Vishing napadi na Okta: Zašto MFA više nije dovoljna zaštita?

· Sanja Ledinek

Vishing napadi na Okta_ Zašto MFA više nije dovoljna zaštita_1

Kibernetički napadači sve češće napuštaju klasične phishing e-mailove i okreću se sofisticiranijim metodama – poput telefonskih prijevara, tzv. vishinga. Najnoviji val napada usmjeren je na Okta i slične pružatelje identiteta, čime pojedinačne kompromitacije računa prerastaju u ozbiljne proboje cloud sustava.

Kako funkcionira napad?

Za razliku od tradicionalnog phishinga, ovdje nema zlonamjernih linkova. Napadač ostaje na telefonu sa žrtvom i vodi je korak po korak kroz proces preuzimanja računa. Lažno se predstavlja kao IT podrška, kolega ili nadređena osoba, stvarajući osjećaj hitnosti. Tijekom poziva od zaposlenika se traži da resetiraju višefaktorsku autentifikaciju (MFA), registriraju novi autentifikacijski uređaj, podijele jednokratne lozinke (OTP), odobre push notifikacije i otkriju lozinke ili informacije o sesiji. U praksi, korisnik sam – nesvjesno – otvara vrata napadaču.

Jedan račun, potpuni pristup

Jednom kada napadač preuzme Okta račun, koristi mehanizam jedinstvene prijave (SSO) za pristup cijelom nizu poslovnih alata, uključujući:

  • Microsoft 365
  • SharePoint
  • OneDrive
  • Google Workspace
  • Salesforce
  • Slack

Bez potrebe za dodatnim napadima na svaku pojedinu aplikaciju, kompromitacija identiteta postaje “master ključ” za cijelo cloud okruženje.

Zašto MFA podbacuje?

Glavni problem nije u tehnologiji, već u ljudskom faktoru. MFA je dizajniran kao dodatni sigurnosni sloj, ali ako korisnik sam odobri pristup – zaštita postaje beskorisna. Razlozi rasta ovih napada uključuju pritisak za brzim rješavanjem IT problema, radu na daljinu i čestim problemima s pristupom te dostupnost podataka o zaposlenicima putem platformi poput LinkedIn i javnih izvora. Napadači sve češće koriste socijalni inženjering umjesto tehničkog hakiranja.

Tipičan tijek napada

Napad se najčešće odvija u nekoliko faza:

  • prikupljanje informacija o zaposlenicima i sustavima
  • lažno predstavljanje putem telefona
  • stvaranje osjećaja hitnosti
  • manipulacija MFA postavkama
  • preuzimanje identitetskog računa
  • iskorištavanje SSO pristupa
  • krađa podataka i postavljanje trajnog pristupa
  • Kada identitetski sustav padne, kompromitirano je cijelo SaaS okruženje.

Kako prepoznati napad?

Na razini autentifikacije:

  • neočekivani MFA reset
  • registracija novih uređaja
  • prijave s nepoznatih lokacija ili mrežasumnjivi zahtjevi za podršku neposredno prije promjena

U SaaS sustavima:

  • nagli porast preuzimanja podataka
  • pristupi s novih IP adresa u više servisa
  • brza autorizacija OAuth aplikacija
  • imultani pristup većem broju sustava

Kako se zaštititi?

Tvrtke moraju redefinirati pristup sigurnosti identiteta:

  • uvesti stroge protokole za resetiranje MFA i lozinki
  • dodatno verificirati zahtjeve visokog rizika
  • educirati IT i helpdesk timove o vishing napadima
  • implementirati sigurnije metode poput FIDO2 i passkey autentifikacije

Dodatno onemogućiti zastarjele metode prijave, ograničiti OAuth dozvole, redovito auditirati MFA konfiguracije i integrirati identitetske logove u SIEM sustave,

Zaključak

Napadi na Okta jasno pokazuju da sigurnost više nije samo tehničko pitanje – već i pitanje ljudskog ponašanja. MFA ostaje važan sloj zaštite, ali bez edukacije korisnika i strožih procesa, lako ga je zaobići. U eri cloud usluga, identitet je nova sigurnosna granica. A kada ona padne, posljedice su dalekosežne.

DRUGE NOVOSTI