بعد إسقاط Tycoon 2FA: أربع منصات تصيّد جديدة تتجاوز المصادقة الثنائية وتستهدف Microsoft 365 في القطاع المالي السعودي

في مارس 2026، نجحت يوروبول وعدد من شركاء الأمن السيبراني في تفكيك منصة Tycoon 2FA، إحدى أضخم منصات التصيد كخدمة (PhaaS) التي كانت تُوظِّف تقنية الخصم في المنتصف (AiTM) لتجاوز المصادقة الثنائية واختراق مئات الآلاف من حسابات Microsoft 365 وGoogle Workspace شهرياً. لكن الإسقاط لم يُنهِ التهديد — بل شتّته. وعلى مدار الأسابيع الستة الماضية، رصد الباحثون أربع منصات ناشئة تتقاسم أدوات Tycoon وتوظّفها بمستوى متقدّم من الاحتراف، مع تصاعد حاد في هجمات "Device Code Phishing" التي استهدفت أكثر من 340 مؤسسة حول العالم — كثير منها في القطاع المالي.

من Tycoon 2FA إلى المنظومة المشتّتة: كيف تتحرك الأدوات بعد الإسقاط؟

تفكيك منصة PhaaS لا يعني اختفاء شيفرتها البرمجية أو بنيتها التحتية. بعد عملية Europol في مارس 2026 التي أفضت إلى مصادرة أكثر من 300 نطاق ومنصة خلفية، انتشر الكود والأدوات بسرعة عبر المنتديات السرية والقنوات المشفّرة. الباحثون في Barracuda Networks وثّقوا كيف أن Mamba 2FA وSneaky 2FA وWhisper 2FA وEvilTokens سارعت إلى دمج مكونات Tycoon في بنيتها، رافعةً سقف قدراتها على تجاوز المصادقة الثنائية ورصد مقاومة الكشف. هذا النمط — حيث تموت المنصة الأم وتُخصِّب بيئتها — يُعدّ الآن نموذجاً متكرراً في اقتصاد الجريمة الإلكترونية.

المنصات الأربع: ما الذي يُميّز كل منها؟

تتباين المنصات الأربع في أسلوبها، لكنها تشترك في الهدف — اختطاف الجلسات الموثّقة (Session Cookies) بعد أن يُكمل الضحية عملية المصادقة الثنائية بنجاح. Mamba 2FA، التي تُباع بـ250 دولاراً شهرياً، تدعم Entra ID وAD FS وموفّري SSO من أطراف ثالثة، وتُرسل بيانات الاعتماد والكوكيز مباشرة عبر بوت Telegram. Sneaky 2FA تعتمد رموز QR في رسائل تصيّد تحاكي إشعارات الدفع، وسُجّلت لها قرابة 100 نطاق نشط خلال يناير 2026 وحده. Whisper 2FA خفيفة الوزن وسريعة النشر، وتستخدم استخراج البيانات عبر AJAX بدل وكلاء عكسيين معقّدة، مع تشويش قوي لمقاومة التحليل. أما EvilTokens، المتوفرة تحت نموذج PhaaS منذ منتصف فبراير 2026، فتعتمد مسار OAuth الخاص بإدخال رمز الجهاز (Device Code Flow)، ما يمنح المهاجم وصولاً مستمراً عبر رموز Access Token حتى بعد تغيير كلمة المرور.

تصاعد هجمات Device Code Phishing: الخطر الذي لا يُوقفه التحقق الثنائي

أكثر ما ينبغي أن يُقلق CISO المؤسسات المالية هو صعود "Device Code Phishing" — أسلوب يُسيء استخدام مسار مصادقة OAuth المشروع المصمّم لأجهزة الإدخال المحدودة كالتلفزيونات الذكية. يُرسل المهاجم رمزاً (Device Code) إلى الضحية عبر رسالة مقنّعة تطلب منها تسجيل الدخول على رابط مشروع من Microsoft، فتستوفي الضحية المصادقة الثنائية وتمنح المهاجم رمز Access Token صالحاً لفترات طويلة. رصدت Microsoft وSekoia هذا الأسلوب في 340 مؤسسة من خمس دول خلال مارس وأبريل 2026، مع حضور واضح لقطاعي المال والتأمين. الخطورة تكمن في أن هذا الهجوم لا يترك أثراً في سجلات كلمات المرور، ويتجاوز سياسات Conditional Access التقليدية، ويمنح الوصول إلى Microsoft 365 وSharePoint وTeams وOneDrive بصلاحيات كاملة.

