تحذير من مايكروسوفت: حملة تصيد عالمية تستهدف آلاف الحسابات

كشفت شركة مايكروسوفت عن تفاصيل حملة تصيد احتيالي ضخمة استهدفت 35 ألف مستخدم في 26 دولة، بهدف سرقة رموز المصادقة وتجاوز حماية الحسابات بطرق مبتكرة.

وفقاً لتقرير تقني تابع لشركة مايكروسوفت، فإن هذه الحملة اعتمدت على مزيج من الإغراءات المرتبطة بقواعد السلوك المهني واستغلال خدمات البريد الإلكتروني المشروعة لتوجيه المستخدمين إلى نطاقات يسيطر عليها المهاجمون لسرقة بيانات الاعتماد ورموز الوصول.

ما هي تفاصيل حملة التصيد التي رصدتها مايكروسوفت؟

شهدت الحملة نشاطاً مكثفاً في الفترة ما بين 14 و16 أبريل 2026، حيث استهدفت أكثر من 35,000 مستخدم يعملون في أكثر من 13,000 مؤسسة عبر 26 دولة حول العالم. وحسب تيكبامين، فقد تركزت 92% من هذه الهجمات داخل الولايات المتحدة، مما يشير إلى تركيز جغرافي دقيق للمهاجمين.

القطاعات الأكثر استهدافاً في الحملة:

• قطاع الرعاية الصحية وعلوم الحياة: بنسبة 19%
• الخدمات المالية: بنسبة 18%
• الخدمات المهنية: بنسبة 11%
• قطاع التكنولوجيا والبرمجيات: بنسبة 11%

كيف استدرج المهاجمون ضحاياهم عبر البريد الإلكتروني؟

أوضح فريق أبحاث الأمن في مايكروسوفت ديفندر أن المهاجمين استخدموا قوالب HTML احترافية مصممة بأسلوب الشركات الكبرى، مع تخطيطات هيكلية وبيانات توثيق استباقية. هذه التفاصيل جعلت الرسائل تبدو أكثر مصداقية من رسائل التصيد التقليدية، مما زاد من احتمالية اعتبارها مراسلات داخلية رسمية.

كما أشار تقرير تيكبامين إلى أن الرسائل تضمنت اتهامات ومطالبات باتخاذ إجراءات سريعة خلال وقت محدد، مما خلق شعوراً بالاستعجال والضغط النفسي على الموظفين للرد دون تدقيق كافٍ.

أبرز العناوين والأسماء المستخدمة في رسائل التصيد:

• أسماء العرض: "Internal Regulatory COC" أو "Workforce Communications".
• عناوين الرسائل: "Internal case log issued under conduct policy".
• رسائل تذكيرية: "Reminder: employer opened a non-compliance case log".

ما هو الأسلوب التقني المتبع لسرقة البيانات؟

تبدأ الهجمة برسالة بريد إلكتروني تحتوي على إشعار يدعي أنه صادر عبر قناة داخلية معتمدة، مع التأكيد على أن الروابط والمرفقات قد تمت مراجعتها وتأمينها. تتضمن الرسائل ملف PDF يزعم تقديم معلومات إضافية حول مراجعة سلوك الموظف، وبمجرد النقر على الرابط داخل الملف، تبدأ عملية حصاد بيانات الاعتماد.

تعتمد سلسلة الهجوم على توجيه الضحايا عبر جولات متعددة من اختبارات CAPTCHA وصفحات وسيطة مصممة لإضفاء طابع الشرعية على العملية، وفي الوقت نفسه، تهدف هذه الخطوات إلى خداع أنظمة الدفاع الآلية ومنعها من اكتشاف النشاط المشبوه.

كيف يتم تجاوز المصادقة الثنائية (MFA)؟

تنتهي الرحلة الخبيثة بتجربة تسجيل دخول مزيفة تستخدم تكتيكات "الخصم في المنتصف" (AiTM). تتيح هذه التقنية للمهاجمين اعتراض وحصاد بيانات اعتماد مايكروسوفت ورموز الوصول (Tokens) في الوقت الفعلي. وبذلك، يتمكن المتسللون من تجاوز المصادقة الثنائية (MFA) والدخول مباشرة إلى حسابات الضحايا دون إثارة الشكوك.

في الختام، تؤكد هذه الهجمات ضرورة الحذر من الرسائل التي تطلب إجراءات عاجلة، حتى لو بدت صادرة من جهات رسمية داخلية، مع أهمية تحديث برامج الحماية وتدريب الموظفين على رصد أساليب الهندسة الاجتماعية المتطورة.