- 攻撃者はネットワークに侵入するためにフィッシングメールを送信する代わりに、ヘルプデスクに電話をかけるようになった
- 詐欺師は経営幹部になりすまし、サポートチームを操ってMFA設定をリセットさせる
- LinkedInから収集された個人情報により、発信者の詐欺がより説得力を持つようになる
攻撃者はメールフィッシングやマルウェアを通じて企業ネットワークに侵入しようとしなくなり、現在は直接的で奇妙な電話を通じてITヘルプデスクを標的にしている。
これらの電話は経営幹部またはスタッフになりすましている詐欺師からのもので、サポートチームを操って多要素認証設定をリセットさせるか新しい認証器デバイスを登録させようとしている。
詐欺をより説得力を持たせるために、発信者はLinkedIn、企業ウェブサイト、および過去の漏洩データから収集された個人情報に依存している。
記事は以下に続きます
一見正当に見えるリクエストの背後にある詐欺
彼らはしばしば緊急の状況を作り上げ、国際的に移動していると主張し、多要素認証のリセットを含む、ロックされたアカウントへの即座のアクセスを要求する。
場合によっては、同じ攻撃者が繰り返し奇妙な電話をかけ、成功の可能性を高めるために毎回音声やアイデンティティを変える。
一方、本当の経営幹部は自分たちのデスクに座ったままで、誰かが積極的に自分たちになりすまされていることに全く気づいていない。
これは単なるアカウント乗っ取りではなく、電話を通じてリアルタイムで実行されるアイデンティティ盗難である。
このテクニックはOkta vishingとして知られ、音声フィッシングの一形態であり、アイデンティティプロバイダーが侵害されると、攻撃者は即座にアクセスを獲得する。
彼らはシングルサインオンを通じて接続されたダウンストリームアプリケーション(Microsoft 365、SharePoint、Salesforce、Slackを含む)を乗っ取る。
攻撃が進行するにつれ、一般的な口実には「新しい電話を購入してOktaにアクセスできない」または「私のMFAが機能しなくなっていて、10分後にクライアントとのミーティングがある」が含まれる。
攻撃者は緊急性を作り出し、サポートスタッフに標準的な検証手順を回避するよう圧力をかける。
複数の要因がOkta vishing攻撃の成功の上昇に貢献しており、それはヘルプデスクの性質を悪用している。
ヘルプデスクはアクセス問題を迅速に解決することが奨励され、リモートワーク環境は認証トラブルシューティングを正常化し、従業員の詳細はオンラインで簡単に取得できる。
組織図およびレポート構造がしばしば公開されているため、攻撃者は説得力を持って経営幹部になりすまそうとすることができる。
アイデンティティプロバイダーがサービスとしてのソフトウェアアクセスの中央制御プレーンになるにつれ、彼らは主要なターゲットになっている。
Oktaで認証されると、攻撃者は各アプリケーションを個別に悪用することなく、すべての接続されたアプリケーション全体の信頼関係を継承する。
侵害後の行動には、SharePointデータのダウンロード、メールのエクスポート、受信トレイルールの作成、OAuthアプリケーションの登録、APIトークンの生成が頻繁に含まれる。
多くの場合、Okta侵害は従来のアカウント乗っ取りではなく、クラウドデータ盗難イベントになっていく。
技術的には、MFAはOktaに対して機能するが、人間が認証保護を弱めるように社会工学的に操られた場合に失敗する。
残念ながら、通常のアンチウイルスソフトウェアは電話を検出できず、ファイアウォールは説得力のある声をブロックしない。
セキュリティチームはMFAリセットイベント(明確な正当化なし)や新しいデバイス登録に続く疑わしい活動を監視する必要がある。
MFA変更直後の不慣れなASNからのログイン試行も警告信号として扱うべきである。
