- Los atacantes ahora llaman al servicio de asistencia técnica en lugar de enviar correos electrónicos de phishing para violar la red.
- Los estafadores se hacen pasar por ejecutivos para manipular al equipo de soporte y restablecer la configuración de MFA
- Eliminar datos personales de LinkedIn hace que la estafa sea más creíble para las personas que llaman
Los atacantes ya no intentan ingresar a las redes corporativas mediante phishing por correo electrónico o malware y ahora apuntan a los servicios de asistencia técnica de TI directamente y mediante llamadas telefónicas de broma.
Estas llamadas provienen de estafadores que se hacen pasar por ejecutivos o personal, tratando de manipular a los equipos de soporte para que restablezcan la configuración de autenticación multifactor o registren nuevos dispositivos de autenticación.
Para hacer que la estafa sea más creíble, las personas que llaman se basan en datos personales extraídos de plataformas como LinkedIn, sitios web de empresas y datos de violaciones anteriores.
El artículo continúa a continuación.
Fraude detrás de solicitudes aparentemente legítimas
A menudo inventan emergencias, afirman viajar internacionalmente y exigen acceso inmediato a cuentas bloqueadas con restablecimientos de autenticación multifactor.
En algunos casos, el mismo atacante realiza repetidamente llamadas falsas y cambia su voz o identidad cada vez para mejorar sus posibilidades de éxito.
Mientras tanto, los verdaderos ejecutivos permanecen en sus escritorios, sin darse cuenta de que alguien se está haciendo pasar por ellos.
No es sólo una apropiación de cuentas: es un robo de identidad en tiempo real, realizado por teléfono.
La técnica, conocida como Okta vishing, es una forma de phishing por voz y, una vez que un proveedor de identidad se ve comprometido, los atacantes obtienen acceso inmediato.
Aceptan aplicaciones posteriores conectadas mediante inicio de sesión único, incluidos Microsoft 365, SharePoint, Salesforce y Slack.
A medida que avanzaba el ataque, las excusas comunes eran “Tengo un teléfono nuevo y no puedo acceder a Okta” o “Mi MFA está fallando y tengo una reunión con un cliente en diez minutos”.
Los atacantes crean urgencia para presionar al personal de soporte para que eluda los procedimientos de verificación estándar.
Varios factores contribuyen al creciente éxito de los ataques de phishing de Okta, ya que aprovechan la naturaleza de los servicios de asistencia técnica.
Se alienta a los servicios de asistencia técnica a resolver los problemas de acceso rápidamente, los entornos de trabajo remotos normalizan la resolución de problemas de autenticación y los detalles de los empleados están disponibles en línea.
Los atacantes pueden hacerse pasar por ejecutivos de manera creíble porque los organigramas y las estructuras de informes a menudo están disponibles públicamente.
A medida que los proveedores de identidad se convierten en el plano de control central para acceder a los servicios de software, se han convertido en un objetivo principal.
Una vez autenticados en Okta, los atacantes heredan relaciones de confianza entre todas las aplicaciones conectadas sin explotar cada una individualmente.
El comportamiento posterior al compromiso a menudo incluye descargar datos de SharePoint, exportar correos electrónicos, crear reglas de bandeja de entrada, registrar aplicaciones OAuth y generar tokens API.
En muchos casos, un compromiso de Okta se convierte rápidamente en un caso de robo de datos en la nube en lugar de una apropiación de cuentas tradicional.
Técnicamente, MFA va en contra de Okta, pero falla cuando las personas están diseñadas socialmente para socavar las protecciones de autenticación.
Desafortunadamente, el software antivirus normal no puede detectar una llamada telefónica y un firewall no bloquea una voz confiable en la línea.
Los equipos de seguridad deben monitorear eventos de reinicio de MFA sin una justificación clara o inscripciones de nuevos dispositivos seguidas de actividad sospechosa.
Cualquier intento de inicio de sesión desde un ASN desconocido inmediatamente después del cambio de MFA también debe considerarse una señal de alerta.
a través de Nivel azul
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
