حذرت مايكروسوفت من ثغرة أمنية خطيرة تسمح للمهاجمين بانتحال هوية النطاقات الداخلية للشركات وإرسال رسائل بريد إلكتروني مزيفة تبدو وكأنها داخلية. وفقاً لفريق استخبارات التهديدات في مايكروسوفت، استغل المهاجمون هذا الثغرة لتوزيع رسائل تصيد عبر خدمات PhaaS مثل Tycoon 2FA.
كيف يستغل المهاجمون ثغرات التوجيه البريدي؟
تكمن المشكلة بشكل أساسي في سيناريوهات التوجيه المعقدة حيث لا يتم تطبيق إجراءات الحماية من الانتحال بشكل صارم. على سبيل المثال، عندما يتم توجيه سجل MX إلى خادم Exchange محلي أو خدمة طرف ثالث قبل الوصول إلى Microsoft 365.
يخلق هذا التكوين فجوة أمنية يستغلها المهاجمون لإرسال رسائل تصيد تبدو وكأنها من نطاق الشركة نفسه. تقول تيكبامين أن الغالبية العظمى من حملات التصيد التي تستخدم هذا الأسلوب تعتمد على مجموعة Tycoon 2FA.
ارتفاع كبير في الهجمات منذ مايو 2025
تشير مايكروسوفت إلى أنها شهدت زيادة كبيرة في استخدام هذه التكتيك منذ مايو 2025 كجزء من حملات استهداف فرصية تشمل قطاعات متنوعة. تشمل هذه الهجمات:
- رسائل بريد صوتي مزيفة
- مستندات مشتركة مزيفة
- رسائل من موارد بشرية مزيفة
- طلبات إعادة تعيين كلمات المرور
- فواتير مالية مزيفة
حملات احتيال مالي
اكتشفت مايكروسوفت أيضاً رسائل بريد إلكتروني تهدف إلى خداع الشركات لدفع فواتير مزيفة، مما قد يؤدي إلى خسائر مالية كبيرة. كما انتحلت الرسائل خدمات مشروعة مثل DocuSign أو ادعت أنها من الموارد البشرية بخصوص تغييرات في الرواتب أو المزايا.
ما هي منصة Tycoon 2FA للتصيد؟
تعد Tycoon 2FA جزءاً من منصات التصيد كخدمة (PhaaS) التي توفر أدوات جاهزة للمجرمين لإنشاء حملات تصيد بسهولة. تتميز هذه المنصات بأنها:
- سهلة الاستخدام حتى للمبتدئين
- توفر قوالب تصيد قابلة للتخصيص
- تتضمن البنية التحتية اللازمة
- تتجاوز المصادقة الثنائية عبر هجمات AiTM
حسب تيكبامين، منعت مايكروسوفت أكثر من 13 مليون رسالة بريد إلكتروني خبيثة مرتبطة بهذه المجموعة في أكتوبر 2025 وحده.
عواقب الهجمات الناجحة
قد تسمح الهجمة الناجحة للمهاجمين بسرقة بيانات الاعتماد واستخدامها في أنشطة لاحقة تشمل:
- سرقة البيانات الحساسة
- اختراق البريد الإلكتروني للشركات (BEC)
- تصفية الحسابات المصرفية
- نشر برمجيات خبيثة
كيف تحمي مؤسستك من هذه الهجمات؟
لتجنب الوقوع ضحية لهجمات التصيد الداخلي، يجب على المؤسسات اتخاذ عدة إجراءات أمنية:
- تطبيق بروتوكولات SPF و DKIM و DMARC بشكل صارم
- مراجعة تكوينات توجيه البريد الإلكتروني
- تفعيل المصادقة متعددة العوامل للموظفين
- تثقيف الموظفين حول أساليب التصيد الحديثة
- استخدام أدوات الحماية من البريد الإلكتروني الخبيث
تؤكد هذه التطورات أهمية الحفاظ على تكوينات أمنية صحيحة لأنظمة البريد الإلكتروني، خاصة في بيئات التوجيه المعقدة. كما تشير البيانات إلى استمرار تطور تكتيكات المهاجمين في استغلال الثغرات البريدية لسرقة بيانات الاعتماد.
