اكتشف مجرمو الإنترنت طريقة جديدة للتسلل إلى حسابات البريد الإلكتروني الخاصة بالشركات وقراءة كل ما يتم إرساله واستقباله دون أن يعلم أصحاب الحسابات بذلك. يستخدم المهاجمون الآن قواعد البريد المخفية في Microsoft 365 لاعتراض رسائل البريد الإلكتروني الحساسة.
تمثل هذه القواعد الخبيثة تهديدًا جديدًا يتسلل إلى عالم قواعد البريد المخفية في Microsoft 365، حيث يستغل المهاجمون وظيفة قياسية لإلحاق الضرر. وقد وثقت تقارير حديثة هذه التقنية التي تتيح للمتسللين اختراق شبكات الشركات والاستيلاء على معلومات حساسة.
القواعد المخفية: أداة إجرامية في Microsoft 365
تُعد قواعد البريد الإلكتروني ميزة مدمجة في Microsoft 365 و Outlook تساعد المستخدمين على فرز رسائلهم أو إعادة توجيهها أو حذفها تلقائيًا. ومع ذلك، عند حصول المهاجمين على وصول غير مصرح به إلى حساب ما، فإنهم يحولون هذه القواعد إلى أداة مراقبة مستمرة.
بمجرد تفعيلها، تعمل القاعدة الخبيثة بصمت في الخلفية وتتفاعل مع كل بريد إلكتروني وارد بناءً على الشروط التي يحددها المهاجم. يمكن أن تشمل هذه الإجراءات إعادة توجيه الرسائل الحساسة إلى عناوين خارجية، أو إخفاء رسائل إعادة تعيين كلمات المرور، أو دفن تنبيهات الأمان في مجلدات لا يتحقق منها الضحية أبدًا.
ووفقًا لباحثين في Proofpoint، فإن هذه التقنية أصبحت من أكثر السلوكيات شيوعًا بعد الاختراق التي لوحظت في حالات اختراق الحسابات المستندة إلى السحابة. تشير تحليلاتهم إلى أن حوالي 40% من حسابات Microsoft 365 المخترقة شهدت إنشاء قاعدة بريد إلكتروني خبيثة واحدة على الأقل بعد فترة وجيزة من الاختراق الأولي.
كان أقصر وقت مسجل بين اختراق الحساب وإنشاء القاعدة ثماني ثوانٍ، مما يوضح مدى تعمد هذه التكتيكات وأتمتتها. غالبًا ما يتمكن المهاجمون من الحصول على أول موطئ قدم لهم من خلال التصيد الاحتيالي، أو رش كلمات المرور، أو إساءة استخدام موافقات OAuth.
كيف تعمل القواعد المخفية: آلية متكررة
بمجرد دخول المهاجمين إلى حساب مخترق، فإنهم يتبعون عملية منهجية ومتكررة. يقومون بإنشاء قواعد البريد الإلكتروني بأسماء قصيرة وعامة أو غير منطقية، مما يضمن بقاء هذه القواعد مخفية عن المراجعات العابرة.
تهدف هذه القواعد إلى تحقيق أهداف متعددة في وقت واحد. فهي تعيد توجيه رسائل البريد الإلكتروني التي تحتوي على كلمات مفتاحية مالية، مثل “فاتورة” أو “حوالة” أو “عقد”، إلى عناوين خارجية يتحكم فيها المهاجمون.
كما أنها تخفي تنبيهات المصادقة متعددة العوامل، ورسائل إعادة تعيين كلمة المرور، وتحذيرات تسجيل الدخول المشبوهة، بحيث لا يدرك الضحايا أبدًا أن حساباتهم قد تم اختراقها. والأخطر من ذلك، أن هذه القواعد تستمر حتى بعد إعادة تعيين كلمات المرور، مما يحافظ على الوصول المستمر للمهاجمين.
في سيناريو احتيال رواتب موثق، نجح مهاجم في اختراق حساب وأنشأ على الفور قاعدة ترحل أي بريد إلكتروني يحتوي على “قائمة المدفوعات” في سطر الموضوع. ثم استخدم المهاجم منصة بريد إلكتروني خارجية لتسجيل نطاق مزيف تم إنشاؤه بأحرف متشابهة بصريًا مع أحرف النطاق الأصلي للشركة.
نظرًا لأن قاعدة البريد الإلكتروني كانت نشطة بالفعل، تم نقل كل بريد إلكتروني للتحقق من Zoho تلقائيًا إلى مجلد مخفي، مما سمح للمهاجم بإكمال التسجيل دون علم الضحية. من هذا الحساب الخارجي، تم إدخال رسائل احتيالية في سلاسل البريد الإلكتروني الموجودة للتلاعب بإجراءات الدفع.
لمواجهة هذا التهديد، يجب على أفرقة الأمن والمؤسسات اتخاذ عدة خطوات للحد من التعرض. يمكن تعطيل إعادة التوجيه التلقائي الخارجي في Exchange Online، وهو أحد أكثر مسارات الاستمرارية إساءة استخدامًا. كما أن فرض المصادقة متعددة العوامل باستخدام سياسات الوصول المشروط يقلل من خطر الاختراق الأولي للحساب.
يعد مراقبة منح موافقة OAuth للأذونات المشبوهة للتطبيقات، وتدقيق قواعد البريد الإلكتروني بجدول منتظم، وإلغاء الجلسات النشطة عند اكتشاف اختراق، ومراجعة سجلات تسجيل الدخول لـ Entra ID بحثًا عن مواقع غير عادية أو أحداث مصادقة محفوفة بالمخاطر، كلها إجراءات حاسمة للكشف عن التهديدات القائمة على القواعد واحتوائها مبكرًا.