في ظل التطور المستمر للتهديدات السيبرانية، أصبحت حسابات Microsoft 365 هدفاً مغرياً للمخترقين، نظراً لما تحتويه من بيانات حساسة وإمكانية الوصول إلى أنظمة العمل الهامة. وقد كشفت شركة Proofpoint الأمنية عن تزايد ملحوظ في عمليات اختراق هذه الحسابات، مستغلين ثغرات في إعدادات الأمان أو الاعتماد على كلمات مرور ضعيفة وغياب المصادقة متعددة العوامل. لكن التطور الأخطر يكمن في استغلال آلية تسجيل دخول شرعية تسمى OAuth عبر حيلة احتيالية جديدة لا يلاحظها المستخدمون بسهولة.
- ✅ الكشف عن تزايد استهداف حسابات Microsoft 365 بسبب ضعف إجراءات الأمان الأساسية.
- ✅ استغلال المهاجمين لآلية تسجيل الدخول الشرعية **OAuth** لتنفيذ عمليات التصيد الاحتيالي المتقدمة.
- ✅ تعتمد الحيلة على خداع الضحية لإدخال رمز لمرة واحدة (OTP) يُعتقد أنه لتوثيق الجهاز.
- ✅ ظهور أدوات مؤتمتة مثل SquarePhish2 و Graphish تسهل على المهاجمين توسيع نطاق هذه الهجمات.
- ✅ التوصية الرئيسية تتمثل في حظر تدفق رموز الأجهزة وتطبيق نهج القائمة المسموح بها للأجهزة الموثوقة.
آلية الاحتيال الجديدة: استغلال مصادقة OAuth
يكمن جوهر هذه الهجمات المتقدمة في خداع المستخدمين عبر استغلال آلية OAuth، وهي بروتوكول تفويض قياسي وموثوق به من مايكروسوفت. تبدأ العملية بتلقي الضحية رسالة إلكترونية أو رابطاً خبيثاً مدمجاً في زر أو رمز QR. عند النقر على هذا الرابط، يبدأ المهاجمون بسلسلة من الإجراءات التي تستغل ميزات التحقق من الأجهزة المعتمدة في مايكروسوفت.
الخطوة الحاسمة هي تلقي الضحية رمزاً يدّعي المهاجمون أنه رمز تحقق للجهاز، يتم إرساله إما عبر صفحة الوصول المزيفة أو عبر بريد إلكتروني منتحَل. هذا الرمز هو في الحقيقة كلمة مرور لمرة واحدة (OTP) مصممة خصيصاً لخداع الضحية ليعتقد أنه يوثق جهازاً جديداً. بمجرد إدخال هذا الرمز في الصفحة التي يتحكم بها المهاجم، يتمكنون من الاستيلاء على صلاحيات الوصول الكاملة لحساب Microsoft 365 الخاص بالضحية.
تطور خطير في أساليب التصيد الاحتيالي
يؤكد باحثو Proofpoint أن هذا التكتيك يمثل نقلة نوعية في عالم التصيد الاحتيالي؛ حيث ينتقل التركيز من مجرد سرقة كلمات المرور إلى استغلال آليات المصادقة الموثوقة نفسها. هذا التطور يهدف إلى تجاوز الدفاعات التي تعتمد على المصادقة متعددة العوامل التقليدية، مما يعطي المهاجمين إحساساً زائفاً بالأمان للضحية أثناء تنفيذ عملية الاختراق.
تعتمد هذه الهجمات على استخدام روابط إلكترونية خبيثة ونصوص تشعبية مضللة أو رموز QR للوصول إلى مواقع تصيد احتيالي مصممة بعناية، مما يتيح للمهاجمين سرقة البيانات الحساسة أو استخدام الحساب المخترق كبوابة للتنقل الجانبي داخل شبكة المؤسسة المستهدفة. كما أن توفر أدوات مؤتمتة مثل SquarePhish2 و **Graphish** في منتديات القرصنة يقلل من الحاجة إلى خبرة تقنية عالية لدى المنفذين، مما يزيد من انتشار هذه التهديدات.
إجراءات الحماية الموصى بها من Proofpoint
لمواجهة هذا التهديد المتنامي، تقدم Proofpoint توصيات أمنية صارمة تركز على تقييد استخدام رموز الأجهزة. التوصية الأولى هي حظر تدفق رموز الأجهزة (Device Code Flow) على مستوى الشبكة قدر الإمكان. وفي حال تعذر الحظر الشامل، يتم تطبيق نهج "القائمة المسموح بها" (Allowlisting)، حيث يُسمح فقط للأجهزة المعروفة أو المسجلة مسبقاً بإجراء عمليات تسجيل الدخول التي تتطلب هذا النوع من التوثيق.
