تصاعد هجمات حسابات مايكروسوفت 365 باستخدام تدفق رمز الجهاز في OAuth
تشير Proofpoint إلى تصاعد ملحوظ في الهجمات التي تستهدف حسابات مايكروسوفت 365 لدى الشركات، وتستغل ميزة مصادقة رسمية تابعة لمايكروسوفت، حيث تنجح في تجاوز المصادقة متعددة العوامل عبر خداع المستخدمين ودفعهم للموافقة بأنفسهم على منح صلاحيات الوصول.
يستخدم المهاجمون ميزة تدفق رمز الجهاز في بروتوكول OAuth 2.0 المخصص للأجهزة ذات إمكانات الإدخال المحدودة، مثل أجهزة التلفاز الذكية وأجهزة إنترنت الأشياء، لكنهم يسيئون استخدامها لأغراض احتيالية.
يتلقى الضحايا رسائل تصيّد عبر البريد الإلكتروني أو تطبيقات المراسلة تزعم وجود حاجة عاجلة للتحقق من الحساب، أو الاطلاع على مستندات، أو إجراء فحص أمني، وتحتوي على روابط أو رموز QR، وعند الضغط يعرض للمستخدم رمز جهاز مضلل يقدَّم كرمز تحقق مؤقت أو كود أمان.
يؤدي إدخال الرمز إلى منح مايكروسوفت دون علم المستخدم رمز وصول OAuth لتطبيق يسيطر عليه المهاجم، ما يمنحه وصولًا فوريًا إلى حساب Microsoft 365، وتظهر عملية تسجيل الدخول عبر نطاق رسمي من مايكروسوفت، مما يجعل رصد الهجوم من قبل أدوات الكشف محدودًا.
بعد النجاح في الاختراق، يستطيع المهاجم سرقة البيانات والتنقل بين أنظمة الشركة والحفاظ على وصول طويل الأمد، وفي بعض الحالات يستخدم هذا الوصول لاحقًا في ابتزاز الضحايا.
رصدت Proofpoint وجود مجموعات تهديد متعددة الدوافع، من بينها TA2723 التي تعتمد رسائل خداع حول تحديث الرواتب والمزايا أو مشاركة المستندات، إضافة إلى نشاط يشتبه بأنه مرتبط بروسيا وتتبعه مجموعة UNK_AcademicFlare التي تستخدم حسابات بريد حكومية وعسكرية مخترقة لبناء الثقة ثم تشن حملات تصيّد تستهدف قطاعات حكومية وأكاديمية وقطاعات النقل في الولايات المتحدة وأوروبا.
وإلى جانب ذلك ساهم توفر أدوات تصيّد جاهزة في انتشار هذه الهجمات، أبرزها SquarePhish2 وGraphish، فـSquarePhish2 يعتني بتفويض الأجهزة باستخدام OAuth ويعتمد غالبًا على رموز QR، بينما يتيح Graphish تنفيذ حملات تصيّد عبر تسجيل تطبيقات على منصة Azure واستخدام تقنيات الخصم في المنتصف.
وصف Proofpoint هذا الأسلوب بأنه تطور خطير وغير معتاد في سلوك المهاجمين، موضحًا أنهم لم يعودوا يحاولون كسر المصادقة متعددة العوامل، بل يستغلون آليات المصادقة نفسها، مما يجعل الهجمات أكثر تعقيدًا وصعوبة في الاكتشاف.
ونصحت المؤسسات بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط، ومراقبة أنشطة OAuth بشكل دقيق، إلى جانب تدريب الموظفين على عدم إدخال أي رموز تحقق غير مطلوبة، حتى لو ظهرت على صفحات تسجيل دخول رسمية.
