مایکروسافت ۳۶۵ هدف تهدید جدید فیشینگ برای دور زدن MFA

طبق هشدار اف‌بی‌آی، توکن‌های دسترسی Microsoft ۳۶۵ توسط یک پلتفرم نوظهور "فیشینگ به‌عنوان سرویس" (PhaaS) با نام Kali۳۶۵ هدف قرار گرفته‌اند.

Kali۳۶۵ که نخستین‌بار در آوریل ۲۰۲۶ شناسایی شد، از طریق تلگرام توزیع می‌شود و به مجرمان سایبری این امکان را می‌دهد که بدون سرقت مستقیم اطلاعات ورود کاربران، توکن‌های دسترسی Microsoft ۳۶۵ را به دست آورده و احراز هویت چندمرحله‌ای (MFA) را دور بزنند.

اف‌بی‌آی اعلام کرده است: "Kali۳۶۵ سطح ورود به این نوع حملات را کاهش داده و ابزار‌هایی مانند طعمه‌های فیشینگ تولیدشده با هوش مصنوعی، قالب‌های خودکار کمپین، داشبورد‌های ردیابی لحظه‌ای اهداف، و قابلیت سرقت توکن‌های OAuth را در اختیار مهاجمان کم‌تجربه قرار می‌دهد. "

این روش حمله با نام "فیشینگ کد دستگاه" (Device Code Phishing) شناخته می‌شود؛ روشی که در آن مهاجمان کاربران را فریب می‌دهند تا از طریق یک فرآیند احراز هویت کاملاً قانونی وارد حساب خود شوند و سپس توکن‌های دسترسی و نوسازی  (Refresh Token) آنها را سرقت می‌کنند.

نحوه انجام حمله

حمله با ارسال یک ایمیل فیشینگ آغاز می‌شود که خود را به‌عنوان سرویس‌های معتبر ابری یا اشتراک‌گذاری اسناد معرفی می‌کند. در این ایمیل، یک «کد دستگاه» به همراه دستورالعمل ورود به صفحه رسمی تأیید هویت مایکروسافت قرار دارد. پس از وارد کردن کد توسط قربانی، دستگاه مهاجم بدون اطلاع کاربر مجاز شناخته می‌شود.

در ادامه، مهاجم توکن‌های دسترسی و Refresh Token را دریافت می‌کند و می‌تواند بدون نیاز به رمز عبور یا درخواست مجدد MFA، به سرویس‌هایی مانند  Outlook، Teams  و OneDrive دسترسی داشته باشد.

اف‌بی‌آی در اطلاعیه خود چند توصیه امنیتی برای کاربران و سازمان‌ها جهت مقابله با حملات Device Code Phishing ارائه کرده است.

سرویس‌های فیشینگ مبتنی بر تلگرام

پژوهشگران امنیتی اخیراً پلتفرم PhaaS دیگری با نام EvilTokens را نیز شناسایی کرده‌اند که از طریق تلگرام به فروش می‌رسد.

این سرویس ابزار‌های آماده‌ای برای اجرای کمپین‌های فیشینگ در اختیار مهاجمان کم‌تجربه قرار می‌دهد؛ از جمله صفحات جعلی ورود، اتوماسیون API‌های مایکروسافت و ایمیل‌های تولیدشده با هوش مصنوعی.

همچنین قالب‌هایی بر پایه اعلان‌های رایج سازمانی مانند درخواست دسترسی به SharePoint، پیام‌های انقضای رمز عبور و هشدار اشتراک‌گذاری اسناد در این پلتفرم وجود دارد.

براساس گزارش Barracuda Networks، رایج‌ترین سناریو‌های فیشینگ در سال ۲۰۲۵ کاربران را به کلیک روی لینک‌ها، اسکن کد‌های QR، باز کردن فایل‌های پیوست یا افشای اطلاعات شخصی ترغیب کرده‌اند.