الهندسة الاجتماعية كأداة لخداع الضحايا وتهديد الأمن السيبراني
مدار الساعة ـ نشر في 2026/06/14 الساعة 19:26
مدار الساعة - إعداد :المهندس سعد خريوش الخلايلة (التخصص:هندسة أمن الشبكات والمعلومات)
في ظل تطور تقنيات الحماية الرقمية، تبقى الهندسة الاجتماعية من أخطر الوسائل لتجاوز الدفاعات الأمنية عبر خداع الأفراد واستغلال ثقتهم، مما يشكل تهديدًا مباشرًا للأمن السيبراني. يوضح هذا البحث دورها في إضعاف الحماية الرقمية وطرق التصدي لها.
أولاً :تعريف الهندسة الإجتماعية
( Social Engineering) :
هي مجموعة من الأساليب التقنية والنفسية التي يستخدمها المهاجمون لخداع الأفراد بهدف الحصول على معلومات سرية أو الوصول غير المشروع إلى أنظمة الحاسوب دون الحاجة إلى كسر الحماية البرمجية أو التقنية بل من خلال استغلال العنصر البشري كأضعف نقطة في سلسلة الأمان.
تتم الهندسة الأجتماعية في الغالب عن طريق الهاتف أو البريد الإلكتروني مع أنتحال شخصية ذي سلطة أو فتاه جميلة على مواقع التواصل الإجتماعي.
ثانياً : أهداف الهندسة الإجتماعية:
بشكل عام، لدى مهاجمي الهندسة الإجتماعية هدف من اثنين:
1. التخريب : تعطيل أو إتلاف البيانات للتسبب في ضرر او إزعاج.
2. السرقة : الاستيلاء على الأشياء الثمينه مثل المعلومات أو حق الوصول أو المال.
ثالثاً: الخصائص التي تميز هذه الهجمات :
هجمات الهندسة الإجتماعية تعتمد على أساليب خداع الضحية من خلال التأثير النفسي والعاطفي.
أهم الأساليب المستخدمة :
1. إثارة العواطف : يستخدم المهاجم مشاعر قوية لإرباك الضحية ودفعها لاتخاذ قرارات غير منطقية مثل (الخوف، الإثارة، الفضول، الغضب، الحزن، الشعور بالذنب)
2. الثقة : يسعى المهاجم لكسب ثقة الضحية عن طريق التظاهر بالمصداقية أو تقديم معلومات مزيفة لإقناعها، لأن الثقة تسهل عملية الخداع.
ملاحظة : قد تستمر عملية بناء الثقة عدة أشهر في سلسلة من المحادثات على وسائل التواصل الإجتماعي ويمكن أن تتخذ حتى شكل التفاعل وحهاً لوجه؛ لكنها تنتهي بإجراء تتخذه بنفسك مثل مشاركة معلوماتك أو تعريض نفسك للبرامج الضارة.
3. الاستعجال: يضعظ المهاجم على الضحية لاتخاذ قرار سريع بحجة وجود فرصة أو خطر وشيك، مما يمنعها من التفكير المنطقي.
رابعاً: أنواع هجمات الهندسة الإجتماعية :
1. هجمات التصيد الاحتيالي
(Phishing) :
يستخدم المهاجمون رسائل بريد إلكتروني أو موقع ويب أو مكالمات أو رسائل مزيفة لخداع الأفراد لمشاركة معلومات حساسة مثل بيانات اعتماد تسجيل الدخول أو التفاصيل المالية غالبا ً ما تحاكي عمليات الاحتيال هذه علامات تجارية موثوقة مما يخلق شعوراً بالإلحاح من خلال رسائل مثل "حسابك في خطر "أو "مطلوب إجراء فوري ".
2.الإغراء
(Baiting):
هو أسلوب احتيالي يعتمد على إغراء الضحية لتنزيل برامج خبيثة أو تقديم معلومات شخصية من خلال إثارة الفضول أو تقديم عروض مغرية
مثل: تحميل مجاني أو صفقات حصرية.
يستخدم المهاجمون تقنيات إغراء متعددة لخداع الأفراد فيما يلي بعض الأنواع الشائعة من هجمات الإغراء :
1. الإعلانات الخبيثة : إعلانات مزيفة عبر الإنترنت.
