هجمات AiTM: كيف تتجاوز المصادقة الثنائية في 30 ثانية وتُفرغ حسابات البنوك

كثير من المؤسسات المالية تعتقد أن تفعيل المصادقة الثنائية (MFA) يكفي لصد هجمات التصيد الاحتيالي. هذا الاعتقاد أصبح خطراً بعينه. هجمات Adversary-in-the-Middle — المعروفة بـ AiTM — ارتفعت 146% خلال العام الماضي وتتجاوز MFA كلياً في غضون 30 ثانية، دون أن تترك أي أثر في سجلات تسجيل الدخول الاعتيادية. إذا كانت مؤسستك لا تزال تعتمد على SMS-OTP أو تطبيقات TOTP كطبقة حماية أساسية، فأنت تدافع عن قلعة بباب مفتوح.

ما هو هجوم AiTM وكيف يكسر MFA؟

في هجوم AiTM الكلاسيكي، لا يُنشئ المهاجم صفحة تصيد ساكنة — بل يُشغّل خادم وكيل عكسي (Reverse Proxy) يجلس بين الضحية والموقع الحقيقي لمزود الهوية (Identity Provider). تقنيات مثل Evilginx2 وMuraena وModlishka تُؤتمت هذه العملية بالكامل. يُدخل الضحية بياناته وكلمة المرور ورمز OTP — وكلها تُعاد توجيهها في الوقت الفعلي إلى الموقع الحقيقي. يُكمل الخادم الوكيل المصادقة ويحصل على ملف تعريف الجلسة (Session Cookie) المصادَق عليه بالكامل، بينما تظهر للضحية رسالة "تم تسجيل الدخول بنجاح". من هذه اللحظة، يملك المهاجم جلسة نشطة لا تتطلب أي كلمة مرور أو OTP لاحقاً.

ما يُميّز AiTM عن التصيد التقليدي هو أنه لا يسرق بيانات الاعتماد فحسب — بل يسرق الجلسة المُصادقة ذاتها. هذا يعني أن مراقبة محاولات تسجيل الدخول الفاشلة أو تنبيهات كلمات المرور لن تُفيد في اكتشاف الاختراق.

الأرقام التي يجب أن تُقلق كل CISO سعودي

رصدت Microsoft ارتفاعاً بنسبة 146% في هجمات AiTM خلال عام 2024 مقارنة بالعام السابق، ثم ارتفعت مجدداً 46% في 2025 مع تحوّل هذا النوع من الهجمات إلى نموذج "التصيد كخدمة" (Phishing-as-a-Service). اليوم يمكن لأي جهة هجومية منخفضة المهارة استئجار كيت AiTM جاهز مقابل بضع مئات من الدولارات شهرياً. وثّقت Microsoft Defender Experts حملة متعددة المراحل استهدفت مؤسسات مالية ومصرفية عبر AiTM تبدأ دائماً من مزوّد خدمة خارجي موثوق به — وهو نمط يتكرر في هجمات سلسلة التوريد. تقديرات شركة Coalition للتأمين السيبراني تُشير إلى أن اعتراض OTP أصبح أكثر أنواع تجاوز MFA شيوعاً بين عملائها من القطاع المالي في 2025-2026.

الأثر المباشر على المؤسسات المالية الخاضعة لرقابة SAMA

تُلزم المادة 3-2-6 من إطار SAMA للأمن السيبراني (CSCC) المؤسسات المالية بتطبيق مصادقة متعددة العوامل قوية لجميع الوصول إلى الأنظمة الحساسة، كما تُوجب المادة 3-3-2 وجود ضوابط للكشف عن الجلسات غير المصرّح بها وإنهائها فوراً. في المقابل، لا يُحدد CSCC صراحةً أن MFA المعتمدة على OTP مقبولة لمستويات الحماية القصوى. تحديث NCA ECC-2: 2024 يدفع بوضوح نحو المصادقة المقاومة للتصيد (Phishing-Resistant Authentication) بما يتوافق مع FIDO2. هذا يعني أن المؤسسات التي تعتمد حصرياً على SMS-OTP أو TOTP للوصول إلى أنظمة القلب المصرفي تُخاطر ليس فقط بالاختراق، بل بالعدم الامتثال لتوقعات المراجعات الرقابية القادمة.

التوصيات والخطوات العملية

1. انتقل فوراً إلى FIDO2 / Passkeys للحسابات الحساسة: مفاتيح FIDO2 الأجهزية (YubiKey، Azure FIDO2، Google Titan) أو Passkeys المدمجة في المتصفحات غير قابلة للتصيد بطبيعتها — لأن بيانات المصادقة مرتبطة بنطاق (Domain) محدد ولا يمكن نقلها عبر وكيل عكسي.
2. فعّل Conditional Access بسياسات التوافق: على Azure AD / Entra ID، اضبط سياسات تشترط أن الجهاز مُدار (Compliant Device) وأن الجلسة تأتي من موقع جغرافي ووقت متوقع. هذا يُقلص نافذة استغلال Session Cookie المسروق.
3. راقب مؤشرات AiTM في SIEM: ابحث عن جلسات تنشأ من User-Agent غير مألوف بعد مصادقة ناجحة، ونشاط من عناوين IP مختلفة في فترة زمنية قصيرة (Impossible Travel)، وأحداث Token Refresh دون نشاط مسبق. Microsoft Sentinel يملك قواعد تحليل جاهزة لاكتشاف AiTM يمكن تفعيلها فوراً.
4. قيّد صلاحية Session Tokens: قصّر مدة جلسات الأنظمة الحساسة (Core Banking، SWIFT، منصات إدارة الاستثمار) إلى 15-30 دقيقة مع إلزام إعادة المصادقة عند أي عملية مالية كبيرة.
5. درّب موظفيك على صفحات التصيد الديناميكية: صفحات AiTM تبدو مطابقة تماماً للموقع الحقيقي وتحمل شهادة SSL صحيحة. ركّز التدريب على التحقق من النطاق الفعلي (Domain) وليس شكل الصفحة أو وجود القفل الأخضر.
6. طبّق Email Link Rewriting وفحص الروابط الديناميكي: حلول مثل Microsoft Defender for Office 365 أو Proofpoint URL Defense تُعيد كتابة روابط البريد الإلكتروني وتفحصها لحظة النقر، مما يُقلص نجاح مرحلة التسليم الأولى لكيتات AiTM.

الخلاصة

MFA لا تزال ضرورة مطلقة — لكن ليست كافية في مواجهة هجمات الجيل التالي من التصيد. AiTM حوّلت بروتوكول المصادقة الثنائية من درع إلى وهم إذا لم تُقترن بمصادقة مقاومة للتصيد وسياسات جلسات صارمة واكتشاف سلوكي متطور. لمؤسسة مالية خاضعة لرقابة SAMA، الثمن الحقيقي لاختراق ناجح عبر AiTM ليس فقط الخسارة المالية المباشرة — بل التبعات التنظيمية والإخلال بمتطلبات إطار الأمن السيبراني الذي بنيته على مدى سنوات.

هل مؤسستك محمية من هجمات AiTM؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة آليات المصادقة وسياسات إدارة الجلسات في بيئتك.