ارتفاع الهجمات المستهدفة على حسابات مايكروسوفت 365
تحذر Proofpoint من ارتفاع ملحوظ في الهجمات الإلكترونية التي تستهدف حسابات مايكروسوفت 365 لدى الشركات، وذلك عبر استغلال ميزة مصادقة رسمية ومشروعة تابعة لمايكروسوفت.
تشير النتائج إلى أن هذه الهجمات تتجاوز المصادقة متعددة العوامل دون حاجة إلى سرقة كلمات المرور أو الرموز المؤقتة، من خلال خداع المستخدمين للموافقة بأنفسهم على منح صلاحيات الوصول.
توضح Proofpoint أن المهاجمين أساءوا استخدام ميزة تدفق رمز الجهاز في بروتوكول OAuth 2.0، وهو آلية صُممت أصلاً للأجهزة منخفضة الإدخال مثل أجهزة التلفاز الذكية وأجهزة إنترنت الأشياء.
يتلقى الضحايا رسائل تصيّد عبر البريد أو تطبيقات رسائل تزعم وجود حاجة عاجلة للتحقق من الحساب أو الاطلاع على مستندات أو إجراء فحص أمني.
تتضمن هذه الرسائل روابط أو رموز استجابة سريعة QR Code، وعند الضغط عليها يظهر رمز جهاز مضلل يزعم أنه رمز تحقق مؤقت أو رمز أمان، مع توجيه الضحية لإدخاله في صفحة تسجيل الدخول الرسمية الخاصة بمايكروسوفت.
يتسبب إدخال الرمز في منح مايكروسوفت دون علم المستخدم رمز وصول OAuth لتطبيق يسيطر عليه المهاجم، ما يتيح له وصولاً فورياً إلى حساب Microsoft 365 الخاص بالضحية.
تشير Proofpoint إلى أن عملية تسجيل الدخول تتم عبر نطاق رسمي تابع لمايكروسوفت، مما يجعلها تمر من دون اكتشاف غالباً بواسطة أدوات كشف التصيّد التقليدية.
يسمح نجاح الاختراق للمهاجمين بسرقة البيانات والتنقل بين أنظمة الشركة والحفاظ على وصول طويل الأمد، وفي بعض الحالات يُستخدم هذا الوصول لاحقاً في ابتزاز الضحايا.
رصدت Proofpoint عدة مجموعات تهديد تستخدم هذا الأسلوب، من بينها مجموعات مالية مثل TA2723 التي تعتمد رسائل خداع تتعلق برواتب محدثة أو مزايا وظيفية أو مشاركة مستندات.
راقبت Proofpoint أيضاً نشاطاً لجهات يعتقد أنها مرتبطة بروسيا وتتبّعها تحت اسم UNK_AcademicFlare، حيث تستخدم حسابات بريد حكومية وعسكرية مخترقة لبناء الثقة قبل شن حملات تصيّد تستهدف قطاعات حكومية وأكاديمية وقطاع النقل في الولايات المتحدة وأوروبا.
تساعد أدوات التصيد الجاهزة في انتشار هذا الأسلوب، من بينها SquarePhish2 وGraphish، فSquarePhish2 يعمل على أتمتة عملية تفويض الأجهزة باستخدام OAuth، وغالباً ما يعتمد على رموز QR، في حين تتيح Graphish تنفيذ حملات تصيّد عبر تسجيل تطبيقات على منصة Azure واستخدام تقنيات «الخصم في الوسط».
وصفت Proofpoint هذا الأسلوب بأنه تطور خطير وغير معتاد في سلوك المهاجمين، موضحة أن المهاجمين لم يعودوا يحاولون كسر المصادقة متعددة العوامل بل استغلال آليات المصادقة نفسها، ما يجعل الهجمات أكثر تعقيداً وصعوبة في الاكتشاف.
نصحت الشركة المؤسسات بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط، ومراقبة أنشطة OAuth بشكل دقيق، إلى جانب تدريب الموظفين على عدم إدخال أي رموز تحقق غير مطلوبة، حتى لو ظهرت على صفحات تسجيل دخول رسمية.
التوصيات الوقائية والإجراءات المقترحة
يجب على المؤسسات تقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط، ومراقبة أنشطة OAuth بشكل دقيق، مع تدريب الموظفين على عدم إدخال أي رموز تحقق غير مطلوبة حتى لو ظهرت على صفحات تسجيل دخول رسمية.