2. المكاسب المالية الفورية مثل التداول في عملات رقمية.
3. الإغراء المادي : وسائط مادية مصابة مثل أقراص
الUSB تترك في الأماكن العامة أو مناطق أخرى حيث يميل الفضوليون إلى التقاطها وتوصيلها بالأجهزة.
3. التذرع
(Pretexting) :
هو نوع من هجمات الهندسة الإجتماعية حيث يقوم المهاجم باختلاف قصة أو سيناريو وهمي لخداع الضحية حيث يتظاهر المهاجم بأنه شخص موثوق مثل موظف بنك، فني دعم
4. هجوم مصيدة العسل
(Honey Trap) :
هو أسلوب يستهدف تحديداً الأفراد الباحثين عن الحب في مواقع التواصل الاجتماعي يصادق المجرم الضحية بإنشاء شخصية وهمية وإنشاء حساب مزيف على الإنترنت مع مرور الوقت يستغل المجرم العلاقة ويخدع الضحية إلى دفع المال أو إستخراج معلومات شخصية أو تثبيت برامج ضارة.
5. التزييف العميق
(Deepfake) :
تستخدم عمليات الاحتيال الذكاء الاصطناعي لإنشاء مقاطع فيديو وتسجيلات صوتية مزيفة لأشخاص حقيقيين.
6. أنتحال الشخصية
(Impersonation) :
أسلوب يستخدمه المحتالون لانتحال صفة شخص آخر أو منظمة موثوقة لخداع الضحايا والحصول منهم على معلومات حساسة أو الوصول إلى أنظمة معينة.
خامساً: أفضل الممارسات للحماية من الهندسة الإجتماعية :
1. تفحص الروابط التي تصلك بدقة وقارنها بالرابط الحقيقي.
ملاحظة: تفحص الرابط حرف بحرف وقارنه بالرابط الحقيقي.
2. استخدم برنامج. ( virustotal) عن طريق نسخ الرابط ولصقه في التطبيق لتحقق من سلامة الرابط من الفيروسات او التصيد الاحتيال.
3. احذر من اي عروض مالية مادية مغرية وذات مدة محدودة.
4. لا تفتح رسائل البريد الإلكتروني والمرفقات الواردة من مصادر مشبوهة.
5. تحقق من هويات الآخرين في حالة المكالمات الهاتفية اسأل المتصل عن مكان عمله واسم مديره والفرع الذي يتصل منه.
6. استخدم المصادقة متعددة العوامل :
هي آلية أمنية تتطلب من المستخدم تقديم أكثر من نوع من وسائل التحقق قبل منحه الوصول إلى النظام.
7. استخدام المنظق دائماً استعن بحدسك عند تقييم ما يطلب منك لا تستجيب لأي شيئ خارج عن المألوف.
8. استخدام آلات إتلاف المستندات الورقية.
ملاحظة : قد يستغل المهاجم النفايات للبحث عن معلومات خاصة بك والحل الأمثل حرق المستندات الورقية الغير مهمة التي قد تحتوي على معلومات خاصة بك.
في ختام هذا البحث، يتضح أن الهندسة الاجتماعية تمثل أحد أخطر التهديدات للأمن السيبراني، نظرًا لاعتمادها على استغلال نقاط الضعف البشرية بدلًا من الثغرات التقنية. ولقد بيّن البحث كيف تساهم تقنيات الهندسة الاجتماعية في تجاوز أنظمة الحماية الرقمية الأكثر تطورًا، مما يستلزم رفع الوعي لدى الأفراد وتعزيز سياسات التدريب والتوعية الأمنية داخل المؤسسات. إن مواجهة هذا التهديد تتطلب تكاملاً بين الحلول التقنية والتثقيف المستمر للمستخدمين، لضمان حماية فعّالة للبنية التحتية الرقمية في مواجهة أساليب الهندسة الاجتماعية المتجددة.
المراجع :
موقع imperva.
INVESTBANK البنك الاستثماري.
المركز الوطني الإرشادي للأمن السيبراني _السعودية.
موقع Life lock by norton.
