تخبر العصابات الإجرامية الإلكترونية أهدافها بالتوقف عن المصادقة باستخدام أوكتا الخدمات في ما يصفه فريق إدارة التهديدات للشركة بأنه تأييد رنين لتكنولوجياها ، ودرس في السبب مصادقة مقاومة للتصيد الأساليب ليست الآن مجرد لطيفة ، ولكن يجب أن تكون.
بفضل موقعها كخط أولي في العديد من المنظمات ، يتم استهداف أنظمة إدارة هوية Okta في كثير من الأحيان من قبل الجهات الفاعلة للتهديدات أثناء محاولتهم العمل في أنظمة ضحاياهم.
ربما الأكثر شهرة ، تم استغلال خدماتها من قبل العصابة المعروفة باسم العنكبوت المبعثر في سلسلة من سرعات الإنترنت 2023 على مشغلي كازينو لاس فيجاس.
هذا الأسبوع ، كشف نائب رئيس شركة Okta Intelligence ، بريت وينترفورد ، كيف كانت الشركة تعثرت في حملة جديدة للهندسة الاجتماعية من خلال ممثل تهديد لم يكشف عنه ، أخبر مجرمو الإنترنت أهدافهم “يرجى تسجيل الدخول بشكل طبيعي ، لا تستخدم ميزة Okta Fastpass”.
FastPass هي ميزة في تحقق أوكتا الخدمة التي تقدم صالمصادقة بدون assword -مثل القياسات الحيوية أو الأمان القائم على الأجهزة-للوصول إلى الموارد المضمنة.
وقال وينترفورد في منشور المدونة: “يقدم هذا التعليمات غير العادية ، التي يتم تسليمها إلى أهداف حملة هندسة اجتماعية حديثة لاحظتها Okta That Intelligence ، نظرة على كيفية تطور مجرمي الإنترنت من تكتيكاتهم استجابةً لاعتماد أعلى من أساليب تسجيل الدخول المتقدمة ذات التأمين العالي”.
“أثناء هجمات التصيد الملحوظة ، حاول المهاجمون … إقناع المستخدمين المستهدفين بالتهرب من التدابير الأمنية التي كانت الشركة في مكانها. أسهرت الحملة القنوات الموثوقة للمراسلات الفورية – في هذه الحالة ، الركود – لتسليم السحر للمستخدمين المستهدفين.”
في الرسالة ، التي تُعتبر “Happy Dhost Thursday & Congrats” ، تم طرحها كمدير تنفيذي للشركة وأمرس الهدف لدعوتهم إلى “مساحة عمل Slack جديدة حصرية”.
كانت الرسالة بالطبع عبارة عن phish ، لأن ممثل التهديد طلب من الهدف إكمال الإعداد عن طريق توصيل حساب OKTA الخاص بهم عبر رابط.
ومع ذلك ، ادعى مجرمو الإنترنت أنهم كانوا يرون “بعض القضايا” مع كيفية عمل Okta Fastpass مع تكامل جديد للركود ، لذلك طلب من Tord The Target عدم استخدام FastPass ، مما يعني أنه ينبغي عليهم إدخال كلمة المرور الخاصة بهم مباشرة على الرابط.
وقال وينترفورد إن الرابط المعني أمر للمستخدمين بزيارة صفحات التصيد التي تعمل خصم في الوسط (AITM) الوكيل الشفاف المعروف باسم Evilginx. بعد ذلك ، قامت مجموعة التصيد هذه بتمثيل طلب المصادقة المستند إلى كلمة المرور من خلال البنية التحتية التي يسيطر عليها ممثل التهديد ، مما يسمح لهم بسرقة كلمتين وأي رمز واحد لمرة واحدة (OTP) اللازمة للوصول إلى المورد.
قال وينترفورد إن المهاجمين يفهمون جيدًا أن اختيار أساليب التسجيل التي تقدمها مؤسساتهم النهائية أمر مهم للغاية ، مشيرا إلى أن مجموعات AITM ليست فعالة في الظروف التي توجد فيها أساليب مصادقة قوية مقاومة للتصيد التصيد ، أو تم تطبيق مقاومة التصيد في السياسة.
“عندما يفرض المسؤولون مقاومة التصيد في قاعدة سياسة المصادقة ، يمكن للمستخدم الوصول إلى المورد المحمي فقط باستخدام OKTA FastPass ، المصادقة المستندة إلى FIDO2 أو PIV [Personal Identity Verification] بطاقات ذكية ، “كتب.
“لن تسمح طرق تسجيل الدخول هذه بالوصول إذا تم توجيه الطلب من خلال وكيل شفاف. لا يمكن خداع المستخدمين في تحديد أي طريقة تسجيل أخرى.
وأضاف Winterford: “إذا تم تسجيل جميع المستخدمين في المصادقين المقاومون للتصيد ، فقد قمت بمعظم العمل”.
