عندما تكون صفحة تسجيل الدخول حقيقية: القوة الهادئة لاصطياد رموز الأجهزة
تُظهر حملة تصيّد استهدفت مستخدمي Microsoft 365 كيف يمكن للمهاجمين إساءة استخدام مسار OAuth مشروع بدلًا من إنشاء صفحة تسجيل دخول مزيفة.
لا يبدأ التصيّد دائمًا بموقع ويب مزيّف. في هذه الحالة، تكمن الخدعة داخل مسار مصادقة حقيقي من Microsoft: منحة تفويض الجهاز OAuth 2.0. وهذا مهم لأن الضحية لا يُطلب منها الوثوق بنطاق مشبوه، بل إكمال خطوة تسجيل دخول تبدو كأنها وصول عادي من Microsoft. الخطر ليس في الصفحة نفسها، بل في الموافقة.
حقائق سريعة
- تستهدف الحملة مستخدمي Microsoft 365 في المؤسسات.
- تستغل منحة تفويض الجهاز OAuth 2.0، المعروفة أيضًا باسم تدفق رمز الجهاز.
- هدف المهاجم هو إقناع المستخدم بتفويض جهاز خاضع لسيطرة المهاجم.
- تجري خطوة المصادقة على بنية Microsoft التحتية الشرعية.
- توصي Microsoft بحظر تدفق رمز الجهاز افتراضيًا حيثما تسمح احتياجات العمل بذلك.
كيف تعمل إساءة الاستخدام
صُمِّم تدفق تفويض الجهاز للأجهزة الصعبة الاستخدام ذات الإدخال المحدود، مثل أجهزة التلفاز والطابعات وبعض أدوات سطر الأوامر. بدلًا من إدخال كلمة مرور مباشرة على الجهاز، يوافق المستخدم على الوصول من خلال جهاز ثانٍ عبر إدخال رمز. هذا التصميم مشروع ومقنن ويُستخدم على نطاق واسع. كما أنه سهل التحويل إلى خدعة تصيّد.
في سيناريو تصيّد رمز الجهاز، يبدأ المهاجم طلب التفويض ثم يقنع الهدف بإكمال خطوة الموافقة. إذا امتثل المستخدم، فقد يحصل الجلسة الخاضعة لسيطرة المهاجم على رموز تفويض لـ Microsoft 365 أو لموارد Entra ID ذات الصلة. لا يحتاج البروتوكول إلى صفحة تسجيل دخول مزيفة كي يكون خطرًا. إنه يحتاج فقط إلى مستخدم مرتبك ومسار مسموح.
من منظور دفاعي، يتمثل التحول المهم في أن سطح الهجوم لم يعد يقتصر على البريد الإلكتروني والروابط والنطاقات الشبيهة. بل يشمل سياسة الهوية وإدارة الاستثناءات والطريقة التي تتعامل بها المستأجرات مع تسجيل الدخول عبر الأجهزة المختلفة. لهذا السبب يمكن لهذه الحملات أن تتجاوز الضوابط التي تركز بشكل ضيق على انتحال صفحات الويب.
لماذا ينبغي للمدافعين الاهتمام
قد يصعب اكتشاف تصيّد رمز الجهاز لأن الضحية قد تتفاعل مع تجربة تسجيل دخول حقيقية من Microsoft. هذا لا يجعل الهجوم غير مرئي، لكنه يغيّر ما يجب على فرق الأمن مراقبته. تصبح سجلات تسجيل الدخول، والاستخدام غير المعتاد لرموز الأجهزة، واستثناءات السياسات أكثر أهمية من سمعة عنوان URL وحدها.
تعامل إرشادات Microsoft هذا التدفق على أنه عالي الخطورة وتوصي بحظره افتراضيًا، ثم السماح به فقط للحالات المحددة بدقة التي تحتاج إليه فعلًا. وعندما توجد استثناءات، ينبغي مراجعتها مثل أي مسار وصول مميّز آخر. يمكن أن يتحول السماح الضيق لتدفق جهاز إلى منفذ واسع إذا تُرك دون مراقبة.
وقت كتابة هذا التقرير، تدعم المعلومات المتاحة تحليلًا للمخاطر، لا تأكيدًا لخرق حسابات أو ادعاءً موثقًا بسرقة بيانات. الدرس الأكبر ليس أن مصادقة Microsoft معطلة، بل أن بنية الهوية المشروعة يمكن إعادة استخدامها عندما يُدفع المستخدمون إلى الموافقة على الطلب الخطأ.
الخلاصة
تذكّرنا هذه الحالة بأن التصيّد الحديث يتعلق بشكل متزايد بإساءة استغلال الثقة في سير العمل، لا الثقة في العلامات التجارية فقط. بالنسبة للمؤسسات التي تستخدم Microsoft 365، فإن الافتراض الأكثر أمانًا هو أن أي مسار مصادقة مسموح به يمكن تحويله إلى طُعم إذا لم يكن محكومًا بإحكام. الدفاع العملي هو التعامل مع سياسة الهوية كسطح هجوم، لا كإعداد خلفي.
TECHCROOK
hardware security key: جهاز صغير يعمل عبر USB أو NFC يضيف فحص تسجيل دخول ماديًا إلى الحسابات. يُستخدم عادةً لتسجيلات الدخول الأقوى إلى Microsoft 365 وغيرها من بيئات المؤسسات، خاصةً عندما تكون المصادقة المقاومة للتصيّد أولوية.
WIKICROOK
- OAuth 2.0: إطار تفويض يتيح للتطبيقات طلب وصول محدود إلى موارد المستخدم دون التعامل مباشرة مع كلمة المرور.
- منحة تفويض الجهاز: تدفق OAuth للأجهزة ذات الإدخال المحدود، حيث يُستخدم جهاز منفصل للموافقة على تسجيل الدخول.
- تصيّد رمز الجهاز: هجوم هندسة اجتماعية يخدع المستخدم لإكمال تسجيل دخول مشروع قائم على الجهاز لصالح المهاجم.
- الوصول المشروط: نظام سياسات في Microsoft Entra ID يتحكم في متى وكيف يمكن للمستخدمين المصادقة.
- رمز التفويض: اعتماد يُصدر بعد نجاح تسجيل الدخول ويمكنه منح الوصول إلى الخدمات المحمية حتى تنتهي صلاحيته أو يُلغى.
