تواجه الشركات المعتمدة على أنظمة الهوية الرقمية موجة منسقة من هجمات الاحتيال الصوتي (Vishing)، استهدفت بشكل مباشر بيئات عمل شركة Okta المختصة في خدمات تسجيل الدخول الموحد SSO. ونجحت الحملة، التي تقف وراءها مجموعة ShinyHunters، في النفاذ إلى بيانات وتطبيقات تابعة لمنصات شهيرة عبر تكتيكات تعتمد على التلاعب النفسي والمزامنة اللحظية لعمليات التصيد.
أعلنت Crunchbase وقوع حادثة أمنية تضمنت سحب وثائق محددة من شبكتها المؤسسية، وأوضحت أنها تمكنت من احتواء الموقف دون تعطل العمليات، مع الاستعانة بخبراء تقنيين وإبلاغ السلطات لإنفاذ القانون، ومراجعة البيانات لتحديد الالتزامات النظامية للإخطار.
من جهتها، رصدت SoundCloud نشاطاً غير مصرح به في لوحة الدعم الفني يعود إلى ديسمبر الماضي. وبحسب تحديث صدر في 13 يناير 2026، اقتصر التأثر على عناوين البريد الإلكتروني والمعلومات العامة لنحو 20% من المستخدمين، مع تأكيد سلامة كلمات المرور والبيانات المالية، رغم تعرض موظفيها وشركائها لمطالب ابتزاز وتكتيكات إغراق بريدي.
أما Betterment فقد كشفت أن هندسة اجتماعية استهدفت فرداً في 9 يناير 2026 منحت المهاجم وصولاً إلى منصات تسويق وتشغيل تابعة لطرف ثالث. واستغل المهاجمون هذا الوصول لإرسال رسائل احتيالية بالعملات المشفرة للعملاء. وبينما نفت الشركة اختراق الحسابات، رجحت الاطلاع على بيانات شخصية تشمل الأسماء والعناوين وتواريخ الميلاد. وتظل الأرقام الضخمة للسجلات التي يروج لها المهاجمون عبر مواقع التسريب رهن التحقق العلني.
هندسة الهجوم: جلسات تصيد حية تدار بالهاتف
كشف قسم استخبارات التهديدات في Okta أن الحملة تعتمد على حزم تصيد (Phishing kits) متطورة تتيح للمهاجم التحكم بما يراه الضحية داخل المتصفح لحظة بلحظة. ويهدف هذا الربط إلى بناء سياق مقنع يدفع الموظف لتمرير رموز المصادقة متعددة العوامل (MFA) أو الموافقة على إشعارات الدفع. وتؤكد الشركة أن هذه الأدوات قادرة على إسقاط أي نظام مصادقة لا يوصف بأنه مقاوم للتصيد (Phishing-resistant).
ويبدأ التسلسل النمطي للهجوم بجمع معلومات عن الموظف المستهدف، ثم انتحال رقم هاتف الدعم الفني. وبمجرد إدخال بيانات الاعتماد في صفحة التصيد، تنتقل فوراً للمهاجم عبر قناة Telegram. ويقوم المهاجم بتعديل محتوى الصفحة في الزمن الحقيقي لتتفق مع نص المكالمة وتحديات المصادقة التي تظهر له أثناء محاولة الدخول الفعلية. كما يتذرع المهاجمون أحياناً بمساعدة الموظف في إعداد مفاتيح المرور (Passkeys) كمدخل اجتماعي، ليقودوه إلى موقع تصيد من نمط “الخصم في المنتصف” (Adversary-in-the-Middle)، وهو ما يفتح الباب لاستكشاف التطبيقات المتاحة عبر لوحة تسجيل الدخول الموحد (SSO) وسرقة البيانات الحساسة تمهيداً للابتزاز.
اتساع الاستهداف: أكثر من 100 منظمة في دائرة الخطر
تصف التقارير التقنية بيئات تسجيل الدخول الموحد (SSO) في Okta بأنها هدف مرتفع العائد، كونها تمثل البوابة المركزية لكافة تطبيقات المؤسسة من البريد إلى منصات إدارة علاقات العملاء (CRM). ونقلت تقارير أن شركة Silent Push رصدت نطاقات ومؤشرات لاستهداف ما لا يقل عن 100 منظمة خلال 30 يوماً. وأكدت تقارير Mandiant أن النشاط مستمر، مشددة على ارتباطه بفعالية الهندسة الاجتماعية أكثر من وجود ثغرة في منتجات الموردين.
توصيات دفاعية عملية: نقاط تركيز عاجلة للمؤسسات
- فرض مصادقة مقاومة للتصيد: ترى Okta و Mandiant أن أساليب الهجوم تحد من جدوى الإشعارات الفورية، وتبرز خيارات مثل (Okta FastPass) و (FIDO2) ومفاتيح المرور (Passkeys) بوصفها حلولاً تقلل قابلية انتزاع الرموز.
- تضييق سطح الدخول: التوصية بإعداد مناطق الشبكة (Network Zones) وقوائم التحكم في الوصول (ACLs) لحصر الدخول ضمن نطاقات شبكية معروفة، لتعقيد استخدام خدمات إخفاء الهوية.
- تحصين إجراءات التحقق: رفع مستوى التحقق عند طلب تغييرات المصادقة (MFA) وربط ذلك بقنوات إضافية خارج الهاتف، وتدريب الموظفين على كشف سيناريوهات الدعم التقني المزيف.
- مراقبة السجلات: تتبع أحداث تغييرات المصادقة وتفويضات OAuth وأنشطة التصدير عبر واجهات برمجة التطبيقات (API) لكشف مرحلة ما بعد الدخول مبكراً.
