يحذر مكتب التحقيقات الفيدرالي الأمريكي (FBI) المؤسسات من منصة “كالي 365” (Kali365) المتنامية، وهي خدمة تصيد احتيالي متكاملة تهدف إلى سرقة رموز الوصول إلى حسابات Microsoft 365. وقد أصدر المكتب نشرة عامة بهذا الشأن يوم الخميس.
تستطيع هذه المنصة تجاوز آليات المصادقة متعددة العوامل (MFA) واستغلال تفويضات رمز جهاز OAuth عبر رسائل تصيد احتيالي تنتحل صفة خدمات مؤسسية شائعة. تمنح هذه التقنية التطبيقات التي يتحكم بها مجرمو الإنترنت وصولاً إلى حسابات Microsoft 365، مما يعرض الضحايا لمجموعة واسعة من الأنشطة الخبيثة اللاحقة، بما في ذلك سرقة البيانات والاحتيال والابتزاز وهجمات برامج الفدية.
منصة Kali365: تهديد جديد في عالم الأمن السيبراني
تُعد منصة Kali365 واحدة من أدوات التصيد الاحتيالي لرموز الأجهزة التي تظهر بسرعة، وتكتسب شعبية كوسيلة أكثر فعالية لمجرمي الإنترنت للتحايل على الضوابط الأمنية، وذلك من خلال استغلال صفحات تفويض أجهزة Microsoft الشرعية، وفقاً لباحثين.
بدلاً من الحصول على وصول للحسابات عبر مجموعات تصيد تسرق بيانات الاعتماد ورموز المصادقة الثنائية، تقوم منصات التصيد الاحتيالي لرموز الأجهزة بربط تطبيق خبيث بحساب شرعي باستخدام رمز واحد. تتطلب هذه العملية خطوات أقل وتفاعلاً أقل مع المستخدم، إلا أن الضحايا يحتاجون إلى نسخ ولصق رمز يتم إنشاؤه بواسطة منصة Kali365 لمنح الوصول.
ووفقاً لسيلنا لارسون، باحثة التهديدات الأولى في Proofpoint، فإن “هناك الكثير من أنشطة التصيد الاحتيالي هذه التي تستخدم رموز الأجهزة، والكثير منها تبدو متشابهة جدًا. كلها تستخدم نفس أنواع الفخاخ، ونفس المحتوى، ونفس العلامات التجارية.” وأضافت أن الأمر “مدفوع بالذكاء الاصطناعي، وأعتقد أن الجهات الفاعلة في مجال التهديدات تجدها فعالة جدًا لأننا نشهد هذا التحول يحدث دفعة واحدة”.
لاحظ باحثو Proofpoint سبعة أدوات تصيد احتيالي لرموز الأجهزة بدت متطابقة تقريباً خلال فترة مدتها 10 أيام الشهر الماضي. وتشير تقارير إلى أن هذه الظاهرة، بما فيها منصة Kali365، بدأت بالازدياد بشكل ملحوظ منذ فبراير الماضي.
تطور تقنيات التصيد الاحتيالي
التصيد الاحتيالي لرموز الأجهزة ليس بجديد، لكن منصات مثل Kali365 قامت بدمج تقنيات جديدة تختلف عن التصيد الاحتيالي الذي يستهدف المصادقة متعددة العوامل، وقد تكون أكثر فعالية نتيجة لذلك. وتصف لارسون هذه التقنيات بأنها “شيء قد لا يكون الناس معتادين عليه، إنها أكثر سلاسة”.
وهذا يفسر جزئياً سبب النمو السريع لأدوات مجرمي الإنترنت هذه. وأشارت لارسون إلى أن Proofpoint لاحظت انفجاراً في نشاط التصيد الاحتيالي لرموز الأجهزة بدءًا من فبراير.
بحلول أبريل، كانت منصة Kali365 تعمل بشكل كامل وتوزع بشكل أساسي على تيليجرام، بحسب ما ذكره مكتب التحقيقات الفيدرالي. وأشار المكتب في تحذيره العام إلى أن “Kali365 تقلل من حاجز الدخول، وتوفر للمهاجمين الأقل تقنية إمكانية الوصول إلى فخاخ التصيد الاحتيالي التي يولدها الذكاء الاصطناعي، وقوالب الحملات الآلية، ولوحات معلومات تتبع الأفراد/الكيانات المستهدفة في الوقت الفعلي، وقدرات التقاط رموز OAuth”.
من جهة أخرى، قال باحثون في Arctic Wolf Labs، الذين يتتبعون أيضاً حملات واسعة النطاق مرتبطة بـ Kali365، إن المنصة تتقاضى من المنتسبين 250 دولاراً لمدة 30 يوماً من الخدمة أو 2000 دولار لمدة عام كامل.
تقوم Kali365 بتخزين رموز الوصول وتحديث رموز OAuth التي تلتقطها، وتجعلها متاحة للمنتسبين على منصتها. ويمكن أيضاً مشاركة هذه الرموز وإعادة استخدامها من قبل مجرمي الإنترنت الآخرين الذين لم يشاركوا في عملية التصيد الاحتيالي الأولية، بحسب باحثي Arctic Wolf.
كما لاحظ مكتب التحقيقات الفيدرالي أن رموز Microsoft 365 هذه توفر وصولاً مستمراً، مما يسمح للمهاجمين بالتنقل عبر خدمات Microsoft متعددة دون الحاجة إلى كلمة مرور أو طلبات MFA إضافية. وهذا يجعل Kali365 تهديدًا يتطلب اهتمامًا خاصًا.
واختتمت لارسون بالقول: “الهوية يمكن أن تكون قوية جداً جداً بمجرد دخولك إلى منظمة.” وأضافت أن المهاجمين يمكنهم إساءة استخدام هذا الوصول لانتحال شخصية الأشخاص، والوصول إلى البيانات وسرقتها للابتزاز، وارتكاب الاحتيال، ونشر البرامج الضارة. تبرز أهمية هذه التحذيرات في ظل التطور المستمر لأساليب الامتثال لأمن البريد الإلكتروني.