حذرت شركة الأمن السيبراني Proofpoint من تصاعد ملحوظ في الهجمات الإلكترونية التي تستهدف حسابات مايكروسوفت 365 الخاصة بالشركات، وذلك عبر استغلال ميزة مصادقة رسمية ومشروعة تابعة لمايكروسوفت، وأوضحت الشركة أن هذه الهجمات تنجح في تجاوز المصادقة متعددة العوامل (MFA) دون الحاجة إلى سرقة كلمات المرور أو الرموز المؤقتة، من خلال خداع المستخدمين ودفعهم للموافقة بأنفسهم على منح صلاحيات الوصول.

اختراق مايكروسوفت 365

وبحسب الباحثين، شهد هذا النشاط ارتفاعًا كبيرًا منذ سبتمبر 2025، وتشير البيانات إلى تورط كل من مجرمي إنترنت بدوافع مالية وجهات تهديد مرتبطة بدول، في تحول لافت بأساليب التصيّد الإلكتروني، حيث لم يعد التركيز على سرقة بيانات الدخول، بل على استغلال آليات المصادقة الموثوقة نفسها.

وأوضحت Proofpoint، في تدوينة رسمية، أن المهاجمين أساءوا استخدام ميزة تدفق رمز الجهاز في بروتوكول OAuth 2.0، وهي آلية صُممت أساسًا للأجهزة ذات إمكانيات الإدخال المحدودة، مثل أجهزة التلفزيون الذكية وأجهزة إنترنت الأشياء. 

ووفقًا للتقرير، يتلقى الضحايا رسائل تصيّد عبر البريد الإلكتروني أو تطبيقات المراسلة، تزعم وجود حاجة عاجلة للتحقق من الحساب، أو الاطلاع على مستندات، أو تنفيذ فحص أمني.

تفاصيل الإختراق

وتتضمن هذه الرسائل روابط أو رموز استجابة سريعة QR Code، عند الضغط عليها، يعرض على المستخدم رمز جهاز يتم تقديمه بشكل مضلل على أنه رمز تحقق مؤقت أو رمز أمان، مع توجيهه لإدخاله في صفحة تسجيل الدخول الرسمية الخاصة بمايكروسوفت.

وبمجرد إدخال الرمز، تقوم مايكروسوفت  دون علم المستخدم  بمنح رمز وصول OAuth Access Token لتطبيق يسيطر عليه المهاجم، ما يتيح له وصولًا فوريًا إلى حساب Microsoft 365 الخاص بالضحية.

أشارت Proofpoint إلى أن عملية تسجيل الدخول تتم عبر نطاق رسمي تابع لمايكروسوفت، وهو ما يؤدي إلى فشل العديد من أدوات كشف التصيّد الإلكتروني في رصد الهجوم، وبمجرد نجاح الاختراق يتمكن المهاجمون من سرقة البيانات، والتنقل بين أنظمة الشركة المختلفة، والحفاظ على وصول طويل الأمد، وفي بعض الحالات يستخدم هذا الوصول لاحقًا في ابتزاز الضحايا.

ورصد الباحثون عدة مجموعات تهديد استخدمت هذا الأسلوب، من بينها مجموعات ذات دوافع مالية مثل TA2723، التي تعتمد على رسائل خداع تتعلق بتحديثات الرواتب، وإشعارات المزايا الوظيفية، أو مشاركة مستندات.

كما لاحظت الشركة نشاطًا لجهات يعتقد أنها مرتبطة بروسيا، وتتابعها تحت اسم UNK_AcademicFlare، حيث تستخدم هذه المجموعة حسابات بريد إلكتروني حكومية وعسكرية مخترقة لبناء الثقة، قبل إطلاق حملات تصيّد تستهدف قطاعات حكومية وأكاديمية وقطاع النقل في الولايات المتحدة وأوروبا.

وساهم في انتشار هذه الهجمات توفر أدوات تصيّد جاهزة، أبرزها SquarePhish2 وGraphish، إذ تعمل أداة SquarePhish2 على أتمتة عملية تفويض الأجهزة باستخدام OAuth، وغالبًا ما تعتمد على رموز QR، بينما تتيح Graphish تنفيذ هجمات تصيّد عبر تسجيل تطبيقات على منصة Azure، واستخدام تقنيات “الخصم في المنتصف."

ووصفت Proofpoint هذا الأسلوب بأنه تطور خطير وغير معتاد في سلوك المهاجمين، موضحة أنهم لم يعودوا يحاولون كسر المصادقة متعددة العوامل، بل استغلال آليات المصادقة نفسها، ما يجعل الهجمات أكثر تعقيدًا وصعوبة في الاكتشاف.

ونصحت الشركة المؤسسات بتقييد أو تعطيل استخدام ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط، ومراقبة أنشطة OAuth بشكل دقيق، إلى جانب تدريب الموظفين على عدم إدخال أي رموز تحقق غير مطلوبة، حتى لو ظهرت على صفحات تسجيل دخول رسمية.