موقع Crowdstrike
موقع Kaspersky
كتاب أمن المعلومات بلغة ميسرة
موقع ويكيبيديا
في ظل تطور تقنيات الحماية الرقمية، تبقى الهندسة الاجتماعية من أخطر الوسائل لتجاوز الدفاعات الأمنية عبر خداع الأفراد واستغلال ثقتهم، مما يشكل تهديدًا مباشرًا للأمن السيبراني. يوضح هذا البحث دورها في إضعاف الحماية الرقمية وطرق التصدي لها.
أولاً :تعريف الهندسة الإجتماعية
( Social Engineering) :
هي مجموعة من الأساليب التقنية والنفسية التي يستخدمها المهاجمون لخداع الأفراد بهدف الحصول على معلومات سرية أو الوصول غير المشروع إلى أنظمة الحاسوب دون الحاجة إلى كسر الحماية البرمجية أو التقنية بل من خلال استغلال العنصر البشري كأضعف نقطة في سلسلة الأمان.
تتم الهندسة الأجتماعية في الغالب عن طريق الهاتف أو البريد الإلكتروني مع أنتحال شخصية ذي سلطة أو فتاه جميلة على مواقع التواصل الإجتماعي.
ثانياً : أهداف الهندسة الإجتماعية:
بشكل عام، لدى مهاجمي الهندسة الإجتماعية هدف من اثنين:
1. التخريب : تعطيل أو إتلاف البيانات للتسبب في ضرر او إزعاج.
2. السرقة : الاستيلاء على الأشياء الثمينه مثل المعلومات أو حق الوصول أو المال.
ثالثاً: الخصائص التي تميز هذه الهجمات :
هجمات الهندسة الإجتماعية تعتمد على أساليب خداع الضحية من خلال التأثير النفسي والعاطفي.
أهم الأساليب المستخدمة :
1. إثارة العواطف : يستخدم المهاجم مشاعر قوية لإرباك الضحية ودفعها لاتخاذ قرارات غير منطقية مثل (الخوف، الإثارة، الفضول، الغضب، الحزن، الشعور بالذنب)
2. الثقة : يسعى المهاجم لكسب ثقة الضحية عن طريق التظاهر بالمصداقية أو تقديم معلومات مزيفة لإقناعها، لأن الثقة تسهل عملية الخداع.
ملاحظة : قد تستمر عملية بناء الثقة عدة أشهر في سلسلة من المحادثات على وسائل التواصل الإجتماعي ويمكن أن تتخذ حتى شكل التفاعل وحهاً لوجه؛ لكنها تنتهي بإجراء تتخذه بنفسك مثل مشاركة معلوماتك أو تعريض نفسك للبرامج الضارة.
3. الاستعجال: يضعظ المهاجم على الضحية لاتخاذ قرار سريع بحجة وجود فرصة أو خطر وشيك، مما يمنعها من التفكير المنطقي.
رابعاً: أنواع هجمات الهندسة الإجتماعية :
1. هجمات التصيد الاحتيالي
(Phishing) :
يستخدم المهاجمون رسائل بريد إلكتروني أو موقع ويب أو مكالمات أو رسائل مزيفة لخداع الأفراد لمشاركة معلومات حساسة مثل بيانات اعتماد تسجيل الدخول أو التفاصيل المالية غالبا ً ما تحاكي عمليات الاحتيال هذه علامات تجارية موثوقة مما يخلق شعوراً بالإلحاح من خلال رسائل مثل "حسابك في خطر "أو "مطلوب إجراء فوري ".
2.الإغراء
(Baiting):
هو أسلوب احتيالي يعتمد على إغراء الضحية لتنزيل برامج خبيثة أو تقديم معلومات شخصية من خلال إثارة الفضول أو تقديم عروض مغرية
مثل: تحميل مجاني أو صفقات حصرية.
يستخدم المهاجمون تقنيات إغراء متعددة لخداع الأفراد فيما يلي بعض الأنواع الشائعة من هجمات الإغراء :
1. الإعلانات الخبيثة : إعلانات مزيفة عبر الإنترنت.
2. المكاسب المالية الفورية مثل التداول في عملات رقمية.
