La plataforma de gestión de identidades Okta advierte sobre campañas de phishing por voz que combinan ingeniería social en tiempo real con kits adaptativos para capturar credenciales SSO y multifactor, una táctica que grupos como ShinyHunters aseguran haber usado para acceder y filtrar datos corporativos de grandes empresas.
El proveedor de gestión de identidades y accesos Okta, que permite a empleados iniciar sesión una única vez (single sign-on o SSO) para acceder a múltiples aplicaciones empresariales, emitió recientemente advertencias sobre un aumento de ataques de “vishing” dirigidos a sus cuentas SSO. Según reportes, estos ataques están combinando llamadas telefónicas engañosas con phishing en tiempo real para robar credenciales e incluso códigos de autenticación multifactor (MFA).
En estos ataques, los delincuentes toman contacto con trabajadores de las empresas haciéndose pasar por personal de soporte técnico interno con números de teléfono falsificados y, durante la llamada, inducen a la víctima a visitar una página de inicio de sesión falsa. Esa página está controlada por kits de phishing avanzados que permiten sincronizar en tiempo real lo que la víctima ve en su navegador con las instrucciones del atacante, lo que facilita la captura de usuario, contraseña y MFA en la medida que las personas interactúan con la página fraudulenta.
Okta explicó que estos phishing kits son vendidos como servicio (as-a-service) y permiten a los atacantes adaptar dinámicamente el contenido del sitio fraudulento para que coincida con cualquier desafío de autenticación que surja, incluso números de verificación o solicitudes de aprobación push, lo que hace que la actividad fraudulenta parezca legítima para la víctima. “Usando estos kits, un atacante en el teléfono de un usuario objetivo puede controlar el flujo de autenticación mientras ese usuario interactúa con páginas de phishing de credenciales… el actor de amenazas puede usar esta sincronización para derrotar cualquier forma de MFA que no sea resistente al phishing”, dijo Moussa Diallo, un investigador de amenazas en Okta Threat Intelligence.
Los atacantes que logran obtener acceso a un SSO comprometido pueden navegar por el panel de Okta para acceder a aplicaciones empresariales conectadas, como Microsoft 365, Google Workspace, Salesforce, Slack o Dropbox, y exfiltrar datos sensibles. Una vez dentro, además de robar información, los cibercriminales suelen enviar correos de extorsión a las organizaciones exigendo pagos para evitar la publicación de lo robado.
Detrás de estos ataques fue identificado el reconocido grupo de cibercriminal ShinyHunters, quienes habrían reclamado responsabilidad por algunas de estas campañas de vishing. Según fuentes que citan comunicaciones del grupo, ShinyHunters afirma estar detrás de ataques que habrían comprometido datos de entidades como Crunchbase, SoundCloud y Betterment, aunque algunas de esas compañías no han verificado públicamente la conexión directa entre los ataques y Okta. El grupo ShinyHunters habría publicado un mensaje indicando que “Salesforce sigue siendo nuestro principal interés y objetivo, el resto son benefactores”.
Analistas señalan que la integración de llamadas telefónicas con kits de phishing interactivos representa un salto significativo en la sofisticación de las campañas de ingeniería social. Además, la reutilización de datos personales obtenidos de brechas anteriores, como nombres, números de teléfono y cargos, ayuda a los atacantes a elaborar pretextos más convincentes para sus llamadas y a mejorar las tasas de éxito de sus fraudes.
Okta recomendó a las organizaciones reforzar sus políticas de autenticación, promoviendo métodos de MFA resistentes al phishing como llaves de seguridad FIDO2 o passkeys, y que implementen listas de control de acceso basadas en zonas de red y entrenamiento riguroso en reconocimiento de vishing para los trabajadores.