تشير تقارير Proofpoint إلى ارتفاع ملحوظ في الهجمات الإلكترونية التي تستهدف حسابات مايكروسوفت 365 عبر استغلال ميزة المصادقة الرسمية والموثوقة المرتبطة بمايكروسوفت، حيث تنجح هذه الهجمات في تجاوز المصادقة متعددة العوامل MFA دون الحاجة إلى سرقة كلمات المرور أو الرموز المؤقتة، من خلال خداع المستخدمين ودفعهم للموافقة بأنفسهم على منح صلاحيات الوصول.
آلية الهجوم وخطره
وبحسب الباحثين، ارتفع نشاط هذه الهجمات منذ سبتمبر 2025، وتشارك فيها مجرمو إلكترونيون مالیون وجهات تهديد مرتبطة بدول، وتتحول أساليب المهاجمين إلى استغلال آليات المصادقة نفسها وليس فقط سرقة بيانات الدخول. وتبين أن المهاجمين يساءون استخدام ميزة تدفق رمز الجهاز ضمن بروتوكول OAuth 2.0 المصمم للأجهزة ذات قدراتها المحدودة، مثل أجهزة التلفاز الذكية وإنترنت الأشياء.
ترسل الرسائل الخادعة عبر البريد أو تطبيقات المحادثة وتدعّي وجود حاجة عاجلة للتحقق من الحساب أو الاطلاع على مستندات أو إجراء فحص أمني. وتتضمن رسائل تحتوي على روابط أو رموز QR Code، وعند النقر عليها يعرض للمستخدم رمز جهاز مزور يزعم أنه رمز تحقق مؤقت أو رمز أمان، ويطلب إدخاله في صفحة تسجيل الدخول الرسمية الخاصة بمايكروسوفت.
عند إدخال الرمز، تمنح مايكروسوفت دون علم المستخدم رمز وصول OAuth لتطبيق يسيطر عليه المهاجم، ما يمنح الأخير وصولاً فوريًا إلى حساب Microsoft 365 الخاص بالضحية، وتُجرى عملية الدخول عبر نطاق رسمي تابع لمايكروسوفت، وهو ما يجعل أغلب أدوات كشف التصيّد تتعثر في رصد الهجوم. وبمجرد نجاح الاختراق يتمكن المهاجمون من سرقة البيانات والتنقل بين أنظمة الشركة والحفاظ على وصول طويل الأمد، وفي بعض الحالات يستخدم ذلك للوصول إلى ضحايا أخرى أو للابتزاز.
المجموعات والأنماط المرتبطة
رصدت Proofpoint تعدد مجموعات تهديد تستخدم هذا الأسلوب، منها مجموعات ذات دوافع مالية مثل TA2723 التي تعتمد في أساليبها على رسائل خداع تتعلق بتحديثات الرواتب أو إشعارات المزايا الوظيفية المشاركة في المستندات، وأيضاً لاحظت نشاطاً لجهات يعتقد أنها مرتبطة بروسيا وتعرف بUNK_AcademicFlare، وتستخدم حسابات بريد حكومية وعسكرية مخترقة لبناء الثقة قبل تنفيذ حملات تصيّد تستهدف قطاعات حكومية وأكاديمية ونقل في الولايات المتحدة وأوروبا.
يساعد انتشار هذه الهجمات وجود أدوات تصيّد جاهزة، أبرزها SquarePhish2 وGraphish؛ فتعمل SquarePhish2 على أتمتة تفويض الأجهزة باستخدام OAuth، وغالباً ما تعتمد على رموز QR، بينما تتيح Graphish تنفيذ حملات تصيّد عبر تسجيل تطبيقات على منصة Azure واستخدام تقنيات “الخصم في المنتصف”.
كيف تقلل المؤسسات من المخاطر
ووصفت Proofpoint هذه الأساليب بأنها تطور خطير وغير عادي في سلوك المهاجمين، حيث لم يعودوا يسعون لكسر MFA بل لاستغلال آليات المصادقة نفسها مما يجعل الاكتشاف أكثر صعوبة. لذلك توصي المؤسسات بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط ومراقبة أنشطة OAuth بدقة، إضافة إلى تدريب الموظفين على عدم إدخال أي رموز تحقق غير مطلوبة حتى لو ظهرت على صفحات تسجيل دخول رسمية.
كما يُوصى بتقليل الاعتماد على جهاز رمز المصادقة عبر تطبيقات الشركات، ومراجعة وتقييد أذونات OAuth التي تصدرها التطبيقات، وتفعيل الرصد المستمر لحركات OAuth والتأكد من أن جميع أنشطة الدخول إلى نطاقات مايكروسوفت تتم وفق سياسات الوصول الآمن، إضافة إلى توعية الموظفين حول ظهور رسائل بريد أو رسائل محادثة تحاول دفعهم للموافقة على أذونات غير معتادة أو غير مطلوبة.
