“Faça login normalmente, não utilize o recurso Okta FastPass.”
Esta instrução incomum, entregue aos alvos de uma campanha recente de engenharia social observada pela Okta Threat Intelligence, oferece uma visão de como os criminosos cibernéticos estão evoluindo suas táticas em resposta à maior adoção de métodos de login avançados e de alta segurança.
Durante os ataques de phishing observados, os invasores se passaram por um CEO de uma empresa e tentaram convencer os usuários-alvo a evitar as medidas de segurança que a empresa havia implementado. A campanha utilizou canais de comunicação de mensagens instantâneas confiáveis (neste caso, o Slack) para enviar iscas aos usuários-alvo.
Os contatos de seguran ça nos clientes da Okta podem acessar um aviso detalhado de amea ça sobre esta campanha de phishing depois de se autenticarem em security.okta.com.
Por que os invasores têm uma opinião sobre seu método de login?
A escolha dos métodos de login (“autenticadores”) que você oferece aos usuários é realmente importante.
As iscas de phishing que observamos direcionavam os usuários-alvo a visitar páginas de phishing que executavam o Evilginx, um proxy transparente do tipo adversary-in-the-middle (AitM).
Esses kits de phishing podem ser usados para passar uma solicitação de autenticação legítima pela infraestrutura do invasor, permitindo que o invasor acesse tanto as senhas do usuário quanto qualquer formulário de Senha Única (SMS, TOTP, etc.) necessária para acessar o recurso. As páginas de phishing também podem ser configuradas para capturar o token de sessão retornado ao navegador do usuário quando ele faz login por meio desses proxies.
No entanto, os kits de phishing AitM não são eficazes contra Organizações que implementam métodos de autenticação fortes e resistentes a phishing e impõem resistência ao phishing nas políticas.
Quando os administradores impõem resistência a phishing em uma regra de política de autenticação, um usuário só pode acessar o recurso protegido usando Okta FastPass, autenticação baseada em FIDO2 ou cartões inteligentes PIV. Esses métodos de login não permitirão o acesso se a solicitação for roteada por meio de um proxy transparente. Os usuários não podem ser induzidos a selecionar qualquer outro método de login.
No passado, também observamos invasores tentando convencer usuários privilegiados a remover fisicamente sua chave de segurança FIDO2, na esperança de que as políticas de autenticação ainda permitam o acesso usando uma alternativa menos segura. Em ataques mais recentes, agentes de phishing direcionaram usuários inscritos em chaves FIDO para páginas de login que os enganam, fazendo-os pensar que sua chave está defeituosa, novamente na esperança de que o usuário escolha manualmente um fator que não seja resistente a phishing. Esses ataques de “downgrade de MFA” só são possíveis se o usuário estiver inscrito em formas mais fracas de autenticação e a resistência a phishing não for exigida na política.
Alguns métodos de autenticação avançados podem ir além do que o FIDO2 pode alcançar. Por exemplo, quando a resistência a phishing está habilitada na política, o FastPass impede que o usuário seja comprometido e também cria um evento de detecção no Registro do Sistema Okta que pode ser usado para identificar se outros usuários interagiram com o kit de phishing. Ele também verifica o contexto do dispositivo sempre que um invasor tenta reproduzir um token de sessão roubado usando malware ladrão de informações de um dispositivo diferente. Quando combinado com o Identity Threat Protection, o FastPass pode invocar automaticamente um evento de “Universal Logout”, desconectando um usuário comprometido de aplicativos downstream e, se desejado, de seu dispositivo.
Então, se eu inscrever usuários em autenticadores resistentes a phishing, estarei seguro?
Se todos os seus usuários estiverem inscritos em autenticadores resistentes a phishing, você já fez a maior parte do trabalho.
A próxima coisa que você precisa fazer é garantir que a resistência a phishing seja imposta na política. Isso envolve a configuração de cada regra de política de autenticação para exigir especificamente a resistência a phishing.
O Okta Identity Engine também permite que os administradores configurem uma lista de permissões (ou bloqueios) para métodos de autenticação específicos nas regras de política.
Para obter informações sobre como o FastPass impõe resistência a phishing em diferentes sistemas operacionais e navegadores, consulte o Okta FastPass Technical Whitepaper.
Se você estiver confiante de que seus usuários não precisam mais de formulários mais fracas de autenticação (fatores baseados em conhecimento, SMS etc.), recomendamos que sejam desativados ou restritos a cenários específicos de baixo risco, onde controles compensatórios também possam ser aplicados.
Para acessar o relatório detalhado de ameaças sobre esta campanha de engenharia social, os contatos de segurança dos clientes Okta podem fazer login no Okta Security Trust Center.
