(Image credit: AI Generated)
- Нападателите вече звънят на помощните центрове вместо да изпращат фишинг имейли, за да пробият мрежите.
- Фалшиви служители се представят за ръководители, за да манипулират екипите за поддръжка да нулират настройките за многофакторна автентикация.
- Лични данни, извлечени от LinkedIn, правят измамата по-убедителна за обаждащите се.
Нападателите вече не се опитват да проникнат в корпоративни мрежи чрез имейл фишинг или злонамерен софтуер, а вместо това насочват усилията си към IT помощните центрове чрез странни телефонни обаждания.
Тези обаждания идват от фалшиви служители, които се представят за ръководители или служители, опитвайки се да манипулират екипите за поддръжка да нулират настройките за многофакторна автентикация или да регистрират нови устройства за автентикация.
За да направят измамата по-убедителна, обаждащите се разчитат на лични данни, извлечени от платформи като LinkedIn, корпоративни уебсайтове и предишни данни от пробиви.
Илюзията зад привидно легитимни искания
Често създават спешни ситуации, твърдейки, че пътуват в чужбина и изискват незабавен достъп до заключени акаунти, включително нулиране на многофакторната автентикация.
В някои случаи, същият нападател прави повторни странни обаждания, променяйки гласа или идентичността си всеки път, за да увеличи шансовете си за успех.
Междувременно, истинският ръководител остава на бюрото си, напълно неосведомен, че някой активно се представя за него.
Това не е просто поемане на акаунт – това е кражба на идентичност в реално време, осъществявана по телефона.
Техниката, известна като Okta vishing, е форма на гласов фишинг, и след като идентичният доставчик бъде компрометиран, нападателите получават незабавен достъп.
Те поемат контрол над свързаните приложения, достъпни чрез единична автентикация, включително Microsoft 365, SharePoint, Salesforce и Slack.
Докато атаката продължава, често срещаните предлози включват „Получих нов телефон и не мога да получа достъп до Okta“ или „Моята MFA продължава да се проваля и имам среща с клиент след десет минути.“
Нападателят създава спешност, за да принуди служителите за поддръжка да заобиколят стандартните процедури за верификация.
Няколко фактора допринасят за нарастващия успех на атаките с Okta vishing, тъй като те се възползват от естеството на помощните центрове.
Помощните центрове са мотивирани да разрешават проблеми с достъпа бързо, дистанционната работа нормализира решаването на проблеми с автентикацията, а личните данни на служителите лесно се получават онлайн.
Нападателите могат да се представят убедително за ръководители, тъй като организационните схеми и структури на докладване често са публично достъпни.
Също така, идентичните доставчици стават централна контролна точка за достъп до софтуер като услуга и затова са основна цел.
След като бъдат удостоверени в Okta, нападателите наследяват доверителни отношения в всички свързани приложения, без да експлоатират всяко едно поотделно.
След компрометиране, поведението на нападателите често включва изтегляне на данни от SharePoint, експортиране на имейли, създаване на правила за входяща поща, регистриране на OAuth приложения и генериране на API токени.
В много случаи, компрометирането на Okta бързо се превръща в събитие на кражба на облачни данни, а не в традиционно поемане на акаунт.
Технически, MFA работи срещу Okta, но се проваля, когато хората са социално манипулирани да отслабят сами защитите за автентикация.
За съжаление, обикновените антивирусни софтуери не могат да открият телефонно обаждане, а защитната стена не блокира убедителен глас от другата страна на линията.
Екипите по сигурността трябва да наблюдават за събития на нулиране на MFA без ясна обосновка или нова регистрация на устройства, последвана от подозрителна дейност.
Всяко опит за вход от непознати ASN веднага след промени в MFA също трябва да се третира като червен флаг.
Следвайте TechRadar в Google News и добавете ни като предпочитан източник, за да получавате нашите експертни новини, ревюта и мнения в вашите потоци.
Leave feedback about this
Трябва да влезете, за да публикувате коментар.