أعلنت Proofpoint عن ارتفاع ملحوظ في الهجمات الإلكترونية التي تستهدف حسابات مايكروسوفت 365 لدى الشركات. وتكشف الهجمات عن استغلال آلية مصادقة رسمية تابعة لمايكروسوفت وتجاوز المصادقة متعددة العوامل دون حاجة لسرقة كلمات المرور أو الرموز المؤقتة، من خلال إقناع المستخدمين بالموافقة على منح وصولهم بأنفسهم. وتؤكد الشركة أن الهدف ليس كسر MFA بل استغلال آليات المصادقة نفسها لتوفير وصول فوري إلى الحسابات.
آليات الهجوم وتفاصيل التنفيذ
وحددت Proofpoint أن المهاجمين أساءوا استخدام ميزة تدفق رمز الجهاز في بروتوكول OAuth 2.0 المصمم للأجهزة ذات إمكانيات الإدخال المحدودة. وفقًا للتحذير، يتلقى الضحايا رسائل تصيّد عبر البريد الإلكتروني أو تطبيقات المراسلة تزعم وجود حاجة عاجلة للتحقق من الحساب أو الاطلاع على مستندات أو إجراء فحص أمني. وعند الضغط على الروابط أو إدخال رموز استجابة سريعة، يعرض على المستخدم رمز جهاز يزعم أنه رمز تحقق مؤقت، ثم يُطلب إدخاله في صفحة تسجيل الدخول الرسمية الخاصة بمايكروسوفت.
عندما يدخل المستخدم الرمز، تحصل مايكروسوفت دون علمه على رمز وصول OAuth لتطبيق يسيطر عليه المهاجم، وهذا يمنح المهاجم وصولًا فوريًا إلى حساب Microsoft 365. وتتيح هذه الثغرة للمهاجمين التنقل بين أنظمة الشركة وبقاء الوصول طويل الأمد، ما يجعل الاكتشاف أصعب ويزيد من مخاطر الابتزاز في بعض الحالات. وتؤكد Proofpoint أن عملية تسجيل الدخول تتم عبر نطاق رسمي تابع لمايكروسوفت، وهو ما يجعل بعض أدوات كشف التصيّد تفشل في رصده.
جهات التهديد وأساليبها
رصدت Proofpoint عددًا من مجموعات التهديد التي استخدمت هذا الأسلوب، بينها مجموعة TA2723 التي تعتمد رسائل خداع تتعلق بتحديثات الرواتب ومزايا العمل، إضافةً إلى مشاركة المستندات. كما رصدت الشركة نشاطًا من جهة يعتقد أنها مرتبطة بروسيا وتُعرف بـ UNK_AcademicFlare، والتي تستخدم حسابات بريد حكومية وعسكرية مخترقة لبناء الثقة قبل شن حملات تصيّد تستهدف قطاعات حكومية وأكاديمية ونقل في الولايات المتحدة وأوروبا.
وتسهم أدوات تصيّد جاهزة مثل SquarePhish2 في أتمتة تفويض الأجهزة باستخدام OAuth وعادةً ما تعتمد على رموز QR، فيما تتيح Graphish تنفيذ هجمات تصيّد عبر تسجيل تطبيقات على منصة Azure واستخدام تقنيات من نوع الوسيط. وتوضح Proofpoint أن هذه الأدوات تعزز سرعة وكفاءة تنفيذ الهجمات وتزيد من قدرة المهاجمين على التوغل في بيئة المؤسسات. كما تشير إلى أن هذا الأسلوب يمثل تطورًا خطيرًا يجعل الهجمات أكثر تعقيدًا وصعوبة في الاكتشاف.
نصائح الوقاية
تنصح Proofpoint المؤسسات بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط ومتابعة أنشطة OAuth بدقة. كما توصي بتدريب الموظفين على عدم إدخال رموز تحقق غير مطلوبة حتى لو ظهرت الرسالة كإشعار دخول رسمي. وتؤكد على أهمية عدم الاعتماد على رسائل تصيّد أو روابط من مصادر غير موثوقة والتحقق من صحة صفحة تسجيل الدخول قبل المصادقة.
