيج بين:

  • وعي المستخدم (لا تضغط، لا ترسل كود)

  • أدوات حماية (MFA، فلترة البريد)

  • سياسات مؤسسية (تحقق مزدوج في التحويلات، تدريب)

  • ثقافة تشجع على الإبلاغ والتعلم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *