هجمات تجاوز المصادقة الثنائية: كيف يسرق المخترقون الجلسات دون سرقة كلمات المرور

أبرز النقاط

• هجمات Device Code phishing تستغل صفحات Microsoft الرسمية لخداع المستخدمين دون سرقة كلمات المرور
• المصادقة الثنائية وحدها لم تعد كافية لأن المهاجمين يستهدفون الجلسات النشطة لا بيانات الاعتماد
• الذكاء الاصطناعي السلوكي يكشف الأنماط المشبوهة التي تفلت من أدوات الحماية التقليدية

لم تعد المصادقة الثنائية MFA الدرع المنيع الذي اعتقدته المؤسسات. يكشف ندوة إلكترونية تستضيفها BleepingComputer في 8 يوليو 2026 عن تقنيات تجاوز المصادقة الثنائية الحديثة، وعلى رأسها هجمات Device Code phishing التي تمنح المهاجمين وصولاً مستمراً إلى الحسابات المؤسسية دون الحاجة إلى سرقة كلمة مرور واحدة.

تأتي أهمية هذا الموضوع في وقت تتسارع فيه جهود التحول الرقمي في منطقة الخليج، حيث تعتمد المؤسسات بشكل متزايد على خدمات Microsoft 365 السحابية والبريد الإلكتروني المؤسسي، ما يجعلها هدفاً محتملاً لهذه الهجمات المتطورة.

كيف تعمل هجمات Device Code phishing؟

تختلف هذه الهجمات جذرياً عن التصيد التقليدي. بدلاً من إنشاء صفحة مزيفة لسرقة كلمة المرور، يستدرج المهاجم الضحية إلى صفحة مصادقة Microsoft حقيقية ويطلب منه إدخال رمز جهاز Device Code. عندما يُكمل المستخدم تسجيل الدخول ويجتاز تحدي MFA بنفسه، يحصل المهاجم تلقائياً على رمز وصول Access Token يمنحه دخولاً دائماً إلى البريد الإلكتروني والتطبيقات السحابية والموارد المؤسسية.

الخطورة هنا أن كل شيء يبدو شرعياً للمستخدم: الصفحة رسمية، والشهادة صحيحة، ورسالة MFA تصل من Microsoft فعلاً. لا يوجد ما يثير الشك حتى يكتشف فريق الأمن لاحقاً نشاطاً غير طبيعي على الحساب.

لماذا تفشل الدفاعات التقليدية أمام هذه الهجمات؟

• أدوات حماية البريد الإلكتروني التقليدية تبحث عن روابط مشبوهة أو مرفقات خبيثة، لا عن روابط Microsoft الرسمية
• مراقبة بيانات الاعتماد لا تُجدي نفعاً لأن المهاجم لم يسرق كلمة المرور أصلاً
• المصادقة الثنائية تُستكمل بنجاح من قِبل المستخدم نفسه، فلا يوجد ما يُنبّه أنظمة الحماية
• رموز الوصول المسروقة قد تظل صالحة لأسابيع أو أشهر ما لم تُلغَ يدوياً

ما الذي يقدمه الذكاء الاصطناعي السلوكي؟

تعتمد شركة Abnormal AI، المشاركة في الندوة عبر مدير هندسة الحلول Dan Nickolaisen، على الذكاء الاصطناعي السلوكي لرصد الانحرافات في نشاط الحسابات. بدلاً من البحث عن توقيعات هجمات معروفة، يبني النظام نموذجاً لسلوك كل مستخدم: أوقات تسجيل الدخول المعتادة، والأجهزة المستخدمة، وأنماط المراسلات، ثم يُنبّه عند أي شذوذ.

يشارك في الندوة أيضاً Eric Danneker، مدير الدفاع السيبراني في مؤسسة Novant Health الصحية، ليقدم منظور الممارس الذي يواجه هذه الهجمات يومياً ويحتاج إلى تقليل عبء التحقيقات على فرق مركز العمليات الأمنية SOC.

التحديات التشغيلية لفرق الأمن

أحد أبرز ما ستناقشه الندوة هو العبء التشغيلي الذي تُلقيه هذه الهجمات على فرق الاستجابة للحوادث. فحين لا تُكتشف عملية الاختراق إلا بعد أن يُرسل المهاجم رسائل من الحساب المخترق أو يصل إلى بيانات حساسة، يصبح التحقيق أطول وأعقد، وتتضاعف الأضرار المحتملة.

هنا يأتي دور الأتمتة: إذا استطاع النظام اكتشاف تسجيل دخول من موقع جغرافي غير مألوف أو نمط مراسلات شاذ خلال دقائق، يمكنه إيقاف الجلسة المشبوهة قبل أن يستغلها المهاجم.

ما الذي ستتعلمه من الندوة؟

• آلية عمل هجمات Device Code phishing خطوة بخطوة
• أسباب تجاوز هجمات التصيد الحديثة وBEC وATO لأدوات الحماية التقليدية
• كيفية استخدام الذكاء الاصطناعي السلوكي لأتمتة التحقيقات
• استراتيجيات عملية لتقليص زمن الاستجابة والحد من مخاطر اختراق الحسابات

الندوة مجانية وتُعقد مباشرة في 8 يوليو 2026. التسجيل متاح عبر موقع BleepingComputer.

الأسئلة الشائعة

هل المصادقة الثنائية MFA أصبحت عديمة الفائدة؟

لا، لا تزال MFA ضرورية لصد الغالبية العظمى من هجمات سرقة كلمات المرور. لكنها لم تعد كافية وحدها، ويجب إكمالها بمراقبة سلوكية للجلسات النشطة.

ما الفرق بين هجمات Device Code phishing وهجمات Adversary-in-the-Middle؟

كلاهما يتجاوز MFA، لكن AiTM تعترض الجلسة في الوقت الفعلي عبر خادم وسيط، بينما Device Code phishing تستغل تدفق مصادقة شرعي لـ Microsoft دون اعتراض.

كيف أحمي مؤسستي من هذه الهجمات؟

قيّد استخدام Device Code Flow إن لم تكن بحاجة إليه، وفعّل سياسات الوصول المشروط Conditional Access، واستثمر في حلول كشف الشذوذ السلوكي.

هل الخدمات السحابية في الخليج معرضة لهذه الهجمات؟

نعم، أي مؤسسة تستخدم Microsoft 365 أو Azure AD معرضة بغض النظر عن موقعها الجغرافي. الوعي والتدريب والأدوات المناسبة هي خط الدفاع.