Новая волна атак сочетает вишинг с использованием SSO для вымогательства у платформ SaaS. Киберпреступники звонят сотрудникам, выдают себя за техподдержку и за секунды получают коды MFA. Получив доступ к SSO, они повышают привилегии и перемещаются по сети, не оставляя компаниям времени на реакцию.
Как работает социальная инженерия на основе федеративного SSO 🛡️
Атака использует доверие к федеративным потокам аутентификации. Вишинг обманом заставляет пользователя раскрыть свой пароль и код из приложения MFA. Войдя в SSO, злоумышленник получает действительный токен сессии. Оттуда он использует внутренние API для создания учетных записей администратора в приложениях SaaS, таких как Slack или Salesforce, не вызывая предупреждений о подозрительном входе в систему.
Сотрудник года: тот, кто отдает свой MFA по телефону 📞
Забавно, что компании тратят целые состояния на межсетевые экраны, а затем какой-нибудь сотрудник передает свой код двухфакторной аутентификации, потому что голос в трубке звучал очень профессионально. Злоумышленнику нужен только сценарий и терпение. Тем временем CISO просматривает логи, думая, что это технический сбой. Настоящим межсетевым экраном было не отвечать на звонки с незнакомых номеров.