كشفت مايكروسوفت عن حملة واسعة النطاق لسرقة بيانات الاعتماد، مستخدمةً مزيجاً من الإغراءات المتعلقة بمدونة قواعد السلوك وخدمات البريد الإلكتروني الشرعية لتوجيه المستخدمين نحو نطاقات يتحكم بها المهاجمون وسرقة رموز المصادقة.
استهدفت الحملة، التي جرت بين 14 و16 أبريل 2026، أكثر من 35,000 مستخدم في أكثر من 13,000 مؤسسة في 26 دولة. شكلت الولايات المتحدة 92% من هذه الأهداف، مع تركيز كبير على قطاعات الرعاية الصحية والعلوم الحيوية (19%)، والخدمات المالية (18%)، والخدمات المهنية (11%)، والتكنولوجيا والبرمجيات (11%).
أوضحت فرق مايكروسوفت للأمن السيبراني أن القوالب المستخدمة في الحملة تميزت بكونها مصقولة بأسلوب الشركات، مع تخطيطات منظمة وبيانات مصادقة أولية، مما جعلها تبدو أكثر مصداقية من رسائل التصيد الاحتيالي التقليدية.
خلقت الرسائل شعوراً بالإلحاح والضغط للتصرف، نظراً لاحتوائها على اتهامات ومطالبات باتخاذ إجراءات ضمن وقت محدد.
استخدمت رسائل البريد الإلكتروني إغراءات متعلقة بمراجعات مدونة قواعد السلوك، بأسماء عرض مثل “CCC التنظيمي الداخلي” و”اتصالات القوى العاملة” و”تقرير سلوك الفريق”. وشملت عناوين الرسائل “تسجيل قضية داخلية بموجب سياسة السلوك” و”تذكير: فتح رب العمل لتسجيل قضية عدم امتثال”.
تضمنت الرسائل في أعلى كل منها ملاحظة تفيد بأنها “صدرت عبر قناة داخلية معتمدة” وأن الروابط والمرفقات “تمت مراجعتها والموافقة عليها للوصول الآمن”، مما عزز الشرعية المفترضة للبريد الإلكتروني.
تم إرسال الرسائل من خدمة توصيل بريد إلكتروني شرعية، وتضمنت مرفقات PDF تقدم معلومات إضافية حول مراجعة السلوك، مما يغري الضحايا بالنقر على رابط داخل المستند لبدء عملية سرقة بيانات الاعتماد.
ينتهي مسار الهجوم بتجربة تسجيل دخول تستغل تكتيكات التصيد الاحتيالي “المهاجم في الوسط” (AiTM) لسرقة بيانات اعتماد مايكروسوفت ورموزها في الوقت الفعلي، مما يسمح للمهاجمين بتجاوز المصادقة متعددة العوامل (MFA) بفعالية.
التطورات في حملات التصيد الاحتيالي
يأتي هذا الكشف وسط تحليل مايكروسوفت لمشهد تهديدات البريد الإلكتروني بين يناير ومارس 2026، والذي أظهر أن التصيد الاحتيالي عبر رموز QR برز كأسرع متجهات الهجوم نمواً، بينما تطور التصيد المقيد بـ CAPTCHA “بسرعة” عبر أنواع الحمولة.
اكتشفت الشركة حوالي 8.3 مليار تهديد تصيد احتيالي عبر البريد الإلكتروني خلال هذه الفترة. كانت نحو 80% من هذه التهديدات تستند إلى الروابط، حيث شكلت ملفات HTML وZIP الكبيرة جزءاً كبيراً من الحمولات الخبيثة.
كان الهدف النهائي لمعظم هذه الهجمات هو سرقة بيانات الاعتماد، بينما انخفض توصيل البرامج الضارة إلى 5-6% فقط بنهاية الربع.
أشارت مايكروسوفت أيضاً إلى أن مشغلي منصة “Tycoon 2FA” للتصيد كخدمة (PhaaS) حاولوا التحول إلى مزودي استضافة وأنماط تسجيل نطاقات مختلفة بعد عملية تعطيل منسقة في مارس 2026.
