Una nuova ondata di attacchi combina vishing con abuso di SSO per estorcere piattaforme SaaS. I criminali informatici chiamano i dipendenti, si fingono supporto tecnico e ottengono codici MFA in pochi secondi. Con l'accesso al SSO, aumentano i privilegi e si muovono lateralmente, lasciando le aziende senza tempo per reagire.
Come funziona l'ingegneria sociale sull'SSO federato 🛡️
L'attacco sfrutta la fiducia nei flussi di autenticazione federati. Il vishing inganna l'utente per fargli rivelare la password e il codice dell'app MFA. Una volta entrato nell'SSO, l'attaccante ottiene un token di sessione valido. Da lì, utilizza API interne per creare account amministratore in applicazioni SaaS come Slack o Salesforce, senza attivare avvisi di accesso sospetto.
Il dipendente dell'anno: quello che dà il suo MFA al telefono 📞
La cosa curiosa è che le aziende spendono fortune in firewall e poi un dipendente consegna il suo codice a due fattori perché quello della sicurezza sembrava molto professionale. L'attaccante ha bisogno solo di un copione e pazienza. Nel frattempo, il CISO esamina i log pensando che sia un guasto tecnico. Il vero firewall era non rispondere a chiamate da numeri sconosciuti.