كواليس الهندسة الاجتماعية: ما هو تكتيك الـ Double-Tap في الاحتيال الهاتفي؟

تنويه أمني وإخلاء مسؤولية: هذا المقال مخصص لأغراض التعليم، التوعية الرقمية، والدفاع السيبراني فقط. إن استخدام هذه الأدوات أو الاستراتيجيات خارج إطار مصرح به يُعد مخالفة للقانون. نحن نهدف إلى تمكين الأفراد والمؤسسات من فهم آليات التهديد لحماية أنفسهم.

📑 كواليس الهندسة الاجتماعية | تكتيك الـ Double-Tap وخداع الـ VoIP

في المقالات السابقة من مختبرات Digital Shield Lab، قمنا بتشريح البنية التحتية لشبكات المحمول، وكيف يلتف الهاكرز على الفلاتر البرمجية أو يزرعون أبراجاً مزيفة للسيطرة على الحقل الكهرومغناطيسي المحيط بك. لكن، دعنا نكن صرحاء: كل هذه الترسانة التقنية المعقدة تظل بلا فائدة حقيقية للمهاجم، ولن تنجح في سرقة قرش واحد، إذا لم يستطع القيام بالخطوة الأصعب والأهم: إقناعك أنت شخصياً بفتح الباب.

هنا يأتي دور علم الهندسة الاجتماعية (Social Engineering)، وتحديداً الخداع المدمج عبر الرسائل والمكالمات. في هذا الدليل الموسوعي، سنكشف لك كواليس السيناريوهات الأكثر خبثاً التي تستهدف هواتفنا يومياً، وكيف يستخدم المهاجمون شبكات الإنترنت لتزييف المكالمات الصوتية، وما هو تكتيك “الضربة المزدوجة” الذي يقع فيه الخبراء قبل العوام.

🌐 أولاً: تزييف رقم المتصل عبر الإنترنت (Caller ID Spoofing & VoIP)

مثلما شرحنا سابقاً كيف يقوم المهاجم بتغيير اسم المرسل في رسائل الـ SMS، يمكن للمهاجم أيضاً تغيير الرقم الذي يظهر على شاشة هاتفك أثناء المكالمة الصوتية بدقة متناهية ليطابق تماماً رقم خدمة عملاء البنك أو الجهة الحكومية التي تتعامل معها (مثلاً: 19xxx).

الآلية التقنية (الخداع عبر الـ VoIP)

المهاجم هنا لا يستخدم خط تليفون تقليدي موصل بأسلاك نحاسية، بل يعتمد على شبكات الاتصال عبر بروتوكول الإنترنت VoIP (Voice over IP)وعبر خوادم وسيطة متطورة تُعرف بـ SIP Trunks.

  • الثغرة الهندسية: بروتوكول الـ SIP (Session Initiation Protocol) المستخدم في إجراء المكالمات عبر الإنترنت مصمم بمرونة عالية، حيث تسمح بعض بوابات الـ VoIP غير المحمية أو المصممة لأغراض الاختبار للمتصل بتعديل بيانات حقل الميتا-داتا المسمى “From:” في حزمة البيانات الصوتية. يضع المهاجم رقم البنك الحقيقي في هذا الحقل، وعندما تمر المكالمة عبر شبكة الاتصالات المحلية وتصل إلى هاتفك، يقرأها الهاتف ويعرضها لك كـ “مكالمة واردة من البنك” بناءً على المعلومات المضللة في الـ Header.

🎯 ثانياً: تكتيك الضربة المزدوجة (The Double-Tap Attack)

يُعد هذا التكتيك هو “العملية الجراحية” الأكثر نجاحاً وخطورة في عالم الاحتيال الهاتفي اليوم. سر نجاحه لا يكمن في التكنولوجيا وحدها، بل في قدرته المذهلة على بناء “موثوقية متسلسلة” في عقل الضحية.

سيناريو الهجوم (تشريح الخطوات):

  1. الضربة الأولى (تأثير الرسالة – The SMS):تتلقى رسالة SMS تبدو رسمية تماماً. وبسبب ثغرة الـ Spoofing، تظهر هذه الرسالة داخل نفس المحادثة الرسمية للبنك (سلسلة المحادثات الحقيقية). نص الرسالة عادة ما يكون: “عزيزي العميل، تم رصد محاولة دخول مشبوهة لحسابك من جهاز غريب، إذا لم تكن أنت، يرجى الاستعداد لتأكيد هويتك مع الدعم الفني”.
    • النتيجة: يدخل الضحية فوراً في حالة ذعر عقلاني، ويصبح “منتظراً” للإنقاذ.
  2. تجهيز الضحية نفسياً:هنا تبدأ هندسة القلق؛ الضحية لا يشك في الرسالة لأنها جاءت في مسار محادثة البنك الموثقة، فيصبح مهيئاً نفسياً لأي تواصل لاحق.
  3. الضربة الثانية (المكالمة الموثقة – The Call):بعد الرسالة بدقيقة واحدة، يرن هاتفك. شاشة الهاتف تعرض رقم خدمة عملاء البنك الحقيقي (بفضل الـ VoIP Spoofing).
    • الإجهاز على الضحية: يتحدث المهاجم بنبرة احترافية جداً: “أهلاً بك يا فندم، أنا أحمد من الدعم الأمني، أرسلنا لك رسالة تحذيرية منذ قليل بوجود اختراق.. قمنا بوقف العملية مؤقتاً، لكن أحتاج منك إملاء كود الـ OTP الذي سيصلك الآن فوراً لإلغاء جهاز المخترق”.

