攻击者现在打电话给帮助台,而不是发送钓鱼电子邮件来入侵网络。骗子冒充高管,操纵支持团队重置MFA设置。从linkedIn上抓取的个人详细信息使来电者的欺骗更加令人信服。
攻击者不再试图通过电子邮件钓鱼或恶意软件入侵企业网络,现在他们正通过直接且奇特的电话攻击IT帮助台。
这些电话来自冒充高管或员工的骗子,试图操纵支持团队重置多因素认证设置或注册新的认证设备。
为了使欺骗更加令人信服,打电话的人依赖于从linkedIn、公司网站和以前的数据泄露中收集到的个人信息。文章继续以下内容
他们经常编造紧急情况,声称正在国际旅行,并要求立即访问被锁定的账户,包括多因素认证重置。
在某些情况下,同一攻击者会反复拨打奇怪的电话,每次都改变他们的声音或身份,以提高成功的几率。
与此同时,真正的行政人员仍然坐在他们的办公桌前,完全不知道有人正在积极冒充他们。
这不仅仅是账户接管,这是实时进行的身份盗窃,通过电话执行。
这种技术被称为Okta电话钓鱼,是一种语音钓鱼形式,一旦身份提供者被攻击者攻破,攻击者即可立即获得访问权限。
他们接管了通过单点登录连接的单点登录应用程序,包括Microsoft 365、SharePoint、Salesforce和Slack。
随着攻击的进行,常见的借口包括“我换了一个新手机,无法访问Okta”或“我的多因素认证一直失败,我十分钟后有客户会议”。
攻击者制造紧迫感,迫使支持人员绕过标准验证程序。
几个因素共同导致了Okta钓鱼攻击的成功率上升,因为它利用了呼叫中心的特性。
呼叫中心被激励迅速解决访问问题,远程工作环境使认证故障排除正常化,并且员工详细信息容易在线获取。
攻击者可以令人信服地模仿高管,因为组织结构图和汇报结构通常公开发布。
随着身份提供者成为软件即服务访问的中心控制平面,它们已经成为主要的目标。
一旦通过Okta认证,攻击者可以继承所有连接应用程序的信任关系,而无需逐个利用。
妥协后的行为通常包括下载SharePoint数据、导出电子邮件、创建收件箱规则、注册OAuth应用程序和生成API令牌。
在许多情况下,Okta的妥协迅速变成云数据盗窃事件,而不是传统的账户接管。
技术上,MFA可以对抗Okta,但当人类被社会工程化以削弱自身的身份验证保护时就会失败。
遗憾的是,常规杀毒软件无法检测电话通话,而防火墙也无法阻止电话线上的令人信服的声音。
安全团队应监控没有明确理由的MFA重置事件,或新设备注册后跟随着可疑活动。
在MFA更改后立即来自不熟悉的ASNs的任何登录尝试也应被视为一个红旗。
来自Level Blue
关注TechRadar在谷歌新闻上的动态,并将我们添加为首选来源,以便在您的信息流中获取我们的专家新闻、评论和观点。
