التصيد عبر رمز الجهاز يضرب حسابات Microsoft 365 عبر رسائل تعاون مزيفة تدفع الضحية لتسجيل دخول شرعي، ما يمنح المهاجم وصولاً مباشراً للحساب.
ما هو التصيد عبر رمز الجهاز في مايكروسوفت 365؟
يرتكز هذا الأسلوب على استغلال آلية Device Code Flow، وهي طريقة تسجيل دخول رسمية ضمن OAuth 2.0 مخصصة للأجهزة ذات الواجهات المحدودة مثل الشاشات الذكية والطابعات.
بدلاً من سرقة كلمة المرور عبر صفحة مزيفة، يرسل المهاجم رمز جهاز حقيقياً إلى الضحية ويطلب إدخاله داخل صفحة تسجيل دخول مايكروسوفت الأصلية. هنا تبدو العملية آمنة، لكن الجلسة تكون في الواقع مرتبطة بالمهاجم.
لماذا يعد هذا الهجوم خطيراً؟
- لا يعتمد على صفحة تسجيل دخول مزورة.
- يمكنه تجاوز بعض طبقات الحماية التقليدية.
- يمنح المهاجم رموز جلسة صالحة للوصول المستمر.
- يصعّب على المستخدم اكتشاف الخداع بسرعة.
كيف نُفذت الحملة الأخيرة؟
خلال الأسبوع الأخير من يونيو 2026 وبداية يوليو 2026، رُصدت حملة تستخدم رسائل ذات طابع تعاوني يشبه دعوات العمل أو المحادثات المهنية. الهدف كان إقناع الضحايا بإدخال رمز جهاز يقدمه المهاجم.
وبحسب المعطيات المتاحة، لم يحتج المهاجمون إلى إنشاء بنية تصيد تقليدية. بدلاً من ذلك، استخدموا طبقة أدوات خلفية قادرة على توليد رموز الأجهزة ومراقبة حالة المصادقة حتى تكتمل العملية بنجاح.
أبرز ملامح الهجوم
- استهداف حسابات Microsoft 365 في بيئات العمل.
- استخدام رسائل تشبه Microsoft Teams أو طلبات التعاون.
- الاعتماد على صفحة مايكروسوفت الشرعية بدل الصفحات المزيفة.
- استرجاع رمز الوصول فور إتمام المستخدم لخطوات الدخول.
ما علاقة أداة DEBULL بهذه الهجمات؟
تشير التحليلات إلى وجود طبقة تشغيل قابلة لإعادة الاستخدام تحمل اسم DEBULL، ويُعتقد أنها تسهّل تنفيذ هذا النوع من الحملات على نطاق أكبر. الفكرة هنا ليست في برمجية خبيثة تقليدية، بل في أداة تنظّم عملية الخداع وسحب الرموز ومتابعة الجلسات.
هذا يعني أن الخطر لا يقتصر على حملة واحدة، بل قد يمتد إلى موجات لاحقة تستخدم الأسلوب نفسه مع تعديلات بسيطة في الرسائل والطُعم. ووفق قراءة تيكبامين، فإن هذا التطور يعكس انتقال المهاجمين من سرقة كلمات المرور إلى استغلال مسارات تسجيل الدخول الشرعية.
كيف يحمي المستخدمون والمؤسسات حساباتهم؟
الحماية تبدأ من التحقق من سبب طلب رمز الجهاز قبل إدخاله، خاصة إذا وصل عبر البريد أو الدردشة. أي طلب غير متوقع لتسجيل الدخول عبر رمز قصير يجب التعامل معه باعتباره مشبوهاً حتى يثبت العكس.
- تعطيل أو تقييد Device Code Flow عند عدم الحاجة إليه.
- مراجعة سجلات تسجيل الدخول والرموز النشطة بشكل دوري.
- تدريب الموظفين على اكتشاف رسائل التعاون الاحتيالية.
- تطبيق سياسات وصول مشروط وربطها بسياق الجهاز والموقع.
- إلغاء الجلسات المشبوهة فوراً وتغيير بيانات الاعتماد.
ما الذي يجب مراقبته الآن؟
ينبغي لفرق الأمن متابعة أي محاولات تسجيل دخول غير معتادة مرتبطة برموز الأجهزة، خصوصاً في حسابات البريد التنفيذي والفرق المالية. كما أن ظهور رسائل تعاون غير متوقعة قد يكون مؤشراً مبكراً على محاولة اختراق.
في النهاية، يثبت التصيد عبر رمز الجهاز أن الهجمات الحديثة لم تعد تحتاج دائماً إلى صفحات مزيفة أو برمجيات معقدة. وكما يشير تيكبامين، فإن فهم هذا الأسلوب واتخاذ ضوابط استباقية بات ضرورة لحماية حسابات Microsoft 365 من الاستحواذ الكامل.