3. الإغراء المادي : وسائط مادية مصابة مثل أقراص
الUSB تترك في الأماكن العامة أو مناطق أخرى حيث يميل الفضوليون إلى التقاطها وتوصيلها بالأجهزة.
3. التذرع
(Pretexting) :
هو نوع من هجمات الهندسة الإجتماعية حيث يقوم المهاجم باختلاف قصة أو سيناريو وهمي لخداع الضحية حيث يتظاهر المهاجم بأنه شخص موثوق مثل موظف بنك، فني دعم
4. هجوم مصيدة العسل
(Honey Trap) :
هو أسلوب يستهدف تحديداً الأفراد الباحثين عن الحب في مواقع التواصل الاجتماعي يصادق المجرم الضحية بإنشاء شخصية وهمية وإنشاء حساب مزيف على الإنترنت مع مرور الوقت يستغل المجرم العلاقة ويخدع الضحية إلى دفع المال أو إستخراج معلومات شخصية أو تثبيت برامج ضارة.
5. التزييف العميق
(Deepfake) :
تستخدم عمليات الاحتيال الذكاء الاصطناعي لإنشاء مقاطع فيديو وتسجيلات صوتية مزيفة لأشخاص حقيقيين.
6. أنتحال الشخصية
(Impersonation) :
أسلوب يستخدمه المحتالون لانتحال صفة شخص آخر أو منظمة موثوقة لخداع الضحايا والحصول منهم على معلومات حساسة أو الوصول إلى أنظمة معينة.
خامساً: أفضل الممارسات للحماية من الهندسة الإجتماعية :
1. تفحص الروابط التي تصلك بدقة وقارنها بالرابط الحقيقي.
ملاحظة: تفحص الرابط حرف بحرف وقارنه بالرابط الحقيقي.
2. استخدم برنامج. ( virustotal) عن طريق نسخ الرابط ولصقه في التطبيق لتحقق من سلامة الرابط من الفيروسات او التصيد الاحتيال.
3. احذر من اي عروض مالية مادية مغرية وذات مدة محدودة.
4. لا تفتح رسائل البريد الإلكتروني والمرفقات الواردة من مصادر مشبوهة.
5. تحقق من هويات الآخرين في حالة المكالمات الهاتفية اسأل المتصل عن مكان عمله واسم مديره والفرع الذي يتصل منه.
6. استخدم المصادقة متعددة العوامل :
هي آلية أمنية تتطلب من المستخدم تقديم أكثر من نوع من وسائل التحقق قبل منحه الوصول إلى النظام.
7. استخدام المنظق دائماً استعن بحدسك عند تقييم ما يطلب منك لا تستجيب لأي شيئ خارج عن المألوف.
8. استخدام آلات إتلاف المستندات الورقية.
ملاحظة : قد يستغل المهاجم النفايات للبحث عن معلومات خاصة بك والحل الأمثل حرق المستندات الورقية الغير مهمة التي قد تحتوي على معلومات خاصة بك.
في ختام هذا البحث، يتضح أن الهندسة الاجتماعية تمثل أحد أخطر التهديدات للأمن السيبراني، نظرًا لاعتمادها على استغلال نقاط الضعف البشرية بدلًا من الثغرات التقنية. ولقد بيّن البحث كيف تساهم تقنيات الهندسة الاجتماعية في تجاوز أنظمة الحماية الرقمية الأكثر تطورًا، مما يستلزم رفع الوعي لدى الأفراد وتعزيز سياسات التدريب والتوعية الأمنية داخل المؤسسات. إن مواجهة هذا التهديد تتطلب تكاملاً بين الحلول التقنية والتثقيف المستمر للمستخدمين، لضمان حماية فعّالة للبنية التحتية الرقمية في مواجهة أساليب الهندسة الاجتماعية المتجددة.
المراجع :
موقع imperva.
INVESTBANK البنك الاستثماري.
المركز الوطني الإرشادي للأمن السيبراني _السعودية.
موقع Life lock by norton.
موقع Crowdstrike
موقع Kaspersky
كتاب أمن المعلومات بلغة ميسرة
موقع ويكيبيديا
مدار الساعة ـ نشر في 2026/06/14 الساعة 19:26