يظهر Forg365 كمنصة تصيد احتيالي جديدة تستهدف حسابات مايكروسوفت 365 عبر رموز الجهاز وسرقة الجلسات، مع أدوات مراوغة وذكاء اصطناعي.
ما هو Forg365 ولماذا يهدد مستخدمي مايكروسوفت 365؟
يتعلق الأمر بخدمة تصيد احتيالي جاهزة للاشتراك الشهري، ما يعني أن المهاجم لم يعد بحاجة إلى خبرة تقنية كبيرة لبدء حملة واسعة. هذه النقطة تجعل مايكروسوفت 365 هدفاً أسهل للشركات والموظفين الذين يعتمدون على البريد السحابي يومياً.
ووفقاً لما تتابعه تيكبامين، فإن المنصة لا تكتفي بصفحات تسجيل دخول مزيفة، بل تجمع بين إنشاء الرسائل، إدارة الروابط، تخزين الرموز المسروقة، ومتابعة الحسابات بعد الاختراق.
كيف تعمل الخدمة عملياً؟
- اشتراك عبر قنوات تواصل مغلقة للوصول إلى لوحة تحكم جاهزة.
- إنشاء رسائل تصيد تبدو رسمية وتصل عبر بنى بريد شرعية.
- إدارة الحملات والروابط وملفات SVG وصفحات التحويل.
- تخزين الجلسات والرموز المسروقة لاستخدامها لاحقاً.
كيف تنفذ هجمات التصيد ضد مايكروسوفت 365؟
تعتمد السلسلة الهجومية على رسائل تحمل طابعاً مهنياً، مثل مستندات الأعمال أو موافقات الحوالات المالية. والهدف هو دفع الضحية للنقر على رابط يبدو عادياً ضمن مسار إعادة توجيه يصعب تمييزه عن حركة البريد الطبيعية.
المثير هنا أن الرسائل تستفيد من خدمات إرسال بريد معروفة وموارد استضافة صور وتتبع شرعية، ما يمنحها مظهراً موثوقاً أمام أنظمة الفلترة والمستخدمين على حد سواء.
أبرز عناصر الهجوم
- رسائل تبدو صادرة من بنية بريد موثوقة.
- روابط تمر عبر أكثر من خطوة قبل الوصول إلى النطاق الخبيث.
- صفحات مقلدة بأسلوب قريب من واجهات مايكروسوفت.
- استخدام الذكاء الاصطناعي لصياغة إغراءات أكثر إقناعاً.
ما هي خطورة أسلوب Device Code وAitM؟
أحد أخطر الجوانب في Forg365 هو استخدام تصيد رموز الجهاز، حيث يرى الضحية صفحة تحقق شبيهة بمايكروسوفت ثم يُدفع إلى تدفق تسجيل دخول حقيقي. في الظاهر يبدو كل شيء سليماً، لكن الرمز الذي يُدخله المستخدم قد يمنح الجهة المهاجمة جلسة مصادقة صالحة.
أما أسلوب adversary-in-the-middle أو AitM، فيعتمد على اعتراض الجلسة وسرقة ملفات تعريف الارتباط والرموز المميزة بعد نجاح الدخول. وهنا لا يصبح الهدف كلمة المرور فقط، بل الجلسة نفسها، وهو ما يزيد خطر تجاوز بعض طبقات الحماية.
- تصيد Device Code يمنح جلسة مصرحاً بها للمهاجم.
- AitM يركز على سرقة الكوكيز والرموز بعد المصادقة.
- إدارة الحملة تشمل تصنيف الزوار وتحديد من يرى الصفحة الخبيثة.
كيف يتخفى Forg365 وما الذي يجب على الشركات فعله؟
المنصة تستخدم أساليب مراوغة مضادة للبوتات، كما يمكنها عرض صفحات بريئة إذا اكتشفت اتصال VPN أو بيئة تحليل. هذا يعني أن فحص الروابط يدوياً قد لا يكشف التهديد دائماً، لأن المحتوى الخبيث لا يظهر لكل الزوار بنفس الطريقة.
لهذا تنصح تيكبامين المؤسسات بتشديد سياسات المصادقة، ومراقبة تسجيلات الدخول غير المعتادة، وتقليل الاعتماد على الثقة البصرية في رسائل البريد. ومع تصاعد خطر Forg365 على مستخدمي مايكروسوفت 365، تصبح التوعية الأمنية ومراجعة الجلسات النشطة خطوة أساسية لتقليل فرص الاختراق.