شهد عام 2026 تصاعداً هائلاً في هجمات التصيد الإلكتروني المتطورة التي تستغل بروتوكول OAuth 2.0 المشروع، حيث زادت الهجمات بنسبة 37.5 ضعفاً مقارنة بالمستويات الأساسية السابقة. تُعرف هذه التقنية باسم تصيد رمز الجهاز، وهي تسيء استخدام آلية "منح تفويض الجهاز" المصممة أصلاً لتمكين المستخدمين من تسجيل الدخول إلى الخدمات على أجهزة ذات إمكانيات إدخال محدودة، مثل التلفزيونات الذكية وأجهزة الألعاب أو أجهزة إنترنت الأشياء. في هذه الهجمات، يبدأ الجهة الخبيثة طلب تفويض جهاز مع مقدم خدمة (مثل Microsoft Entra ID) لإنشاء رمز فريد قصير العمر. ثم يقومون بخداع الضحية عبر الهندسة الاجتماعية، غالباً عبر البريد الإلكتروني أو الدردشة، لإدخال هذا الرمز على بوابة تسجيل الدخول الشرعية للخدمة. الضحية، معتقداً أنه يكمل خطوة تحقق روتينية، يمنح دون قصد جهاز المهاجم رموز وصول كاملة إلى حسابه، مما يؤدي إلى استيلاء سلس على الحساب دون أن يتعامل المهاجم مع كلمة مرور الضحية أبداً.
تم تتبع هذا الارتفاع المقلق البالغ 37 ضعفاً والإبلاغ عنه من قبل شركة الأمن السيبراني Push Security. لاحظت الشركة أنه في بداية مارس 2026، كانت قد رصدت بالفعل زيادة قدرها 15 ضعفاً على أساس سنوي في صفحات التصيد المكتشفة التي تستخدم هذه الطريقة. وقد تضاعف هذا الرقم الآن أكثر من مرة، مما يؤكد الاعتماد السريع للتقنية من قبل مجرمي الإنترنت. يُعزى الانتشار إلى حد كبير إلى توفر أدوات التصيد الضارة، مثل الأداة المعروفة باسم "EvilTokens"، التي يتم بيعها ومشاركتها في المنتديات السرية. تخفض هذه الأدوات عتبة الدخول، مما يمكن حتى الجهات الخبيثة منخفضة المهارة من شن حملات متطورة. تم توثيق تصيد رمز الجهاز تاريخياً منذ عام 2020، وتم تسليحه من قبل مجموعات التهديد المستمرة المتقدمة (APT) المدعومة من الدولة وكذلك مجرمي الإنترنت ذوي الدوافع المالية، مستهدفة مجموعة واسعة من الخدمات من منصات السحابة المؤسسية إلى حسابات البريد الإلكتروني الشخصية.
تعتبر سلسلة الهجوم خبيثة بشكل خاص لأنها تتجاوز العديد عناصر التحكم الأمنية التقليدية. نظراً لأن المستخدم يتفاعل مباشرة مع موقع مقدم الخدمة الأصلي (مثل login.microsoft.com) لإدخال الرمز، فلا توجد روابط ضارة لحظرها ولا صفحات تسجيل دخول مزيفة يمكن لمرشحات البريد الإلكتروني اكتشافها. كما يصبح المصادقة متعددة العوامل (MFA) غير فعالة في هذا السيناريو، حيث أن فعل المستخدم لإدخال رمز الجهاز يشكل خططة التفويض نفسها. يتلقى المهاجم رموز OAuth صالحة، يمكن استخدامها للوصول المستدام وغالباً ما يتم تحديثها تلقائياً، مما يسمح بالاختراق طويل الأمد. هذا يجعل الهجوم أداة قوية لوسطاء الوصول الأولي، الذين يبيعون بيانات الاعتماد المخترقة لمجرمين آخرين لنشر برامج الفدية أو التجسس أو الاحتيال المالي.
للدفاع ضد هذا التهديد المتصاعد، يجب على المؤسسات تحويل تركيزها الأمني. يعد تدريب توعية المستخدمين أمراً بالغ الأهمية، مع التأكيد على أنه لا ينبغي للمستخدمين أبداً إدخال رموز غير مطلوبة يتم تلقيها عبر البريد الإلكتروني أو الدردشة في أي موقع ويب. يجب على مسؤولي تكنولوجيا المعلومات النظر في مراجعة وتقييد استخدام آلية "منح رمز الجهاز" في تطبيقات OAuth الخاصة بهم إذا لم تكن ضرورية للعمليات التجارية. يمكن أن تضيف سياسات الوصول المشروطة التي تتطلب أجهزة متوافقة أو مواقع محددة للمصادقة طبقة دفاع إضافية. علاوة على ذلك، يجب على فرق الأمان مراقبة سجلات المصادقة لطلبات رموز الأجهزة غير الطبيعية، خاصة تلك المنشأ من مواقع غير مألوفة أو للحسابات ذات الامتيازات العالية. مع استمرار انتشار أدوات التصيد مثل EvilTokens، فإن الجمع بين الضوابط التقنية والمراقبة اليقظة وتثقيف المستخدمين يشكل الثلاثي الأساسي للتخفيف من حدة الهجمات.
