أطلقت شركة «مايكروسوفت» تحذيرا بشأن نشاط احتيالي جديد لعصابة من الهاكرز متعدد المراحل، ويتبع خطوات خطيرة تساعد على انتشاره بسرعة شديدة، إذ يجري تسجيل جهاز خاص بالمهاجم أولا على شبكة شركة ما ثم يبدأ هذا المهاجم في إرسال الآلاف من رسائل البريد الإلكتروني المخادعة المقنعة إلى أهدافه الموجودين عبر نفس الشبكة.
الغرض من تسجيل جهاز المهاجم على شبكة شركة مستهدفة هو تجنب الكشف أثناء هجمات التصيد اللاحقة، وفقًا لمايكروسوفت التي تقول إيضا: «معظم المؤسسات التي مكنت المصادقة متعددة العوامل(MFA) لـOffice 365 لم تتأثر برسائل التصيد الاحتيالي التي تنتشر بواسطة الأجهزة المسجلة التي يتحكم فيها المهاجمون، ولكن تلك التي لم تمكن MFA تأثرت جميعها»، بحسب موقع «زد نت».
كيف يسرق «الهاكرز» بيانات المستخدمين؟
اعتمد قائدو الهجوم على رسالة بريد إلكتروني تصيدية تحمل علامة «DocuSign» تطلب مراجعة المستلم وتوقيع مستند ما، واستخدموا مجالات التصيد المسجلة ضمن نطاق المستوى الأعلى«xyz (TLD)»، بالإضافة إلى إنشاء رابط تصيد لكل بريد إلكتروني بشكل فريد يحتوي على اسم الهدف في عنوان URL، يوجّه هذا الرابط الضحايا إلى صفحة تسجيل دخول مخادعة إلى Office 365، ومنها يأخذون بيانات المستخدم بعد أن يدخلها.
نصائح مايكروسوفت لتقليل انتشار الهجوم الجديد
تجدر الإشارة إلى أن «مايكروسوفت» تقول إن المؤسسات يمكنها تقليل انتشار هذا الهجوم عن طريق تعطيل «المصادقة الأساسية»، وفي Exchange Online وعن طريق تعطيل Exchange Online Powershell للمستخدمين، ويمكن للمسؤولين أيضًا تفعيل ميزة التحكم في الوصول المشروط الجديدة لتقليل هذا الهجوم.
وتوجه الشركة الأمريكية مستخدميها إلى تفعيل المصادقة متعددة العوامل(MFA) التي يمكن أن تقضي على الحالات التي يتم فيها استخدام مصادقة عامل واحد، إلى أن تنتهي من تطوير ميزة بديلة يطلق عليها اسم المصادقة الحديثة أيضا، تطبق كلاً من الوصول المشروط وMFA.
وأكدت «مايكروسوفت» في سبتمبر أنها ستبدأ في تعطيل المصادقة الأساسية بشكل دائم لدى جميع المستخدمين، بغض النظر عن الاستخدام، باستثناء مصادقة SMTP، اعتبارًا من 1 أكتوبر 2022.