شهد عام 2026 ارتفاعًا غير مسبوق في هجمات Device Code Phishing، وهي تقنية تستغل آلية OAuth Device Authorization Grant Flow للاستيلاء على حسابات المستخدمين. وفقًا لشركة Push Security، ارتفع عدد صفحات التصيّد التي تستخدم هذه الطريقة بمقدار 15 ضعفًا في بداية مارس، بينما زادت الهجمات نفسها بأكثر من 37.5 ضعفًا خلال العام، ما يشير إلى دخولها مرحلة الاعتماد الواسع في أوساط المهاجمين.
الفكرة تقوم على خداع المستخدم لمنح رموز وصول (Access Tokens) لتطبيق يسيطر عليه المهاجم، وليس لجهاز فعلي كما يوحي الاسم. أي تطبيق يدعم تسجيل الدخول عبر رموز الأجهزة يمكن أن يكون هدفًا، بما في ذلك منصات كبرى مثل Microsoft وGoogle وSalesforce وGitHub وAWS، مع تركيز أكبر على خدمات مايكروسوفت.
أدوات التصيّد الجديدة
أبرز ما ساهم في انتشار هذه التقنية هو ظهور أول مجموعة أدوات Phishing-as-a-Service (PhaaS) مخصصة لها، والمعروفة باسم EvilTokens (ANTIBOT). هذه الأداة توفر واجهة أمامية عبر Cloudflare Workers وخلفية عبر Railway لمعالجة المصادقة. ظهرت نسخها الأولى في يناير 2026، وسرعان ما تبعتها أدوات أخرى مثل Venom، وهي مجموعة مغلقة المصدر تقدم قدرات مشابهة.
كما تم رصد دمج هذه التقنية في عدة مجموعات PhaaS أخرى، منها: SHAREFILE، CLURE، LINKID، AUTHOV، DOCUPOLL، FLOW_TOKEN، PAPRIKA، DCSTATUS، DOLCE، مما يعكس سرعة انتشارها في سوق الجريمة الإلكترونية.
دلالات أمنية
هذا التحول يوضح أن المهاجمين باتوا يستغلون نقاط ضعف في تجربة المستخدم نفسها، حيث يُخدع الضحايا لإصدار رموز وصول شرعية لتطبيقات خبيثة. وبما أن هذه الرموز تمنح وصولًا مباشرًا إلى الحسابات والخدمات السحابية، فإن خطورة الهجمات تكمن في أنها تتجاوز أنظمة الحماية التقليدية وتمنح المهاجمين وصولًا موثوقًا وصعب الاكتشاف.
الاعتماد المتزايد لهذه التقنية يفرض على المؤسسات إعادة النظر في سياسات المصادقة، وتطبيق ضوابط إضافية مثل المصادقة متعددة العوامل (MFA)، ومراقبة أنماط تسجيل الدخول غير المعتادة، وتقييد الوصول الجغرافي للتقليل من فرص الاستغلال.