الأثر على المؤسسات المالية السعودية الخاضعة لرقابة SAMA

المؤسسات المالية السعودية ترتكز في بيئتها التشغيلية بشكل كثيف على Microsoft 365 وGoogle Workspace، وهما الهدف الرئيس لهذه المنصات. متطلبات SAMA CSCC 3.3.5 وNCA ECC-1:2-9.1 تُلزم المؤسسات بحماية الهوية الرقمية وضمان سلامة جلسات المستخدمين، بما يشمل مراقبة النشاط غير الاعتيادي في نظم الدخول الموحّد (SSO). كما تُشكّل هجمات اختطاف الكوكيز تحدياً مباشراً لمتطلبات PDPL المتعلقة بحماية بيانات العملاء، إذ إن تسريب رمز جلسة موظّف في القسم المالي أو الامتثال قد يُفضي إلى وصول المهاجم إلى بيانات العملاء وسجلات المعاملات دون الحاجة إلى استغلال أي ثغرة تقنية في الأنظمة الداخلية.

التوصيات والخطوات العملية

1. تقييم سياسات Conditional Access فوراً: تأكد من أن سياسات Microsoft Entra ID تشمل قيوداً على مسار Device Code Flow، وأنها تُطبّق Compliant Device requirements على الوصول لأي تطبيق حساس.
2. نشر FIDO2 أو Passkeys بديلاً عن OTP وPush: المصادقة الثنائية القائمة على TOTP ورسائل Push لم تعد كافية. FIDO2 ومفاتيح الأمان المادية (YubiKey وما يعادلها) هي الوحيدة التي تقاوم هجمات AiTM بشكل كامل.
3. مراقبة رموز OAuth وجلسات غير المعتادة: فعّل تنبيهات Microsoft Sentinel أو Defender for Cloud Apps للكشف عن طلبات Device Code من مواقع جغرافية غير مألوفة، أو من أجهزة غير مسجّلة في Intune.
4. تثقيف موظفي القطاعات الحساسة: دوائر الخزينة والامتثال والعمليات المصرفية أهداف أولى. يجب أن تشمل برامج التوعية سيناريوهات Device Code وQR Code Phishing كأولوية لعام 2026.
5. مراجعة سجلات Azure AD Sign-In خلال 90 يوماً الماضية: ابحث عن تسجيلات دخول ناجحة مصحوبة بـ"High Risk" في Identity Protection، أو عن Token Claims تحمل خصائص غريبة مقارنةً بالأنماط المعتادة للمستخدم.
6. تطبيق Token Binding والـSession Lifetime Policies: قلّص من Refresh Token Lifetime في سياسات Entra ID لتحديد نافذة الاستغلال حتى في حال اختطاف الكوكيز.

الخلاصة

إسقاط منصة PhaaS ليس نهاية القصة — بل بداية فصل أكثر تشتتاً وتعقيداً. Tycoon 2FA علّمت جيلاً كاملاً من مشغّلي التصيّد كيف يتجاوزون المصادقة الثنائية على نطاق واسع، وهذه المعرفة لم تُصادَر مع النطاقات. البنوك وشركات التمويل السعودية التي تعتمد على التحقق الثنائي وحده حاجزاً لحماية حسابات Microsoft 365 تعمل في منطقة خطر حقيقي. الاستجابة الصحيحة ليست أدوات أكثر، بل بنية هوية أقوى — مبنية على FIDO2 والسياسات التكيّفية ومراقبة مستمرة للجلسات والرموز.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتقييم متانة بنية الهوية لديك ضد هجمات AiTM.