Une nouvelle vague d'attaques combine le vishing avec l'abus du SSO pour extorquer les plateformes SaaS. Les cybercriminels appellent les employés, se font passer pour le support technique et obtiennent les codes MFA en quelques secondes. Avec l'accès au SSO, ils escaladent les privilèges et se déplacent latéralement, laissant les entreprises sans temps pour réagir.
Comment fonctionne l'ingénierie sociale sur le SSO fédéré 🛡️
L'attaque exploite la confiance dans les flux d'authentification fédérés. Le vishing trompe l'utilisateur pour qu'il révèle son mot de passe et le code de l'application MFA. En accédant au SSO, l'attaquant obtient un jeton de session valide. De là, il utilise les API internes pour créer des comptes administrateur dans des applications SaaS comme Slack ou Salesforce, sans déclencher d'alertes de connexion suspecte.
L'employé de l'année : celui qui donne son MFA par téléphone 📞
Ce qui est curieux, c'est que les entreprises dépensent des fortunes en pare-feux, puis un employé donne son code à deux facteurs parce que le gars de la sécurité avait l'air très professionnel. L'attaquant n'a besoin que d'un script et de patience. Pendant ce temps, le RSSI examine les logs en pensant qu'il s'agit d'une panne technique. Le véritable pare-feu était de ne pas répondre aux appels de numéros inconnus.