عندما يصبح رمز تسجيل الدخول هو السلاح: Kali365 والتصيد السحابي الجديد
تعمل منصة التصيد كخدمة على تحويل تسجيل الدخول عبر رمز الجهاز في Microsoft إلى مسار جاهز لسرقة الرموز، واختطاف الجلسات، والاختراق السحابي الأكثر هدوءا.
الجزء الخطير في التصيد الاحتيالي الحديث لم يعد صفحة كلمة المرور المزيفة. بل أصبح إساءة استخدام مسارات الهوية الشرعية التي صُممت لتسهيل الحياة على المستخدمين ومصنعي الأجهزة. وتقع Kali365 في هذه الفجوة: خدمة إجرامية مبنية حول الاستيلاء على حسابات Microsoft 365 وMicrosoft Entra، مع التصيد برمز الجهاز كطُعم رئيسي، ووضع adversary-in-the-middle كمسار احتياطي.
حقائق سريعة
- Kali365 هي منصة تصيد كخدمة مصممة لاستهداف حسابات Microsoft 365 وMicrosoft Entra.
- الخدعة الأساسية هي التصيد عبر رمز جهاز OAuth، الذي يعتمد على قيام الضحية بإتمام تسجيل الدخول على جهاز منفصل.
- بعد نجاح المصادقة، يمكن للمهاجمين الحصول على رموز وصول أو رموز تحديث مرتبطة بالجلسة.
- تتضمن المنصة أيضا وضع AitM يسمى Cookie Link لالتقاط حالة المتصفح المصادقة.
- يجري حث المدافعين على حظر تدفق رمز الجهاز حيثما أمكن ومراجعة سياسات نقل المصادقة.
لماذا ينجح هذا الهجوم
تدفق رمز الجهاز في Microsoft شرعي. فهو موجود للأجهزة ذات القيود في الإدخال مثل أجهزة التلفاز الذكية والطابعات وأنظمة غرف الاجتماعات التي لا يمكنها التعامل مع تسجيل دخول تفاعلي عادي. المشكلة هي أن المجرم يستطيع بدء التدفق، وتسليم الضحية رمزا قصيرا، ثم إقناع تلك الضحية بإدخاله في صفحة تسجيل دخول Microsoft. وبمجرد أن يكمل المستخدم خطوة تسجيل الدخول وMFA، تصدر Microsoft رموزا للجلسة التي يتحكم بها المهاجم. ولا يحتاج المهاجم إلى كسر كلمة مرور أو إعادة استخدام رمز لمرة واحدة.
وهذا مهم لأن الرموز قوية. ففي البيئات السحابية، يمكن لرموز الوصول والتحديث أن تبقي المهاجم مسجلا للدخول لفترة طويلة بعد إغلاق الطُعم الأول. وعمليا، قد يعني ذلك الوصول إلى صندوق البريد، والوصول اللاحق إلى SaaS، والاستمرارية عبر قواعد بريد وارد خبيثة أو تسجيلات أجهزة غير متوقعة. الفوز التقني هنا ليس مجرد الدخول، بل القدرة على البقاء.
تضيف تقارير Arctic Wolf حول Kali365 طبقة أخرى: Cookie Link، وهو سير عمل AitM يمرر الضحايا عبر بنية المهاجم التحتية لالتقاط ملفات تعريف الارتباط الخاصة بالجلسة وحالة المتصفح المصادق عليه. وهذا يجعل المنصة أكثر مرونة من حزمة تصيد بسيطة. إنها خدمة سهلة التشغيل تقلل متطلبات المهارة مع توسيع مسارات الهجوم المتاحة.
في وقت كتابة هذا التقرير، تدعم المعلومات المتاحة تحليلا للمخاطر، لا ادعاء قاطعا بأن كل هدف أو مستأجر تأثر بالطريقة نفسها. والدرس الأوسع واضح: عندما تكون الهوية هي المحيط، فإن إساءة استخدام تدفق تسجيل الدخول يمكن أن تكون مدمرة بقدر البرمجيات الخبيثة.
ما الذي ينبغي على المدافعين مراقبته
المنطق الدفاعي مباشر. تشير إرشادات Microsoft وFBI المذكورة في المعلومات المتاحة إلى حظر تدفق رمز الجهاز حيثما أمكن، ثم السماح فقط بالاستثناءات الموثقة. وينبغي أن يقترن ذلك بمراجعة السجلات لاستخدام رمز الجهاز، والتدقيق في سلوك نقل المصادقة، وتنظيف قواعد البريد الوارد المشبوهة أو تسجيل الأجهزة غير المعتاد بعد أي اختراق مشتبه به.
بعبارة أخرى، هذه ليست مجرد مشكلة تصيد. إنها مشكلة التحكم في الهوية. قد تفوت المؤسسات التي لا تزال تتعامل مع MFA على أنه نهاية القصة الجزء الذي لا يحتاج فيه المهاجم أبدا إلى هزيمة MFA أصلا - بل فقط إقناع المستخدم بإكمال تسجيل دخول مشروع للجلسة الخاطئة.
الخلاصة
Kali365 تذكير بأن الجريمة الإلكترونية تواصل الصعود في طبقات التقنية. سرقة كلمات المرور أصبحت خبرا قديما؛ أما سرقة الرموز والتقاط الجلسات فهي الجائزة الحقيقية. إن الوضع السحابي الأكثر أمانا هو الذي يفترض أن حتى مسارات تسجيل الدخول الشرعية يمكن تحويلها إلى سلاح، ويصمم السياسة والتسجيل والاستجابة وفق هذه الحقيقة.
TECHCROOK
مفتاح أمان مادي: يمكن لجهاز مصادقة مادي أن يضيف عاملا ثانيا قويا للبريد الإلكتروني والحسابات السحابية. وهو مفيد للمؤسسات والأفراد الذين يريدون طريقة بسيطة وقابلة للحمل لتقوية عمليات تسجيل الدخول إلى جانب ضوابط السياسة ومراقبة الحساب.
WIKICROOK
- التصيد كخدمة (PhaaS): نموذج خدمة إجرامي يبيع بنية تحتية جاهزة للتصيد لمهاجمين آخرين.
- تدفق رمز جهاز OAuth: أسلوب تسجيل دخول للأجهزة ذات الإدخال المحدود يستخدم رمزا قصيرا يتم إدخاله على جهاز آخر.
- رمز وصول: اعتماد يتيح للجلسة المصادقة الوصول إلى موارد سحابية محمية.
- المهاجم في المنتصف (AitM): هجوم يلتقط فيه المجرم حركة مرور المصادقة أو يعيد توجيهها بين المستخدم والخدمة عبر وكيل.
- الوصول المشروط: نظام سياسات يتحكم في كيفية ومتى يمكن للمستخدمين المصادقة في Microsoft Entra.
