حذر مكتب التحقيقات الفيدرالي من وجود مجموعة أدوات جديدة تُعرف باسم “البرمجية كخدمة للتصيد الاحتيالي” (PhaaS)، والتي تستهدف حسابات مايكروسوفت 365 بطريقة معقدة وسهلة التنفيذ في آن واحد. توفر خدمة Kali365 PhaaS للمهاجمين وسيلة للحصول على وصول دائم إلى بيئات مايكروسوفت 365 عن طريق سرقة رموز OAuth، باستخدام رسائل تصيد تعتمد على الذكاء الاصطناعي توجه المستخدمين إلى صفحات التحقق الرسمية من مايكروسوفت.
### كيفية عمل الهجمة
عندما يحصل المهاجم على رمز OAuth، يصبح بإمكانه الوصول إلى خدمات Outlook وTeams وOneDrive بدون الحاجة لإجراء مزيد من عمليات التحقق أو المصادقة. تعتمد هذه الحملات على خطأ بشري، حيث يستغل المهاجمون ثغرات في وعي المستخدمين، ولكن هناك خطوات يمكن للشركات اتباعها لتعزيز الأمان.
### طرق حماية الشركات من هجمات Kali365 PhaaS
#### 1. اليقظة من تصيد الاحتيالي
تصدر رسائل التصيد بأشكال متعددة، منها دعوات للمقابلات، طلبات الوصول إلى مستندات، وغيرها. يستخدم المهاجمون أدوات تعتمد على الذكاء الاصطناعي لصنع رسائل مقنعة للغاية تتجاوز غالبًا أنظمة الكشف عن البريد المزعج، وتندمج في حركة البريد الطبيعي.
إدارة تكنولوجيا المعلومات يجب أن تتابع أحدث التوجيهات فيما يخص تقنيات التصيد والهجمات المستمرة، ويُفضل تدريب الموظفين على التعرف على رسائل التصيد والإبلاغ عنها عن طريق محاكاة منتظمة لأساليب المهاجمين. كما يجب أن يكون الموظفون يقظين ضد طلبات تسجيل الدخول غير المتوقعة، خاصة عندما لا يكون هناك محاولة سابقة من المستخدم.
#### 2. تفعيل سياسات الوصول الشرطي
يوصي مكتب التحقيقات الفيدرالي بتمكين سياسات الوصول الشرطي التي تمنع تدفق رموز الجهاز (Device Code Flow) لجميع المستخدمين. يمنع هذا الإجراء الاعتماد على رموز OAuth التي يستخدمها المهاجمون لسرقة البيانات والوصول غير المصرح به.
في هجمات Kali365، يقوم المهاجمون بإرسال رمز جهاز تم إعداده مسبقًا إلى صفحة التحقق الرسمية من مايكروسوفت، ثم يُدخل الضحية هذا الرمز على صفحة التحقق، مما يمنحه وصولاً غير مشروع إلى حسابه. من خلال حظر هذا النوع من المصادقة، يُصبح من المستحيل على المهاجمين استغلال الرموز للوصول إلى الحسابات، حتى لو قام الضحية بإدخال رمز مزيف.
لكن قبل تطبيق هذا الحظر بشكل شامل، يجب مراجعة الاستخدامات الحالية للتأكد من عدم تعطيل عمليات مشروعة تعتمد على تدفقات رموز الأجهزة.
#### 3. حظر سياسات نقل المصادقة
ميزة نقل المصادقة عبر الأجهزة تسمح للمستخدمين باستخدام جهاز موثوق به لمسح رمز QR وتسجيل الدخول. لكن تفعيل هذه الميزة يسهّل على المهاجمين استغلال الرموز المسروقة، حيث يمكنهم استخدام أجهزة موثوقة لتمثيل المستخدم والتصديق على حساباتهم.
بتعطيل سياسات نقل المصادقة، يمكن الحد من قدرة المهاجمين على التمكين لأنفسهم، كما يُساعد ذلك في حماية البيانات من الوصول عبر أجهزة غير مُدارة قد تكون معرضة للخطر.
### نصائح الخبراء
قالت ديبورا غاليا، خبيرة الأمن السيبراني في شركة فيليغرون: «تزايد منصات التصيد كخدمة مثل Kali365 يجعل الاختراقات أكثر تجارية، حيث يمكن للمهاجمين استخدام أدوات جاهزة بدلاً من بناء البنية التحتية من الصفر، مما يخفّض عتبة الدخول». وأضافت أن Kali365 خطير لأنه يتجاوز المصادقة متعددة العوامل (MFA) دون سرقة كلمات المرور، مما يمكن المهاجمين من السيطرة على حسابات Microsoft 365 بسهولة.
أما أندريا سيفييري، المدير التنفيذي للمنتجات والتقنية في شركة CoreView، فعلق قائلاً: «تحذير مكتب التحقيقات الفيدرالي من Kali365 يعكس نمطًا اعتدنا عليه منذ شهور، حيث لم تعد الاختراقات تتم عن طريق اختراق الأنظمة فقط، بل عبر تسجيل الدخول باستخدام ميزات مدمجة بشكل شرعي. تدفقات رموز الأجهزة موجودة لأسباب مشروعة، لكنها أصبحت أداة مثالية للهجمات الاحتيالية لأن المستخدم هو من يضغط على ‘الموافقة’ على صفحة Microsoft الحقيقية، و MFA لا يمكنه إنقاذك من هذا الأسلوب».
### التحدي الأكبر
الجزء المحبط هو أن التوصية الأهم من FBI، وهي حظر تدفقات رموز الأجهزة عبر سياسات الوصول الشرطي، يمكن لأي مسؤول Microsoft 365 تفعيلها بسهولة اليوم. إلا أن معظم المؤسسات تتجنب ذلك بسبب التعقيد في السياسات، حيث تتداخل العديد من القواعد التي أُعدت عبر سنوات، مما يجعل تطبيق هذا الحظر محفوفًا بالمخاطر المحتملة لتعطيل العمليات اليومية.
وفي الختام، تؤكد التقارير على أن أي اختراق كبير في المستقبل لن يبدأ من ثغرة تقنية، بل من موظف يُطلب منه بشكل مهذب تنفيذ إجراء شرعي داخل منتج Microsoft، وأن الحل الحقيقي يكمن في الرصد الفوري للتغييرات والسياسات الأمنية المحدثة التي تتجاوز الأمان النظري وتواكب التهديدات الحديثة.
المصدر: Latest from TechRadar in Computing
