This post is also available in:
English (אנגלית)
גל חדש של מתקפות פישינג מנצל את סביבת Microsoft 365 ומצליח לעקוף, במקרים רבים, אפילו את מנגנון האימות הדו-שלבי (2FA). על פי חברת הסייבר Proofpoint, ההאקרים הצליחו לפרוץ לכמעט 3,000 חשבונות בלמעלה מ-900 ארגונים מאז תחילת שנת 2025 – עם שיעור הצלחה מדאיג של מעל ל־50%.
שיטת התקיפה מתבססת על ניצול לרעה של מנגנון ההתחברות החוקי של מיקרוסופט – OAuth – שמאפשר לאפליקציות צד שלישי לקבל גישה לחשבונות משתמשים ללא צורך בסיסמה. גורמים עוינים מפיצים עשרות אפליקציות זדוניות שמתחזות לשירותים מוכרים כמו Adobe, DocuSign, ו-SharePoint. האפליקציות מבקשות הרשאות שנראות תמימות – כגון גישה למידע בסיסי מהפרופיל – אך בפועל מפנות את המשתמשים לעמודי פישינג לאחר ההתחברות.
התקיפה מתחילה לרוב בדוא"ל פישינג שמתחזה להודעה אמינה – לעיתים מחשבונות ארגוניים שכבר נפרצו. ההודעות מותאמות לתחום הפעילות של הקורבן, וכוללות למשל בקשות להצעות מחיר או דיונים חוזיים. כאשר המשתמש לוחץ על הקישור, הוא מנותב לעמוד ההרשאות החוקי של Microsoft OAuth, שם מתבקש לאשר את הגישה לאפליקציה הזדונית.
בלי קשר אם המשתמש לוחץ "אישור" או "ביטול", הוא מועבר לעמוד CAPTCHA ולאחר מכן לעמוד התחברות מזויף של מיקרוסופט. כאן מתבצעת גניבת נתוני ההתחברות בפועל – כולל שמות משתמש, סיסמאות וטוקני גישה. בעזרת עוגיות סשן (Session Cookies), התוקפים מצליחים לעקוף את הגנות האימות הדו-שלבי ולשמור על גישה לחשבון, גם ללא אימות נוסף.
כדי להתמודד עם האיום, מיקרוסופט החלה להכניס שינויים בהגדרות האבטחה כברירת מחדל. מעתה, משתמשים לא יוכלו לאשר בעצמם גישה של אפליקציות צד שלישי – אלא רק באישור מנהל מערכת, מה שיצמצם את הסיכון לגישה לא מורשית דרך אפליקציות זדוניות.
התקפות מסוג זה מדגישות מגמה הולכת וגוברת של איומים מבוססי זהות, שבהם ההאקרים פחות מתמקדים בגניבת סיסמאות, ויותר במניפולציה של תהליכי התחברות חוקיים. מומלץ לארגונים לעקוב מקרוב אחר הרשאות גישה לאפליקציות, ולחנך את המשתמשים לבדוק את אמינות הדומיין לפני שהם מאשרים גישה כלשהי.
