How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

مرتفع متوسط الخسارة: $3,000 المدة المعتادة: 1-7 days

تصيد موافقة OAuth: سرقة الهوية عبر أذونات التطبيقات

يستغل تصيد موافقة OAuth إطار المصادقة الموثوق به OAuth المستخدم في Microsoft 365 وGoogle Workspace ومنصات سحابية أخرى. بدلاً من سرقة كلمات المرور مباشرة، ينشئ المهاجمون تطبيقات طرف ثالث خبيثة تطلب أذونات واسعة للوصول إلى البريد الإلكتروني والملفات وجهات الاتصال والموارد السحابية. عندما ينقر الضحايا على "السماح" أو "قبول" في شاشة تسجيل دخول تبدو شرعية، يمنحون دون علمهم تطبيق المهاجم وصولًا دائمًا إلى حساباتهم — وصول يتجاوز المصادقة متعددة العوامل ويظل نشطًا حتى بعد تغيير كلمة المرور. شهد هذا النوع من الهجمات زيادة بنسبة 300% منذ عام 2021 وفقًا لتقرير الدفاع الرقمي لمايكروسوفت، حيث ربط مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي FBI خسائر تجاوزت 43 مليون دولار أمريكي في هجمات اختراق البريد الإلكتروني التجاري المعتمدة على OAuth في 2023. وتعتبر هذه التقنية خطيرة بشكل خاص لأنها تستغل بنية المصادقة الشرعية، مما يصعب اكتشافها على المستخدمين وأدوات الأمان التقليدية. وعلى عكس سرقة بيانات الاعتماد، لا تؤدي هجمات تصيد موافقة OAuth إلى تنبيهات خرق كلمات المرور أو تحذيرات تسجيل الدخول المشبوهة. عادةً ما يرسل المهاجمون طلبات OAuth الخبيثة هذه عبر حملات بريد إلكتروني متطورة، أو دعوات تعاون مزيفة، أو مواقع ويب مخترقة. وتفيد لجنة التجارة الفيدرالية أن 68% من الضحايا هم موظفون في شركات صغيرة إلى متوسطة يتلقون إشعارات SharePoint مزيفة أو دعوات اجتماعات Teams. تصل الخسائر المالية المتوسطة إلى 11,250 ريال سعودي للأفراد، لكن تواجه المؤسسات تكاليف أعلى بكثير بمتوسط 176,250 ريال سعودي لكل حادثة عند احتساب تسريب البيانات وتعطيل الأعمال وتكاليف الاستجابة.

الأساليب الشائعة كيف تتعرّف عليه كيف تحمي نفسك أمثلة حقيقية الأسئلة الشائعة أين تبلّغ

الأساليب الشائعة

• يقوم المهاجمون بتسجيل تطبيقات خبيثة لدى مزودي OAuth بأسماء تحاكي خدمات شرعية مثل "تحديث أمان Office365" أو "ماسح Google Drive" لتبدو موثوقة أثناء شاشة الموافقة.
• يرسل المحتالون رسائل بريد إلكتروني تصيدية تحتوي على روابط لصفحات موافقة OAuth، غالبًا ما تكون متنكرة كإشعارات مشاركة مستندات، أو دعوات اجتماعات، أو تنبيهات أمنية عاجلة تتطلب اتخاذ إجراء فوري.
• يصمم المجرمون طلبات أذونات تبدو محدودة لكنها تمنح وصولًا واسعًا فعليًا — مثل طلب أذونات "قراءة بريدك الإلكتروني" التي تشمل الوصول الكامل إلى صندوق البريد وقدرات إعادة توجيه الرسائل.
• يستخدم المهاجمون تكتيكات الضغط الزمني في فخاخهم، مدعين أن الحسابات ستُقفل، أو سيتم حذف الملفات، أو أن مستندات عاجلة تتطلب مراجعة فورية خلال ساعات لتجاوز تفكير الضحايا المتأنّي.
• تخترق العمليات المتطورة حسابات موظفين شرعيين أولاً، ثم ترسل روابط تصيد OAuth من عناوين بريد إلكتروني داخلية موثوقة لزيادة معدلات النجاح داخل المؤسسات.
• يحافظ المحتالون على وصول دائم عبر طلب أذونات offline_access، مما يسمح لتطبيقاتهم الخبيثة بالحفاظ على الوصول إلى الحسابات إلى أجل غير مسمى دون الحاجة إلى إعادة مصادقة الضحية.

