Phishing per Telefon, dass evades MFA und greift die SSO Der neue Corporate Attack Vektor

Unternehmen, die sich auf Single-Session Start-up-Dienste (SSO) wie Okta verlassen, haben gerade eine Warnung erhalten, dass wieder zeigt, wie kreativ und gefährlich die Angreifer sind, wenn sie Social Engineering mit technischen Werkzeugen kombinieren. Okta-Forscher haben Phishing-Kits identifiziert, die speziell für Telefonangriffe entwickelt wurden - bekannt als Vishing - diese Funktion als "adverse-in-the-medium" Plattformen in Echtzeit und werden in einem "Service"-Modell angeboten. Diese Kits sind keine statischen Seiten: Sie ermöglichen es dem Anrufer, zu interagieren und zu modifizieren, was das Opfer sieht, während der Anruf auftritt, erleichtern die Diebstahl von Anmeldeinformationen und die Erlangung mehrerer Verteidigungsmechanismen.

Nach dem von Okta veröffentlichten Bericht umfassen diese Kits ein Bedienfeld, aus dem der Angreifer den Authentifizierungsfluss leitet, im Web angezeigte Dialoge aktualisiert und die Bildschirme mit den Anforderungen synchronisiert, die der legitime Service zum Zeitpunkt des Logins aushebt. Wenn also das Opfer seinen Benutzer und sein Passwort auf der betrügerischen Seite schreibt, werden diese Anmeldeinformationen an den Angreifer gesendet, um sofort einen echten Zugriff zu versuchen. Wenn eine zusätzliche Authentifizierungs-Herausforderung - wie eine Push-Benachrichtigung oder ein TOTP-Code - auftritt, kann der Angreifer die Schnittstelle ändern, die das Opfer sieht, um die legitime Anfrage zu entsprechen und sie somit davon zu überzeugen, den gerade empfangenen Code zu genehmigen oder einzutragen, alles unter Beibehaltung des Telefongesprächs.

Die Angreifer handeln mit der Planung: Sie machen vor der Anerkennung zu wissen, welche Anwendungen eine Zielperson verwendet und die Telefonnummern, die mit der Firmenunterstützung verbunden sind, erstellen benutzerdefinierte Phishing-Seiten, die interne Domänen imitieren (z.B. Varianten, die "intern" oder "my" neben dem Firmennamen enthalten) und rufen Sie von suplantierten Zahlen, die als Hilfedienst erscheinen. In vielen der dokumentierten Vorfälle werden die Daten zwischen der Phishing-Seite und dem Backend des Angreifers in Echtzeit durch Technologien wie Socket wieder übertragen. IO und durch Messaging-Kanäle wie Telegram, die es dem Opfer ermöglichen, sofort zu handhaben.

Dieser Ansatz macht SSO zu einem besonders attraktiven Ziel: Ein einziger Login kann Zugang zu einer Liste von Unternehmensanwendungen - Mail, Cloud-Speicher, CRM, kollaborative Tools und mehr - so dass Kompromisse bei einem Konto die Tür zu einem großen Volumen von wertvollen Informationen öffnen können. Okta und die Medien, die den Fall abgedeckt haben, beschreiben, wie einmal im Okta-Panel, Angreifer überprüfen, welche Anwendungen mit dem kompromittierten Konto verbunden sind und Daten, aus denen sie sensible Informationen enthalten - mit spezifischen Referenzen auf Plattformen wie Salesforce unter den am meisten genutzten - und dann fordern Erpressung oder verkaufen die Informationen.

Eine der besorgniserregendsten Techniken, die diese Kits erlauben, ist die Fähigkeit, moderne MFA-Mechanismen auf Basis von Push- und Nummernanpassungs-Benachrichtigungen zu zeichnen. Indem dem Opfer genau erklärt wird, welche Anzahl oder Aktion in der Mitteilung ausgewählt werden soll, und indem er gleichzeitig einen identischen Dialog auf der Seite zeigt, macht der Angreifer eine Genehmigung legitim. Das gleiche gilt für TOTP-Codes: Wenn der Anrufbediener den Code anfordert und das Opfer ihn in das apocryphal-Web einführt, erreicht dieser Wert den Angreifer und wird sofort zur vollständigen Authentifizierung verwendet.

