【安全资讯】Okta SSO账户遭基于语音钓鱼的数据窃取攻击

概要：

随着网络攻击手段的不断演进，针对企业核心身份认证系统的攻击日益猖獗。近日，身份管理巨头Okta发出警告，一种专门针对其单点登录（SSO）服务的定制化语音钓鱼（Vishing）攻击工具包正在被多个黑客组织用于窃取凭证，进而实施大规模数据盗窃。这种攻击因其高度的交互性和欺骗性，对依赖Okta SSO的众多企业构成了严重威胁。

主要内容：

此次攻击的核心在于一种“中间人即服务”的钓鱼工具包。与传统的静态钓鱼页面不同，该平台支持攻击者通过语音电话与受害者进行实时互动。攻击者利用脚本直接控制受害者的认证流程，当受害者在钓鱼页面输入用户名和密码时，凭证会实时转发给攻击者。攻击者随即尝试登录真实服务，并在通话中诱导受害者输入多因素认证（MFA）的TOTP动态码，从而完全绕过包括数字匹配在内的推送式MFA防护。

攻击流程高度定制化。威胁行为者首先对目标员工进行侦察，了解其使用的应用程序及公司IT支持电话。随后，他们创建仿冒公司内部的钓鱼网站，并使用伪造的公司或帮助台号码致电受害者。在通话中，攻击者冒充IT人员，以协助设置通行密钥为由，诱骗员工访问钓鱼站点。被盗的凭证和TOTP码通常通过威胁行为者运营的Telegram频道或Socket.IO服务器进行实时中继。

一旦成功登录员工的Okta SSO仪表盘，攻击者便能一览无余地访问该员工有权使用的所有集成平台，如Microsoft 365、Salesforce、Slack等。他们随后有选择地从这些平台（尤其是易于导出数据的Salesforce）窃取敏感信息。得手后，攻击者会立即向受害公司发送勒索邮件，威胁公开数据以索要赎金。有证据表明，知名勒索组织ShinyHunters可能参与了部分攻击。

目前，这些攻击主要针对金融科技、财富管理、金融和咨询等行业的公司。Okta建议客户采用更具抗钓鱼能力的MFA方案，如FIDO2安全密钥或通行密钥，并加强对员工的安全意识培训，以应对日益复杂和隐蔽的社会工程学攻击。