حذّرت شركة الأمن السيبراني العالمية Proofpoint من تصاعد مقلق في الهجمات الإلكترونية التي تستهدف حسابات Microsoft 365 الخاصة بالشركات، عبر استغلال ميزة مصادقة رسمية ومشروعة تابعة لمايكروسوفت، ما يمكّن المهاجمين من تجاوز المصادقة متعددة العوامل (MFA) دون الحاجة إلى سرقة كلمات المرور أو الرموز المؤقتة.
وأوضحت الشركة أن هذه الهجمات تعتمد على خداع المستخدمين ودفعهم للموافقة بأنفسهم على منح صلاحيات الوصول، مستغلة آليات مصادقة موثوقة داخل نظام مايكروسوفت، في تحول لافت بأساليب التصيّد الإلكتروني التقليدية.
وبحسب تقرير Proofpoint، شهد هذا النشاط الخبيث ارتفاعًا ملحوظًا منذ سبتمبر 2025، مع تورط جهات تهديد بدوافع مالية وأخرى مرتبطة بدول، ما يعكس تطورًا نوعيًا في طبيعة الهجمات الإلكترونية واستهدافها للبنية التحتية الرقمية للمؤسسات.
وأكد الباحثون أن المهاجمين أساءوا استخدام ميزة تدفق رمز الجهاز (Device Code Flow) ضمن بروتوكول OAuth 2.0، وهي آلية صُممت في الأصل للأجهزة ذات إمكانيات الإدخال المحدودة، مثل أجهزة التلفزيون الذكية وإنترنت الأشياء.
ووفقًا للتقرير، يتلقى الضحايا رسائل تصيّد عبر البريد الإلكتروني أو تطبيقات المراسلة، تدّعي وجود حاجة عاجلة للتحقق من الحساب، أو مراجعة مستندات، أو إجراء فحص أمني، وتتضمن هذه الرسائل روابط أو رموز QR Code تقود المستخدم إلى إدخال رمز جهاز في صفحة تسجيل الدخول الرسمية لمايكروسوفت.
وبمجرد إدخال الرمز، تمنح مايكروسوفت دون علم المستخدم رمز وصول ( OAuth Access Token) لتطبيق يتحكم فيه المهاجم، ما يتيح له وصولًا كاملًا وفوريًا إلى حساب Microsoft 365، مع القدرة على سرقة البيانات، والتنقل بين أنظمة الشركة، والحفاظ على وصول طويل الأمد، قد يُستغل لاحقًا في عمليات ابتزاز.
ورصدت Proofpoint نشاط عدة مجموعات تهديد استخدمت هذا الأسلوب، من بينها مجموعات مالية مثل TA2723، إضافة إلى جهات يُعتقد ارتباطها بروسيا، تعمل تحت اسم UNK_AcademicFlare، واستهدفت قطاعات حكومية وأكاديمية وقطاع النقل في الولايات المتحدة وأوروبا.
كما ساهم انتشار أدوات تصيّد جاهزة مثل SquarePhish2 وGraphish في توسيع نطاق هذه الهجمات، حيث تتيح أتمتة استغلال OAuth وتنفيذ هجمات معقدة يصعب رصدها عبر أنظمة الحماية التقليدية.
واختتمت Proofpoint تحذيرها بدعوة المؤسسات إلى تقييد أو تعطيل ميزة مصادقة رمز الجهاز عبر سياسات الوصول المشروط، وتعزيز مراقبة أنشطة OAuth، إلى جانب تدريب الموظفين على عدم إدخال أي رموز تحقق غير مطلوبة، حتى لو ظهرت عبر صفحات تسجيل دخول رسمية.