บัญชี Okta SSO ตกเป็นเป้าหมายในการโจมตีขโมยข้อมูลด้วย vishing

Okta ได้ออกคำเตือนเกี่ยวกับการใช้ชุดเครื่องมือฟิชชิ่งแบบกำหนดเองที่ออกแบบมาเพื่อการโจมตีทางวิศวกรรมสังคมด้วยเสียง (vishing) โดยเฉพาะ ซึ่ง BleepingComputer ได้รับข้อมูลว่าชุดเครื่องมือเหล่านี้ถูกใช้ในการโจมตีอย่างต่อเนื่องเพื่อขโมยข้อมูลประจำตัว Okta SSO นำไปสู่การขโมยข้อมูล แพลตฟอร์ม adversary-in-the-middle เหล่านี้ช่วยให้ผู้โจมตีสามารถโต้ตอบกับเหยื่อผ่านการโทรศัพท์ได้แบบเรียลไทม์ ทำให้สามารถเปลี่ยนแปลงเนื้อหาและแสดงบทสนทนาที่ตรงกับการดำเนินการของเหยื่อได้ขณะที่การสนทนาดำเนินอยู่ การโจมตีนี้มุ่งเป้าไปที่ผู้ให้บริการข้อมูลประจำตัวรายใหญ่ รวมถึง Google, Microsoft และ Okta รวมถึงแพลตฟอร์มสกุลเงินดิจิทัล โดยมีเป้าหมายสุดท้ายคือการเข้าถึงและขโมยข้อมูลจากบริการทางธุรกิจที่เชื่อมต่อกับ Okta SSO.

Severity: สูง

System Impact:

• Okta SSO
• Google (ผู้ให้บริการข้อมูลประจำตัว)
• Microsoft (ผู้ให้บริการข้อมูลประจำตัว)
• แพลตฟอร์มสกุลเงินดิจิทัล
• Microsoft 365
• Google Workspace
• Dropbox
• Salesforce
• Slack
• Zoom
• Box
• Atlassian Jira and Confluence
• Coupa

Technical Attack Steps:

1. ผู้โจมตีดำเนินการสอดแนมข้อมูลพนักงานที่ตกเป็นเป้าหมาย รวมถึงแอปพลิเคชันที่ใช้งานและหมายเลขโทรศัพท์ฝ่ายสนับสนุน IT ของบริษัท
2. สร้างหน้าฟิชชิ่งที่ปรับแต่งเฉพาะ (เช่น googleinternal[.]com หรือ mygoogle[.]com) และตั้งค่าแพลตฟอร์ม adversary-in-the-middle
3. โทรศัพท์หาเหยื่อโดยปลอมตัวเป็นเจ้าหน้าที่ IT ของบริษัทหรือ Helpdesk โดยใช้หมายเลขที่สวมรอย (spoofed numbers) เช่น เสนอความช่วยเหลือในการตั้งค่า Passkeys สำหรับบริการ Okta SSO
4. หลอกให้พนักงานเข้าชมเว็บไซต์ฟิชชิ่งแบบ adversary-in-the-middle ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งจะดักจับชื่อผู้ใช้และรหัสผ่าน SSO ของพวกเขา ข้อมูลประจำตัวเหล่านี้จะถูกส่งต่อไปยังแบ็คเอนด์ของผู้โจมตีทันที (เช่น ช่อง Telegram)
5. ผู้โจมตีพยายามเข้าสู่ระบบจริงด้วยข้อมูลประจำตัวที่ขโมยมา เมื่อมีการเรียกใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) เช่น การแจ้งเตือนแบบ Push หรือ TOTP ชุดเครื่องมือฟิชชิ่ง C2 จะอัปเดตหน้าฟิชชิ่งในแบบเรียลไทม์เพื่อให้ตรงกับข้อความแจ้งเตือน MFA และผู้โจมตีจะสั่งให้เหยื่อป้อนรหัส MFA บนเว็บไซต์ฟิชชิ่ง
6. เมื่อข้อมูลประจำตัวและรหัส MFA ถูกดักจับได้ทั้งหมด ผู้โจมตีจะเข้าถึง Okta SSO Dashboard ของเหยื่อโดยไม่ได้รับอนุญาต
7. จาก Okta SSO Dashboard ผู้โจมตีจะระบุและเข้าถึงแพลตฟอร์มองค์กรที่เชื่อมโยงอยู่ (เช่น Salesforce, ระบบจัดเก็บข้อมูลบนคลาวด์, แพลตฟอร์มการตลาด) เพื่อขโมยข้อมูลที่ละเอียดอ่อน
8. เมื่อถูกตรวจพบ ผู้โจมตีจะส่งอีเมลเรียกค่าไถ่ไปยังบริษัท โดยเรียกร้องการชำระเงินเพื่อป้องกันการเปิดเผยข้อมูลที่ถูกขโมย

Recommendations:

Short Term:

• ใช้ MFA ที่ทนทานต่อฟิชชิ่ง (phishing-resistant MFA) เช่น Okta FastPass, FIDO2 security keys หรือ Passkeys
• ให้ความรู้แก่พนักงานเกี่ยวกับแนวปฏิบัติที่ดีด้านความปลอดภัย โดยเฉพาะอย่างยิ่งเกี่ยวกับการโจมตีแบบ Vishing (voice phishing) และวิธีการรายงานสายโทรศัพท์ที่น่าสงสัย

Long Term:

• บังคับใช้การใช้งาน MFA ที่ทนทานต่อฟิชชิ่งสำหรับทุกระบบและบริการที่สำคัญ
• จัดการฝึกอบรมและสร้างความตระหนักรู้ให้พนักงานอย่างต่อเนื่องเกี่ยวกับเทคนิควิศวกรรมสังคมที่หลากหลายและวิธีการโจมตีที่เปลี่ยนแปลงไป
• พิจารณาตรวจสอบและประเมินความเสี่ยงของแพลตฟอร์มที่เชื่อมต่อกับ Okta SSO หรือระบบ Single Sign-On อื่นๆ โดยเฉพาะอย่างยิ่งแพลตฟอร์มที่ผู้โจมตีระบุว่า ‘ง่ายต่อการขโมยข้อมูล’ (เช่น Salesforce)

Source: https://www.bleepingcomputer.com/news/security/okta-sso-accounts-targeted-in-vishing-based-data-theft-attacks/