بسبب ترابط الأحداث (الرسالة ثم المكالمة بنفس الرقم)، يستسلم الضحية تماماً ويملي الكود، ليتم إفراغ حسابه في ثوانٍ.

📊 مقارنة بين التكتيكات التقليدية والحديثة في الاحتيال

وجه المقارنةالاحتيال التقليدي (بدائي)هجمات الـ Double-Tap (احترافي)
المصداقية الظاهريةمنخفضة جداً (أرقام مجهولة)عالية جداً (تطابق الرقم مع سجلات البنك)
الحالة النفسية للضحيةشك، ريبة، وعدم استجابةذعر، ثقة في “المنقذ”، ورغبة في النجاة
وسيلة الهجوممكالمة عشوائية فرديةسلسلة هجمات متداخلة (رسالة + مكالمة)
استغلال الثغراتلا يوجد (اعتماد على الكذب المباشر)استغلال تقني (VoIP Spoofing) + نفسي

🧠 ثالثاً: سيكولوجية الخداع (كيف يتلاعب الهاكر بنظارتك النفسية؟)

المخترق المحترف في Digital Shield يدرس سيكولوجية الضحية قبل دراسة كود البرمجة. الهجمات عبر الهاتف تعتمد دائماً على ثلاثة محركات نفسية لا تتغير:

  1. خلق حالة الطوارئ والذعر (Urgency): “حسابك سيغلق خلال ساعة”، “شحنتك ستصادر”. الطوارئ هي العدو الأول للتفكير العقلاني؛ فهي تجبرك على المبادرة السريعة دون تدقيق للهروب من الألم النفسي.
  2. سلطة الأمر الواقع (Authority): التحدث بلهجة حازمة باسم جهات سيادية أو بنوك يضعك في موقف الممتثل للأوامر. العقل البشري مبرمج فطرياً على إطاعة أصحاب السلطة، والمخترق يرتدي هذا القناع ببراعة.
  3. الخدمة والمساعدة المزعومة (Helpfulness): هذا هو القناع الأكثر خبثاً. المهاجم لا يهددك، بل يظهر في ثوب “المنقذ” الذي اتصل ليحمي أموالك من سرقة أحدهم، مما يولد لديك شعوراً بالامتنان يجعلك تخفض دفاعاتك الأمنية.

🛡️ درع المستخدم: كيف تكسر فخ الهندسة الاجتماعية؟

الوسائل التقنية قد تخدعك وتظهر لك بيانات مزيفة (رقم صحيح، رسالة في المسار الصحيح)، لكن وعيك هو الصخرة التي تتحطم عليها كل هذه الخدع.

⛔ القاعدة الذهبية: قاعدة الـ 5 دقائق (الحل الجذري)

إذا تلقيت مكالمة طارئة من أي جهة (بنك، شركة اتصال، جهة حكومية) تطلب منك أي تصرف (تحويل، كود OTP، تحديث بيانات):

  1. أنهِ المكالمة فوراً: دون تردد أو انتظار لإنهاء الحديث.
  2. عزل الاتصال: انتظر 5 دقائق لتفريغ ضغط الذعر من عقلك.
  3. الاتصال العكسي الرسمي: اقلب بطاقتك البنكية واتصل أنت بالرقم المكتوب في الخلف (أو الرقم الرسمي الموثق على موقع البنك). اسأل خدمة العملاء: “هل اتصلتم بي الآن بخصوص أمر ما؟”. في 99% من الحالات ستكتشف أنها محاولة احتيال، وباتصالك العكسي قمت بتوجيه المكالمة للجهة الحقيقية بعيداً عن سيرفر الـ VoIP للمهاجم.

🚫 لا تثق بـ “اسم المتصل” في تطبيقات الكشف

تطبيقات مثل Truecaller يمكن التلاعب بها تقنياً؛ حيث يقوم المهاجمون بتسجيل أرقام الـ VoIP الخاصة بهم بأسماء توحي بالرسمية مثل “الدعم الفني للبنك الأهلي” أو “مباحث الإنترنت”. هذه التسميات يضعها المهاجمون أنفسهم عبر واجهة التطبيق، فلا تثق بالاسم الذي يظهر على الشاشة أبداً.

🎯 لمزيد من أدلة الدفاع السيبراني العملي، اختر التخصص الذي ترغب في تأمينه الآن

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Scroll to Top