Kimlik bilgisi doldurma saldırıları Çevrimiçi hizmetleri hedefleme, konut proxy hizmetlerinin erişilebilirliği nedeniyle hızla artıyor, çalıntı kimlik bilgilerive komut dosyası oluşturma araçlarıyla ilgili olarak Okta, kullanıcılarını uyarıyor.
Okta’nın araştırmacıları, 19 Nisan’dan 26 Nisan’a kadar Okta hesaplarına yönelik kimlik bilgisi doldurma saldırılarında bir artış gözlemledi.
Okta Security’deki araştırmacılar Moussa Diallo ve Brett Winterford, son saldırıların hepsinin ortak bir paydaya sahip olduğuna dikkat çekiyor: İstekler büyük ölçüde Tor gibi anonimleştirici bir cihaz aracılığıyla yapılıyor.
Buna ek olarak araştırmacılar, milyonlarca isteğin NSOCKS, Luminati ve Datalmpulse gibi çeşitli konut proxy’leri aracılığıyla yönlendirildiğini buldu. Bu konut proxy’leri “ücretli bir abone adına trafiği yönlendiren meşru kullanıcı cihazlarından oluşan ağlardır.” Araştırmacılar son zamanlarda önemli sayıda mobil cihazın kullanıldığını gözlemledi. vekil ağlar Kullanıcının, güvenliği ihlal edilmiş yazılım geliştirici kitlerini (SDK’ler) kullanan bir uygulamayı cihazına indirdiği durumlarda.
“Etkili bir şekilde, bu uygulamaların geliştiricileri, uygulamayı çalıştıran herhangi bir kullanıcının cihazını bir konut proxy ağında kaydeden bir SDK’nın kullanılmasına izin vermiş veya kandırılmışlardır.” araştırmacılar yazdı. “Bu etkinliğin net toplamı, bu kimlik bilgisi doldurma saldırılarındaki trafiğin çoğunun, sıradan kullanıcıların mobil cihazlarından ve tarayıcılarından kaynaklanıyor gibi görünmesidir.”
Okta, Workforce Identity Cloud (WIC) ve Customer Identity Solution’a (CIS) anonim hizmetlerden gelen istekleri engelleyen bir özellik yayınladı. Bu özellik Okta Admin Console’un ayarlarından açılabilir. Belirli anonimleştiricilerin erişimini engellemek isteyen kuruluşların, Uyarlanabilir bir MFA özelliği olan Dinamik Bölgeleri kullanma lisansına sahip olmaları gerekir.
Okta ayrıca kullanıcılarına, kimlik bilgileri doldurma saldırıları nedeniyle hesapların ele geçirilmesini önlemek için en iyi savunma önlemlerini desteklemelerini tavsiye ediyor.
Synopsys Software Integrity Group’un baş danışmanı Thomas Richards, Dark Reading’e e-postayla gönderilen bir açıklamada, “Burada, harici olarak kullanılabilen çalışan erişim portallarında ve hassas dahili sistemlerde çok faktörlü kimlik doğrulamanın kullanılması gibi derinlemesine savunma önlemlerine ihtiyaç var” dedi. “Ek olarak, bir kullanıcının alışılmadık bir zamanda mı, fiziksel konumda mı yoksa kaynak IP adresinden mi giriş yaptığını tespit edebilen anormal davranış tespit sistemleri de mevcut.”