اكتشف باحثو شركة Proofpoint حملات إلكترونية تستهدف حسابات Microsoft 365 باستخدام تطبيقات OAuth ضارة تتنكر على هيئة تطبيقات Adobe وDocuSign بهدف توزيع البرمجيات الخبيثة وسرقة بيانات الاعتماد.
تفاصيل الهجوم
تم تصميم هذه التطبيقات الضارة لتبدو وكأنها تطبيقات شرعية، مثل Adobe Drive, Adobe Drive X, Adobe Acrobat, وDocuSign، بهدف خداع المستخدمين لمنحها الأذونات اللازمة للوصول إلى بياناتهم.
كيف تعمل هذه التطبيقات؟
تطلب هذه التطبيقات أذونات منخفضة الحساسية مثل:
- profile – الاسم الكامل، معرف المستخدم، صورة الملف الشخصي، اسم المستخدم
- email – عنوان البريد الإلكتروني الأساسي (بدون الوصول إلى صندوق البريد)
- openid – التحقق من هوية المستخدم واسترداد تفاصيل حساب Microsoft
كيف يتم تنفيذ الهجوم؟
- يتم إرسال رسائل تصيد احتيالي من حسابات بريد إلكتروني مخترقة، تابعة لمنظمات خيرية أو شركات صغيرة، غالبًا حسابات Office 365.
- تستهدف الهجمات قطاعات مختلفة في الولايات المتحدة وأوروبا، مثل: الحكومة، الرعاية الصحية، سلاسل التوريد، والتجزئة.
- تحتوي بعض الرسائل على طُعم مثل طلبات عروض الأسعار (RFPs) أو العقود، لدفع المستخدمين إلى فتح الروابط الضارة.
- بمجرد منح الأذونات، يتم إعادة توجيه الضحية إلى صفحات تصيد تطلب بيانات تسجيل دخول Microsoft 365، أو يتم تنزيل برامج ضارة على أجهزتهم.
خطوات الحماية والتأمين
- توخي الحذر عند الموافقة على أذونات تطبيقات OAuth، والتأكد من شرعية المصدر قبل منح أي صلاحيات.
- التحقق من التطبيقات المصرح بها حاليًا عبر الرابط:
- myapplications.microsoft.com → إدارة تطبيقاتك → إلغاء أي تطبيق غير معروف.
- للمسؤولين في Microsoft 365: يمكن تعطيل إذن المستخدمين لمنح الصلاحيات لتطبيقات خارجية من خلال:
- التطبيقات المؤسسية → الموافقة والصلاحيات → ضبط خيار “يمكن للمستخدمين الموافقة على التطبيقات” إلى “لا”.
تبقى تطبيقات OAuth إحدى الطرق الفعالة لاختراق حسابات Microsoft 365، لذا يجب التعامل بحذر مع أي طلبات صلاحيات غير مألوفة.
