Kifinomult adathalászat és rejtőzködő technikák
A támadók adathalász e-mailekkel szerzik meg az áldozatok többfaktoros hitelesítési (MFA) kódjait, gyakran úgy, hogy egy hamisított weboldalt használnak, amely a valódihoz megtévesztően hasonlít. Ezután bejutnak az Exchange Online e-mailjeibe, szabályokat hoznak létre, amelyek törlik vagy elrejtik a HR-leveleket, így az áldozat semmit sem vesz észre. A megszerzett hozzáféréseket a Workday-be történő bejelentkezésre, bankszámlaszám cseréjére és új MFA-eszközök hozzáadására használják, így a további fizetések már a csalókhoz kerülnek.
Hibás beállítások – nyitott ajtók
Nem a Workday hibáját használják ki, hanem az elavult, könnyen kijátszható MFA-rendszerek és hibás konfigurációk jelentik a gyenge pontot. Már három amerikai egyetemen tizenegy fiókot törtek fel, ezekből huszonöt intézmény csaknem hatezer dolgozóját próbálták becsapni. Az üzenetek tipikus tárgyai: ál-HR frissítés, hamis járványriadó vagy állítólagos tanári visszaélés. Gyakran Google Docs linket használnak, hogy átjussanak a szűrőkön.
Védekezni csak közösen lehet – vagy sehogy
A csalók általában az áldozat tudta nélkül saját telefonjukat rögzítik új MFA-eszközként, így ezután minden jóváhagyás hozzájuk érkezik. Az egyetemeknél hiányzik a rendszerek közötti átláthatóság, ezért nehéz felismerni a támadást. Megoldás: a jelszavak elfelejtése, és ellenállóbb azonosítók, mint a FIDO2 kulcsok, passkey-k vagy a Windows Hello használata. Ha mégis megtörténik a baj, azonnal cserélni kell a hitelesítési adatokat, eltávolítani a hamisított MFA-eszközöket, törölni a csalók által létrehozott szabályokat és visszaállítani a fizetési adatokat.
A nagy munkáltatóknak ideje komolyan venniük a többfaktoros hitelesítést, mert a következő fizetésük könnyen odaveszhet.
