تخطى إلى المحتوى الرئيسي

قراصنة يستغلون مفاتيح مرور Entra المزيفة للوصول إلى Microsoft 365

فريق جلتش
منذ ساعة0 مشاهدة4 دقائق
قراصنة يستغلون مفاتيح مرور Entra المزيفة للوصول إلى Microsoft 365

قراصنة يستغلون مفاتيح مرور Microsoft Entra المزيفة للوصول إلى Microsoft 365 عبر تصيد صوتي معقد. هذا الهجوم يسلط الضوء على فجوات وعي المستخدمين بآليات الأمان الحديثة.

مقدمة تحليلية

في يوليو 2026، كشفت Okta عن تفاصيل حملة تصيد صوتي (vishing) متطورة، يقودها المهاجم المعروف باسم O-UNC-066، تستهدف مستخدمي Microsoft 365 في قطاعات حيوية متعددة. هذه الحملة لا تكتفي بسرقة كلمات المرور التقليدية، بل تتجاوزها لخداع المستخدمين بتسجيل مفاتيح مرور (Passkeys) مزيفة، مما يمنح المهاجمين وصولاً كاملاً وغير مصرح به إلى حسابات الضحايا بهدف ابتزاز البيانات. لقد تطورت أساليب التصيد بشكل خطير، حيث تحولت من مجرد صفحات تسجيل دخول احتيالية إلى سيناريوهات تفاعلية معقدة تستغل التكنولوجيا الجديدة ونقص الوعي الأمني.

التحليل التقني

تستخدم الحملة لوحة تحكم تصيد احتيالي متطورة تعتمد على PHP، قابلة للتكيف في الوقت الفعلي مع متطلبات المصادقة متعددة العوامل (MFA) الخاصة بالضحية، سواء كانت رموز OTP عبر الرسائل القصيرة، أو تحديات تطبيقات المصادقة القائمة على الوقت، أو إشعارات الدفع مع مطابقة الأرقام. هذا التطور يعكس فهماً عميقاً لآليات الأمان الحديثة وكيفية التلاعب بها. يتم استدراج الضحايا عبر مكالمات هاتفية مقنعة، حيث يُطلب منهم "تسجيل مفتاح مرور جديد" لحساباتهم. مفتاح المرور (Passkey، وهو بديل حديث لكلمات المرور التقليدية يعتمد على التشفير القوي لتوفير مصادقة قوية ومقاومة للتصيد الاحتيالي) يتم التلاعب به هنا. بدلاً من تسجيل مفتاح مرور على جهاز الضحية، تقوم العملية الاحتيالية بتسجيل مفتاح مرور المهاجم على حساب الضحية الشرعي، مما يتيح له الوصول الدائم.

  • الاستغلال المنهجي: يقوم المهاجم بتسجيل نطاقات تحتوي على كلمة "passkey" لجعلها تبدو شرعية.
  • لوحة التحكم الذكية: تتحكم لوحة PHP في تجربة المستخدم لتناسب متطلبات MFA الفردية، مما يجعلها تبدو كعملية شرعية.
  • التسلسل التقني للهجوم:
    • تعرض الصفحة الأولى (/gate) أيقونة تحميل أثناء إجراء فحوصات مكافحة التحليل.
    • تطلب الصفحة الثانية (/identify) اسم المستخدم.
    • تتحدى الصفحة التالية (/password) المستخدم لإدخال كلمة المرور.
    • يتم إرسال بيانات الاعتماد إلى لوحة تحكم المهاجم على "/backend.php".
    • يدخل مشغل لوحة التصيد بيانات الاعتماد المسروقة على صفحة تسجيل دخول Microsoft الشرعية للمستأجر المستهدف.
    • يرى الضحية صفحة "/processing" تنتظر تعليمات المشغل بناءً على تحديات MFA.
    • يتم تقديم صفحات تصيد إضافية مثل "/submit-otp" أو "/submit-authenticator" لالتقاط رمز MFA.
    • يتم إرسال رمز OTP الملتقط في طلب POST إلى "/backend.php".
  • خداع تسجيل مفتاح المرور: بعد الوصول إلى الحساب، يتم توجيه الضحية إلى صفحات "/passkey/register" و "/passkey/check" التي تحاكي عملية تسجيل مفتاح المرور الشرعية، مطالبة الضحية بحفظ "مفتاح استعادة" مكون من 12 كلمة. هذا مجرد تكتيك لتشتيت الانتباه بينما يسجل المهاجم مفتاح مروره الخاص به على حساب الضحية في الخلفية.