في تقرير سابق، أبرزت الوحدة 42 في Palo Alto Networks كيف يسيء الجهات الفاعلة في مجال التهديدات استغلال رموز QR كاختصارات عناوين URL لإخفاء وجهات خبيثة، وروابط داخل التطبيقات لسرقة بيانات اعتماد الحساب، وتجاوز أمان متاجر التطبيقات.
تظهر بيانات مايكروسوفت زيادة هائلة في التصيد الاحتيالي عبر رموز QR خلال الربع الأول من عام 2026، حيث قفزت أحجام الهجمات من 7.6 مليون في يناير إلى 18.7 مليون في مارس، بزيادة قدرها 146%.
من ناحية أخرى، شهدت عمليات الاحتيال عبر اختراق البريد الإلكتروني للأعمال (BEC) تقلبات أكثر، حيث تجاوز حجم الهجمات 4 ملايين في مارس 2026، مقارنة بأكثر من 3.5 مليون في يناير وأكثر من 3 ملايين في فبراير. تم تسجيل 10.7 مليون هجوم BEC بشكل جماعي.
حملات ملحوظة خلال الربع الأول من عام 2026
شملت حملة كبيرة ومستمرة بين 23 و25 فبراير 2026، تم فيها إرسال أكثر من 1.2 مليون رسالة إلى مستخدمين في أكثر من 53,000 مؤسسة بـ 23 دولة، مستخدمةً إغراءات متعلقة بخطط التقاعد (401k)، والمدفوعات، والفواتير لتقديم مرفق SVG. فتح هذا الملف وجه الضحايا إلى فحص CAPTCHA، وبعد إكماله بنجاح، تم عرض صفحة تسجيل دخول وهمية لسرقة حساباتهم.
أما في 17 مارس 2026، فقد تم رصد حملة ضخمة شملت أكثر من 1.5 مليون رسالة خبيثة مؤكدة أُرسلت إلى أكثر من 179,000 مؤسسة عبر 43 دولة. شكل هذا النشاط 7% من جميع المرفقات HTML الخبيثة التي تمت ملاحظتها في الشهر.
عند فتح ملف HTML، تم إعادة توجيه الضحايا إلى صفحة تصيد احتيالي أولية تقوم بفحص الزائر قبل توجيهه إلى الوجهة النهائية: صفحة تصيد احتيالي تقدم تحدي CAPTCHA قبل تقديم صفحة تسجيل دخول احتيالية.
أفادت مايكروسوفت أن البنية التحتية التي تستضيف حمولة التصيد الاحتيالي النهائية كانت مرتبطة بمقدمي خدمات PhaaS مختلفين، وأن معظم نقاط نهاية التصيد الاحتيالي كانت مرتبطة بـ Tycoon 2FA، مع ارتباط أنشطة إضافية ببنية Kratos (المعروفة سابقاً باسم Sneaky 2FA) و EvilTokens.
تتزامن هذه النتائج مع ظهور حملات التصيد الاحتيالي وBEC التي تساء فيها استخدام خدمة Amazon Simple Email Service (SES) كمتجه توصيل لتجاوز فحوصات SPF وDKIM وDMARC، وتسهيل سرقة بيانات الاعتماد عبر صفحات تسجيل دخول وهمية. غالباً ما تعمل هذه الهجمات عن طريق الوصول إلى Amazon SES من خلال مفاتيح وصول AWS المسربة.
وأوضحت كاسبرسكي أن الطبيعة الخبيثة لهجمات Amazon SES تكمن في أن المهاجمين لا يستخدمون نطاقات مشبوهة أو خطيرة، بل يعتمدون على بنية تحتية وثق بها المستخدمون وأنظمة الأمان على حد سواء. من خلال تسليح هذه الخدمة، يتجنب المهاجمون عناء بناء نطاقات وبنية تحتية مراسلة مشبوهة من الصفر، بل يختطفون مفاتيح الوصول الحالية لاكتساب القدرة على إرسال آلاف رسائل التصيد الاحتيالي.