موجة جديدة من الهجمات تجمع بين التصيد الصوتي (vishing) وإساءة استخدام الدخول الموحد (SSO) لابتزاز منصات SaaS. يتصل مجرمو الإنترنت بالموظفين، وينتحلون صفة فريق الدعم الفني، ويحصلون على رموز المصادقة متعددة العوامل (MFA) في ثوانٍ. بعد الوصول إلى SSO، يقومون بتصعيد الصلاحيات والتنقل أفقيًا، تاركين الشركات دون وقت للرد.
كيف تعمل الهندسة الاجتماعية على SSO الموحد 🛡️
يستغل الهجوم الثقة في تدفقات المصادقة الموحدة. يخدع التصيد الصوتي المستخدم للكشف عن كلمة المرور ورمز تطبيق MFA. عند الدخول إلى SSO، يحصل المهاجم على رمز جلسة صالح. ومن هناك، يستخدم واجهات برمجة التطبيقات الداخلية لإنشاء حسابات مسؤول في تطبيقات SaaS مثل Slack أو Salesforce، دون تفعيل تنبيهات تسجيل الدخول المشبوه.
موظف العام: من يسلم رمز MFA الخاص به عبر الهاتف 📞
الغريب أن الشركات تنفق ثروات على جدران الحماية، ثم يقوم موظف بتسليم رمز المصادقة الثنائية لأن المتصل بدا محترفًا جدًا. يحتاج المهاجم فقط إلى سيناريو وصبر. في هذه الأثناء، يراجع مسؤول أمن المعلومات (CISO) السجلات معتقدًا أنها مشكلة تقنية. الجدار الناري الحقيقي كان عدم الرد على المكالمات من أرقام غير معروفة.