لماذا تُعدّ سرقة الرموز أخطر من التصيد الاحتيالي التقليدي لكلمات المرور؟

تتيح رموز المصادقة المسروقة للمهاجمين الوصول إلى الحسابات دون معرفة كلمة المرور، ويمكنها تجاوز بعض أشكال المصادقة متعددة العوامل، إذ تُعدّ الجلسة مصادَقاً عليها بالفعل.

ما نوع رسائل البريد الإلكتروني التي استخدمها المهاجمون لخداع الضحايا؟

أرسل المهاجمون رسائل بريد إلكتروني محكمة الصياغة تحمل طابع إشعار "مدونة قواعد السلوك"، مصممة لتبدو اعتيادية وذات سلطة في صندوق البريد الوارد للشركات.

هل يمكن لكلمات المرور القوية حماية المستخدمين من هذا النوع من الهجمات؟

لا، فحتى المستخدمون الذين يمتلكون كلمات مرور قوية وفريدة كان يمكن اختراقهم، لأن المهاجمين استهدفوا رموز الجلسات مباشرةً بدلاً من كلمات المرور.

مايكروسوفت تكشف عن حملة تصيد احتيالي استهدفت 35,000 مستخدم في 13,000 مؤسسة

Q: كم عدد المستخدمين والمؤسسات الذين تأثروا بهذه الحملة التصيدية؟

اخترقت الحملة رموز المصادقة الخاصة بأكثر من 35,000 مستخدم موزعين على 13,000 مؤسسة.

مايكروسوفت تكشف عن عملية تصيد احتيالي ضخمة لسرقة رموز المصادقة

كشفت مايكروسوفت عن حملة تصيد احتيالي واسعة النطاق أدت إلى اختراق رموز المصادقة الخاصة بأكثر من 35,000 مستخدم موزعين على 13,000 مؤسسة. انتحل المهاجمون صفة مرسلين رسميين باستخدام رسائل بريد إلكتروني محكمة الصياغة تحمل طابع "مدونة قواعد السلوك"، وهو أسلوب هندسة اجتماعية مصمم ليبدو اعتيادياً وجديراً بالثقة في صندوق بريد الشركات. وقد تحملت شركات الرعاية الصحية والخدمات المالية والتكنولوجيا العبء الأكبر من هذه الهجمات، مما يجعلها واحدة من أكثر حوادث سرقة بيانات الاعتماد المُفصَح عنها تأثيراً في الذاكرة القريبة.

ما يميز هذه الحملة عن حملات التصيد الاحتيالي المعتادة هو تركيزها على سرقة رموز المصادقة بدلاً من كلمات المرور مباشرةً. الرموز هي بيانات اعتماد رقمية صغيرة تُثبت أن المستخدم قد سجّل دخوله بالفعل، وامتلاكها يمنح المهاجم وصولاً كاملاً إلى الحساب دون الحاجة إلى معرفة كلمة المرور قط. وهذا يعني أن حتى المستخدمين الذين يمتلكون كلمات مرور قوية وفريدة كان من الممكن اختراقهم إذا تم اعتراض رموز جلساتهم.

لماذا تُعدّ سرقة رموز المصادقة خطيرة بشكل استثنائي

يحاول التصيد الاحتيالي التقليدي عادةً خداع المستخدمين لإدخال اسم المستخدم وكلمة المرور في صفحة تسجيل دخول مزيفة. أما سرقة الرموز فتذهب إلى أبعد من ذلك. فبمجرد امتلاك المهاجم لرمز مصادقة صالح، يمكنه في الغالب تجاوز فحوصات الأمان بالكامل، بما في ذلك بعض أشكال المصادقة متعددة العوامل (MFA) التي لا تتحقق من الهوية إلا عند نقطة تسجيل الدخول. فالجلسة تُعدّ مصادَقاً عليها بالفعل من منظور النظام، ولا شيء يستدعي إعادة التحقق.

هذا أمر مقلق بشكل خاص للمؤسسات في القطاعات الخاضعة للتنظيم كالرعاية الصحية والمالية، حيث تقبع البيانات الحساسة وسجلات العملاء والأنظمة المالية خلف تلك التسجيلات. يمكن لرمز مسروق واحد أن يكون مفتاحاً رئيسياً للوصول إلى البريد الإلكتروني للموظف وتخزين السحاب والأدوات الداخلية ومنصات الاتصال طوال فترة صلاحية ذلك الرمز.

المظهر الاحترافي لرسائل الإغراء يجعل التصدي لها على المستوى البشري أكثر صعوبة. تحمل إشعارات "مدونة قواعد السلوك" طابعاً من السلطة والإلحاح، وهما عنصران موثوقان في الهندسة الاجتماعية. يُدرَّب الموظفون على أخذ هذه الرسائل بجدية، وهذا بالضبط هو سبب اختيار المهاجمين لهذا الإطار.

