サイバー攻撃者は人気のあるアイデンティティプロバイダであるOktaに対する戦術をシフトさせています。この変化は初期アクセスの定義を変えます。かつてのアカウント侵害は今や即座なデータ漏洩です。
攻撃者はフィッシングメールやマルウェアをスキップします。代わりに、被害者またはITヘルプデスクに電話します。彼らは多要素認証(MFA)を弱めたりリセットするよう騙します。
Oktaの内部に一度入ると、攻撃者はシングルサインオン(SSO)を介して組織のSaaSアプリケーション全体への信頼されたアクセス権を獲得します。
これはしばしばSharePointとOneDriveからのデータ盗難に直結します。もはや認証の失敗ではなく、完全な侵害です。
Oktaビッシングはボイスフィッシングをソーシャルエンジニアリングと組み合わせたものです。攻撃者はITサポートまたは従業員になりすまします。彼らは被害者またはヘルプデスクにMFAを変更するか、アクセスを共有するよう強制します。
戦術にはMFAのリセット、新しい認証デバイスの追加、ワンタイムパスコード(OTP)の共有、プッシュ通知の承認、またはパスワードの引き渡しが含まれます。
成功すると、Microsoft 365、SharePoint、OneDrive、Salesforce、Google Workspace、Slack、VPN、HR ツールなどのアプリへの即座的なSSO アクセスが許可されます。それぞれを個別にハッキングする必要はありません。信頼はすでにそこにあります。
なぜこれが増加しているのですか?MFAは技術的な攻撃をよくブロックしますが、人間はプレッシャーの下で弱まります。ヘルプデスクは問題を修正するために急ぎます。リモートワークはトラブルシューティングを通常のものにします。
攻撃者はLinkedIn、会社サイト、または組織図から詳細を取得します。彼らは信じられるほど確実に経営幹部または新入社員になりすまします。
これはSharePointとOneDriveに大きな打撃を与えます。攻撃者はライブラリ、ストレージ、Teamsファイル、ウィキ、CRMsを直接襲撃します。
翻訳元: https://cyberpress.org/okta-targeted-in-cyber-campaigns/