هجوم تصيّد صوتي يستهدف مستخدمي Microsoft 365 عبر Entra passkey يسيطر عليه المهاجم

تُكشف حملة تصيّد صوتي تستهدف مستخدمي Microsoft 365 وتدفعهم لتسجيل Entra passkey يتحكم به المهاجم، وذلك عبر استغلال ميزة تسجيل Passkey المخصصة للمسؤولين التي أُتيحت في مايو. يزعم المهاجمون أثناء اتصالاتهم الهاتفية أن التسجيل ضروري لأسباب أمنية، بينما كانت الأنشطة ذاتها نشطة منذ أبريل وفقاً للمعلومات المتاحة. يوجه المحتالون الضحايا إلى صفحات احتيالية تحاكي عملية تسجيل Entra passkey الرسمية، وغالباً ما تتضمن علامـة المؤسسة لضمان مصداقيتها الظاهرية.

بدلاً من تسجيل مفتاح خاص بهم، يساعد الضحايا بشكل غير مقصود المهاجم على إضافة مفتاح يمكنه التحكم فيه. تستخدم أداة تصيّد حيّة تُدار من قِبل المهاجم واجهة PHP تُمكنه من توجيه الضحية خلال عملية تسجيل الدخول في وقت قريب من الحقيقي، ما يسمح بتعديل مسار التصيّد وفقاً لطريقة MFA لدى الضحية، بما في ذلك رموز TOTP، إشعارات الدفع، رموز SMS، أو مطابقة الأرقام. بالتالي يتم نقل الاعتمادات والاستجابات MFA إلى المهاجم لاستخدامها للوصول إلى حساب الضحية في Microsoft.
وتم ربط هذه الحملة بمجموعة Pink Okta التي تراقب بأنها الجهة المستهدفة ضمن إطار ي(String) معروف يضم نشاطات التصيّد الصوتي والتظاهر التقني وسرقة الاعتماد وابتزاز البيانات. كما تعرّضت مؤسسات في قطاعات الغذاء والتكنولوجيا والرعاية الصحية والسيارات والبناء والطيران لامتداد هذه الحملة، التي تنفذ أساليب احتيال مشابهة في أماكن متعددة. كما يذكر أن القراصنة سرقوا بيانات من SharePoint وOneDrive عقب الدخول، ثم أطلقوا صفحة ابتزاز في 31 مايو لنشر عينات من البيانات المسروقة والضغط على الضحايا للدفع.

توصيات عملية واضحة تقدمها النصائح الوقائية، ومن بينها التحقق من هوية مركز المساعدة بعناية عند تلقّي مكالمات غير متوقعة تتعلق بتغييرات أمان الحساب، وتدريب المستخدمين على اعتبار هذه الاتصالات كمشبوهة خصوصاً حين يطلب المتصل تسجيل Passkey أو الموافقة على دفعات MFA. الحفاظ على اليقظة أمام عمليات التصيّد عبر الهاتف يبقى أساسياً لحماية بيانات المؤسسة وبيئة Microsoft 365 من مثل هذه الأساليب الخبيثة.





