في ظلّ تصاعد الهجمات الإلكترونية وتعقّد أساليبها، لم يعد اختراق الحسابات يعتمد فقط على سرقة كلمات المرور، بل بات المهاجمون يستغلّون ثغرات خفيّة داخل أنظمة الثقة نفسها. تقرير جديد من شركة Proofpoint للأمن السيبراني كشف عن طريقة مبتكرة وخطيرة تسمح للقراصنة بالاحتفاظ بالوصول إلى الحسابات المخترقة حتى بعد تغيير كلمات المرور وتفعيل المصادقة المتعددة.

يحذّر التقرير من أن المهاجمين يستخدمون آلية OAuth – وهي نظام يمنح التطبيقات المصرّح بها رموز وصول (tokens) تتيح الدخول إلى البيانات دون الحاجة إلى كلمة المرور – لإنشاء تطبيقات داخلية خبيثة تبقى فعّالة حتى بعد إعادة ضبط بيانات الدخول.

في إحدى الحالات، أنشأ مهاجم تطبيقًا باسم test داخل حساب مخترق ومنحه صلاحيات مثل Mail.Read وoffline_access، مما سمح له بالوصول إلى البريد الإلكتروني وملفات OneDrive وSharePoint ورسائل Teams بعد تغيير كلمة المرور.

صورة تعبيرية مولّدة بالذكاء الاصطناعي

تُظهر Proofpoint أن خطورة هذه الهجمات تكمن في أن التطبيقات الداخلية تُعامل بثقة عالية ضمن بيئة المؤسسة، ما يجعل اكتشافها صعباً، خاصة وأن العملية يمكن أتمتتها بسهولة، وقد تُسجّل الضحية نفسها كمالكة للتطبيق الخبيث.

وللحد من هذا النوع من الاختراقات، توصي الشركة بـ إبطال جميع مفاتيح الوصول والرموز السرّية فوراً، حذف التطبيقات المشبوهة، إلغاء الأذونات الممنوحة، ومراقبة التطبيقات الداخلية بشكل دائم.

الخلاصة: لم يعد تغيير كلمة المرور كافياً — فالأمان الحقيقي يتطلّب مراقبة دقيقة لصلاحيات التطبيقات وإدارة شاملة لرموز الوصول داخل الأنظمة السحابية.