تزايدت وتيرة الهجمات السيبرانية التي تستهدف حسابات Microsoft 365، مع ظهور تقنية تصيد احتيالي جديدة تستغل ميزة “كود جهاز OAuth” (OAuth device code).
تعتمد هذه التقنية على تدفق تفويض جهاز OAuth 2.0، وهو آلية شرعية من مايكروسوفت مصممة للأجهزة ذات خيارات الإدخال المحدودة.
يقوم المهاجمون بخداع المستخدمين لإدخال أكواد خاصة على صفحات تسجيل دخول مايكروسوفت الأصلية، مما يمنحهم وصولاً غير مصرح به إلى حسابات Microsoft 365.
وبمجرد الدخول، يتمكن المخترقون من الاستيلاء على الحسابات، وسرقة البيانات الحساسة، والتنقل عبر الشبكات.
تقف وراء هذه الهجمات مجموعات تهديد متعددة، تتراوح بين المجرمين ذوي الدوافع المالية والهاكرز المدعومين من دول.
غالباً ما يستخدمون رسائل تصيد احتيالي تتضمن روابط تضمين في أزرار أو وصلات تشعبية أو رموز QR لبدء الهجوم.
استغلال كود جهاز OAuth في هجمات Microsoft 365
عندما ينقر الضحايا على هذه الروابط، يتم توجيههم إلى صفحات مزيفة تعرض أكواد الأجهزة. يتم تقديم هذه الأكواد ككلمات مرور لمرة واحدة أو رموز أمان، مما يدفع المستخدمين إلى إدخالها على صفحة التحقق الشرعية من مايكروسوفت على العنوان microsoft.com/devicelogin.
وقد شهدت هذه الحملات انتشاراً واسعاً بحلول سبتمبر 2025، مما يمثل زيادة حادة مقارنة بالهجمات المستهدفة السابقة.
وحدد باحثون في شركة Proofpoint أداتين رئيسيتين تقودان هذه الحملات. SquarePhish2، وهي نسخة مطورة من إطار عمل تصيد احتيالي قديم، تقوم بأتمتة عملية تفويض جهاز OAuth باستخدام رموز QR وخوادم يتحكم فيها المهاجم.
ترسل الأداة للضحايا بريداً إلكترونياً مزيفاً للمصادقة، يليه رسالة ثانية تحتوي على كود الجهاز.
يسمح الإعداد السهل للأداة للمهاجمين ذوي المهارات الأقل بتنفيذ عمليات واسعة النطاق. أما مجموعة أدوات التصيد Graphish، فتعمل بشكل مختلف من خلال إنشاء صفحات تسجيل دخول مزيفة عبر تسجيلات تطبيقات Azure وخوادم الوكيل العكسي.
سير الهجوم والتنفيذ التقني
يبدأ الهجوم عندما يتلقى المستخدمون رسائل بريد إلكتروني تصيدية تبدو وكأنها إشعارات بمشاركة مستندات أو تنبيهات أمان للحساب. تأتي هذه الرسائل من عناوين بريد إلكتروني تم اختراقها أو نطاقات يتحكم فيها المهاجمون ومصممة لتبدو شرعية.
النقر على الرابط المضمن يعيد توجيه الضحايا إلى صفحة تصيد احتيالي تحاكي خدمات مايكروسوفت. تطلب الصفحة من المستخدمين إدخال عنوان بريدهم الإلكتروني، مما يؤدي إلى تشغيل تدفق تفويض جهاز OAuth على بنية مايكروسوفت التحتية.
وبعد ذلك، يتم إنشاء كود جهاز فريد وعرضه على الصفحة المزيفة. يتلقى المستخدم تعليمات لزيارة microsoft.com/devicelogin وإدخال هذا الكود.
وبما أن هذه هي بوابة المصادقة الحقيقية من مايكروسوفت، فإن المستخدمين غالباً ما يثقون في العملية. بمجرد إدخال الكود والمصادقة، تقوم التطبيقات التابعة للمهاجم بالاستعلام من خوادم مايكروسوفت واستلام رمز وصول.
يمنح هذا الرمز الجهة التهديدية السيطرة الكاملة على حساب Microsoft 365 الخاص بالضحية. وتستغل العملية بأكملها خدمات مايكروسوفت الشرعية، مما يجعل اكتشافها صعباً للغاية من خلال تدابير الأمان التقليدية.
لاحظ محللو Proofpoint أن الجهة التهديدية TA2723، وهي مجموعة ذات دوافع مالية معروفة بعمليات التصيد الاحتيالي العالية الحجم، بدأت في استخدام هجمات كود جهاز OAuth في أكتوبر 2025.
أرسلت المجموعة رسائل بريد إلكتروني تدعي احتواء مستندات رواتب مع روابط تؤدي إلى صفحات تفويض كود الجهاز.
تبنت الجهات الفاعلة المتحالفة مع دول هذه التقنية أيضاً، حيث أجرت مجموعة UNK_AcademicFlare، التي يشتبه في ارتباطها بروسيا، حملات هندسة اجتماعية متطورة.
يستخدمون عناوين بريد إلكتروني حكومية مخترقة لبناء الثقة قبل إرسال روابط Cloudflare Worker التي تنتحل حسابات OneDrive.
تعيد هذه الروابط توجيه الضحايا إلى عمليات تصيد احتيالي لكود الأجهزة المصممة لسرقة بيانات الاعتماد من المسؤولين الحكوميين، وباحثي مراكز الفكر، وموظفي الجامعات.
يمكن للمؤسسات الدفاع ضد هذه الهجمات عن طريق إنشاء سياسات الوصول المشروط التي تمنع تدفقات مصادقة كود الجهاز تماماً أو تحدها للمستخدمين المعتمدين ونطاقات IP.
يتطلب تسجيل الدخول من أجهزة متوافقة أو مسجلة يمنع أيضاً الوصول غير المصرح به. يجب أن يتحول تدريب المستخدمين من الوعي العام بالتصيد الاحتيالي إلى التركيز على خطر إدخال أكواد الأجهزة من مصادر غير موثوقة.
يشير إساءة استخدام آليات المصادقة الشرعية إلى استمرار الجهات التهديدية في تكييف تكتيكاتها لتجاوز ضوابط الأمان الحديثة.