تستهدف هجمات Microsoft 365 الجديدة موظفي الشركات عبر مكالمات انتحال تقودهم لتسجيل مفتاح مرور مزيف، ما يمنح المهاجمين وصولاً غير مصرح به للحسابات.
ما هي هجمات مايكروسوفت 365 بمفاتيح المرور المزيفة؟
تكشف الحملة الأخيرة عن أسلوب تصيد أكثر تعقيداً من الرسائل التقليدية، إذ يبدأ الهجوم بمكالمة صوتية توهم الموظف بوجود إجراء أمني عاجل يتعلق بحساب العمل. بعدها يُطلب منه إكمال تسجيل مفتاح مرور جديد داخل بيئة تبدو مطابقة تقريباً لواجهة مايكروسوفت.
الخطورة هنا أن الضحية يعتقد أنه يعزز حماية الحساب، بينما يقوم فعلياً بربط مفتاح مرور يخص المهاجم نفسه. وبهذا يحصل الطرف الخبيث على مدخل دائم إلى حساب Microsoft 365 من دون الحاجة إلى سرقة كلمة المرور فقط.
القطاعات الأكثر تعرضاً
- الأغذية والمشروبات
- التقنية
- الرعاية الصحية
- السيارات
- الإنشاءات
- الطيران
كيف تعمل حيلة تسجيل مفتاح مرور إنتر المزيف؟
يعتمد السيناريو على دمج الهندسة الاجتماعية مع لوحة تصيد تفاعلية يديرها المهاجم لحظياً. وخلال الجلسة، يمكن تعديل الصفحات والتنبيهات بما يتوافق مع آلية التحقق المستخدمة داخل المؤسسة.
- إجراء مكالمة هاتفية لإقناع الموظف بوجود تحديث أمني
- توجيهه إلى نطاق يحتوي غالباً على كلمة passkey
- عرض صفحة شبيهة تماماً بخطوات تسجيل مفتاح المرور
- مطالبة الضحية بالموافقة على طلبات التحقق المتعددة
- ربط مفتاح مرور تابع للمهاجم بحساب مايكروسوفت 365
وبحسب متابعة تيكبامين، فإن هذا الأسلوب مختلف عن صفحات اعتراض الجلسات المعتادة، لأنه لا يركز فقط على سرقة بيانات الدخول، بل على زرع وسيلة دخول مستقبلية تبدو شرعية داخل الحساب نفسه.
لماذا تُعد هذه الهجمات أخطر من التصيد التقليدي؟
عادةً ما تستهدف حملات التصيد كلمات المرور أو رموز التحقق لمرة واحدة. أما في هذا النوع من الهجمات، فالمشكلة أكبر لأن المهاجم يحاول تسجيل وسيلة مصادقة مقاومة للتصيد نظرياً، ثم يستغل ثقة المستخدم لإتمام العملية.
عوامل الخطورة الأساسية
- المكالمة الهاتفية ترفع مستوى الإقناع والضغط النفسي
- الواجهة المزيفة تحاكي تجربة التسجيل الأصلية بشكل مقنع
- دعم عدة وسائل تحقق مثل الرسائل النصية والإشعارات وتطبيقات الرموز
- إمكانية تنفيذ الابتزاز أو سرقة البيانات بعد السيطرة على الحساب
هذا يعني أن نجاح الهجوم لا يعتمد فقط على ثغرة تقنية، بل على تزامن دقيق بين المكالمة والصفحات المزيفة واستجابة الضحية في الوقت الحقيقي.
كيف تحمي الشركات حسابات مايكروسوفت 365 من هذا التهديد؟
الخطوة الأهم هي تدريب الموظفين على أن تسجيل أي مفتاح مرور جديد يجب أن يتم فقط عبر البوابة الداخلية المعتمدة ومن دون اتباع روابط تصل عبر الهاتف أو البريد. كما ينبغي على فرق الأمن مراقبة عمليات إضافة مفاتيح المرور الجديدة ومراجعتها فوراً.
- منع الاعتماد على الطلبات الهاتفية غير الموثقة
- تفعيل تنبيهات فورية عند تسجيل Passkey جديد
- مراجعة النطاقات المشبوهة وحظرها على مستوى الشبكة
- تقييد حملات التسجيل بحيث تمر عبر قنوات داخلية واضحة
- رفع الوعي الأمني بمحاكاة هجمات vishing دورياً
الخلاصة أن هجمات Microsoft 365 لم تعد تقتصر على رسائل مزيفة بسيطة، بل انتقلت إلى سيناريوهات أكثر إقناعاً تستغل ميزات الحماية نفسها. ولهذا ترى تيكبامين أن الوعي الإجرائي داخل المؤسسات بات بنفس أهمية أدوات الحماية التقنية.