Especialistas em detecção de ameaças e pesquisadores buscam conter uma onda de ataques de phishing por voz direcionados a ferramentas de autenticação única (SSO), que já resultaram em roubo de dados e tentativas de extorsão. Diversos grupos de cibercriminosos estão combinando chamadas de voz e kits de phishing avançados para enganar as vítimas e obter acesso aos seus sistemas — incluindo um grupo que se identifica como ShinyHunters, que divulgou publicamente os nomes de seus supostos alvos e publicou exemplos de dados roubados.
Os ataques compartilham características comuns com campanhas anteriores atribuídas ao ShinyHunters, que abusou de fornecedores terceirizados para obter acesso inicial a várias redes corporativas, incluindo a onda de ataques que afetou mais de 700 ambientes de clientes da Salesforce no último outono.
Criminosos cibernéticos estão registrando domínios personalizados que imitam portais legítimos de autenticação única (SSO) usados por empresas-alvo e, em seguida, implantando kits de phishing por voz personalizados para ligar para as vítimas enquanto controlam remotamente quais páginas aparecem no navegador delas. Isso permite que os atacantes sincronizem seus comandos de voz com solicitações de autenticação multifatorial em tempo real, aumentando a probabilidade de a vítima aprovar ou inserir os códigos necessários no momento certo.
A Okta, uma das provedoras de autenticação única (SSO) visadas por esta campanha, divulgou informações sobre kits de phishing observados nesta e em outras campanhas. Os atacantes, aparentemente alinhados com o grupo ShinyHunters, tentaram extorquir organizações-alvo em nome de um provedor de acesso inicial específico que utilizou um desses kits de phishing.
Pesquisadores da Okta Threat Intelligence observaram pelo menos dois kits de phishing que demonstram a capacidade de imitar em tempo real os fluxos de autenticação de provedores de identidade. Isso cria um pretexto mais convincente para pedir ao usuário que compartilhe suas credenciais e aceite os desafios de autenticação multifatorial.
Um porta-voz da Microsoft afirmou que a empresa não tem nada a acrescentar sobre a campanha. Enquanto isso, um porta-voz do Google disse: “Até o momento, não temos indícios de que o próprio Google ou seus produtos estejam sendo afetados por esta campanha.” Especialistas em segurança observaram que os ataques não envolvem uma vulnerabilidade nos produtos ou na infraestrutura dos fornecedores de autenticação única (SSO), mas sim um ponto fraco persistente na gestão de identidade e acesso. As vítimas estão sendo enganadas mais uma vez e compartilhando suas credenciais com os atacantes.
Não está claro quantas organizações foram afetadas pela campanha.
