Napadi na Okta naloge sve češće idu preko help deska i MFA resetovanja
Tekst opisuje porast vishing kampanja u kojima napadači telefonom glume zaposlene ili IT podršku kako bi iznudili reset MFA zaštite, dodavanje novog autentikatora, deljenje jednokratnih kodova ili odobravanje push zahteva. Kada uđu u Okta nalog, preko SSO-a odmah šire pristup na Microsoft 365, SharePoint, OneDrive, Salesforce, Slack i druge servise. U članku je prikazan tipičan tok napada, od prikupljanja podataka o zaposlenima do krađe fajlova i postavljanja mehanizama za dalje prisustvo u cloud okruženju.
Kad je identitetski servis centralna kapija za više poslovnih alata, jedan uspešan poziv može da preraste u pun proboj bez malware-a i bez klasičnog phishing mejla. Neprijatni deo ove priče je što se granica odbrane pomera sa tehnologije na procedure help deska, oporavak naloga i sposobnost ljudi da prepoznaju pritisak i lažno predstavljanje.
- Pojačati proveru identiteta pre svakog MFA resetovanja ili dodavanja novog uređaja
- Ugasiti SMS i voice MFA gde god je moguće i preći na FIDO2 ključeve ili passkeys
- U SIEM-u pratiti promene MFA podešavanja, nova prijavljivanja i nagle prelaze ka SaaS aplikacijama
- Ograničiti self-service opcije i smanjiti broj privilegovanih naloga, posebno Global Admin prava
- Obučiti help desk da prepoznaje hitne i manipulativne scenarije poput izgubljenog telefona ili navodnog problema pred sastanak