Eine neue Angriffswelle kombiniert Vishing mit SSO-Missbrauch, um SaaS-Plattformen zu erpressen. Cyberkriminelle rufen Mitarbeiter an, geben sich als technischer Support aus und erhalten in Sekunden MFA-Codes. Mit Zugriff auf das SSO eskalieren sie Berechtigungen und bewegen sich lateral, sodass Unternehmen keine Zeit zum Reagieren bleibt.
Wie Social Engineering gegen föderiertes SSO funktioniert 🛡️
Der Angriff nutzt das Vertrauen in föderierte Authentifizierungsabläufe aus. Das Vishing täuscht den Benutzer, sodass er sein Passwort und den MFA-App-Code preisgibt. Nach dem Einloggen ins SSO erhält der Angreifer ein gültiges Sitzungstoken. Von dort aus nutzt er interne APIs, um Administratorkonten in SaaS-Anwendungen wie Slack oder Salesforce zu erstellen, ohne dass Warnungen vor verdächtigen Anmeldungen ausgelöst werden.
Der Mitarbeiter des Jahres: Derjenige, der sein MFA am Telefon weitergibt 📞
Das Merkwürdige ist, dass Unternehmen Vermögen für Firewalls ausgeben und dann ein Mitarbeiter seinen Zwei-Faktor-Code herausgibt, weil der von der Sicherheitsabteilung sehr professionell klang. Der Angreifer braucht nur ein Drehbuch und Geduld. Währenddessen durchsucht der CISO Protokolle und denkt, es sei ein technischer Fehler. Die wahre Firewall war, Anrufe von unbekannten Nummern nicht anzunehmen.