Valós idejű manipuláció a telefonon keresztül
A kifinomult eszköztár lényege, hogy a támadó a beszélgetés alatt végig irányítás alatt tartja az áldozat hitelesítési folyamatát. Miközben az áldozat begépeli a belépési adatait a hamisított Okta-oldalra, az adatokat azonnal továbbítják a támadóhoz, aki valós időben próbál belépni a szolgáltatásba. Amennyiben többfaktoros azonosítást (például egyszer használatos kódot vagy tolakodó push-értesítést) kér a rendszer, a támadó utasítja az áldozatot, hogy pontosan hogyan járjon el. A phishing-oldal dinamikusan igazodik minden lépéshez, így minden hitelesítési kihívás teljesen legitimnek tűnik a munkavállaló számára.
Célzott támadások konkrét információk alapján
Felderítés, hamis helpdesk és azonnali adatlopás
Az elkövetők nem válogatás nélkül támadnak: előzetesen feltérképezik a kiszemelt munkavállaló alkalmazásait, szolgáltatásait és azokat a telefonszámokat, amelyeket a céges IT-támogatáshoz társítanak. Ezt követően a cég vagy a helpdesk telefonszámát utánozva keresik fel az áldozatot, és egyéni, a cégre szabott adathalászoldalra terelik. Amint az áldozat megadja a felhasználónevét és jelszavát, az adatokat szinte azonnal a támadók Telegram-csatornájára küldik, ahonnan perceken belül tovább lehet lépni a valós rendszerbe.
Mindebből fakadóan a támadók képesek a modern, push-alapú többfaktoros hitelesítések kijátszására is – konkrétan megmondják, melyik számot válassza az áldozat. A phishing-platform háttere közben a böngészőben is pontosan azt jeleníti meg, amit a valódi hitelesítőoldal mutatna.
A támadók célpontjai és zsákmányuk
Belső rendszerből indul a zsarolás
Az Okta egyfajta kapuként működik az olyan vállalati szoftverekhez, mint a Microsoft 365, Google Workspace, Dropbox, Salesforce vagy Slack. Egyetlen sikeres belépés után a támadó egy csapásra rálát a cég összes kritikus rendszerére, és elindíthatja az adatok begyűjtését. A kompromittált jelszavak birtokában a támadó elsőként mindig megnézi, milyen belső alkalmazásokat használ a munkavállaló. Konkrétabban a támadók a tapasztalatok szerint leggyakrabban a Salesforce-ból emelnek ki nagy mennyiségű adatot, mivel onnan ez könnyen megoldható.
A történet másik oldala viszont, hogy miután lebuknak, a kiberbűnözők zsaroló e-mailt küldenek a cégnek: pénzt követelnek, különben nyilvánosságra hozzák a megszerzett adatokat. Egyes források szerint a követelések mögött egy jól ismert, adatlopásokban utazó zsaroló banda áll, bár ezt hivatalosan nem erősítették meg.
Piaci szereplők a célkeresztben
Pénzügy, tanácsadás, fintech cégek veszélyben
A mostani támadáshullám főként a pénzügyi, vagyonkezelő, tanácsadó és fintech szektor cégeire irányul, ahol kritikusan fontos adatvagyonnal dolgoznak. A támadók által használt phishing-oldalak még a cég nevének variációit is tartalmazzák, gyakoriak például az olyan webcímek, mint a googleinternal.com vagy a mygoogle.com, attól függően, melyik vállalat ellen irányul a támadás.
Okta válasza és védekezési lehetőségek
A védelem kulcsa: tudatosság és erős hitelesítés
Az Okta hangsúlyozza, hogy az ügyfelek biztonsága mindennél fontosabb. Az aktívan monitorozott adathalász oldalaknak és a folyamatos edukációnak köszönhetően felveszik a harcot az egyre szofisztikáltabb támadásokkal szemben, ám a felhasználói tudatosság és a haladó, adathalászatnak ellenálló hitelesítési megoldások, mint az Okta FastPass, a FIDO2-kulcs vagy a passkey használata elengedhetetlen.
A támadók folyamatosan fejlesztenek, sikerük azonban leginkább azon múlik, hogy a munkatársak felismerik-e a manipulatív telefonhívások, a hamis weboldalak és a váratlan hitelesítési kérések mögötti valódi szándékokat.
