مايكروسوفت تكشف حملة واسعة لسرقة بيانات الاعتماد استهدفت 35 ألف مستخدم

كشفت مايكروسوفت عن تفاصيل حملة واسعة النطاق لسرقة بيانات الاعتماد، واستندت تلك الحملة إلى أساليب تصيّد تعتمد على خدمات بريد إلكتروني شرعية لتوجيه المستخدمين إلى نطاقات يسيطر عليها المهاجمون وسرقة رموز المصادقة.

استهدفت الحملة التي جرى رصدها خلال المدة الممتدة بين 14 و16 أبريل 2026، أكثر من 35 ألف مستخدم عبر ما يزيد على 13 ألف مؤسسة في 26 دولة. وذكرت مايكروسوفت أن 92% من المستهدفين كانوا في الولايات المتحدة، مع تركيز الهجمات على قطاعات الرعاية الصحية وعلوم الحياة بنسبة 19%، و18% على الخدمات المالية، و11% على الخدمات المهنية، و11% على قطاع التكنولوجيا والبرمجيات.

أوضحت مايكروسوفت أن رسائل التصيّد استخدمت قوالب HTML احترافية ومكتوبة بأسلوب مؤسسي تهدف إلى الظهور كاتصالات داخلية موثوقة. كما تضمنت الرسائل تنسيقات منظمة وعبارات تؤكد المصداقية، إلى جانب عناصر ضغط زمنية لتعزيز شعور الاستعجال لدى الضحايا.

استخدمت الحملة عناوين رسائل تشير إلى تحقيقات داخلية. وتضمنت كل رسالة إشعاراً يفيد بأنها صادرة عبر قناة داخلية معتمدة وأن الروابط والمرفقات تمت مراجعتها للوصول الآمن. وقدّرت الشركة أن الرسائل أُرسلت عبر خدمة إرسال بريد إلكتروني شرعية. وتضمنت مرفقات بصيغة PDF توجه الضحايا إلى النقر على روابط مدمجة لبدء عملية سرقة بيانات الاعتماد.

مرّت سلسلة الهجوم عبر عدة اختبارات CAPTCHA وصفحات وسيطة تهدف إلى تعزيز المصداقية وتجاوز أنظمة الحماية الآلية. وانتهت العملية بواجهة تسجيل دخول تستخدم تقنيات هجوم الوسيط (AiTM) لالتقاط بيانات الاعتماد، ورموز المصادقة لحظياً، مما يسمح بتجاوز المصادقة متعددة العوامل. 

بالإضافة إلى ذلك، ذكرت مايكروسوفت أن تحليلها لمشهد تهديدات البريد الإلكتروني بين يناير ومارس 2026 أظهر أن التصيّد عبر رموز QR كان الأسرع نمواً، بينما تطورت هجمات CAPTCHA بشكل سريع عبر أنواع متعددة من الحملات. وأفادت الشركة بأنها رصدت نحو 8.3 مليار رسالة تصيّد خلال تلك المدة. وشكّلت الهجمات المعتمدة على الروابط نحو 80%، وكان الهدف الرئيسي لمعظم الهجمات هو سرقة بيانات الاعتماد.

كما أظهرت بيانات مايكروسوفت ارتفاعاً كبيراً في هجمات التصيّد عبر رموز QR، حيث ارتفع عددها من 7.6 مليون في يناير إلى 18.7 مليون في مارس، بزيادة بلغت 146%. وشهدت هجمات اختراق البريد الإلكتروني للأعمال تقلبات خلال المدة نفسها، متجاوزة 4 ملايين هجوم في مارس 2026. وسجّلت مايكروسوفت إجمالاً 10.7 مليون هجوم من هذا النوع خلال الربع الأول.

سلطت الشركة الضوء على حملتين بارزتين خلال الربع الأول من 2026، إحداهما أرسلت أكثر من 1.2 مليون رسالة إلى 53 ألف مؤسسة باستخدام مرفقات SVG، وأخرى أرسلت أكثر من 1.5 مليون رسالة خبيثة إلى 179 ألف مؤسسة. وأشارت مايكروسوفت إلى أن البنية التحتية لهذه الحملات ارتبطت بعدة مزودي خدمات التصيّد، بما في ذلك Tycoon 2FA، وKratos (المعروفة سابقاً باسم Sneaky 2FA)، وEvilTokens.

في سياق متصل، ذكرت كاسبرسكي أن المهاجمين يستغلون خدمة Amazon Simple Email Service (SES) كوسيلة لإرسال الهجمات بهدف تجاوز آليات التحقق مثل SPF وDKIM وDMARC. وأوضحت الشركة أن هذه الهجمات تعتمد غالباً على مفاتيح وصول AWS مسرّبة، مما يمكّن الجهات المهاجمة من إرسال كميات كبيرة من رسائل التصيّد عبر بنية تحتية موثوقة.