كيف تتعرّف عليه

تظهر شاشة موافقة OAuth بعد النقر على رابط في بريد إلكتروني غير متوقع، خاصة الرسائل العاجلة حول مستندات مشتركة، تحديثات أمنية، أو تحقق من الحساب لم تطلبه.
يحتوي اسم التطبيق في شاشة الموافقة على مصطلحات عامة، أخطاء إملائية، أو أسماء مشبوهة مثل "قارئ البريد الآمن" أو "عارض المستندات برو" بدلاً من علامات تجارية معروفة.
تشمل طلبات الأذونات نطاقات وصول واسعة مثل "قراءة وكتابة جميع ملفاتك"، "إرسال بريد نيابة عنك"، أو "الوصول إلى جميع جهات اتصالك" بينما لا تتطلب الوظيفة المزعومة مثل هذه الأذونات الواسعة.
تعرض معلومات الناشر "غير موثوق" أو تظهر اسم نطاق مشبوه بدلاً من نطاق شركة رسمي (microsoft.com، google.com) أو شارة ناشر موثوق.
تصل طلبات موافقة OAuth عبر روابط مختصرة (bit.ly، tinyurl) أو سلسلة إعادة توجيه غير مألوفة بدلاً من الوصول المباشر من نطاق خدمة معروف رسميًا.
التوقيت مريب — تظهر طلبات الموافقة فور تلقي رسائل بريد إلكتروني غير مرغوب فيها حول مشاركة مستندات، دعوات تقويم، أو تنبيهات أمنية تخلق حالة استعجال مصطنعة.

كيف تحمي نفسك

قبل النقر على "قبول" في أي شاشة موافقة OAuth، تحقق من أن ناشر التطبيق موثوق وأن النطاق يتطابق مع موقع الشركة الرسمي — مرر مؤشر الفأرة على الروابط وتحقق من وجهة URL الفعلية.
راجع الأذونات المطلوبة بعناية ورفض أي تطبيق يطلب وصولًا يتجاوز ما هو ضروري لغرضه المعلن؛ فلا يجب أن يحتاج عارض المستندات إلى أذونات إرسال البريد الإلكتروني.
قم بتكوين سياسات تنظيمية في لوحات إدارة Microsoft 365 أو Google Workspace لتقييد تثبيت تطبيقات OAuth على التطبيقات المعتمدة مسبقًا أو طلب موافقة المسؤول للتطبيقات التي تطلب أذونات حساسة.
قم بمراجعة التطبيقات المتصلة بحسابك بانتظام في إعدادات الحساب (Google: myaccount.google.com/permissions، Microsoft: account.microsoft.com/privacy) وقم فورًا بإلغاء الوصول للتطبيقات غير المألوفة أو غير المستخدمة.
فعّل تسجيل ومراقبة معززة لمنح موافقات OAuth في بيئات المؤسسات باستخدام وسطاء أمان الوصول السحابي (CASB) أو أدوات الأمان المدمجة لاكتشاف أذونات التطبيقات المشبوهة.
نفذ تدريبًا توعويًا للمستخدمين حول تصيد موافقة OAuth، مع تعليم الموظفين كيفية التمييز بين طلبات OAuth الشرعية والخبيثة ووضع بروتوكولات واضحة للتحقق من صحة التطبيقات قبل منح الوصول.

