عندما يصبح دعوة التقويم فخًا للهويات
توصف حملة تصيّد مرتبطة بحزمة EvilTokens بأنها تستخدم دعوات Outlook وإساءة استخدام تسجيل الدخول برمز الجهاز لاستهداف جلسات Microsoft 365 بدلًا من كلمات المرور.
ما يبدو كطلب اجتماع عادي يمكن أن يتحول إلى أول خطوة في اختراق حساب سحابي. في هذه الحالة، ليس الإغراء مجرد صفحة تسجيل دخول مزيفة، بل عنصر إنتاجية موثوق: دعوة تقويم تساعد في توجيه الضحية نحو مسار مصادقة مشروع من Microsoft يمكن إساءة استخدامه لسرقة الرموز.
ملاحظة حول المصدر: يستند هذا التحليل إلى البحث المنشور من Fortra Intelligence and Research Experts (FIRE)، والمنسوب إلى Daud Jawad، مهندس الأمن (Threat Intel & Management) لدى Fortra: New Calendar Invite Phishing Campaign: ICS Abuse and Post-Delivery Persistence.
حقائق سريعة
- CalPhishing هو الاسم المستخدم لحملة تصيّد مرتبطة بحزمة EvilTokens.
- تُعد دعوات تقويم Outlook جزءًا من الإغراء، ما ينقل الانتباه من رسائل البريد الوارد إلى سير عمل الجدولة.
- يُوصف تصيّد رمز الجهاز بأنه التقنية اللاحقة المستخدمة لاستهداف رموز جلسات Microsoft 365.
- يُقال إن الهجوم يقوض MFA، لكن معدل النجاح الدقيق غير مثبت في المادة المتاحة.
- تُعد حسابات المؤسسات هي الشاغل الأساسي لأن الرموز الصالحة قد تدوم أطول من حدث تسجيل دخول واحد.
لماذا هذا مهم
الدرس الأمني أكبر من التصيّد وحده. يمكن للإغراءات القائمة على التقويم أن تبقى في سير عمل المستخدم مدة أطول من سلسلة بريد إلكتروني عادية، ما قد يجعلها أصعب في الملاحظة خلال يوم مزدحم. إذا دفعت الخطوة التالية المستخدم إلى تسجيل دخول برمز الجهاز، ينتقل الهجوم من الهندسة الاجتماعية إلى إساءة استخدام الهوية.
هذا التمييز مهم. مصادقة رمز الجهاز هي مسار OAuth مشروع صُمم للأجهزة محدودة الإدخال، لكنه يمكن إساءة استخدامه عندما يُخدع الضحية للموافقة على جلسة المهاجم. في هذه الحالة، لا يحاول المهاجم معرفة كلمة مرور؛ فالجائزة هي رمز صالح أو أثر جلسة قابل للاستخدام.
الخطر الحقيقي هو الوصول الدائم
من منظور دفاعي، تكون الرموز المسروقة أكثر قيمة من سرقة اعتماد لمرة واحدة لأنها قد تظل قابلة للاستخدام حتى تنتهي صلاحيتها أو تُلغى. وهذا يعني أن المستخدم قد يغير كلمة المرور ومع ذلك يترك مسار وصول مباشرًا إذا لم تُنهَ الجلسة بشكل صحيح.
ولهذا أيضًا لا تكون MFA العادية دائمًا نهاية القصة. عندما يُقنع الضحية بإكمال خطوة تسجيل دخول مشروعة نيابةً عن مهاجم، يمكن تجاوز الضبط عمليًا حتى لو ظلّت آلية تسجيل الدخول الأساسية نفسها صالحة. تدعم المعلومات المتاحة تحليلًا للمخاطر، لا ادعاءً نهائيًا بشأن كل حساب متأثر.
ما الذي ينبغي على المدافعين مراقبته
ينبغي لفرق الأمن التعامل مع دعوات التقويم غير المتوقعة كجزء من سطح الهجوم، وليس فقط كمرفقات بريد إلكتروني. تستحق طلبات الاجتماعات المشبوهة التي تقود المستخدمين إلى بوابات خارجية أو مطالبات إدخال رموز أو تدفقات تسجيل دخول غير معتادة التدقيق. يجب أن تشمل المراقبة أيضًا نشاط رمز الجهاز غير الطبيعي واستخدام الرموز، وليس فقط كلمات المرور الفاشلة.
تُعد MFA المقاومة للتصيّد هي الضبط الأقوى للهويات عالية القيمة، كما ينبغي أن يكون إبطال الرموز وإجبار إعادة المصادقة جزءًا من الاستجابة للحوادث عند الاشتباه في إساءة الاستخدام. وحيثما توفر ذلك، يمكن للضوابط المرتبطة بالرمز أو بالشبكة أن تقلل من خطر إعادة الاستخدام.
الخلاصة
الدرس الأوسع بسيط: هجمات الهوية السحابية تبدأ بصورة متزايدة بشيء يبدو روتينيًا. يمكن لدعوة اجتماع، ومسار تسجيل دخول موثوق، ورمز مسروق أن تتحد في مسار اختراق لن تلتقطه مرشحات البريد الوارد التقليدية وحدها. في أمن المؤسسات الحديث، لم يعد التقويم مجرد أداة جدولة؛ بل يمكن أن يكون إغراءً للوصول.
TECHCROOK
مفتاح أمان الأجهزة: جهاز مصادقة صغير عبر USB أو NFC يُستخدم لمصادقة متعددة العوامل مقاومة للتصيّد في حسابات البريد الإلكتروني والسحابة الرئيسية. يضيف خطوة مادية إلى عمليات تسجيل الدخول، وهو خيار عملي للأفراد أو الفرق التي تحمي عمليات دخول عالية القيمة.
WIKICROOK
- تصيّد رمز الجهاز: تقنية يسيء فيها المهاجمون استخدام تدفقات مصادقة الأجهزة المشروعة للحصول على رموز وصول قابلة للاستخدام أو وصول إلى الجلسة.
- رمز الجلسة: أثر رقمي يساعد في إبقاء المستخدم موثقًا في خدمة ما دون تكرار عملية تسجيل الدخول الكاملة.
- OAuth: إطار للتفويض المفوض يتيح لخدمة واحدة الحصول على وصول محدود إلى خدمة أخرى نيابةً عن المستخدم.
- MFA: المصادقة متعددة العوامل، وهي ضبط تسجيل دخول يتطلب أكثر من إثبات واحد للهوية.
- iCalendar (.ics): تنسيق قياسي لمشاركة أحداث التقويم يمكن استخدامه كآلية تسليم في الإغراءات القائمة على البريد الإلكتروني.




