ارتفاع ملحوظ في الهجمات على حسابات Microsoft 365 عبر آليات OAuth
أوضحت Proofpoint أن الهجمات شهدت ارتفاعًا ملحوظًا منذ سبتمبر 2025 وتستهدف شركات عبر استغلال ميزة مصادقة رسمية ومشروعة تابعة لمايكروسوفت، وتنجح في تجاوز المصادقة متعددة العوامل (MFA) دون الحاجة إلى سرقة كلمات المرور أو الرموز المؤقتة، من خلال خداع المستخدمين ودفعهم للموافقة بأنفسهم على منح صلاحيات الوصول.
وتعتمد الهجمات على استغلال ميزة تدفق رمز الجهاز في بروتوكول OAuth 2.0 المصمم أصلاً للأجهزة ذات إمكانات إدخال محدودة مثل أجهزة التلفاز الذكية وأجهزة إنترنت الأشياء.
وتتلقى الضحايا رسائل تصيّد عبر البريد الإلكتروني أو تطبيقات المراسلة، تدعي وجود حاجة عاجلة للتحقق من الحساب أو الاطلاع على مستندات أو إجراء فحص أمني.
تفاصيل الاختراق
وتتضمن الرسائل روابط أو رموز QR، وعند الضغط عليها يعرض على المستخدم رمز جهاز مُزيف يوهم بأنه رمز تحقق مؤقت، مع توجيهه لإدخاله في صفحة تسجيل الدخول الرسمية الخاصة بمايكروسوفت.
وبمجرد إدخال الرمز، تحصل مايكروسوفت دون علم المستخدم على رمز وصول OAuth Access Token لتطبيق يسيطر عليه المهاجم، ما يتيح له وصولًا فوريًا إلى حساب Microsoft 365.
وتجري عملية تسجيل الدخول عبر نطاق رسمي تابع لمايكروسوفت، وهو ما يجعل معظم أدوات كشف التصيّد تفشل في رصد الهجوم.
عند النجاح، يتمكن المهاجمون من سرقة البيانات والتنقل بين أنظمة الشركة والحفاظ على وصول طويل الأمد، وفي بعض الحالات يستخدم الوصول في الابتزاز.
مجموعات التهديد والطرق المستخدمة
رصد الباحثون مجموعات تهديد استخدمت هذا الأسلوب، منها المجموعة TA2723 التي تعتمد رسائل خداع تتعلق بتحديثات الرواتب وإشعار المزايا أو مشاركة مستندات.
كما لاحظت Proofpoint نشاطًا قد يوصف بأنه مرتبط بجهات روسية وتتبّعه تحت اسم UNK_AcademicFlare، التي تستخدم حسابات بريد حكومية وعسكرية مخترقة لبناء الثقة قبل شن حملات تصيّد تستهدف قطاعات حكومية وأكاديمية وقطاع النقل في الولايات المتحدة وأوروبا.
أدوات التصيّد وتطور الأساليب
ساهم توفر أدوات تصيّد جاهزة في انتشار الهجمات، من بينها SquarePhish2 التي تعمل على أتمتة تفويض الأجهزة باستخدام OAuth وتَعتمد غالبًا على رموز QR، وGraphish الذي يمكّن من تنفيذ هجمات تصيّد عبر تسجيل تطبيقات على منصة Azure واستخدام تقنيات الخصم في المنتصف.
التوصيات الوقائية
نصحت Proofpoint المؤسسات بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط، ومراقبة أنشطة OAuth بدقة، إضافة إلى تدريب الموظفين على عدم إدخال أي رموز تحقق غير مطلوبة حتى لو ظهرت على صفحات تسجيل دخول رسمية.
