Okta алармира за специализирани фишинг комплекти, създадени за гласови атаки (vishing), които активно се използват за кражба на Okta SSO идентификационни данни. Тези комплекти се предлагат като “as a service” и се използват от няколко хакерски групи, насочени към Google, Microsoft, Okta и криптовалутни платформи.

За разлика от статичните фишинг страници, тези комплекти позволяват жив интерактивен контрол на атаката чрез телефонни обаждания, като съдържанието на фишинг страницата се променя в реално време според действията на жертвата.

Как работи атаката

1. Персонализирани фишинг страници:

   • Създават се страници, имитиращи корпоративни портали (често съдържащи думи като „internal“ или „my“).

   • Страниците се адаптират в реално време чрез C2 панел, който позволява на атакуващия да манипулира процеса на автентикация.

2. Кражба на SSO и MFA данни:

   • Жертвата въвежда потребителско име и парола, които веднага се препращат към атакуващия.

   • Ако системата изисква MFA (OTP или push нотификация), атакуващият насочва жертвата да въведе кода на фишинг сайта.

   • Това позволява заобикаляне на push-базирана MFA, включително number matching.

3. Социален инженеринг по телефона:

   • Атакуващите се представят за IT или помощен персонал.

   • Те изпълняват разузнаване, за да определят кои приложения и номера на телефони използва жертвата, след което звънят с фалшиви корпоративни номера.

4. Източване на данни:

   • След като получат достъп до Okta SSO, атакуващите виждат панела с всички корпоративни платформи, към които жертвата има достъп.

   • Най-често извличат данни от Salesforce и други критични системи.

   • В някои случаи последва искане на откуп чрез заплахи за разкриване на откраднатите данни.

Препоръки от Okta

• Използвайте фишинг-резистентна MFA, като:

  • Okta FastPass

  • FIDO2 ключове

  • Passkeys

• Обучение на служителите:

  • Важно е компаниите да информират служителите за социален инженеринг и vishing атаки.

  • Okta предоставя практически съвети и насоки в своите блогове:

    • Help Desks Targeted in Social Engineering

    • Phishing Kits Adapt to the Script of Callers

• Мониторинг на подозрителни логини:

  • Следете за необичайни MFA предизвикателства и аномалии при влизанията.

Значение за организациите

• Okta SSO предоставя централен достъп до корпоративни платформи, което прави атаките особено опасни.

• Злоупотребата с SSO данни позволява достъп до корпоративно облачно съхранение, CRM, маркетинг, анализи и финансови платформи.

• Атаките са активни срещу компании в финансовия, fintech и консултантския сектор.