A Okta emitiu um alerta sobre kits personalizados de phishing desenvolvidos especificamente para ataques de engenharia social por voz, conhecidos como vishing.
Em um relatório recente, pesquisadores da Okta detalham que esses kits são oferecidos como um serviço (“as a service”) e estão em uso por diversos grupos hackers para atacar provedores de identidade como Google, Microsoft, Okta, além de plataformas de criptomoedas.
Ao contrário das tradicionais páginas estáticas de phishing, essas plataformas do tipo “adversary-in-the-middle” permitem interação ao vivo por meio de chamadas telefônicas.
Isso possibilita que os atacantes modifiquem o conteúdo e exibam diálogos em tempo real durante a ligação.
O diferencial desses kits está na manipulação imediata da vítima por meio de scripts que dão ao invasor controle direto sobre o processo de autenticação.
Conforme o alvo insere suas credenciais na página falsa, elas são enviadas ao atacante, que tenta acessar o serviço enquanto ainda está na ligação.
Quando o sistema exige um segundo fator de autenticação (MFA), como push notification ou código OTP, o hacker pode alterar instantaneamente a página mostrada para que coincida com o desafio exibido à vítima, tornando o pedido fraudulento de MFA aparentemente legítimo.
Segundo a Okta, esses ataques são muito bem planejados.
Os criminosos costumam fazer um reconhecimento prévio do funcionário-alvo, identificando quais apps ele usa e números de telefone vinculados ao suporte de TI da empresa.
Com esses dados, os golpistas criam páginas de phishing personalizadas e ligam para a vítima usando números corporativos falsificados.
As credenciais inseridas são direcionadas ao backend dos invasores, frequentemente por meio de canais no Telegram.
Isso permite que o hacker realize tentativas reais de login com autenticação MFA simultaneamente à ligação.
Durante a chamada, eles orientam a vítima a informar os códigos TOTP na página falsa, que são interceptados pelas ferramentas do ataque e empregados para acessar as contas.
A Okta destaca que essas plataformas conseguem contornar métodos modernos de MFA baseados em push, incluindo o recurso de "number matching".
Isso ocorre porque os atacantes dizem à vítima qual número escolher, enquanto a página de phishing ajusta a solicitação, tornando tudo aparentemente legítimo.
A recomendação da empresa é que os clientes adotem métodos de MFA resistentes a phishing, como Okta FastPass, chaves de segurança FIDO2 ou passkeys.
A Okta é um provedor de identidade baseado na nuvem, que funciona como sistema central de login para diversos serviços corporativos amplamente utilizados.
Seu SSO permite que colaboradores se autentiquem uma única vez para acessar várias plataformas da empresa sem a necessidade de múltiplos logins.
Entre as integrações do Okta SSO estão Microsoft 365, Google Workspace, Dropbox, Salesforce, Slack, Zoom, Box, Atlassian Jira e Confluence, Coupa, entre outras.
Uma vez autenticado, o usuário visualiza um painel com todos os serviços disponíveis na empresa, facilitando o acesso direto.
Isso torna o Okta SSO um gateway fundamental para operações corporativas, mas também um alvo valioso para criminosos que querem explorar o ecossistema digital da organização.
De acordo com a apuração, o ataque começa com ligações em que os golpistas se passam por técnicos do departamento de TI, oferecendo ajuda para configurar passkeys no serviço Okta SSO.
Eles induzem os funcionários a visitar sites de phishing especialmente elaborados para atuar como intermediários — capturando credenciais e códigos TOTP.
Algumas dessas operações ocorrem em tempo real via servidores Socket.IO hospedados em domínios como inclusivity-team[.]onrender.com.
Esses sites falsos fazem referência à empresa-alvo e geralmente incluem termos como “internal” ou “my”.
Por exemplo, para a Google, os domínios podem ser googleinternal[.]com ou mygoogle[.]com.
Após obter as credenciais, o invasor acessa o painel Okta da vítima para verificar os serviços disponíveis e começa a roubar dados de plataformas, com destaque para o Salesforce, devido à facilidade de exfiltrar informações dessa ferramenta.
Quando descobertos, os invasores enviam mensagens de extorsão à companhia, exigindo pagamento para evitar a divulgação dos dados roubados.
Fontes informaram que alguns desses pedidos são assinados pelo grupo ShinyHunters, conhecido por ataques semelhantes e responsável por grandes vazamentos, incluindo os recentes roubos de dados do Salesforce.
Até o momento, as investigações indicam que os ataques continuam ativos, focados em empresas dos setores de fintech, gestão de patrimônio, financeiro e consultoria.
A sofisticação dessas campanhas exige que as empresas adotem todas as medidas necessárias para proteger seus sistemas e mantenham a educação contínua dos funcionários sobre práticas de segurança.”
A empresa também disponibiliza melhores práticas e orientações eficazes para identificar e combater ataques de engenharia social, detalhadas nos blogs https://www.okta.com/blog/threat-intelligence/help-desks-targeted-in-social-engineering-targeting-hr-applications/ e https://www.okta.com/blog/threat-intelligence/phishing-kits-adapt-to-the-script-of-callers/.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...