EvilTokens: هجوم يتجاوز MFA ويخترق Microsoft 365 في البنوك السعودية

في مارس 2026، كشف باحثو Sekoia أن أكثر من 340 مؤسسة في خمس دول — بينها منظمات في الشرق الأوسط — وقعت ضحية لحملة تصيد احترافية تجاوزت المصادقة متعددة العوامل بالكامل. السلاح: منصة Phishing-as-a-Service تُدعى EvilTokens، تستغل تدفق مصادقة OAuth 2.0 الشرعي في Microsoft 365. لم تنكسر أي كلمة مرور، ولم تُخترق أي بنية تحتية — فقط رمز مكوّن من ثمانية أحرف دفع الضحية بيده لتسليم وصوله الكامل.

ما هو هجوم Device Code Phishing؟

تدفق Device Authorization Grant هو آلية OAuth 2.0 صمّمتها Microsoft لتمكين الأجهزة ذات الشاشات المحدودة — كأجهزة التلفزيون الذكية وطابعات الشبكة — من المصادقة عبر حساب Microsoft دون إدخال كلمة المرور مباشرة. العملية مألوفة: يعرض الجهاز رمزاً مؤقتاً، ويطلب من المستخدم فتح متصفحه على رابط microsoft.com/devicelogin وإدخال الرمز. بعد تسجيل الدخول، يحصل الجهاز على رمز وصول (Access Token) ورمز تحديث (Refresh Token) طويل الأمد.

المشكلة الجوهرية: هذا التدفق لا يتحقق من هوية الجهاز الطالب. إذا بدأ المهاجم الطلب بدلاً من الجهاز الحقيقي، وأقنع الضحية بإدخال الرمز — سواء عبر بريد إلكتروني مزيّف يطلب "تجديد الجلسة" أو "تفعيل اشتراك" — فإن الرمزين يصلان مباشرة إلى المهاجم. المصادقة متعددة العوامل لا تُشكّل عائقاً لأن Microsoft تعاملت مع العملية باعتبارها مصادقة مشروعة أجراها المستخدم بنفسه على موقعها الرسمي.

EvilTokens: أتمتة الاختراق وبيعه كخدمة

ما جعل هذه الموجة استثنائية هو ظهور EvilTokens، منصة PhaaS تُباع عبر Telegram باشتراك شهري منذ فبراير 2026. تُقدّم المنصة للمهاجمين واجهة جاهزة لتوليد رموز الأجهزة تلقائياً، وإرسال رسائل تصيد مُولَّدة بالذكاء الاصطناعي تُحاكي تنبيهات شائعة: تحذيرات انتهاء صلاحية كلمة المرور، وإشعارات مشاركة ملفات OneDrive، وطلبات DocuSign أو Adobe Acrobat Sign، وتنبيهات SharePoint وeFax. تستهدف الحملات تحديداً مديري الشؤون المالية ومسؤولي الامتثال والمديرين التنفيذيين — أعلى مستويات الصلاحيات داخل بيئة Microsoft 365.

وفق تقرير Sekoia، وصل معدل الحملات النشطة إلى ما بين 10 و15 حملة يومياً، مع مئات الاختراقات الناجحة كل 24 ساعة منذ منتصف مارس. قائمة الدول المستهدفة تشمل الولايات المتحدة وأستراليا وكندا وفرنسا والهند وسويسرا، فضلاً عن الإمارات العربية المتحدة في المنطقة.

التأثير على المؤسسات المالية السعودية

متطلبات SAMA CSCC 3.3.5 تُلزم المؤسسات المالية بتطبيق المصادقة متعددة العوامل على جميع الوصول الإداري والبعيد. كثير من البنوك السعودية استثمرت في MFA باعتبارها خط الدفاع الأول. EvilTokens يُبطل هذه الاستثمارات كلياً: لأن الضحية تُجري المصادقة بنفسها على رابط microsoft.com الحقيقي، لا يُشغَّل أي تنبيه مصادقة خارج عن المعتاد ولا يُسجَّل أي نشاط مشبوه في سجلات Azure AD الأساسية.

بعد الاختراق، يملك المهاجم Refresh Token صالح لأسابيع أو أشهر يمنحه وصولاً كاملاً إلى صندوق البريد الإلكتروني وملفات SharePoint وبيانات Microsoft Teams، فضلاً عن القدرة على انتحال هوية الضحية داخل بيئة SSO. في القطاع المالي، هذا يعني الاطلاع على مراسلات داخلية تخص صفقات غير معلنة، أو قراءة بيانات عملاء خاضعة لمتطلبات SAMA وNCA، أو إجراء تحويلات نيابةً عن المسؤول المخترق. تجدر الإشارة إلى أن المادة 32 من نظام حماية البيانات الشخصية (PDPL) تُلزم الجهات بالإبلاغ عن اختراقات البيانات خلال 72 ساعة من اكتشافها — واختراق بريد تنفيذي يحتوي على بيانات عملاء يُفعّل هذا الالتزام الفوري.

التوصيات والخطوات العملية

1. حظر Device Code Flow للمستخدمين ذوي الصلاحيات العالية: في Azure AD، يمكن تقييد تدفق Device Code Authentication عبر Conditional Access Policies للمجموعات الحساسة كالمديرين الماليين والتقنيين. إذا كانت المؤسسة لا تمتلك أجهزة تعتمد هذا التدفق فعلياً، فالحظر الكامل هو الخيار الأمثل.
2. تفعيل Continuous Access Evaluation (CAE): تُقلّص هذه الميزة صلاحية Access Tokens من ساعة إلى دقائق معدودة، مما يُحدّ بشكل كبير من نافذة الاستغلال في حال سرقة الرمز.
3. رصد OAuth Token Events في SIEM: ابحث عن أحداث DeviceCodeAuthSucceeded في سجلات Azure AD SignInLogs، وعن Refresh Tokens صادرة لعناوين IP غير مألوفة أو من دول ذات مخاطر مرتفعة.
4. تحديث برامج التوعية الأمنية: معظم برامج التوعية تُركّز على روابط التصيد التقليدية. Device Code Phishing يبدو كرسالة رسمية تطلب إدخال رمز على الموقع الحقيقي لـ Microsoft — وهو ما يجعله أصعب كشفاً وأكثر إقناعاً للموظفين.
5. نشر Microsoft Defender for Identity: يرصد الحل السلوكيات الشاذة في استخدام الرموز ويُنبّه لمحاولات التحرك الجانبي (Lateral Movement) عبر بيئة Microsoft 365.
6. توثيق سياسة OAuth ضمن ملف SAMA CSCC: تأكد من توثيق سياسات الوصول والمصادقة ومراجعتها ربعياً وفق متطلبات حوكمة الهوية في CSCC 3.3، مع تضمين ضوابط خاصة بتدفقات OAuth غير التقليدية.

الخلاصة

EvilTokens ليست ثغرة في Microsoft — بل استغلال ذكي لميزة مشروعة. هذا ما يجعل الدفاع أكثر تعقيداً: لا يوجد CVE تُصحّحه، ولا تحديث تنتظر نشره. الحل الحقيقي يكمن في السياسات والرصد الاستباقي والتوعية المُستهدفة. مع وجود استهداف موثّق للشرق الأوسط وتوافر المنصة كخدمة بتكلفة منخفضة، أصبح هذا التهديد في متناول مهاجمين متوسطي المهارة، مما يرفع احتمالية الإصابة بشكل ملحوظ على المؤسسات التي لم تُحدّث بعد سياسات OAuth لديها.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.