حذّر مكتب التحقيقات الفيدرالي FBI المؤسسات وفرق الأمن السيبراني من تصاعد نشاط منصة التصيد الاحتيالي الجديدة “Kali365”، التي تستهدف مستخدمي Microsoft 365 عبر أساليب متطورة قادرة على تجاوز أنظمة المصادقة متعددة العوامل (MFA) والحصول على وصول دائم إلى الحسابات.
وبحسب بيان توعوي أصدره المكتب، تعتمد منصة Kali365 على تقنية “التصيد عبر رموز الأجهزة” (Device Code Phishing)، وهي آلية متنامية يستخدمها مجرمو الإنترنت لاستغلال صفحات تفويض الأجهزة الرسمية الخاصة بشركة Microsoft من أجل منح تطبيقات خبيثة صلاحيات وصول كاملة إلى حسابات الضحايا.
كيف تعمل منصة Kali365؟
تعتمد المنصة على إرسال طُعم تصيد احتيالي ينتحل صفة خدمات مؤسسية موثوقة، حيث يُطلب من الضحية إدخال رمز تفويض مُولد عبر صفحة تسجيل دخول أصلية تابعة لمايكروسوفت.
وبمجرد إدخال الرمز، يتم ربط حساب المستخدم بتطبيق يتحكم به المهاجمون عبر بروتوكولات OAuth، ما يمنحهم إمكانية الوصول إلى خدمات Microsoft 365 المختلفة دون الحاجة إلى كلمة المرور أو طلبات مصادقة إضافية لاحقًا.
وتتميز هذه التقنية بأنها تتطلب خطوات أقل مقارنة بأساليب التصيد التقليدية التي تعتمد على سرقة كلمات المرور أو رموز المصادقة الثنائية، وهو ما يجعلها أكثر سلاسة وإقناعًا للضحايا.
تهديدات خطيرة تتجاوز سرقة الحسابات
يحذر خبراء الأمن السيبراني من أن الوصول الذي توفره Kali365 لا يقتصر على اختراق البريد الإلكتروني فقط، بل يفتح الباب أمام سلسلة واسعة من الأنشطة الخبيثة، تشمل:
- سرقة البيانات الحساسة.
- انتحال هوية الموظفين.
- تنفيذ عمليات احتيال مالي.
- الابتزاز الإلكتروني.
- نشر البرمجيات الخبيثة وهجمات الفدية.
وأكد مكتب التحقيقات الفيدرالي أن رموز الوصول التي يتم الحصول عليها عبر المنصة تمنح المهاجمين وصولًا مستمرًا إلى خدمات مايكروسوفت المختلفة لفترات طويلة.
قالت Proofpoint، المتخصصة في الأمن السيبراني، إنها رصدت ارتفاعًا ملحوظًا في حملات التصيد باستخدام رموز الأجهزة منذ فبراير الماضي، مشيرة إلى ظهور سبع منصات متشابهة تقريبًا خلال فترة قصيرة لا تتجاوز عشرة أيام.
وأوضحت سيلينا لارسون، كبيرة باحثي التهديدات في الشركة، أن هذه الحملات تعتمد بشكل كبير على أدوات الذكاء الاصطناعي لتوليد رسائل تصيد وقوالب حملات احترافية يصعب تمييزها عن الرسائل الحقيقية.
وأضافت أن هذا النوع من الهجمات “أكثر سلاسة” من أساليب التصيد التقليدية، وهو ما يفسر سرعة انتشاره واعتماد المهاجمين عليه بكثافة خلال الأشهر الأخيرة.
وفقًا لتحذير مكتب التحقيقات الفيدرالي، يتم توزيع منصة Kali365 بشكل أساسي عبر Telegram، حيث توفر للمهاجمين:
- صفحات تصيد مولدة بالذكاء الاصطناعي.
- قوالب حملات آلية.
- لوحات تحكم لمراقبة الضحايا لحظيًا.
* أدوات للحصول على رموز OAuth وإدارتها. وأشار باحثون من Arctic Wolf إلى أن القائمين على المنصة يبيعون الخدمة بنظام الاشتراك، مقابل 250 دولارًا لمدة 30 يومًا، أو 2000 دولار سنويًا.
كما تقوم المنصة بتخزين رموز الوصول والتحديث الخاصة بـ OAuth، مع إمكانية إعادة استخدامها أو بيعها لمجرمين إلكترونيين آخرين، حتى وإن لم يشاركوا في الهجوم الأصلي.
يرى خبراء الأمن أن خطورة هذا النوع من الهجمات تكمن في استغلاله لصفحات تسجيل دخول رسمية وشرعية، ما يصعّب على المستخدمين اكتشاف محاولات الاحتيال.
ودعا مكتب التحقيقات الفيدرالي المؤسسات إلى تعزيز الرقابة على تطبيقات OAuth المصرح لها، وتقييد استخدام رموز الأجهزة، بالإضافة إلى تدريب الموظفين على التعرف إلى أساليب التصيد الحديثة التي تعتمد على الهندسة الاجتماعية والذكاء الاصطناعي.
ويؤكد الخبراء أن الهوية الرقمية أصبحت الهدف الأهم للمهاجمين الإلكترونيين، إذ يمكن استغلالها للوصول إلى الأنظمة الداخلية وسرقة البيانات الحساسة وتنفيذ عمليات ابتزاز واسعة النطاق داخل المؤسسات.
