كشفت تقارير أمنية حديثة عن تصاعد خطير في استخدام المهاجمين الإلكترونيين لحسابات بريد إلكتروني داخلية أو تابعة لشركاء أعمال موثوقين تم اختراقها مسبقًا، من أجل إرسال رسائل خبيثة تهدف إلى تحقيق الوصول الأولي إلى الشبكات المؤسسية. وأكدت وحدة Talos التابعة لشركة Cisco أن هذه الطريقة تمنح المهاجمين ميزة استراتيجية، إذ تسمح لهم بتجاوز أنظمة الحماية التقليدية داخل المؤسسات، بالإضافة إلى إضفاء مصداقية زائفة على رسائلهم، ما يزيد من احتمالية استجابة الضحية.
التحايل على أنظمة Microsoft 365 عبر “Direct Send”
يتزامن هذا الكشف مع استمرار استغلال ميزة “Direct Send” ضمن بيئة Microsoft 365، وهي ميزة تتيح إرسال البريد الإلكتروني دون الحاجة إلى المصادقة الكاملة. يستغل المهاجمون هذه الميزة من خلال انتحال عنوان بريد داخلي ضمن المؤسسة (spoofed From address)، ما يجعل الرسائل تبدو وكأنها قادمة من داخل المنظمة نفسها، وبالتالي تعزز من فرص نجاح هجمات التصيد الاحتيالي والهندسة الاجتماعية.
ثغرات في بوابات البريد الخارجية تُسهل الاختراق
أوضحت شركة Proofpoint أن هذه الهجمات تعتمد أيضًا على استغلال ثغرات في أجهزة تأمين البريد الإلكتروني التابعة لطرف ثالث، والتي تُستخدم كمرحّلات SMTP غير مؤمّنة بشكل كافٍ. ومن خلال هذه الأجهزة، يتم حقن الرسائل الخبيثة داخل بيئة Microsoft 365، مما يمنحها طابعًا شرعيًا ويزيد من احتمال تجاوزها لفحوصات المصادقة، حتى في حال فشلها من الناحية التقنية.
تحولات في مشهد التهديدات الإلكترونية
تعكس هذه الأساليب المتطورة تحوّلًا واضحًا في تكتيكات الجهات المهاجمة، حيث بات التركيز ينصب على استغلال الثقة داخل بيئة العمل والمؤسسات، سواء من خلال شركاء موثوقين أو أدوات بريد معروفة. كما أن استخدام حسابات حقيقية تم اختراقها يخلق تحديات جديدة لفِرَق الأمن السيبراني، التي تجد نفسها أمام رسائل لا تحمل بالضرورة مؤشرات تقليدية للهجوم.