Okta empfiehlt, dass seine Kunden zu phishing-resistenten Authentifizierungsmethoden wandern, wie FIDO2 Schlüssel, Passwörter oder eine eigene FastPass-Lösung, die die Wirksamkeit solcher Angriffe drastisch reduziert, weil sie nicht von Codes oder Genehmigungen, die vom Intermediär übertragen werden können, abhängen. Sie können Oktas technische Mitteilung und Empfehlungen in seinem Eintrag lesen, wie diese Kits sich an das Skript derer anpassen, die sie anrufen: Okta: Phishing Kits passen sich an das Skript der Anrufer an. Okta unterhält auch praktische Anleitungen, um Social Engineering-Kampagnen für Hilfetabellen zu identifizieren und zu mildern: Helpdesks in der Sozialtechnik.

Die Fachpresse hat konkrete Fälle untersucht und dokumentiert, in denen diese Kits bei Angriffen auf Unternehmen in den Bereichen Finanz- und Immobilienmanagement eingesetzt wurden, und wie Kriminelle den ersten Zugang mit anschließender Erpressung kombiniert haben. Eine gute journalistische Zusammenfassung dessen, was passiert ist, kann in der BleepingComputer-Abdeckung gefunden werden: BleepingComputer: Okta wars des Betrachtens Phishing Kits.

Was können Organisationen und Menschen tun, um Risiken zu reduzieren? Die Reaktion geht durch mehrere Fronten, von Technologie über Sicherheitsprozesse und Kultur. Die Einschränkung der Exposition von delegierten Anmeldeinformationen und die Anwendung des Prinzips der weniger privilegierten Zugriff auf Apps reduziert die Auswirkungen eines Engagements. Die Implementierung und Priorisierung von Authentifizierungsfaktoren, die nicht wahrscheinlich von einem Intermediär neu übertragen werden - die Hardwareschlüssel und FIDO Standard-basierte Anmeldeinformationen sind ein Beispiel - bietet effektive Verteidigung gegen diese Kits in Echtzeit. Darüber hinaus hilft die Annahme von Kontrollen, die ungewöhnliche Verhaltensweisen zu Beginn der Sitzung erkennen, bekannte Phishing-Domains inspizieren und blockieren und die Überprüfungsverfahren für eingehende Anrufe auf die technische Unterstützung stärken, den Social Engineering-Vektor per Telefon zu schneiden.

Die Weiterbildung des Personals ist auch der Schlüssel: die Authentizität von Support-Anrufen zu überprüfen, nicht die Anmeldeinformationen auf Seiten einzugeben, die durch unified Links ankommen und sichere Kanäle verwenden, um sensible Interaktionen zu bestätigen. Nationale Cyber-Sicherheitszentren bieten praktische Anleitungen zum Erkennen und Beantworten von Phishing und Viewing, zum Beispiel britische Dokumentation im National Cyber Security Centre: NCSC: Phishing Guidance, und Organisationen wie FIDO Alliance erklären, warum öffentliche Schlüsseltechnologien das Leben für Angreifer schwierig machen: FI. Allianz.

Diese Vorfälle zeigen zwei klare Lektionen: Erstens, dass Angreifer die Mischung zwischen Social Engineering und Automation weiter verfeinern, um sehr effektive Angriffe zu schaffen; und zweitens, dass die Sicherheit auf der Grundlage von Passwörtern und Faktoren, die neu übertragen werden können, immer eine offene Tür verlassen. Um eine geplante Migration in Richtung einer phishing-resistenten Authentifizierung durchzuführen, eine proaktive Erkennung mit menschlichen Verifikationspraktiken zu kombinieren und den Zugangsbereich durch strenge Genehmigungsrichtlinien zu reduzieren, sind Schritte, die für Organisationen, die sensible Daten behandeln, nicht mehr verzögert werden können.

Wenn Sie die ursprünglichen Forschungs- und technischen Empfehlungen vertiefen möchten, überprüfen Sie Oktas Analyse und die oben verlinkte Medienabdeckung; beide Lesungen bieten Kontext und konkrete Schritte, um Verteidigung gegen diese Art von Kampagne zu starten.