بالإضافة إلى الإجراءات التقنية، تشدد التوصيات على أهمية برامج التوعية والتدريب المكثف للمستخدمين. يجب أن يكون الموظفون مدربين على اكتشاف هذه الهجمات غير التقليدية التي تتجاوز الرسائل النصية العادية، وأن يفهموا كيفية التعامل مع طلبات الرموز غير المتوقعة. كما تدعو الشركة إلى تعزيز الضوابط الأمنية على **OAuth**، خاصة مع التوجه المتزايد نحو اعتماد آليات مصادقة أكثر أماناً ومقاومة للتصيد الاحتيالي مثل تلك القائمة على معيار FIDO، حيث يُتوقع أن تزداد محاولات إساءة استخدام تدفقات OAuth بالتوازي.
ما هي آلية OAuth التي يستغلها المهاجمون في هذا النوع من الاحتيال؟
آلية OAuth هي بروتوكول تفويض شرعي يسمح لتطبيق طرف ثالث بالوصول إلى موارد المستخدم على خدمة أخرى (مثل Microsoft 365) دون الحاجة إلى مشاركة كلمة المرور. يستغل المهاجمون هذا التدفق لخداع النظام ليعتقد أنهم يطلبون إذناً شرعياً، ويتم ذلك عبر الحصول على رمز لمرة واحدة من الضحية.
كيف يمكن للمستخدم التمييز بين طلب رمز الجهاز الحقيقي والمزيف؟
عادةً ما يتم تلقي طلبات رموز الجهاز الشرعية ضمن سياق موثوق ومعروف مسبقاً (مثل إعداد تطبيق جديد). أما الطلبات الاحتيالية فتأتي عبر روابط مشبوهة أو رسائل غير متوقعة. القاعدة الذهبية هي عدم إدخال أي رمز لمرة واحدة يتم طلبه عبر رابط غير متوقع أو بريد إلكتروني خارجي.
ما هي الأدوات التي تسهل أتمتة هذه الهجمات المتقدمة؟
ذكرت Proofpoint أدوات مثل مجموعتي **SquarePhish2** و **Graphish**، بالإضافة إلى تطبيقات خبيثة أخرى معروضة للبيع، تعمل هذه الأدوات على أتمتة عملية التصيد الاحتيالي باستخدام رموز الأجهزة، مما يقلل من العوائق التقنية أمام المهاجمين الجدد.
ما هو الإجراء التقني الأكثر فعالية الذي توصي به الشركات لوقف هذا النوع من الاختراق؟
الإجراء التقني الأكثر فعالية هو حظر تدفق رموز الأجهزة (Device Code Flow) بالكامل على مستوى البنية التحتية للشبكة. إذا كان ذلك غير ممكن، يجب تطبيق سياسة القائمة المسموح بها لضمان أن طلبات التوثيق هذه تأتي فقط من أجهزة معروفة ومسجلة رسمياً.
لماذا يزداد التركيز على استغلال OAuth بدلاً من سرقة كلمات المرور مباشرة؟
التركيز على استغلال OAuth يزداد لأن هذا الأسلوب يتجاوز فعالية المصادقة متعددة العوامل التقليدية (مثل الرسائل النصية)، حيث يتم خداع المستخدم للمشاركة طواعية في عملية منح الصلاحية، مما يجعل الاختراق يبدو وكأنه إجراء أمني طبيعي.
ما علاقة معيار FIDO بحماية حسابات Microsoft 365 في المستقبل؟
معيار FIDO (المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي) يمثل الجيل القادم من الحماية. ومن المتوقع أن يؤدي الانتشار المتزايد لتقنيات FIDO إلى زيادة محاولات المهاجمين لإساءة استخدام تدفقات OAuth الأقدم والأضعف قبل أن يتم استبدالها بالكامل.
هل يجب على المستخدمين إلغاء تفعيل OAuth تماماً؟
لا ينصح بإلغاء تفعيل OAuth بشكل كامل لأنه بروتوكول أساسي لتكامل العديد من الخدمات والتطبيقات الشرعية مع بيئة مايكروسوفت. الحل يكمن في تشديد الضوابط الأمنية وتطبيق القوائم البيضاء والتدريب المستمر.
🔎 في الختام، يتضح أن المعركة ضد الجرائم الإلكترونية تتطلب يقظة مستمرة وتحديثاً مستمراً لأساليب الدفاع. استغلال آلية **OAuth** لسرقة حسابات **Microsoft 365** يمثل تحولاً مقلقاً يتطلب من المؤسسات والأفراد تجاوز الاعتماد على المصادقة الثنائية التقليدية والتحول نحو الضوابط الصارمة على تدفقات المصادقة، مع التركيز الحاسم على تدريب المستخدمين ليصبحوا خط الدفاع الأول ضد الحيل الاحتيالية المبتكرة التي تستهدف نقاط الثقة في أنظمتنا الرقمية.
قم بالتعليق على الموضوع