أمثلة حقيقية

تلقى مدير تسويق في شركة استشارية متوسطة الحجم بريدًا إلكترونيًا يبدو وكأنه من حساب زميل في Microsoft 365 بعنوان "ميزانية الربع الرابع - تحتاج مراجعتك فورًا". أدى النقر على رابط SharePoint إلى شاشة موافقة OAuth لتطبيق يسمى "عارض مستندات Office". خلال ساعات من منح الوصول، قام تطبيق المهاجم بإعادة توجيه 2,847 رسالة بريد إلكتروني إلى حساب خارجي، بما في ذلك عقود عملاء تحتوي على تفاصيل بنكية استُخدمت لتحويل حوالة بقيمة 105,000 ريال سعودي.

تلقت مديرة الموارد البشرية دعوة تقويم Google لاجتماع تنفيذي عاجل. أدى قبول الدعوة إلى طلب OAuth لتطبيق تقويم يطلب "وصولًا أساسيًا للتقويم". وافقت الضحية دون ملاحظة الأذونات الإضافية للوصول إلى Gmail وDrive. خلال الأيام الثلاثة التالية، استخرج المهاجم معلومات شخصية للموظفين بما في ذلك أرقام الضمان الاجتماعي لـ 340 موظفًا قبل اكتشاف الاختراق خلال تدقيق أمني روتيني.

نقر صاحب مشروع صغير على رابط في بريد إلكتروني يدعي أن حساب Dropbox الخاص به شهد نشاطًا مشبوهًا ويتطلب التحقق. ظهرت شاشة موافقة OAuth تبدو شرعية، تحمل ألوان Dropbox وتطلب "أذونات التحقق من الحساب". بعد الموافقة، وصل التطبيق الخبيث إلى التخزين السحابي للشركة، وقام بتشفير ملفات أعمال حيوية، وطلب فدية بقيمة 16,875 ريال سعودي. وبما أن الوصول تم عبر OAuth الشرعي، لم تُطلق أنشطة التشفير تنبيهات أمنية حتى وقع ضرر كبير.

الأسئلة الشائعة

ما الفرق بين تصيد موافقة OAuth والهجمات التصيدية التقليدية؟

على عكس التصيد التقليدي الذي يسرق كلمات المرور، يخدعك تصيد موافقة OAuth لمنح أذونات وصول شرعية لتطبيقات خبيثة. هذا يعني أن المهاجمين يتجاوزون المصادقة متعددة العوامل، وتغيير كلمة المرور لن يلغي وصولهم. يستغل الهجوم إطار OAuth الموثوق نفسه، مما يصعب اكتشافه لأن الوصول يبدو مصرحًا به عبر قنوات المصادقة العادية.

أين تبلّغ — الدول العربية

القنوات الرسمية في منطقتك للإبلاغ عن هذا الاحتيال.

هيئة تنظيم الاتصالات السعودية

إبلاغ

بلاغات الاتصالات والاحتيال الرقمي في المملكة العربية السعودية.

1933 زيارة →

الإمارات - عقاب

الجرائم الإلكترونية

منصة شرطة دبي للإبلاغ عن الجرائم الإلكترونية.

زيارة →

مصر - الإدارة العامة لمكافحة جرائم الإنترنت

الجرائم الإلكترونية

الإدارة العامة لمكافحة جرائم الحاسبات والشبكات بوزارة الداخلية المصرية.

108 زيارة →

AECERT (الإمارات)

إبلاغ

الفريق الوطني للاستجابة لطوارئ الحاسب الآلي.

زيارة →

هل تعتقد أنك واجهت هذا الاحتيال؟

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), تصيد موافقة oauth: سرقة الهوية عبر أذونات التطبيقات is described at https://scamlens.org/ar/encyclopedia/oauth-consent-phishing.

https://scamlens.org/ar/encyclopedia/oauth-consent-phishing

ابدأ من هنا

فحص الأمان

الاستخبارات

الأدوات والتقارير

الخدمات المميزة

الإضافة وAPI