السياق وتأثير السوق

يختلف هذا الهجوم بشكل جذري عن حملات التصيد الاحتيالي التقليدية التي تستخدم صفحات هبوط الوسيط في المنتصف (AitM) لسرقة بيانات الاعتماد ورموز MFA المؤقتة. لوحة التحكم التي يديرها المهاجم تسمح بتكييف التجربة في الوقت الفعلي، مما يجعلها أكثر إقناعاً ويصعب اكتشافها. تزامن هذا التطور مع سماح Microsoft للمسؤولين بتكوين حملات تسجيل Passkey لدفع المستخدمين إلى اعتماد هذه التقنية على نطاق واسع، وهو ما يستغله المهاجمون كنقطة ضعف لجذب الضحايا.

  • O-UNC-066 مقابل حملات AitM: بينما تركز حملات AitM على سرقة الرموز المؤقتة، يستهدف O-UNC-066 عملية تسجيل مفتاح المرور نفسها، مما يمنحه وصولاً دائماً.
  • Microsoft والتبني الواسع: دفعت Microsoft نحو اعتماد Passkeys كترقية أمنية مقاومة للتصيد الاحتيالي، لكن المهاجمين حولوا هذه الميزة إلى طُعم فعال.
  • القطاعات المستهدفة: استهدفت الحملة قطاعات متنوعة تشمل الأغذية والمشروبات، التكنولوجيا، الرعاية الصحية، السيارات، البناء، والطيران، مما يدل على اتساع نطاق الخطر.
  • المهاجمون: Okta ربطت O-UNC-066 بمجموعة "Pink" التي تعمل منذ أبريل 2026. Palo Alto Networks Unit 42 تتابع هذه المجموعة تحت اسم CL-CRI-1147، وتصفها بأنها تابعة للمجموعة الإجرامية اللامركزية "The Com"، التي تضم مجموعات خطيرة مثل Scattered Spider وShinyHunters وLAPSUS$.

الضحايا المباشرون هم المستخدمون الذين يتم خداعهم والشركات التي تفقد السيطرة على بياناتها. الفائزون هم المجموعات الإجرامية التي تستغل الثغرات في عمليات التبني الأمني الجديدة.

رؤية Glitch4Techs

هذا الهجوم يمثل تذكيراً قاسياً بأن التقنيات الأمنية الأكثر تقدماً لا قيمة لها إذا فشل العنصر البشري. إن دفع Microsoft نحو مفاتيح المرور، بينما هو خطوة ضرورية نحو مستقبل بلا كلمات مرور، كشف عن فجوة حرجة في وعي المستخدم. إن شركات التكنولوجيا الكبرى تعتقد أن "المقاومة للتصيد الاحتيالي" تعني الحصانة الكاملة، لكن الواقع أثبت أن الهندسة الاجتماعية تتكيف دائماً. يجب على المؤسسات أن تعترف بأن التكنولوجيا ليست حلاً سحرياً وتستثمر بشكل عاجل في برامج تدريب أمني مكثفة تركز على السيناريوهات الواقعية وكيفية عمل Passkeys بشكل شرعي. لا يوجد عذر لعدم تثقيف المستخدمين حول كيفية التمييز بين طلب تسجيل مفتاح مرور حقيقي ومحاولة تصيد. إنه فشل في الطبقة الأمنية الأكثر أهمية: الإنسان.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك