Zugangsdaten erbeutet mit Vishing

Okta selbst und BleepingComputer beschreiben die raffinierte Masche. Ziel sind SSO-Kontendaten (Single Sign-On) für Okta, Microsoft und Google. So scheint die Gruppierung vorzugehen:

1. Der Angreifende ruft einen Mitarbeiter eines Unternehmens gezielt an und gibt sich als Angehöriger des IT-Personals dieser Firma aus. Dem Opfer fällt nichts auf, weil die angezeigte Telefonnummer auf dem Display plausibel ist. Jedoch ist sie gefälscht.
2. Durch geschickte Anweisungen führt er das Opfer auf eine Web-Seite, die der Firmen-Web-Seite täuschend ähnlich ist.
3. Dort soll der Mitarbeiter Anmeldedaten eingeben.
4. Diese Daten leitet die Gruppierung direkt auf die legitime Web-Seite um.
5. Der Angreifende fordert das Opfer auf, den zugesendeten Code für die Multi-Faktor-Authentifizierung (MFA) einzugeben.
6. Dieser Aufforderung kommt das Opfer nach, ohne zu bemerken, dass auch die neu angezeigte Seite nicht echt, sondern gefälscht ist. So können die Angreifer auch diesen Code abfangen und missbrauchen.
7. Mit diesen Anmeldedaten kann sich die Gruppierung am Konto anmelden und auf dazugehörige Daten und Anwendungen zugreifen.

Die angerufenen Opfer bleiben bis zum Schluss arglos. Laut BleepingComputer wurden mehrere Unternehmen Opfer dieser Vishing-Masche (Voice-Phishing). Auf der Leak-Seite der Gruppierung wurden zuletzt fünf Unternehmen als mutmaßliche Opfer aufgelistet. Dort wurden Daten zum Download angeboten.

Zum Schutz vor solchen und anderen Phishing-Angriffen nutzen Sie möglichst Phishing-resistente Optionen:

• FIDO2-Token
• Passkeys
• Multi-Faktor-Authentifizierung (MFA), die auf biometrischen Merkmalen beruht