Eine neue Angriffswelle kombiniert Vishing mit SSO-Missbrauch, um SaaS-Plattformen zu erpressen. Cyberkriminelle rufen Mitarbeiter an, geben sich als technischer Support aus und erhalten in Sekunden MFA-Codes. Mit dem Zugang zum SSO eskalieren sie Privilegien und bewegen sich lateral, sodass Unternehmen keine Zeit zum Reagieren bleibt.
Wie Social Engineering auf föderiertes SSO funktioniert 🛡️
Der Angriff nutzt das Vertrauen in föderierte Authentifizierungsabläufe aus. Das Vishing täuscht den Benutzer, sodass er sein Passwort und den MFA-App-Code preisgibt. Beim Einloggen ins SSO erhält der Angreifer ein gültiges Sitzungstoken. Von dort aus verwendet er interne APIs, um Administratorkonten in SaaS-Anwendungen wie Slack oder Salesforce zu erstellen, ohne Warnmeldungen über verdächtige Anmeldungen auszulösen.
Der Mitarbeiter des Jahres: Derjenige, der sein MFA am Telefon weitergibt 📞
Das Kuriosum ist, dass Unternehmen Vermögen für Firewalls ausgeben und dann ein Mitarbeiter seinen Zwei-Faktor-Code herausgibt, weil der Sicherheitsmitarbeiter sehr professionell klang. Der Angreifer braucht nur ein Drehbuch und Geduld. Währenddessen überprüft der CISO Logs und denkt, es sei ein technischer Fehler. Die wahre Firewall war, Anrufe von unbekannten Nummern nicht entgegenzunehmen.