احتيال OAuth: كيف يتم تجاوز المصادقة الثنائية MFA؟

اكتشف الخبراء أسلوباً جديداً يُعرف باسم احتيال OAuth لتجاوز المصادقة الثنائية MFA، مما يهدد أمان الشركات وحسابات مايكروسوفت 365 بشكل غير مسبوق.

في فبراير 2026، بدأت منصة متطورة للتصيد الاحتيالي تُعرف باسم EvilTokens في العمل، وخلال خمسة أسابيع فقط، تمكنت من اختراق أكثر من 340 مؤسسة تعتمد على خدمات مايكروسوفت 365 في خمس دول مختلفة. هذا الهجوم يمثل تحولاً جذرياً في كيفية اختراق الحسابات المؤمنة جيداً.

وفقاً لما تابعه فريق تيكبامين، تعتمد الحيلة على إرسال رسالة تطلب من المستخدم إدخال رمز قصير عبر رابط رسمي وهو microsoft.com/devicelogin، ثم إكمال تحدي المصادقة الثنائية (MFA) المعتاد. يظن المستخدم أنه يقوم بتسجيل دخول روتيني، لكنه في الحقيقة يمنح المهاجم "رمز تحديث" (Refresh Token) يتيح له الوصول الدائم إلى بياناته.

لماذا تفشل المصادقة الثنائية أمام احتيال OAuth؟

المشكلة الأساسية هي أن المصادقة الثنائية (MFA) مصممة لحماية كلمات المرور، ولكن في هجمات احتيال OAuth، لا يحتاج المهاجم إلى كلمة المرور من الأساس. الهجوم ينجح لأن المستخدم يقوم بالمصادقة بنفسه على الموقع الرسمي، وبمجرد الضغط على "قبول" (Accept) في شاشة الصلاحيات، يحصل المهاجم على صلاحيات تشمل:

• الوصول الكامل إلى صندوق البريد الإلكتروني.
• قراءة وتعديل الملفات في السحابة (OneDrive).
• الاطلاع على التقويم وجهات الاتصال.
• الوصول المستمر لفترات طويلة قد تصل لأسابيع.

المصادقة الثنائية لا تمنع هذا النوع من الاختراق لأنها حدثت بالفعل وبشكل شرعي قبل منح الصلاحية. كما أن تغيير كلمة المرور لا يبطل مفعول هذا الرمز في كثير من الأحيان، مما يجعل التهديد مستمراً ما لم يتم إلغاء الصلاحية يدوياً.

مخاطر تقنية EvilTokens المتطورة

• تجاوز الدفاعات: لا ينتج عن الهجوم أي تنبيهات تسجيل دخول مشبوهة.
• الاستمرارية: تظل الرموز المسروقة صالحة وفقاً لسياسة المؤسسة وليس لجلسة العمل فقط.
• الشرعية الزائفة: تتم العملية بالكامل عبر نطاقات مايكروسوفت الرسمية، مما يخدع المستخدمين المحترفين.

لماذا يضغط المستخدمون على "قبول" دون تفكير؟

يشير خبراء تيكبامين إلى أن المستخدمين تعرضوا لتدريب غريزي على تخطي شاشات الموافقة، تماماً كما يفعلون مع إشعارات ملفات تعريف الارتباط (Cookies). مع تزايد استخدام أدوات الذكاء الاصطناعي والإضافات البرمجية، أصبح ظهور شاشة موافقة OAuth أمراً متكرراً وعادياً.

كل تطبيق إنتاجية أو أداة ذكاء اصطناعي يطلب صلاحيات مماثلة، مما جعل المستخدم يثق في هذه الشاشات بشكل مفرط. هذا السلوك هو الثغرة البشرية التي تستغلها منصات مثل EvilTokens للالتفاف على أعقد الأنظمة الأمنية التي تعتبر المصادقة الثنائية هي خط الدفاع الأخير.

كيف تحمي حساباتك من هجمات منح الصلاحيات؟

للحماية من هذا التهديد، يجب اتباع استراتيجيات أمنية تتجاوز حماية كلمات المرور التقليدية، ومن أبرزها:

• تفعيل سياسات الوصول المشروط (Conditional Access) التي تطلب إعادة المصادقة.
• المراجعة الدورية للتطبيقات التي تملك صلاحيات الوصول (OAuth Grants).
• توعية الموظفين بخطورة إدخال رموز في صفحة devicelogin دون طلب مسبق.

في الختام، يظل احتيال OAuth أحد أخطر التهديدات الرقمية القادمة، حيث يستهدف "رموز الوصول" بدلاً من كلمات المرور، مما يتطلب من الشركات والمستخدمين وعياً أعمق بكيفية منح الصلاحيات للتطبيقات الخارجية لضمان أمن بياناتهم الحساسة.