ماذا يعني هذا بالنسبة لك

إذا كنت تعمل في مؤسسة، ولا سيما في قطاع الرعاية الصحية أو المالية أو التكنولوجيا، فإن هذه الحملة تُعدّ تذكيراً ملموساً بأن تهديدات التصيد الاحتيالي باتت أكثر تطوراً. إن النقر على رابط في بريد إلكتروني محكم التصميم وتسجيل الدخول إلى ما يبدو بوابة مشروعة يمكن أن يكشف رمز جلستك دون أن تدرك أن شيئاً خاطئاً حدث.

تتضافر عدة طبقات من الدفاع للحد من هذا الخطر:

تظل المصادقة متعددة العوامل أمراً ضرورياً. على الرغم من أن تقنيات سرقة الرموز المتقدمة يمكنها تجاوز بعض تطبيقات MFA، إلا أن مفاتيح الأمان المادية والمصادقة القائمة على مفاتيح المرور أصعب بكثير في التحايل عليها مقارنةً بالرموز عبر الرسائل القصيرة أو التطبيقات. ينبغي للمؤسسات إعطاء الأولوية لمعايير MFA المقاومة للتصيد الاحتيالي كـ FIDO2 حيثما أمكن.

تُضيف الحمايات على مستوى الشبكة طبقة إضافية. تُشفّر الشبكة الافتراضية الخاصة (VPN) حركة البيانات بين جهازك والإنترنت الأوسع، مما يُقيّد قدرة المهاجم على اعتراض البيانات أثناء نقلها عبر الشبكات غير الموثوقة. عندما يعمل الموظفون عن بُعد أو يتصلون عبر شبكة Wi-Fi عامة، تكون حركة البيانات غير المشفرة عرضة للاعتراض. إن فهم كيفية تعامل بروتوكولات VPN المختلفة مع التشفير والأنفاق يمكن أن يساعد المؤسسات والأفراد على اختيار التكوينات التي تُحصّن اتصالاتهم فعلياً بدلاً من مجرد إضفاء مظهر الأمان.

فحص البريد الإلكتروني أصبح أهم من أي وقت مضى. حتى المستخدمون ذوو المعرفة التقنية العالية ينبغي لهم التوقف قبل النقر على الروابط في إشعارات البريد الإلكتروني غير المتوقعة، ولا سيما تلك التي تحمل طابع الإلحاح أو السلطة الإدارية. تأكيد الطلبات عبر قناة منفصلة، والتوجه مباشرةً إلى البوابة الرسمية بدلاً من استخدام روابط البريد الإلكتروني، عادة بسيطة قليلة الجهد ذات قيمة دفاعية حقيقية.

تستحق مدد صلاحية الرموز وإدارة الجلسات الاهتمام. ينبغي لفرق الأمان مراجعة مدة صلاحية رموز المصادقة وفرض فترات جلسة أقصر للتطبيقات الحساسة. كلما طالت مدة نشاط الرمز، زادت المدة التي يمكن فيها استخدام الرمز المسروق.

خلاصات للمؤسسات والأفراد

يُعدّ هذا الكشف من مايكروسوفت حافزاً مفيداً لمراجعة ممارسات الأمان الحالية، لا سبباً للذعر. تنجح حملات سرقة بيانات الاعتماد بهذا الحجم لأنها تستغل الفجوات بين الوعي والتصرف. بعض الخطوات الملموسة التي تستحق الاتخاذ الآن:

راجع إعدادات MFA وانتقل نحو أساليب مصادقة مقاومة للتصيد الاحتيالي حيثما أمكن.
تأكد من أن العمال عن بُعد يستخدمون VPN على الشبكات غير الموثوقة لتشفير حركة البيانات أثناء النقل. إذا لم تكن متأكداً من البروتوكول الأنسب لنموذج التهديد الخاص بك، فإن مراجعة كيفية تعامل كل بروتوكول مع الأمان والأداء تُعدّ نقطة انطلاق عملية.
درّب الموظفين على التعرف على طُعم الهندسة الاجتماعية، بما في ذلك رسائل البريد الإلكتروني ذات الطابع السلطوي كإشعارات السياسات وتذكيرات مدونة قواعد السلوك.
اسأل فرق تكنولوجيا المعلومات أو الأمان عن سياسات رموز الجلسة وما إذا كانت نوافذ انتهاء الصلاحية الأقصر ممكنة للأنظمة الحيوية.

لا يُلغي أي إجراء منفرد المخاطر بالكامل، لكن التطبيق المتراكم لنظافة المصادقة والاتصالات الشبكية المشفرة والوعي لدى المستخدمين يُنشئ احتكاكاً ذا معنى أمام المهاجمين. المؤسسات التي لم تتأثر بهذه الحملة كان لديها على الأرجح بعض هذه الإجراءات في مكانها. أما تلك التي تأثرت فأمامها الآن صورة واضحة عن مواطن التركيز.

مايكروسوفت تكشف عن عملية تصيد احتيالي ضخمة لسرقة رموز المصادقة

لماذا تُعدّ سرقة رموز المصادقة خطيرة بشكل استثنائي

ماذا يعني هذا بالنسبة لك

خلاصات للمؤسسات والأفراد

// الأسئلة الشائعة

// ذات صلة