التهديدات السيبرانية هذا الأسبوع: فخ OAuth والتصيد

التهديدات السيبرانية هذا الأسبوع تكشف فخ تطبيقات OAuth وتصيد سيجنال وواتساب، وترصد نمطاً يتكرر بسرعة.ما أبرز التهديدات السيبرانية هذا الأسبوع؟هذا الأسبوع جمع بين حيل قديمة تمت صيقلتها وأبحاث جديدة تكشف هشاشة الافتراضات حول أمان الحسابات السحابية. ما يلفت الانتباه أن الهجمات ركزت على سرقة رموز الدخول بدلاً من كسر التشفير.ظهرت كذلك مؤشرات على أدوات لتعطيل حلول EDR، وملفات ZIP تبدو عادية لكنها تعمل كـ Zombie ZIP لإرباك المحللات. وفي الخلفية، لوحظت محاولات لاختراق منصات ذكاء اصطناعي ناشئة لاستغلال بيانات التدريب.ملامح الأسبوع في نقاطتطبيقات OAuth خبيثة تستغل إرهاق الموافقة.محاولات تعطيل أدوات EDR على الأجهزة.تصيد سيجنال وواتساب للحصول على رموز التحقق.هجمات Zombie ZIP لإخفاء البرمجيات الضارة.استهداف منصات ذكاء اصطناعي بواجهات API.ووفقاً لمتابعة تيكبامين، القاسم المشترك هو الاعتماد على الخطأ البشري والهندسة الاجتماعية والواجهات التي تبدو موثوقة. لذلك أصبحت إدارة الصلاحيات والوعي بالمخاطر عاملاً حاسماً.كيف يعمل فخ تطبيقات OAuth الخبيثة؟تعتمد الهجمة على إنشاء تطبيق OAuth باسم يبدو شرعياً ثم دفع الموظف للموافقة على الصلاحيات بسرعة. بمجرد الضغط على قبول، ينتقل رمز الوصول إلى خادم المهاجم بدل صفحة دخول عادية.كيف يتم الاختراق خطوة بخطوة؟إنشاء تطبيق مزيف باسم يشبه خدمة معروفة.إرسال رابط موافقة عبر بريد أو رسالة داخلية.منح صلاحيات قراءة البريد أو الملفات.تحويل رمز الوصول إلى رابط إعادة توجيه خبيث.استخدام الرمز للوصول دون كلمة مرور.الحملات الأخيرة تضمنت 19 تطبيقاً مزيفاً ينتحل أسماء أدوبي ودوكيوساين وون درايف، واستهدفت أكثر من منظمة في بداية 2025. هذه الأرقام تكشف أن إدارة التطبيقات المصرح بها يجب أن تكون مركزية ومستمرة.لماذا يستهدف المهاجمون سيجنال وواتساب؟المهاجمون المرتبطون بروسيا ركزوا على مسؤولين وصحفيين وعسكريين عالمياً بهدف الاستحواذ على الحسابات في سيجنال (Signal) وواتساب (WhatsApp). الهجوم لا يكسر التشفير من طرف إلى طرف، بل يراهن على خداع المستخدم.أساليب الخداع الأكثر شيوعاًانتحال روبوت دعم سيجنال لطلب رمز التحقق.إرسال رسائل تحذير وهمية عبر واتساب.إقناع الضحية بمشاركة PIN أو رمز التسجيل.استغلال تبديل الأرقام أو شريحة SIM.بمجرد حصول المهاجم على الرمز، يمكنه ربط الحساب بجهازه وتجاوز كلمة المرور. لذلك تصبح لحظات تسجيل الدخول هي أخطر نقطة في سلسلة الحماية.كيف تحمي المؤسسات من التصيد والاختراق؟الحماية تبدأ بتقليل الصلاحيات ومراجعة تطبيقات OAuth بشكل دوري، مع مراقبة أي نشاط غير معتاد في السحابة. كما يجب تحديث سياسات EDR لضمان عدم تعطيلها بصمت.خطوات عملية سريعةتفعيل المصادقة متعددة العوامل على جميع الحسابات.حصر التطبيقات المسموح بها في المستأجر.تدريب الموظفين على التحقق من الروابط.مراجعة سجلات OAuth وتدوين الانحرافات.عزل ملفات ZIP المشبوهة قبل فتحها.على مستوى الأفراد، لا يتم مشاركة رموز التحقق أو PIN مع أي جهة حتى لو بدت رسمية. من الأفضل أيضاً تفعيل قفل التسجيل في سيجنال واستخدام رموز المرور في واتساب.الانتقال نحو خدمات ذكاء اصطناعي سحابية يزيد من سطح الهجوم، خاصة مع تكاملات API السريعة. كما أن تقنيات الإخفاء مثل Zombie ZIP تشير إلى أن البرمجيات الخبيثة أصبحت أكثر التواءً.في النهاية، متابعة التهديدات السيبرانية بشكل أسبوعي تساعد على رصد الاتجاهات قبل تحولها إلى حوادث كبيرة، وهو ما تنبه له تيكبامين باستمرار. ابقَ يقظاً وراجع صلاحياتك الرقمية الآن.