Siber suç çeteleri, şirketin tehdit yönetim ekibinin teknolojisinin zil bir onaylaması olarak tanımladığı şeyde OKTA hizmetlerini kullanarak kimlik doğrulamasını durdurmayı ve kimlik avına dirençli kimlik doğrulama yöntemlerinin neden sadece güzel bir değil, aynı zamanda bir zorunluluk olduğuna dair bir ders olduğunu söylüyor.
Birçok kuruluşta birinci sınıf bir savunma konumu sayesinde, OKTA’nın kimlik yönetim sistemleri, kurbanlarının sistemlerine girmeye çalışırken tehdit aktörleri tarafından sıklıkla hedefleniyor.
Belki de en ünlüsü, hizmetleri Las Vegas casino operatörlerinde 2023 siber soygun bir dizide dağınık örümcek olarak bilinen çete tarafından kullanıldı.
Bu hafta, OKTA Tehdit İstihbaratı Başkan Yardımcısı Brett Winterford, firmanın, siber suçluların hedeflerine “Lütfen normalde oturum açın, Okta Fastpass özelliğini kullanmayın” dedikleri açıklanmayan bir tehdit oyuncusu tarafından nasıl yeni bir sosyal mühendislik kampanyasıyla karşılaştığını açıkladı.
FastPass, OKTA’nın Verify Hizmetinde, güvenli kaynaklara erişmek için biyometri veya cihaz tabanlı güvenlik gibi şifresiz kimlik doğrulama sunan bir özelliktir.
Winterford, bir blog yazısında, “Okta Tehdit İstihbaratı tarafından gözlemlenen yeni bir sosyal mühendislik kampanyasının hedeflerine sunulan bu alışılmadık talimat, siber suçluların ileri, yüksek güvence altındaki oturum açma yöntemlerinin daha yüksek benimsenmesine yanıt olarak taktiklerini nasıl geliştirdiklerine bir bakış sunuyor” dedi.
“Gözlenen kimlik avı saldırıları sırasında saldırganlar… hedeflenen kullanıcıları şirketin mevcut güvenlik önlemlerinden kaçınmaya ikna etmeye çalıştı. Kampanya, hedeflenen kullanıcılara yemleri vermek için güvenilir anlık mesajlaşma iletişim kanallarını – bu durumda gevşek – istismar etti.”
‘Happy Perşembe ve Tebrikler’ başlıklı mesajda, tehdit oyuncusu şirket CEO’su olarak ortaya koydu ve onları ‘özel bir yeni Slack çalışma alanına’ davet etmek için hedefe mesaj attı.
Mesaj elbette bir Phish’ti, çünkü tehdit oyuncusu daha sonra hedeften OKTA hesaplarını bir bağlantı aracılığıyla bağlayarak kurulumu tamamlamasını istedi.
Bununla birlikte, siber suçlular, Okta Fastpass’ın yeni bir gevşek entegrasyonla nasıl çalıştığı ile ‘bazı sorunlar’ gördüklerini iddia ettiler, bu yüzden hedefe FastPass kullanmamalarını istedi ve şifrelerini doğrudan bağlantıda girmeleri gerektiğini ima etti.
Söz konusu bağlantı, Winterford, kullanıcıları, Middle-in-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the Midcary (AITM) Şeffaf Proxy’yi ziyaret etmeye yönlendirdi. Bu kimlik avı kiti daha sonra, tehdit aktör kontrollü altyapı aracılığıyla şifre tabanlı kimlik doğrulama talebini alacak ve kaynağa erişmek için gereken herhangi bir parolayı hem de tek seferlik paskanları (OTP) çalmalarına izin verecekti.
Winterford, saldırganların oturum açma yöntemleri kuruluşlarının son kullanıcılarına sunduğunu iyi anladıklarını, AITM kitlerinin güçlü kimlik avlamaya dirençli kimlik doğrulama yöntemlerinin veya kimlik avı direncinin politikada uygulandığı durumlarda etkili olmadığını belirtti.
“Yöneticiler kimlik doğrulama politikası kuralında kimlik avı direncini zorladığında, bir kullanıcı yalnızca Okta Fastpass, FIDO2 tabanlı kimlik doğrulama veya PIV kullanarak korunan kaynağa erişebilir. [Personal Identity Verification] Akıllı kartlar ”diye yazdı.
“İstek şeffaf bir proxy aracılığıyla yönlendirilirse bu oturum açma yöntemleri erişime izin vermez. Kullanıcılar başka bir oturum açma yöntemini seçmek için kandırılamaz.
Winterford, “Tüm kullanıcılarınız kimliğe dayanıklı kimlik doğrulayıcılarına kayıtlıysa, işin çoğunu yaptınız” diye ekledi.