حذّر خبراء من أن مجرمي الإنترنت وجدوا طريقة ذكية لجعل مواقع التصيد الاحتيالي تبدو كصفحات تسجيل دخول رسمية، ما أدى إلى سرقة بيانات اعتماد "مايكروسوفت" بنجاح.
نشر باحثو الأمن السيبراني في شركة Push Security مؤخرًا تقريرًا متعمقًا حول آلية عمل هذه الخدعة، موضحين كيف أنشأ المهاجمون صفحات تسجيل دخول مزيفة تحاكي شاشات تسجيل دخول Microsoft 365 الأصلية، وفق موقع "تيك رادار".
بدلًا من توجيه الضحايا مباشرةً إلى الموقع، والذي قد يتم الإبلاغ عنه من قِبل حلول الأمان وحظره بسرعة، استخدموا ميزة من مايكروسوفت تُسمى Active Directory Federation Services (ADFS). تستخدمها الشركات عادةً لربط أنظمتها الداخلية بخدمات مايكروسوفت.
كيفية البقاء آمنًا
من خلال إنشاء حساب Microsoft خاص بهم وتكوينه باستخدام ADFS، يتم خداع خدمة Microsoft لإعادة توجيه المستخدمين إلى موقع التصيد الاحتيالي، مع جعل الرابط يبدو شرعيًا لأنه يبدأ بـ "outlook.office.com".
علاوة على ذلك، لم يتم توزيع رابط التصيد الاحتيالي عبر البريد الإلكتروني، بل عبر إعلانات خبيثة. كان الضحايا يبحثون عن "Office 265" والذي يُفترض أنه خطأ مطبعي، ثم يتم نقلهم إلى صفحة تسجيل دخول Office. استخدم الإعلان أيضًا مدونة سفر مزيفة (bluegraintours.com) كخطوة وسيطة لإخفاء الهجوم.
طريقة إعداد الحملة بأكملها جعلتها خطيرة للغاية. فمع الرابط الذي يبدو وكأنه قادم من مايكروسوفت، ونجاحها في تجاوز العديد من أدوات الأمان التي تتحقق من الروابط الضارة، كان معدل نجاحها أعلى على الأرجح مقارنةً بعمليات التصيد الاحتيالي "التقليدية".
علاوة على ذلك، ولأنها لا تعتمد على البريد الإلكتروني، لم تتمكن مرشحات البريد الإلكتروني المعتادة من اكتشافها. وأخيرًا، استطاعت صفحة الهبوط تجاوز المصادقة متعددة العوامل (MFA)، مما زاد من خطورتها.
لمنع هذه الاحتيالات من التسبب بأي ضرر حقيقي، ينبغي على فرق تكنولوجيا المعلومات حظر الإعلانات، أو على الأقل مراقبة حركة مرور الإعلانات، ومراقبة عمليات إعادة التوجيه من صفحات تسجيل دخول مايكروسوفت إلى نطاقات غير معروفة.
وأخيرًا، ينبغي على المستخدمين توخي الحذر عند كتابة مصطلحات البحث، فقد يؤدي خطأ إملائي بسيط إلى ظهور إعلان مزيف قد يؤدي إلى اختراق الجهاز والاستيلاء على الحساب.
