يُعزى هذا النشاط الخبيث إلى استغلال المجرمين الإلكترونيين لآلية OAuth - وهي آلية تسجيل دخول شرعية من Microsoft - ويبدأ برسالة أولية تحتوي على رابط URL مُضمّن في زر، أو نص مرتبط، أو رمز QR.
تشير شركة Proofpoint إلى أنه عند دخول المستخدم إلى الرابط، تبدأ سلسلة هجمات تستغل عملية التحقق من الأجهزة المعتمدة لدى مايكروسوفت. تحديدًا، يتلقى الضحية رمزًا للجهاز عبر صفحة الوصول أو في رسالة بريد إلكتروني من المهاجم. هذا الرمز في الواقع كلمة مرور لمرة واحدة مصممة لخداع الضحية وحمله على إدخالها في رابط مايكروسوفت. بمجرد إدخال بيانات الاعتماد، يتمكن المهاجم من الوصول إلى حساب مايكروسوفت 365.
ويشير باحثو Proofpoint إلى أن "هذا التوجه يمثل تطورًا هامًا في عمليات التصيد الاحتيالي، إذ ينتقل من سرقة كلمات المرور إلى استغلال عمليات المصادقة الموثوقة، مما يوهم المستخدمين بأنهم يحمون حساباتهم".
تتضمن عملية التصيد الاحتيالي باستخدام رمز الجهاز استخدام روابط خبيثة ونصوص مرتبطة تشعبياً ورموز QR لخداع المستخدمين لزيارة مواقع ويب احتيالية، مما يفتح الباب أمام سرقة البيانات المحتملة والتنقل الجانبي داخل الشبكة.
توضح شركة Proofpoint أن "هناك أدوات تسهل توسيع نطاق هذه الهجمات، مثل مجموعات SquarePhish2 و Graphish، بالإضافة إلى تطبيقات خبيثة معروضة للبيع في منتديات القرصنة تعمل على أتمتة وتوسيع نطاق التصيد الاحتيالي باستخدام رموز الأجهزة، مما يقلل من الحواجز التقنية أمام المهاجمين".
في ضوء هذا الوضع، توصي Proofpoint بحظر تدفق رموز الأجهزة. مع ذلك، إذا تعذر ذلك، يمكن للمستخدمين تطبيق نهج القائمة المسموح بها، والمقتصرة على حالات استخدام محددة ومبررة، والتي تتطلب تسجيل الدخول من أجهزة متوافقة أو مسجلة مسبقًا. علاوة على ذلك، ينبغي أن يصاحب هذا الإجراء برامج توعية وتدريب للمستخدمين، لتعزيز قدرتهم على اكتشاف هجمات التصيد الاحتيالي غير التقليدية ومنعها.
علاوة على ذلك، توصي شركة الأمن السيبراني بتعزيز الضوابط على OAuth: "هذا أمر ذو صلة في سياق يتم فيه اعتماد آليات المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي، مثل تلك القائمة على معيار FIDO، بشكل متزايد، حيث من المتوقع أن يستمر إساءة استخدام تدفقات مصادقة OAuth في الازدياد مع انتشار هذه التقنيات على نطاق أوسع."
ليست هناك تعليقات:
إرسال تعليق