Uma nova onda de ataques combina vishing com abuso de SSO para extorquir plataformas SaaS. Os cibercriminosos ligam para funcionários, se passam por suporte técnico e obtêm códigos MFA em segundos. Com o acesso ao SSO, eles escalam privilégios e se movem lateralmente, deixando as empresas sem tempo para reagir.
Como funciona a engenharia social sobre SSO federado 🛡️
O ataque explora a confiança nos fluxos de autenticação federados. O vishing engana o usuário para que revele sua senha e o código do aplicativo MFA. Ao acessar o SSO, o atacante obtém um token de sessão válido. A partir daí, ele usa APIs internas para criar contas de administrador em aplicativos SaaS como Slack ou Salesforce, sem ativar alertas de login suspeito.
O funcionário do ano: aquele que entrega seu MFA por telefone 📞
O curioso é que as empresas gastam fortunas em firewalls e depois um funcionário entrega seu código de dois fatores porque o do suporte parecia muito profissional. O atacante só precisa de um roteiro e paciência. Enquanto isso, o CISO revisa logs pensando que é uma falha técnica. O verdadeiro firewall era não atender chamadas de números desconhecidos.