تشريح هجمات التصيد (Phishing): من الهندسة الاجتماعية إلى اختراق السيرفرات
في عالم الأمن السيبراني، يظل "الإنسان" هو الحلقة الأضعف. مهما بلغت قوة جدران الحماية (Firewalls) وأنظمة الـ EDR، فإن نقرة واحدة خاطئة من موظف قد تفتح الأبواب الخلفية لأخطر المجموعات التخريبية. في هذا المقال الطويل، سنغوص في أعماق الـ Phishing وكيف تطور في عام 2026.
1. فلسفة الهجوم: لماذا ينجح التصيد؟
يعتمد الهكر في هجمات التصيد على مبدأ Psychological Manipulation (التلاعب النفسي). لا يتعلق الأمر فقط بكتابة كود، بل بدراسة سلوك الضحية عبر ثلاث ركائز:
- الاستعجال (Urgency): "حسابك سيغلق خلال 24 ساعة".
- السلطة (Authority): انتحال شخصية المدير التنفيذي أو الدعم الفني لشركة Microsoft.
- الخوف (Fear): "تم رصد محاولة دخول مشبوهة، أكد هويتك الآن".
# جمع معلومات عن الهدف باستخدام أدوات الاستخبارات مفتوحة المصدر
theHarvester -d target-company.com -l 500 -b google
# استخراج الايميلات المسربة للبدء في حملة التصيد المستهدف (Spear Phishing)
2. التقنيات المتقدمة في 2026
لم يعد الهكر يكتفي بصفحة HTML بسيطة، بل يستخدم الآن تقنيات معقدة تتجاوز الـ MFA (المصادقة الثنائية):
أ- هجمات الـ AiTM (Adversary-in-the-Middle)
هذه التقنية لا تسرق كلمة المرور فقط، بل تسرق Session Cookie (جلسة الارتباط). بمجرد دخول الضحية، يمتلك الهكر الجلسة كاملة ولا يحتاج حتى لكود الـ OTP.
ب- استخدام الـ Deepfake الصوتي
التصيد الصوتي (Vishing) تطور؛ حيث يتم توليد صوت المدير المباشر للضحية باستخدام الذكاء الاصطناعي وطلب تحويلات بنكية أو معلومات حساسة في مكالمة هاتفية تبدو حقيقية تماماً.
3. مختبر GloSecLab: كيف تكتشف الروابط الملغمة؟
كباحث أمني، يجب أن تنظر إلى ما وراء الرابط الظاهر. إليك الخطوات التقنية للتحليل:
- تحليل الهيدر (Header Analysis): فحص الـ Return-Path للتأكد من أنه يطابق إيميل المرسل.
- فحص النطاق (Domain Squatting): الانتباه للفروقات البسيطة مثل
faceb0ok.comبدلاً منfacebook.com. - فحص الروابط المختصرة: استخدام أدوات مثل Unshorten.it لمعرفة الوجهة النهائية قبل النقر.
الخلاصة: البقاء آمناً
التصيد الاحتيالي ليس مجرد "سبام"، بل هو فن اختراق العقول. في GloSecLab، ننصح دائماً بتفعيل مفاتيح الأمان الفيزيائية واعتبار كل رسالة تطلب "إجراءً عاجلاً" هي محاولة اختراق محتملة حتى يثبت العكس.