حملة تصيد AiTM متعددة المراحل تتجاوز MFA: تهديد مباشر لبنوك SAMA

رصد فريق Microsoft Defender Research بين 14 و16 أبريل 2026 حملة تصيد متعددة المراحل تعتمد على تقنية Adversary-in-the-Middle (AiTM) لاختطاف رموز المصادقة وتجاوز المصادقة متعددة العوامل (MFA). الحملة طالت أكثر من 35,000 مستخدم في 13,000 مؤسسة عبر 26 دولة، واحتل قطاع الخدمات المالية المرتبة الثانية بـ18% من إجمالي الأهداف — ما يجعل بنوك SAMA في دائرة الخطر المباشر.

تشريح حملة AiTM: كيف تنجح في تجاوز MFA؟

تختلف هجمات AiTM عن التصيد التقليدي جوهرياً؛ فالمهاجم لا يكتفي بسرقة كلمة المرور، بل يضع وكيلاً (Reverse Proxy) بين الضحية وخدمة Microsoft 365 الحقيقية. حين يكمل المستخدم تسجيل الدخول ويوافق على طلب MFA، يلتقط الوكيل ملف الجلسة (Session Cookie) ويعيد استخدامه فوراً من جهاز المهاجم. النتيجة: تجاوز كامل لـMFA بما فيها OTP وPush Notifications وحتى بعض تطبيقات Authenticator، لأن المصادقة فعلياً تمت من المستخدم الشرعي.

سلسلة الإصابة: من PDF إلى سرقة الرمز

اعتمدت الحملة على إغراء "مدونة قواعد السلوك" (Code of Conduct) لمنح الرسائل طابع المصداقية المؤسسية. وصلت الرسائل بمرفقات PDF تحمل عناوين مثل "Awareness Case Log File – Tuesday 14th, April 2026.pdf" و"Disciplinary Action – Employee Device Handling Case.pdf"، وتدعو الموظف للضغط على زر "Review Case Materials". الرابط يقود إلى صفحة Cloudflare CAPTCHA شرعية لتجاوز كاشفات URL، ثم إلى صفحة تسجيل دخول Microsoft مزيفة تستضيف Reverse Proxy يلتقط البيانات والرموز في الزمن الحقيقي.

لماذا فشلت دفاعات MFA التقليدية؟

الـMFA الذي يعتمد على OTP عبر SMS أو تطبيق Authenticator لا يقاوم AiTM لأن المصادقة الحقيقية تتم عبر المستخدم نفسه، والمهاجم يسرق الناتج النهائي وهو رمز الجلسة. الحل المعتمد لدى NIST وMicrosoft هو الانتقال إلى المصادقة المقاومة للتصيد (Phishing-Resistant MFA) المبنية على FIDO2 ومفاتيح الأمان (Security Keys) أو Windows Hello for Business، حيث ترتبط المصادقة بنطاق (Origin) محدد ولا يمكن إعادة استخدامها على نطاق وسيط.

التأثير على المؤسسات المالية السعودية

إطار SAMA Cyber Security Framework وضوابط NCA ECC-2:2024 يفرضان متطلبات صريحة لإدارة الهوية والوصول (IAM) وكشف الاحتيال على المعاملات الإلكترونية. ضابط SAMA CSF 3.3.5 يلزم البنوك بتطبيق آليات مصادقة قوية للوصول عن بُعد للأنظمة الحساسة، فيما تشترط ضوابط NCA ECC-2 رصد الجلسات الشاذة. هجوم AiTM ناجح ضد موظف يملك صلاحيات Microsoft 365 يعني تسرّب بيانات عملاء وانتهاك مواد PDPL المتعلقة بالحماية المناسبة للبيانات الشخصية، إضافة إلى مخاطر تعطيل الأعمال والغرامات التنظيمية.

التوصيات والخطوات العملية لفِرَق SOC وCISOs

1. الانتقال إلى Phishing-Resistant MFA عبر FIDO2/WebAuthn لكافة الحسابات الإدارية والمميزة، مع إلزام Conditional Access بمنع تسجيل الدخول بدونه.
2. تفعيل سياسات Token Protection وContinuous Access Evaluation (CAE) في Microsoft Entra ID لإلغاء الجلسات فور رصد إشارات شاذة.
3. تقييد تسجيل الدخول جغرافياً (Named Locations) ومنع المصادقة من نطاقات IP ودول خارج بيئة العمل المعتمدة.
4. نشر Microsoft Defender for Office 365 Plan 2 مع Safe Links وSafe Attachments وتفعيل Anti-Phishing Impersonation Protection.
5. إجراء تدريب توعوي مخصص (Phishing Simulation) يحاكي إغراءات HR وCode of Conduct تحديداً، وقياس معدلات النقر شهرياً.
6. تفعيل Risk-Based Sign-In policies لكشف الجلسات المتزامنة من جهازين وإعادة المصادقة الإجبارية عند الشذوذ.
7. صيد التهديدات (Threat Hunting) عبر سجلات UAL وSign-In Logs بحثاً عن User-Agent غير مألوف وعمليات OAuth Consent مشبوهة.

الخلاصة

هجمات AiTM لم تعد سيناريو مستقبلياً بل واقعاً موثقاً ضد آلاف المؤسسات بينها قطاع التمويل. MFA التقليدي لم يعد كافياً، والتحول إلى مصادقة مقاومة للتصيد بات شرطاً أساسياً للامتثال السليم بـSAMA CSF وNCA ECC وحماية ثقة العملاء. كل يوم تأخير في إغلاق هذه الفجوة يعني نافذة مفتوحة أمام مهاجمين يعملون بأسلوب صناعي ومدعوم.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، ومراجعة استعدادك ضد هجمات AiTM وتجاوز MFA.