Okta alerta sobre ataques de preenchimento de credenciais

Da Redação
29/04/2024

A Okta, fornecedora de soluções de segurança para gerenciamento de identidade e acesso (IAM), que opera no Brasil por meio de uma subsidiária, alerta sobre um aumento “sem precedentes” nos ataques de preenchimento de credenciais direcionados às suas soluções, com algumas contas de clientes violadas nos ataques.

Os operadores de ameaças usam o preenchimento de credenciais para comprometer contas de usuários, testando de maneira automatizada listas de nomes de usuários e senhas normalmente adquiridos de cibercriminosos.

Em um comunicado, a Okta diz que os ataques parecem ter origem na mesma infraestrutura usada nos ataques de força bruta e de senhas relatados anteriormente pela Cisco Talos. Em todos os ataques que a empresa observou, as solicitações vieram através da rede Tor (para ocultar a localização do operador) e de vários proxies residenciais — por exemplo, NSOCKS, Luminati e DataImpulse.

A Okta diz que os ataques observados foram particularmente bem-sucedidos contra organizações que executam o Okta Classic Engine com ThreatInsight configurado no modo somente de auditoria em vez do modo Log e Enforce. Da mesma forma, as organizações que não negam o acesso de proxies anônimos também tiveram uma taxa de sucesso de ataque mais alta. Os ataques foram bem-sucedidos para uma pequena porcentagem de clientes, disse Okta.

Veja isso
Okta admite incidente, Lapsus$ contesta explicação
Lapsus$ vaza material atribuído a Microsoft, Okta e LG

A empresa sugere um conjunto de ações que podem bloquear esses ataques na borda da rede:

• Ativar o ThreatInsight no modo Log e Enforce para bloquear proativamente endereços IP conhecidos por envolvimento no preenchimento de credenciais antes mesmo que eles possam tentar a autenticação;

• Negar acesso de proxies de anonimato para bloquear proativamente solicitações provenientes de serviços de anonimato como Tor;

• Mudança para o Okta Identity Engine, que oferece recursos de segurança mais robustos, incluindo desafios CAPTCHA para logins arriscados e opções de autenticação sem senha, como o Okta FastPass;

• Implementar zonas dinâmicas que permitem que as organizações bloqueiem ou permitam especificamente determinados IPs e gerenciem o acesso com base em geolocalização e outros critérios.

A Okta também fornece em seu comunicado uma lista de recomendações mais genéricas que podem ajudar a mitigar o risco de aquisição de contas. Elas incluem autenticação sem senha, aplicação de autenticação multifatorial, uso de senhas fortes, negação de solicitações fora dos locais da empresa e bloqueio de endereços IP de má reputação, monitoração e resposta a logins anômalos.

Acesse a página da Okta Security saber como bloquear proxies residenciais clicando aqui.

Compartilhar: