مايكروسوفت تضع حداً لتسجيل الدخول عبر رموز الرسائل النصية

للحظةٍ طويلة، بدا رمز التحقق عبر الرسائل النصية وكأنه حلّ سحري بسيط: رقم يصل إلى هاتفك في ثوانٍ، فتشعر أن حسابك بات أكثر أماناً. لكن هذا الشعور بالاطمئنان كان يخفي هشاشة متزايدة. الآن، تعلن مايكروسوفت نهاية هذا الفصل بالنسبة للحسابات الشخصية، بالتزامن مع كشفها عن حملة اختراق معقّدة استغلت نقاط الضعف البشرية والتقنية في المصادقة متعددة العوامل.

بحسب ما نشره فريق Microsoft Threat Intelligence في 18 مايو، نفذت مجموعة تهديد تُعرف باسم Storm-2949 حملة استهدفت بيئات Microsoft 365 وAzure عبر إساءة استخدام آلية إعادة تعيين كلمة المرور ذاتياً أو SSPR. لم يعتمد المهاجمون على برمجيات خبيثة تقليدية، بل على الهندسة الاجتماعية الدقيقة.

كان السيناريو بسيطاً ومقنعاً: اتصال هاتفي ينتحل صفة الدعم التقني الداخلي، وطلب الموافقة على إشعار مصادقة كجزء من إعادة تعيين روتينية. ما إن يوافق المستخدم على طلب MFA حتى يتم تغيير كلمة المرور، وإزالة أساليب التحقق السابقة، وربط جهاز المهاجم كوسيلة مصادقة جديدة.

ما يميز الحملة هو قدرتها على التحرك أفقياً داخل البنية السحابية دون إثارة إنذارات تقليدية. استخدم المهاجمون أدوات إدارة مشروعة مثل Graph API وصلاحيات Azure RBAC وKey Vault، إضافة إلى Run Command وVMAccess، ما سمح لهم بالظهور كأنهم يمارسون نشاطاً إدارياً معتاداً.

النتيجة كانت الوصول إلى تطبيقات Microsoft 365 وخدمات تخزين الملفات وحسابات Azure Storage وقواعد بيانات SQL وحتى تطبيقات إنتاجية مستضافة على Azure. هنا يتلاشى الخط الفاصل بين إدارة النظام والهجوم، خصوصاً عندما تتحول الهوية المخترقة إلى مفتاح شامل.

في بيان دعم منفصل، أكدت مايكروسوفت أنها ستتوقف عن إرسال رموز تحقق عبر الرسائل النصية للحسابات الشخصية، معتبرة أن المصادقة عبر SMS أصبحت مصدراً رئيسياً للاحتيال. في المقابل، ستعتمد على مفاتيح المرور Passkeys وتطبيقات المصادقة والبريد الإلكتروني الموثّق.

هذا القرار يأتي بعد سنوات من تحذيرات متكررة من جهات مثل FBI ووكالة CISA بشأن مخاطر تبديل شرائح الاتصال أو اعتراض الرسائل. إلا أن حملة Storm-2949 تكشف جانباً أعمق: حتى من دون اعتراض الرمز، يكفي إقناع المستخدم بالموافقة على إشعار ليُفتح الباب كاملاً.

القضية لم تعد تقنية بحتة. المصادقة متعددة العوامل صممت لتقليل المخاطر، لكنها عند الاعتماد على الرسائل النصية أو الإشعارات السريعة تتحول إلى تجربة تعتمد على الاستجابة اللحظية للمستخدم. وفي بيئات العمل، حيث يتلقى الموظف عشرات التنبيهات يومياً، تصبح الموافقة التلقائية عادة غير واعية.

توصيات مايكروسوفت تضمنت كذلك تعطيل طرق المصادقة القديمة في Azure App Services والحد من استخدام إضافات الأجهزة الافتراضية وتمكين Microsoft Defender for Cloud، في إشارة واضحة إلى أن الأمن السحابي لم يعد خياراً تكميلياً بل طبقة أساسية.

التحول إلى Passkeys يعكس توجهاً أوسع في الصناعة نحو مصادقة غير قابلة لإعادة الاستخدام أو التصيد بسهولة، تعتمد على مفاتيح تشفير مرتبطة بالجهاز والهوية البيومترية. الراحة هنا تلتقي بالأمان، لكن الانتقال لن يكون فورياً، خصوصاً مع اعتماد ملايين المستخدمين على الهاتف كوسيلة تحقق وحيدة.

قرار مايكروسوفت لا يبدو مجرد تحديث تقني، بل اعتراف بأن نموذج الرسائل النصية استُهلك أمنياً. ومع ازدياد تعقيد الهجمات على الهوية الرقمية، يصبح السؤال أقل ارتباطاً برمز تحقق يصل إلى هاتفك، وأكثر ارتباطاً بكيفية حماية الهوية نفسها في عالم سحابي تحكمه الصلاحيات الدقيقة قبل كلمات المرور.