Okta alerte sur des kits de phishing dédiés au vishing visant les identifiants SSO

BleepingComputer rapporte qu’Okta avertit de la circulation de kits de phishing personnalisés conçus pour des attaques de vishing, actuellement utilisés pour dérober des identifiants Okta SSO en vue de vols de données.

Les kits sont conçus spécifiquement pour la manipulation vocale (vishing) et sont déployés dans des campagnes actives, selon les informations rapportées. L’objectif principal est le vol d’identifiants Okta SSO, permettant un accès non autorisé susceptible de mener à de l’exfiltration de données.

🎯 Attaques de vol de données via vishing ciblant les comptes Okta SSO

Source : Lawrence Abrams – BleepingComputer
Date : 22 janvier 2026
Fournisseur ciblé : Okta (Identity Provider / SSO)

📰 Résumé de l’article

Okta alerte sur une campagne active de vishing (phishing vocal) reposant sur des kits de phishing avancés conçus pour voler des identifiants Okta SSO et contourner les mécanismes MFA modernes.

Ces kits sont proposés en « Phishing-as-a-Service » et sont utilisés par plusieurs groupes cybercriminels, notamment à des fins de vol de données et d’extorsion. Les attaques ciblent principalement des entreprises des secteurs financier, fintech, gestion de fortune et conseil.

Contrairement aux pages de phishing classiques, ces plateformes fonctionnent en interaction temps réel pendant un appel téléphonique, permettant aux attaquants d’adapter dynamiquement les pages de connexion en fonction des réponses MFA affichées à la victime.

☎️ Chaîne d’attaque observée

Reconnaissance ciblée
- Identification d’employés précis
- Collecte d’informations sur :
  - applications utilisées
  - processus internes
  - numéros du support IT
Vishing
- Appels téléphoniques avec usurpation du support IT
- Prétexte courant : assistance pour l’activation de passkeys Okta
Phishing interactif (Adversary-in-the-Middle)
- Redirection vers un site de phishing personnalisé
- Saisie des identifiants SSO
- Relais en temps réel vers l’attaquant
- Synchronisation dynamique des défis MFA (push, OTP, number matching)
Compromission Okta SSO
- Accès au dashboard Okta
- Découverte des applications accessibles :
  - Microsoft 365
  - Google Workspace
  - Salesforce
  - Slack, Zoom, Box, Jira, etc.
Exfiltration & extorsion
- Vol de données (principalement depuis Salesforce)
- Envoi rapide d’emails d’extorsion
- Certaines revendications associées au groupe ShinyHunters

💥 Impact

Contournement efficace des protections MFA
Compromission d’un point d’accès centralisé (SSO)
Exfiltration de données sensibles à grande échelle
Risque élevé d’extorsion et de fuite publique

🧠 TTPs (MITRE ATT&CK – extraits)

Accès initial

T1566.004 – Phishing via service vocal (Vishing)
T1078 – Valid Accounts (comptes SSO compromis)

Exécution / Interaction utilisateur

T1204.002 – User Execution: Malicious Link
T1556.004 – Modify Authentication Process (Adversary-in-the-Middle)

Contournement / Évasion

T1621 – MFA Bypass
T1550.002 – Use of stolen authentication material (TOTP)

Commande & contrôle

T1102 – Web Services (Telegram)
T1071.001 – C2 via HTTP/Socket.IO

Exfiltration

T1567.002 – Exfiltration via services cloud (Salesforce)

Impact

T1657 – Extortion
T1496 – Data Theft for Financial Gain

🔍 IOCs observables

🌐 Domaines / infrastructure

inclusivity-team[.]onrender[.]com (Socket.IO relay)
Domaines de phishing personnalisés :
- *internal*.com
- my*.com
  (exemples : googleinternal[.]com, mygoogle[.]com)

🛠️ Outils & techniques

Kits de phishing Adversary-in-the-Middle
Contrôle en temps réel de l’authentification
Exfiltration d’identifiants vers canaux Telegram

📞 Ingénierie sociale

Usurpation du support IT interne
Appels téléphoniques ciblés et contextualisés
Prétexte récurrent : activation ou migration vers des passkeys

🛡️ Recommandations de sécurié -Okta-

Déployer des MFA résistants au phishing :
- Okta FastPass
- FIDO2 / clés de sécurité matérielles
- Passkeys
Former les employés aux attaques de vishing
Vérifier systématiquement toute sollicitation IT par téléphone
Surveiller les connexions Okta SSO anormales
Restreindre et journaliser l’accès aux applications critiques (CRM, ERP, cloud)

Type d’article: alerte de sécurité. But principal: signaler des attaques actives ciblant les identifiants Okta SSO via vishing et kits de phishing.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/okta-sso-accounts-targeted-in-vishing-based-data-theft-attacks/

📰 Résumé de l’article#

☎️ Chaîne d’attaque observée#

💥 Impact#

🧠 TTPs (MITRE ATT&CK – extraits)#

Accès initial#

Exécution / Interaction utilisateur#

Contournement / Évasion#

Commande & contrôle#

Exfiltration#

Impact#

🔍 IOCs observables#

🌐 Domaines / infrastructure#

🛠️ Outils & techniques#

📞 Ingénierie sociale#

🛡️ Recommandations de sécurié -Okta-#