قراصنة يستهدفون أنظمة الهوية لدى أوكتا بدلًا من رسائل التصيد

تتجه أساليب مجرمي الإنترنت نحو تبني طرق جديدة وغير تقليدية لاختراق أنظمة الشركات، متجاوزين بذلك حملات التصيد الاحتيالي التقليدية. بدلًا من الاعتماد على رسائل البريد الإلكتروني الخبيثة، أصبح المهاجمون يتواصلون هاتفيًا لإحداث اختراق في أنظمة الهوية المؤسسية، مثل أنظمة Okta.

يمثل هذا التحول أحد أبرز التغييرات في كيفية عمل هجمات الوصول الأولية، وهو ما يفاجئ العديد من المؤسسات. يشير هذا التوجه الملفت إلى ضرورة إعادة تقييم استراتيجيات الأمن السيبراني لمواجهة هذه التهديدات المتطورة.

الهجمات الصوتية تتجاوز التصيد الاحتيالي

لسنوات طويلة، كانت رسائل البريد الإلكتروني التصيدية هي الأداة المفضلة للمهاجمين للوصول غير المصرح به إلى شبكات الشركات. كان المهاجمون يصيغون رسائل مقنعة تتضمن روابط أو مرفقات خبيثة، ويعتمدون على الموظفين غير المتيقظين للوقوع في الفخ.

ومع تعزيز أدوات أمن البريد الإلكتروني، بدأ المهاجمون يبحثون عن طرق أسهل للدخول، ووجدوا ضالتهم. إن استهداف مقدمي خدمات الهوية مثل Okta عبر الهندسة الاجتماعية الصوتية، المعروفة باسم “الفشنج” (Vishing)، أثبتت فعاليتها بشكل كبير مقارنة بحملات البريد الإلكتروني.

حدد محللو وباحثو LevelBlue هذا الاتجاه المتنامي، مشيرين إلى أن هجمات الفشنج على Okta أصبحت واحدة من أسرع تقنيات الوصول الأولية نموًا التي شوهدت في تحقيقات الحوادث النشطة. وتؤكد التقارير أن هذا النوع من الهجمات يخلق تحديات كبيرة للأمن السيبراني.

تأثير استهداف أنظمة Go-To للمصادقة

كشف فريق SpiderLabs التابع لـ LevelBlue، في تقرير صدر في 13 أبريل 2026، أن المهاجمين يستهدفون Okta بشكل خاص لأنها تعمل كبوابة مصادقة مركزية للعديد من المؤسسات. هذا يجعلها نقطة ضعف حيوية يمكن استغلالها.

بمجرد اختراق Okta، يكتسب المهاجمون وصولًا موثوقًا به إلى جميع الأنظمة المتصلة عبر الدخول الموحد (SSO)، بما في ذلك Microsoft 365، و SharePoint، و OneDrive، و Salesforce، و Google Workspace، و Slack، وبوابات VPN. كل هذا يتم دون الحاجة إلى كتابة أو تنفيذ أي سطر برمجي خبيث.

تتجاوز آثار هذه الهجمات مجرد اختراق حساب. فعند الدخول إلى Okta، يحصل المهاجم فورًا على صلاحية الوصول إلى كل تطبيق متصل بالدخول الموحد دون الحاجة لاختراق كل منها على حدة. وهذا يتحول بسرعة إلى حدث واسع النطاق لسرقة بيانات السحابة، حيث يقوم المهاجمون بتنزيل مكتبات مستندات SharePoint، وتصدير رسائل البريد الإلكتروني، والوصول إلى تخزين OneDrive، وتسجيل تطبيقات OAuth غير المصرح بها.

ما يبدو كمكالمة روتينية لمركز المساعدة يمكن أن يتصاعد بسرعة ليصبح خرقًا كبيرًا لبيانات الشركة. هذا التحول في طبيعة الاختراقات يتطلب يقظة مستمرة. ما يميز هذا التهديد هو قلة المهارات التقنية المطلوبة. لا يحتاج المهاجمون إلى برامج ضارة أو أدوات استغلال؛ فالقصة المقنعة ورقم الهاتف غالبًا ما تكون كافية لفتح البيئة السحابية الكاملة للمؤسسة. هذا يفتح الباب أمام تحديات أمنية جديدة لم تكن متوقعة.

سلسلة هجمات الفشنج على Okta

تبدأ الهجمة بفترة طويلة قبل إجراء أي مكالمة هاتفية. خلال مرحلة الاستطلاع، يبني المهاجمون ملفًا تفصيليًا عن المؤسسة المستهدفة باستخدام مصادر مثل LinkedIn، ومواقع الشركات، و ZoomInfo، وأي بيانات اعتماد تم اختراقها سابقًا. يجمعون أسماء الموظفين، والمناصب الوظيفية، وتفاصيل الاتصال بمركز المساعدة، وأنماط تسمية مستأجري Okta. هذا المستوى من التحضير يسمح للمهاجمين بالظهور بمصداقية تامة عند بدء المكالمة.

يتصل المهاجم بعد ذلك بالضحية أو بمركز المساعدة، متنكرًا في زي موظف شرعي أو مسؤول تنفيذي عالق في موقف يحتمل أن يكون صعبًا. تتضمن الحجج الشائعة الادعاء بأنه تم قفل الحساب، أو السفر بدون وصول VPN، أو تغيير الهاتف مؤخرًا. الإلحاح في هذه السيناريوهات متعمد تمامًا؛ فالضغط يدفع موظفي مركز المساعدة إلى تخطي خطوات التحقق القياسية والتصرف بسرعة لاستعادة الوصول.

بمجرد أن يقوم مركز المساعدة بإعادة تعيين المصادقة متعددة العوامل (MFA) أو تسجيل جهاز مصادقة جديد، يقوم المهاجم بتسجيل الدخول إلى Okta وينتقل فورًا عبر جميع منصات SaaS المتصلة. يشمل النشاط اللاحق للاختراق عادةً تنزيل ملفات SharePoint، وتصدير محتوى البريد الإلكتروني، وإنشاء قواعد إعادة توجيه البريد الوارد، وإنشاء رموز API، وإضافة طرق MFA ثانوية لقفل المستخدم الشرعي. النتيجة النهائية هي حادث كبير لسرقة بيانات سحابية، وليس عدوى برمجية تقليدية.

إجراءات الحماية والتصدي

يجب على المؤسسات فرض التحقق الصارم للهوية لأي إعادة تعيين للمصادقة متعددة العوامل (MFA) أو تسجيل جهاز، مع طلب موافقة المدير أو تذكرة دعم صالحة أولاً. يحتاج موظفو مركز المساعدة إلى تدريب مخصص على تكتيكات الفشنج، ويجب تمكينهم لتحدي المتصلين الذين يفتعلون الإلحاح المفاجئ.

يجب استبدال خيارات المصادقة متعددة العوامل (MFA) عبر الرسائل النصية القصيرة والصوت بخيارات مقاومة للتصيد الاحتيالي، مثل مفاتيح أمان FIDO2 أو Passkeys، كلما أمكن ذلك. يجب تغذية سجلات Okta إلى منصات SIEM وربطها بنشاط SaaS ونشاط نقطة النهاية للاستدلال على تسلسلات المصادقة المشبوهة. يجب على فرق الأمن بناء خطط استجابة للحوادث مخصصة تتضمن إجراءات لإلغاء الجلسات بسرعة وإزالة طرق MFA غير المصرح بها فور اكتشاف الاختراق.