الأمن السيبراني
#أمن_سيبراني
#Okta
تحذير Okta: هجمات صوتية متطورة تسرق بيانات الدخول
أطلقت شركة Okta تحذيراً أمنياً جديداً يتعلق بانتشار أدوات تصيد مخصصة تم تطويرها خصيصاً لهجمات الهندسة الاجتماعية القائمة على الصوت (Vishing). وكشف تقرير لموقع BleepingComputer أن هذه الأدوات تُستخدم حالياً في هجمات نشطة لسرقة بيانات الدخول الموحد (SSO) الخاصة بـ Okta بهدف سرقة البيانات الحساسة.
كيف تعمل هجمات التصيد الصوتي الجديدة؟
وفقاً لتقرير Okta، يتم بيع أدوات التصيد هذه كجزء من نموذج "الخدمة" (Phishing-as-a-Service)، وتستخدمها مجموعات قرصنة متعددة لاستهداف موفري الهوية الرقمية، بما في ذلك Google وMicrosoft وOkta، بالإضافة إلى منصات العملات المشفرة.
على عكس صفحات التصيد التقليدية الثابتة، صُممت هذه المنصات للتفاعل المباشر أثناء المكالمات الصوتية. وتعتمد الميزة الأساسية لهذه الأدوات على التلاعب بالضحايا في الوقت الفعلي، حيث تمنح المتصل تحكماً مباشراً في عملية المصادقة التي يراها الضحية.
كما تظهر الصورة المرفقة، يستخدم المهاجمون لوحة تحكم C2 تتيح التحكم اللحظي في تدفقات المصادقة، مما يمكنهم من تغيير المحتوى وعرض مربعات حوار جديدة فوراً أثناء سير المكالمة.
سيناريو الهجوم: انتحال صفة الدعم الفني
تبدأ الهجمات بقيام المهاجمين بإجراء استطلاع حول الموظف المستهدف، بما في ذلك التطبيقات التي يستخدمها وأرقام هواتف الدعم الفني لشركتهم. ثم يقومون بإنشاء صفحات تصيد مخصصة تحمل أسماء توحي بأنها داخلية (مثل "internal" أو "my")، ويتصلون بالضحية باستخدام أرقام مزيفة تظهر كأنها أرقام الشركة أو مكتب المساعدة.
ينتحل المهاجمون صفة موظفي تكنولوجيا المعلومات (IT)، ويعرضون المساعدة على الموظف لإعداد مفاتيح المرور (passkeys) لتسجيل الدخول إلى خدمة Okta SSO. وبينما يقوم الضحية بإدخال بيانات اعتماده في صفحة التصيد، يتم ترحيل هذه البيانات فوراً إلى المهاجم.
تجاوز المصادقة الثنائية (MFA)
تكمن خطورة هذه الهجمات في قدرتها على تجاوز المصادقة الثنائية الحديثة. عندما يطلب النظام رمز التحقق (MFA)، يقوم المهاجم بتوجيه الضحية عبر الهاتف لإدخال الرموز في موقع التصيد، ليتم اعتراضها واستخدامها فوراً.
أكدت Okta أن هذه المنصات يمكنها تجاوز المصادقة القائمة على الإشعارات (Push-based MFA)، بما في ذلك مطابقة الأرقام، لأن المهاجمين يخبرون الضحايا بالرقم الذي يجب اختياره، وفي الوقت نفسه، تتسبب أداة التصيد في عرض نفس المطالبة في متصفح الضحية.
سرقة البيانات والابتزاز عبر Salesforce
بمجرد سرقة بيانات الدخول، يحصل المهاجمون على إمكانية الوصول إلى لوحة تحكم Okta الخاصة بالموظف، مما يفتح الباب أمام جميع الخدمات السحابية للشركة مثل Microsoft 365 وGoogle Workspace وSalesforce وSlack.
وأشار المهاجمون في رسائل اطلعت عليها BleepingComputer إلى تركيزهم على سرقة البيانات من Salesforce نظراً لسهولة استخراج البيانات منها. وبمجرد اكتشافهم، يرسل المهاجمون رسائل ابتزاز للشركة يطالبون فيها بالدفع لمنع نشر البيانات.
"لقد بحثنا في تطبيقات مختلفة على لوحة تحكم Okta للموظف... قمنا بشكل أساسي باستخراج البيانات من Salesforce... ونقترح بشدة الابتعاد عن Salesforce واستخدام شيء آخر." - جزء من رسالة الابتزاز.
وتشير المصادر إلى أن بعض مطالب الابتزاز تحمل توقيع مجموعة "ShinyHunters" المعروفة، والتي كانت وراء العديد من خروقات البيانات العام الماضي، رغم رفض المجموعة التعليق على هذه الادعاءات.
توصيات الحماية
تستهدف هذه الهجمات حالياً قطاعات التكنولوجيا المالية وإدارة الثروات والخدمات الاستشارية. وتوصي Okta العملاء باستخدام طرق مصادقة مقاومة للتصيد الاحتيالي مثل Okta FastPass أو مفاتيح الأمان FIDO2، وتوعية الموظفين بمخاطر الهندسة الاجتماعية عبر الهاتف.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!