Die Threat-Intelligence-Abteilung von Okta hat mehrere spezialisierte Phishing-Kits analysiert, die speziell für sogenannte Vishing-Kampagnen entwickelt wurden. Dabei handelt es sich um Angriffe, bei denen Täter ihre Opfer telefonisch kontaktieren und parallel technisch unterstützte Phishing-Seiten einsetzen. Die Kits werden nach dem As-a-Service-Prinzip angeboten und kommen laut Okta bei Angriffen auf Identitätsplattformen wie Google, Microsoft und Okta selbst sowie auf verschiedene Krypto-Anbieter zum Einsatz.

Telefon und Browser kombiniert

Technisch zeichnen sich die Werkzeuge durch eine enge Verzahnung von Telefonanruf und Browserinteraktion aus. Während der Angreifer mit dem Zieltelefoniert, steuert er in Echtzeit, welche Seiten dem Nutzer im Browser angezeigt werden. So lassen sich Anmeldeprozesse dynamisch anpassen, etwa um das Eingeben von Einmalpasswörtern oder das Bestätigen von Push-Anfragen plausibel zu begleiten. Die Kits können abgegriffene Zugangsdaten unmittelbar weiterleiten und parallel die jeweils angezeigten MFA-Schritte mit dem Gesprächsleitfaden synchronisieren.

Okta zufolge stammen mehrere der beobachteten Kits offenbar aus derselben technischen Linie und wurden gezielt für den Einsatz durch "Caller" weiterentwickelt. Zentrale Funktion ist dabei eine clientseitige Skriptsteuerung, die dem Angreifer vollständige Kontrolle über den Authentifizierungsfluss des Opfers ermöglicht. Diese Echtzeit-Orchestrierung erhöht die Glaubwürdigkeit der Angriffe erheblich, da Nutzer scheinbar konsistente Rückmeldungen zu MFA-Anfragen erhalten, die sie gerade am Telefon erklärt bekommen.

Phishing-Schutz umgangen

Typischerweise beginnen die Angriffe mit einer Phase der Aufklärung, in der Namen, genutzte Anwendungen und Support-Rufnummern ermittelt werden. Anschließend richten die Täter eine angepasste Phishing-Seite ein und kontaktieren die Zielperson unter einer gefälschten Absendernummer. Nach Eingabe von Benutzername und Passwort durch das Opfer testen die Angreifer die Zugangsdaten am echten Login und passen die Phishing-Seite live an die dort angezeigten MFA-Anforderungen an.

Besonders kritisch bewertet Okta, dass auch Push-Benachrichtigungen mit Nummernabgleich umgangen werden können. Da diese Verfahren nicht als phishing-resistent gelten, reicht es dem Angreifer aus, die Zielperson am Telefon zur Eingabe oder Auswahl einer bestimmten Zahl zu bewegen. Einen wirksamen Schutz bieten nach Einschätzung der Forscher nur phishing-resistente Verfahren wie FIDO-basierte Passkeys oder zertifikatsbasierte Authentifizierung.

Vishing auf dem Vormarsch

Die Sicherheitsforscher gehen davon aus, dass sich dieser Angriffstyp weiter ausbreiten wird. Bereits jetzt beobachten sie einen Markt für spezialisierte Vishing-Expertise und maßgeschneiderte Steuerungsoberflächen, die gezielt auf einzelne Dienste zugeschnitten sind. Parallel dazu veröffentlichte Okta eine detaillierte Analyse der beobachteten Kits und spricht konkrete Empfehlungen aus, darunter den konsequenten Einsatz phishing-resistenter Anmeldeverfahren sowie die Einschränkung von Zugriffen aus anonymisierten Netzwerken. Auch erste Ansätze zur Live-Verifikation legitimer Support-Anrufe werden in einzelnen Branchen erprobt.