تحذر Microsoft من عملية احتيال نشطة تعمل على تحويل مدفوعات رواتب الموظفين إلى حسابات يتحكم فيها المهاجم بعد الاستيلاء على ملفاتهم الشخصية لأول مرة على Workday أو خدمات الموارد البشرية الأخرى المستندة إلى السحابة.
يستطيع برنامج Payroll Pirate، كما تقول مايكروسوفت أن الحملة أُطلق عليها اسم، الوصول إلى بوابات الموارد البشرية الخاصة بالضحايا عن طريق إرسال رسائل بريد إلكتروني تصيدية تخدع المستلمين لتقديم بيانات الاعتماد الخاصة بهم لتسجيل الدخول إلى الحساب السحابي. يتمكن المحتالون من استعادة رموز المصادقة متعددة العوامل باستخدام تكتيكات الخصم في الوسط، والتي تعمل من خلال الجلوس بين الضحايا والموقع الذي يعتقدون أنهم يقومون بتسجيل الدخول إليه، وهو في الواقع موقع مزيف يديره المهاجمون.
لا يتم إنشاء كل أساليب MFA على قدم المساواة
يقوم المهاجمون بعد ذلك بإدخال بيانات الاعتماد التي تم اعتراضها، بما في ذلك رمز MFA، في الموقع الحقيقي. ويؤكد هذا التكتيك، الذي أصبح شائعًا بشكل متزايد في السنوات الأخيرة، على أهمية اعتماد أشكال MFA المتوافقة مع FIDO، والتي تكون محصنة ضد مثل هذه الهجمات.
بمجرد الدخول إلى حسابات الموظفين، يقوم المحتالون بإجراء تغييرات على تكوينات كشوف المرتبات خلال Workday. تتسبب التغييرات في تحويل مدفوعات الإيداع المباشر من الحسابات التي اختارها الموظف في الأصل وتدفقها بدلاً من ذلك إلى حساب يتحكم فيه المهاجمون. لحظر الرسائل التي يرسلها Workday تلقائيًا إلى المستخدمين عند تغيير تفاصيل الحساب، يقوم المهاجمون بإنشاء قواعد بريد إلكتروني تمنع ظهور الرسائل في البريد الوارد.
وقالت مايكروسوفت في منشور يوم الخميس: “استخدم ممثل التهديد رسائل بريد إلكتروني تصيدية واقعية، مستهدفًا حسابات في جامعات متعددة، للحصول على بيانات الاعتماد”. “منذ مارس 2025، لاحظنا 11 حسابًا تم اختراقه بنجاح في ثلاث جامعات تم استخدامها لإرسال رسائل بريد إلكتروني تصيدية إلى ما يقرب من 6000 حساب بريد إلكتروني في 25 جامعة.”
