EvilTokens: كيف تخترق OAuth Device Code حسابات Microsoft 365 المالية بلا كلمة مرور

منذ منتصف فبراير 2026، تشنّ منصة EvilTokens ما بين 10 و15 حملة تصيد احتيالي يومياً تستهدف مؤسسات Microsoft 365 حول العالم — وقطاع الخدمات المالية في مقدمة الضحايا. الأخطر في هذه الحملة أنها لا تحتاج إلى كلمة مرور، ولا تُوقفها المصادقة الثنائية التقليدية بأي شكل مباشر، بل تستغل بروتوكول OAuth المشروع لتحويله إلى باب خلفي دائم داخل بيئتك السحابية.

ما هي تقنية OAuth Device Code Phishing؟

يعتمد بروتوكول OAuth Device Authorization Grant على تدفق مصمم أصلاً للأجهزة التي تفتقر إلى متصفح كامل — مثل أجهزة التلفاز الذكية ووحدات التحكم في الألعاب — يُعطَى فيها المستخدم كوداً قصيراً ورابطاً لإتمام المصادقة على جهاز آخر. يستغل المهاجمون هذا التدفق بإرسال رسائل احتيالية تنتحل هوية Microsoft أو موردين معروفين، تحتوي على كود جهاز صالح وصفحة تسجيل دخول مزيفة. حين يُدخل الضحية الكود، يحصل المهاجم على رمز وصول (access token) ورمز تحديث (refresh token) طويل الأمد — مما يمنحه صلاحيات كاملة على بريد الضحية وملفاته وتطبيقاته في Microsoft 365 دون أن تُثار أي تنبيهات MFA، لأن جلسة المصادقة المشروعة قد اكتملت بالفعل من الجهة المستخدمة.

EvilTokens: منصة PhaaS صناعية الحجم

رصد باحثو Sekoia منذ فبراير 2026 منصة EvilTokens تُباع في الأسواق السرية بنموذج Phishing-as-a-Service (PhaaS)، مزودة ببنية تحتية متكاملة: إعادة توجيه عبر Cloudflare Workers، وخوادم تجميع الجلسات على منصة Railway، ولوحة تحكم تُسلّم المشتري رموز الوصول في الوقت الفعلي. منذ 15 مارس 2026، رصد Microsoft ما لا يقل عن 10 حملات مستقلة يومياً تُطلق بحمولات مختلفة لتفادي الاكتشاف — اخترقت حتى الآن أكثر من 340 مؤسسة في الولايات المتحدة وكندا وأستراليا ونيوزيلندا وألمانيا. تبنّت مجموعة TA2723 ذات الدوافع المالية هذه التقنية عبر انتحال هوية مستندات الرواتب والملفات المشتركة، فيما رُصدت مجموعات مرتبطة بالاستخبارات الروسية تعتمدها في مراحل الاستطلاع الأولية ضد أهداف حكومية ومالية.

التأثير على المؤسسات المالية السعودية

تعتمد الغالبية العظمى من البنوك وشركات التمويل السعودية الخاضعة لرقابة SAMA على Microsoft 365 كبنية تحتية رئيسية للتعاون وتبادل البيانات. يفتح رمز الوصول المسروق أبواباً واسعة: قراءة المراسلات الحساسة، وإنشاء قواعد بريدية خبيثة لإخفاء الاختراق، وتسجيل أجهزة إضافية لضمان استمرارية الوصول حتى بعد تغيير كلمة المرور. وفق متطلبات SAMA CSCC، تُصنَّف سيطرة جهة غير مصرح بها على حسابات M365 ضمن مخاطر الدرجة الأولى وتستوجب الإبلاغ في غضون 24 ساعة. أما ربط هذه الحسابات بأنظمة SWIFT وتطبيقات الخزينة، فيجعل الاختراق نقطة انطلاق مباشرة لعمليات الاحتيال المالي. يُضاف إلى ذلك أن إطار NCA ECC يُوجب مراجعة سياسات Conditional Access وآليات إبطال الجلسات دورياً لا تتجاوز الربع سنوي — وهو ما تكشف الحوادث الموثّقة أن كثيراً من المؤسسات لا تُطبّقه بصرامة.

التوصيات والخطوات العملية

1. حظر Device Code Flow فورياً: انتقل إلى Azure AD Conditional Access وأنشئ سياسة تحظر تدفق Device Code authentication لجميع المستخدمين، باستثناء الأجهزة المُدارة المصرّح بها صراحةً ضمن قائمة بيضاء محدودة ومراجَعة.
2. رصد Refresh Tokens النشطة: شغّل الاستعلام SigninLogs | where AuthenticationProtocol == "deviceCode" في Microsoft Sentinel أو Defender XDR لرصد أي رموز تحديث صادرة خلال الأسبوعين الماضيين، وأبطل المشبوه منها فوراً عبر Revoke-MgUserSignInSession.
3. تفعيل Continuous Access Evaluation (CAE): يُتيح CAE إبطال الجلسة في غضون دقائق عند اكتشاف نشاط مشبوه أو تغيير الموقع الجغرافي، بدلاً من انتظار انتهاء صلاحية الرمز التي قد تمتد ساعات أو أياماً.
4. الترقية إلى مصادقة مقاومة للتصيد: انتقل إلى FIDO2/passkeys أو Windows Hello for Business بدلاً من OTP أو SMS — هذه الطرق لا يمكن اعتراض رموزها عبر بروتوكول Device Code أصلاً لأن التحقق مرتبط بالجهاز والنطاق.
5. تدريب متخصص للفرق المالية والتنفيذية: تستهدف هذه الحملة تحديداً مستخدمي Finance وAdmins وExecutives. خصص جلسات محاكاة تصيد تُركّز على سيناريو كود الجهاز، وعلّم الفريق التعرف على الطلب غير المتوقع للمصادقة على جهاز مجهول.
6. حجب بنية تحتية EvilTokens: أضف نطاقات Railway المعروفة وعناوين IP المرتبطة بـ EvilTokens إلى قائمة الحجب في بوابة الويب الآمنة (SWG)، وراجع سجلات DNS الداخلية بحثاً عن استفسارات إلى هذه البنية.

الخلاصة

تُعيد EvilTokens تعريف مشهد التصيد الاحتيالي: لا حاجة بعد الآن لسرقة كلمة المرور أو تجاوز MFA بشكل مباشر — يكفي استغلال بروتوكول OAuth المشروع لتحويله إلى آلية سيطرة كاملة على البيئة السحابية. المؤسسات المالية السعودية التي لم تراجع سياسات Device Code بعد تُبقي باباً مفتوحاً أمام مئات الحملات التي تُطلق يومياً. الزمن الفاصل بين إرسال كود المصادقة وتمكين المهاجم من الوصول الكامل لا يتجاوز دقائق معدودة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.