Önde gelen kimlik ve erişim yönetimi platformu Okta, şirketin destek ekibini taklit ederek müşterilerini hedef alan karmaşık kimlik avı saldırılarındaki artışa ilişkin bir uyarı yayınladı.
Bu saldırılar, Federal İletişim Komisyonu (FCC) ve çeşitli kripto para platformları da dahil olmak üzere birçok kuruluşu halihazırda etkileyen daha geniş bir kampanyanın parçası.
Saldırganlar, gizli bilgileri ve çok faktörlü kimlik doğrulama (MFA) belirteçlerini toplamak için sahte Okta tek oturum açma (SSO) sayfaları oluşturarak gelişmiş sosyal mühendislik teknikleri kullanıyor.
Kampanya öncelikle ABD’deki yüzlerce kullanıcıyı hedef alıyor ve fotoğraflı kimliklerin ve şifre sıfırlama URL’lerinin çalınmasına odaklanıyor.
Bu tehditlere yanıt olarak Okta, resmi iletişim kanallarını açıklığa kavuşturdu.
Meşru Okta destek e-postaları yalnızca [email protected] veya [email protected]sistem bildirimleri şuradan gönderilirken [email protected] veya [email protected]. Okta, ABD’deki SMS iletişimleri için 893-61 kısa kodunu kullanıyor.
Şirket, destek ekibinin müşteri etkileşimleri sırasında asla şifre veya MFA belirteçleri talep etmeyeceğini vurguluyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Okta Destek, teknik destek sağlarken yetkili temsilciler için telefon ve e-posta kanalları aracılığıyla sıkı bir doğrulama süreci izler.
Güvenlik araştırmacıları, bu saldırılar ile Scattered Spider hacker grubu tarafından yürütülen 2022 Oktapus kampanyası arasındaki benzerliklere dikkat çekti.
Mevcut saldırılarda aşağıdakiler de dahil olmak üzere karmaşık teknikler kullanılmaktadır:
- Özel bir kimlik avı kiti aracılığıyla kurbanlarla gerçek zamanlı iletişim
- Otomatik algılamayı önlemek için Captcha’nın uygulanması
- Okta’nın meşru oturum açma arayüzünün tam olarak kopyalanması
- Kurban telefon numaralarını kullanan, özel olarak tasarlanmış kimlik avı web siteleri.
Saldırganlar, potansiyel olarak kötü amaçlı web sitelerinin ömrünü uzatmak amacıyla Rusya merkezli bir barındırma sağlayıcısı olan RetnNet’e geçmeden önce, başlangıçta altyapılarını Hostwinds ve Hostinger’da barındırdılar.
Keeper Security Güvenlik ve Mimariden Sorumlu Başkan Yardımcısı Patrick Tiquet, çok faktörlü kimlik doğrulamanın bu tür saldırıların önlenmesindeki kritik rolünü vurguluyor ve bunu kimlik avı girişimlerine karşı önemli bir ikinci savunma katmanı olarak tanımlıyor.
Okta kullanan kuruluşlara, kullanıcı eğitimi ve düzenli güvenlik duruşu değerlendirmeleri dahil olmak üzere sağlam güvenlik önlemleri almaları tavsiye edilir.
Okta’dan geldiğini iddia eden şüpheli temas durumunda müşteriler, olayı derhal Okta’nın güvenlik ekibine bildirmelidir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin