مايكروسوفت تحذر من عملية احتيال 'Payroll Pirate' تستهدف موظفي الجامعات
لقد حذرت مايكروسوفت المنظمات من حملة تصيد إلكتروني تُدعى 'Payroll Pirate' والتي تخترق حسابات Workday لتحويل رواتب الموظفين. الاحتيال، النشط منذ مارس 2025، أثر على حسابات في جامعات متعددة. يستخدم المهاجمون تكتيكات متطورة لتجاوز المصادقة متعددة العوامل وإخفاء تغييراتهم.
تشمل حملة 'Payroll Pirate' رسائل بريد إلكتروني تصيدية تخدع موظفي الجامعات لإدخال بيانات الاعتماد في صفحات تسجيل دخول مزيفة تحاكي بوابات الموارد البشرية الخاصة بهم، مثل Workday. يستخدم المحتالون تكتيكات الخصم في الوسط لاعتراض رموز المصادقة متعددة العوامل، مما يسمح لهم بالوصول إلى الحسابات الحقيقية رغم إجراءات الأمان.
بمجرد الدخول، يقوم المهاجمون بتعديل إعدادات الرواتب لإعادة توجيه الإيداعات المباشرة إلى حسابات يسيطرون عليها. لتجنب الكشف، ينشئون قواعد بريد إلكتروني تحجب إشعارات Workday التلقائية حول هذه التغييرات. في بعض الحالات، يضيفون رقم هاتف يسيطرون عليه كخيار استعادة احتياطي للوصول المستمر.
أفادت مايكروسوفت بأن الجهات المهددة قد اخترقت 11 حسابًا في ثلاث جامعات منذ مارس 2025. تم استخدام هذه الحسابات لإرسال رسائل بريد إلكتروني تصيدية إلى ما يقرب من 6000 حساب عبر 25 جامعة. تختلف الطعم: يدعي موضوع واحد التعرض لمرض معدٍ في الحرم الجامعي، مع رابط للتحقق من الحالة؛ ويذكر آخر تغييرات حديثة في مزايا الموظفين، مما يؤدي إلى صفحة تسجيل دخول مقنعة.
“استخدم الجهة المهددة رسائل بريد إلكتروني تصيدية واقعية، موجهة إلى حسابات في جامعات متعددة، لجمع بيانات الاعتماد”، كما ذكرت مايكروسوفت في إرشادها.
تبرز الحملة الثغرات في طرق المصادقة متعددة العوامل غير المتوافقة مع FIDO، مثل الرموز لمرة واحدة عبر البريد الإلكتروني أو الرسائل النصية، والتي عرضة للاعتراض. توصي مايكروسوفت باعتماد خيارات متوافقة مع FIDO مثل كلمات المرور المرورية أو مفاتيح الأمان المادية، مشيرة إلى عدم وجود اختراقات معروفة عبر هذه الطرق. يجب على المستخدمين أيضًا مراجعة قواعد تصفية البريد الإلكتروني دوريًا بحثًا عن حظر غير مصرح به لتنبيهات الأمان.
يؤكد هذا الاحتيال على الحاجة إلى مصادقة قوية في أنظمة الموارد البشرية السحابية، خاصة مع تطور التصيد لاستهداف المؤسسات التعليمية.