أطلق فريق الاستخبارات التهديدية التابع لشركة مايكروسوفت ناقوس الخطر بشأن موجة جديدة من الجرائم الإلكترونية. ذات الدوافع المالية والتي تسمى قراصنة الرواتب.
ما قراصنة الرواتب؟
وفي منشور على إحدى المدونات، قال ريدموند إن عصابة الجرائم الإلكترونية التي تتبعها باسم Storm-2657. كانت تستهدف موظفي الجامعة منذ مارس 2025، وتختطف الرواتب من خلال اختراق برامج الموارد البشرية مثل Workday.
حيث إن الهجوم جريء وبسيط في آن واحد، من خلال اختراق حسابات الموارد البشرية والبريد الإلكتروني، وتغيير إعدادات الرواتب بهدوء. ثم إعادة توجيه الرواتب إلى حسابات مصرفية يسيطر عليها المهاجم.
وأطلقت مايكروسوفت على العملية اسم “قرصنة الرواتب”.
في إشارة إلى الطريقة التي ينهب بها المحتالون أجور الموظفين دون المساس بأنظمة صاحب العمل مباشرة.
تبدأ حملة Storm-2657 برسائل تصيد احتيالي عبر البريد الإلكتروني مصممة لجمع رموز المصادقة متعددة العوامل “MFA” باستخدام تقنيات الخصم الوسيط “AiTM”.
بمجرد دخولها، يخترق المهاجمون حسابات Exchange Online ويضعون قواعد بريد وارد لإخفاء رسائل الموارد البشرية أو حذفها. ومن هناك، يستخدمون بيانات اعتماد مسروقة وتكاملات SSO للوصول إلى Workday وتعديل معلومات الإيداع المباشر، مما يضمن وصول المدفوعات المستقبلية إليهم مباشرةً.
ثغرة Workday
تؤكد مايكروسوفت أن الهجمات لا تستغل ثغرة في Workday نفسها. نقاط الضعف هي ضعف في نظام المصادقة الثنائية “MFA” وتكوينات غير دقيقة.
في الوقت نفسه مع تحذير ريدموند من أن المؤسسات التي لا تزال تعتمد على المصادقة الثنائية القديمة أو سهلة الاختراق تعتبر أهدافًا سهلة.
بينما منذ مارس 2025، رصدنا 11 حسابًا مُخترقًا بنجاح في ثلاث جامعات، اتُخدمت لإرسال رسائل تصيد احتيالي إلى ما يقرب من 6000 حساب بريد إلكتروني في 25 جامعة. وفقًا لما أوضحته مايكروسوفت.
كما أوضحت أن هذه الرسائل المضللة صممت بدقة أكاديمية، وهي عبارة عن تحديثات زائفة للموارد البشرية، وتقارير عن سوء سلوك أعضاء هيئة التدريس، أو ملاحظات حول مجموعات الأمراض. وغالبًا ما يتم ربطها عبر مستندات جوجل المشتركة لتجاوز عمليات التصفية والظهور بمظهر روتيني.
وفي إحدى الحالات، تم إرسال رسالة تصيد احتيالي تحث المتلقين على التحقق من حالة تعرضهم للمرض إلى 500 شخص داخل جامعة واحدة؟ ولم يعتبرها سوى 10 بالمائة منهم مشبوهة، وفقًا لمايكروسوفت.
علاوة على أنه بعد تأمين الوصول، يضيف المهاجمون أرقام هواتفهم كأجهزة مصادقة متعددة العوامل “MFA” عبر ملفات تعريف مُخترقة أو إعدادات Duo. ما يضمن وصول الموافقات اللاحقة إلى جيوبهم. تتم العملية بأكملها بهدوء لأن الضحايا لا يرون الإشعارات المعدلة.
وفقًا لمايكروسوفت، تبدأ الحماية بالتخلص من كلمات المرور تمامًا، وتوصي باعتماد أساليب مقاومة للتصيد الاحتيالي. مثل مفاتيح FIDO2 أو مفاتيح المرور أو Windows Hello.
وأخيرًا، عند الاشتباه في وجود اختراق، تشمل الخطوات الفورية إعادة ضبط بيانات الاعتماد، وإزالة أجهزة المصادقة الثنائية “MFA” غير الموثوقة. أيضًا حذف قواعد البريد الإلكتروني الضارة، وإلغاء أي تغييرات في كشوف المرتبات.
المصدر: theregister