語音釣魚工具包讓威脅行為者即時掌控攻擊行動

Okta的研究人員警告,近期出現了一系列的釣魚工具包,旨在協助威脅行為者發動複雜的語音釣魚(vishing)攻擊,這些攻擊能夠繞過多因素身份驗證(MFA)。

Okta表示,「這些功能中最關鍵的是客戶端腳本,這使得威脅行為者能夠在目標用戶的瀏覽器中實時控制身份驗證流程,同時提供口頭指令或回應目標用戶的口頭反饋。」

「正是這種實時會話協調提供了說服力,使得威脅行為者的目標用戶願意批准推送通知、提交一次性密碼(OTP)或執行威脅行為者需要的其他操作,以繞過多因素身份驗證控制。」

這些釣魚工具包允許攻擊者指導受害者完成攻擊流程,具體步驟如下:

  • 「威脅行為者對目標進行偵查,了解用戶的姓名、常用的應用程式及 IT 支援通話中的電話號碼;
  • 威脅行為者將自定義的釣魚網頁上線,並偽裝成公司的電話號碼或其支援熱線撥打目標用戶的電話;
  • 威脅行為者說服目標用戶以 IT 支援或安全需求為理由,在瀏覽器中導航到釣魚網站;
  • 目標用戶輸入其用戶名和密碼,這些資料會自動轉發到威脅行為者的 Telegram 頻道;
  • 威脅行為者將用戶名和密碼輸入目標用戶的合法登入頁面,並評估所呈現的 MFA 挑戰;
  • 威脅行為者實時更新釣魚網站,以符合他們對用戶輸入 OTP、接受推送通知或執行其他 MFA 挑戰的口頭請求。」

Okta Threat Intelligence 的威脅研究員 Moussa Diallo 表示,「一旦您進入這些工具的『駕駛座』,就能立即明白為什麼我們觀察到語音社會工程的數量在增加。」

「使用這些工具套件,攻擊者可以在與目標用戶通話時控制身份驗證流程,因為該用戶獲得的憑證釣魚頁面與他們在通話中提供的指令完美同步。威脅行為者可以利用這種同步來擊敗任何形式的非釣魚抗性MFA。」

KnowBe4讓您的員工每天做出更明智的安全決策。全球超過70,000個組織信任KnowBe4 HRM+平台來鞏固他們的安全文化並降低人為風險。

Okta有這個文章

文章來源: Voice Phishing Kits Give Threat Actors Real-Time Control Over Attacks

You cannot copy content of this page