تسويق مجموعة جديدة متطورة من أدوات التصيد الاحتيالي كخدمة (PhaaS) تُدعى "إيفل توكينز" بنشاط للمجرمين الإلكترونيين، حيث تتخصص في استغلال تدفق رمز جهاز OAuth التابع لمايكروسوفت لاختراق حسابات المستخدمين. توفر هذه الخدمة، التي يتم الإعلان عنها في قنوات تلغرام، للمهاجمين حلاً جاهزًا لتنفيذ هجمات التصيد باستخدام رمز الجهاز، وهي تقنية تتجاوز جمع بيانات الاعتماد التقليدية عن طريق خداع المستخدمين لمنح التفويض لجهاز ضار. وفقًا لباحثي شركة اكتشاف التهديدات سيكويا، فإن الأداة قيد التطوير المستمر، حيث يخطط مؤلفها لتوسيع الدعم ليشمل قوالب التصيد الخاصة بـ Gmail وOkta، مما يوسع نطاق تأثيرها المحتمل بشكل كبير.
يعتمد هجوم إيفل توكينز الأساسي على إساءة استخدام تدفق منح تفويض جهاز OAuth 2.0، وهو بروتوكول شرعي مصمم للأجهزة المقيدة بالإدخال مثل التلفزيونات الذكية. في هذا الهجوم، يتم تقديم رمز QR أو رابط للضحية يقوده إلى صفحة تسجيل دخول مايكروسوفت تعرض رمزًا فريدًا. يُطلب من المستخدم زيارة موقع ويب منفصل لتسجيل دخول جهاز مايكروسوفت وإدخال هذا الرمز "للمصادقة". دون علمهم، يمنح هذا الإجراء جلسة المهاجم وصولاً كاملاً إلى حساب مايكروسوفت الخاص بالضحية، بما في ذلك البريد الإلكتروني وOneDrive والخدمات المتصلة، دون أن يسلم الضحية كلمة المرور الخاصة به مطلقًا. استخدمت هذه الطريقة من قبل جهات تهديد متقدمة متنوعة، بما في ذلك مجموعات مرتبطة بروسيا تُتعقب باسم Storm-237 وTA2723، بالإضافة إلى عصابة ابتزاز البيانات الشهيرة ShinyHunters.
يكشف تحليل سيكويا أن حملات إيفل توكينز مستهدفة للغاية، وغالبًا ما تستهدف موظفي أقسام المالية والموارد البشرية واللوجستيات. طعوم التصيد الأولية هي رسائل بريد إلكتروني محكمة الصنع تحتوي على مرفقات ضارة—مثل ملفات PDF أو DOCX أو HTML—تقلد اتصالات العمل الشرعية. قد تظهر هذه المستندات كتقارير مالية، أو إشعارات كشوف المرتبات، أو دعوات اجتماع عبر منصات مثل Microsoft Teams، أو مستندات مشتركة من خدمات مثل DocuSign أو SharePoint. تقود رموز QR أو الارتباطات التشعبية المضمنة إلى قوالب تصيد مقنعة لإيفل توكينز تبدأ بسلاسة عملية مصادقة رمز الجهاز.
يؤدي ظهور إيفل توكينز كخدمة تجارية إلى خفض عتبة الدخول لتنفيذ هجمات اختراق البريد الإلكتروني التجاري (BEC) ذات التأثير الكبير واستيلاء على الحسابات. من خلال توفير واجهة سهلة الاستخدام ودعم مستمر، تمكن الأداة جهات التهديد الأقل مهارة تقنيًا من شن حملات متطورة يمكن أن تؤدي إلى احتيال مالي كبير وسرقة بيانات. يؤكد هذا التطور على الحاجة الماسة للمنظمات لتعزيز وعي المستخدمين بشأن ناقل التصيد المحدد هذا وتنفيذ سياسات الوصول المشروط التي تتطلب تحققًا إضافيًا لمصادقات رمز الجهاز، خاصة من مواقع جديدة أو غير مألوفة.
