كشف خبراء الأمن السيبراني عن حملة تصيّد نشطة من نوع Adversary-in-the-Middle (AitM) تستهدف المؤسسات التي تعتمد على Microsoft 365 وOkta في أنظمة الدخول الموحد (SSO). الهدف الأساسي لهذه الحملة هو اختراق تدفق المصادقة الشرعي والاستيلاء على بيانات الدخول، مع تجاوز طرق التحقق متعددة العوامل (MFA) غير المقاومة للتصيّد.
آلية الهجوم عبر صفحات مزيفة
وفقاً لشركة Datadog، عندما يستخدم الضحية منصة Okta كمزوّد هوية (IdP)، تقوم صفحة التصيّد بخطف عملية المصادقة وتحويل المستخدم إلى صفحة ثانية تعمل كوكيل بينه وبين منصة Okta الشرعية. هذه الصفحة الوهمية تلتقط بيانات اعتماد الضحية ورموز الجلسة، مما يمنح المهاجمين وصولاً مباشراً إلى حسابات المؤسسة.
خطورة تجاوز المصادقة متعددة العوامل
القدرة على تجاوز أنظمة MFA غير المقاومة للتصيّد تمثل خطراً كبيراً على المؤسسات، إذ أن هذه الأنظمة تُعتبر عادةً خط الدفاع الثاني بعد كلمة المرور. ومع نجاح المهاجمين في الالتفاف عليها، يصبح بإمكانهم الوصول إلى بيانات حساسة، البريد الإلكتروني، الملفات المشتركة، وحتى تطبيقات الأعمال المرتبطة بحسابات Microsoft 365 وOkta.
توصيات لتعزيز الحماية
ينصح الخبراء المؤسسات باعتماد طرق تحقق أكثر مقاومة للتصيّد مثل FIDO2 أو مفاتيح الأمان المادية، إضافة إلى مراقبة تدفق الدخول الموحد بشكل مستمر للكشف عن أي أنماط غير طبيعية. كما يُوصى بتوعية الموظفين حول مخاطر التصيّد المتقدم، حيث أن الهجمات لم تعد تقتصر على رسائل البريد الاحتيالية التقليدية، بل باتت تستهدف البنية التحتية للمصادقة نفسها.
