新たな攻撃の波が、vishingとSSOの悪用を組み合わせてSaaSプラットフォームを脅迫しています。サイバー犯罪者は従業員に電話をかけ、テクニカルサポートを装い、数秒でMFAコードを入手します。SSOにアクセスすると、特権を昇格させ、横方向に移動し、企業に反応する時間を与えません。
フェデレーテッドSSOに対するソーシャルエンジニアリングの仕組み 🛡️
この攻撃は、フェデレーテッド認証フローへの信頼を悪用します。vishingはユーザーを騙し、パスワードとMFAアプリのコードを漏らさせます。SSOにログインすると、攻撃者は有効なセッショントークンを取得します。そこから、内部APIを使用してSlackやSalesforceなどのSaaSアプリケーションに管理者アカウントを作成し、不審なログインアラートを発生させません。
今年の社員賞:電話でMFAを渡した社員 📞
皮肉なことに、企業はファイアウォールに大金を費やしているのに、従業員はセキュリティ担当者がとてもプロフェッショナルに聞こえたという理由で二要素認証コードを渡してしまいます。攻撃者に必要なのはスクリプトと忍耐だけです。その間、CISOは技術的な障害だと思い込んでログを確認しています。本当のファイアウォールは、知らない番号からの電話に出ないことだったのです。