تحذير من مايكروسوفت: حملات تصيّد ضريبي تستهدف آلاف المستخدمين وتنشر برمجيات تحكم عن بُعد
مايكروسوفت تكشف حملة تصيّد ضخمة تستهدف آلاف الشركات عبر رسائل الضرائب
حذّرت شركة Microsoft من تصاعد حملات التصيّد الإلكتروني التي تستغل موسم تقديم الإقرارات الضريبية في الولايات المتحدة لاستهداف المستخدمين والمؤسسات، بهدف سرقة بيانات تسجيل الدخول ونشر برمجيات خبيثة تمنح المهاجمين إمكانية الوصول إلى الأجهزة عن بُعد.
وبحسب تقرير صادر عن فرق Microsoft Threat Intelligence وMicrosoft Defender Security Research، فإن هذه الحملات تعتمد على رسائل بريد إلكتروني احتيالية تنتحل صفة جهات ضريبية أو خبراء محاسبة، وتدّعي أنها إشعارات باسترداد الضرائب أو تذكيرات بتقديم الإقرارات أو نماذج رواتب رسمية.
وتستغل هذه الرسائل عامل الاستعجال المرتبط بموسم الضرائب لدفع الضحايا إلى تنفيذ إجراءات مثل:
- فتح مرفقات ضارة
- مسح رموز QR
- النقر على روابط خبيثة
وهو ما يؤدي في النهاية إلى سرقة بيانات الاعتماد أو تثبيت برمجيات خبيثة.
استهداف الأفراد والمهنيين الماليين
يشير التقرير إلى أن بعض هذه الحملات تستهدف الأفراد بهدف سرقة بياناتهم الشخصية والمالية، بينما تركز حملات أخرى بشكل خاص على المحاسبين والمهنيين الذين يتعاملون مع الوثائق الحساسة والبيانات المالية، نظراً لاعتيادهم على استقبال رسائل إلكترونية متعلقة بالضرائب خلال هذه الفترة.
وفي بعض الحالات يتم توجيه المستخدمين إلى صفحات تصيّد تم إنشاؤها عبر منصات Phishing-as-a-Service (PhaaS)، بينما تنتهي حملات أخرى بتثبيت أدوات إدارة ومراقبة عن بُعد شرعية تُعرف باسم RMM مثل:
- ConnectWise ScreenConnect
- Datto
- SimpleHelp
وتمنح هذه الأدوات المهاجمين وصولاً دائماً إلى الأجهزة المصابة.
أساليب الهجوم المستخدمة
رصدت مايكروسوفت عدداً من الحملات التي استخدمت تقنيات مختلفة لخداع الضحايا، من أبرزها:
صفحات تصيّد تستهدف بيانات البريد الإلكتروني
استخدم المهاجمون رسائل تحمل طُعماً يتعلق بالمحاسبين القانونيين المعتمدين (CPA)، حيث تم توجيه الضحايا إلى صفحات تصيّد مرتبطة بحزمة Energy365 PhaaS لسرقة البريد الإلكتروني وكلمات المرور.
وتشير التقديرات إلى أن هذه الحزمة تُستخدم لإرسال مئات الآلاف من رسائل التصيّد يومياً.
صفحات تسجيل دخول مزيفة لخدمات مايكروسوفت
في حملة أخرى تم استهداف نحو 100 مؤسسة في قطاعات التصنيع والتجزئة والرعاية الصحية في الولايات المتحدة، حيث تم استخدام رموز QR ونماذج W2 المزيفة لتوجيه المستخدمين إلى صفحات تسجيل دخول مزيفة تشبه خدمة Microsoft 365.
وقد تم إنشاء هذه الصفحات باستخدام منصة تصيّد تُعرف باسم SneakyLog (Kratos) بهدف سرقة بيانات الدخول ورموز المصادقة الثنائية (2FA).
انتحال صفة مصلحة الضرائب الأمريكية
كما رُصدت حملات تصيّد تنتحل صفة Internal Revenue Service (مصلحة الضرائب الأمريكية)، حيث تم إرسال رسائل تطلب من المستخدمين تنزيل نموذج ضريبي خاص بالعملات الرقمية.
وعند محاولة تنزيل الملف من نطاقات خبيثة، يتم تثبيت برامج مثل ScreenConnect أو SimpleHelp لمنح المهاجمين وصولاً عن بُعد إلى النظام.
حملة تصيّد واسعة استهدفت 29 ألف مستخدم
أفادت Microsoft أنها اكتشفت في 10 فبراير 2026 حملة تصيّد واسعة النطاق أثّرت على أكثر من 29 ألف مستخدم في حوالي 10 آلاف مؤسسة.
وكان 95٪ من الضحايا داخل الولايات المتحدة، وشملت القطاعات الأكثر استهدافاً:
- الخدمات المالية (19٪)
- التكنولوجيا والبرمجيات (18٪)
- تجارة التجزئة والسلع الاستهلاكية (15٪)
وقد انتحلت الرسائل صفة مصلحة الضرائب الأمريكية، مدعية أن إقرارات ضريبية غير طبيعية تم تقديمها باستخدام رقم تعريف الإيداع الإلكتروني الخاص بالمستلم.
وطُلب من الضحايا مراجعة هذه الإقرارات عبر تنزيل برنامج مزعوم باسم IRS Transcript Viewer.
تم إرسال هذه الرسائل عبر خدمة Amazon Simple Email Service، وتضمنت زر تحميل يقود المستخدمين إلى موقع ينتحل صفة منصة SmartVault لإدارة الوثائق.
وقد استخدم الموقع خدمات Cloudflare لإخفاء النشاط الخبيث عن أنظمة الفحص الآلي، بحيث يتم تقديم البرمجية الخبيثة فقط للمستخدمين الحقيقيين.
تصاعد استخدام أدوات الإدارة عن بُعد في الهجمات
تشير تقارير حديثة إلى أن المهاجمين باتوا يعتمدون بشكل متزايد على أدوات الإدارة عن بُعد في تنفيذ الهجمات الإلكترونية.
ووفقاً لبيانات صادرة عن شركة Huntress، فقد ارتفع استخدام هذه الأدوات في الهجمات بنسبة 277٪ خلال عام واحد.
ويكمن الخطر في أن هذه الأدوات تُستخدم عادة بشكل مشروع داخل المؤسسات من قبل أقسام تقنية المعلومات، مما يجعلها تبدو موثوقة ولا تثير الشبهات بسهولة.
توصيات للحماية من هذه الهجمات
لمواجهة هذا النوع من الهجمات، توصي Microsoft المؤسسات باتباع عدد من الإجراءات الأمنية، أبرزها:
- تفعيل المصادقة الثنائية (2FA) لجميع الحسابات
- تطبيق سياسات الوصول المشروط
- مراقبة رسائل البريد الإلكتروني الواردة بعناية
- فحص الروابط والمواقع قبل التفاعل معها
- حظر النطاقات المشبوهة داخل الشبكات المؤسسية
اقرا ايضا:
- حماية البيانات الشخصية: دليل شامل لحماية خصوصيتك وأمانك الرقمي
- الهجمات الإلكترونية وأنواعها: دليل شامل للمبتدئين
- الأمن السيبراني: الدليل الشامل لحماية البيانات والأنظمة من الهجمات الإلكترونية
