Óvakodj a hamis IT hívásoktól a Co-op és M&S hackelése után, figyelmeztet a brit kibervédelmi központ
Az Egyesült Királyság Nemzeti Kibervédelmi Központja (NCSC) figyelmeztetett, hogy bűnözők kibertámadásokat indítanak brit kiskereskedők ellen, és az IT ügyfélszolgálatok személyazonosságát hamisítják meg, hogy behatoljanak a szervezetekbe. Az elmúlt két hétben a Marks & Spencer, a Co-op és a Harrods voltak a célpontok. Pénteken egy névtelen csoport nyilatkozott a BBC-nek, hogy hamarosan további támadásokra lehet számítani. Az NCSC, amely a kibervédelemért felelős kormányzati ügynökség, útmutatást adott ki a vállalatok számára, arra ösztönözve őket, hogy vizsgálják felül az IT ügyfélszolgálatok „jelszó-visszaállítási folyamatait”, hogy csökkentsék a hackerek áldozataivá válásának esélyét. A közleményükben hangsúlyozták: „Hisszük, hogy a legjobb gyakorlatok követésével minden cég és szervezet minimalizálhatja az esélyét annak, hogy áldozatul essen az ilyen támadásoknak.”
Az NCSC azt javasolta, hogy a cégek vizsgálják felül, hogyan azonosítják az IT ügyfélszolgálatok a munkatársakat, mielőtt jelszót állítanak vissza, különösen a magas szintű hozzáféréssel rendelkező vezető alkalmazottak esetében. A közlemény figyelmet fordított a „szociális manipulációra”, amely a hackerek által alkalmazott módszerként merült fel, amellyel hozzáférhettek a fiókokhoz. A bűnözők szociális manipulációs technikákat használnak, hogy bizalmat építsenek azáltal, hogy e-mailben, SMS-ben vagy telefonon hamis IT ügyfélszolgálati munkatársaként lépnek kapcsolatba az alkalmazottakkal, végül rávilágítva őket, hogy adják meg a bejelentkezési jelszavaikat és biztonsági kódjaikat. Ez a módszer fordítva is működik: a bűnözők felhívják az ügyfélszolgálat dolgozóit, és úgy tesznek, mintha egy alkalmazott lennének, aki nem tud belépni a fiókjába. A kibervédelmi szakértők most további biztonsági rétegek bevezetését javasolják az ilyen támadások kezelésére.
Lisa Forte, a Red Goat kibervédelmi cég képviselője elmondta, hogy a kibervédelmi közösségben felmerült az „kódnevek” használata, amelyeket akkor alkalmaznak, amikor egy alkalmazott telefonon keresztül kér jelszóváltoztatást. Például egy olyan kódnév, mint a „BluePenguin” segíthet az azonosítás során, hogy megbizonyosodjanak arról, hogy a hívó fél valódi munkatárs. „A végső cél ugyanaz, mint mindig a bejelentkezési adatokkal kapcsolatban – több módszert kell alkalmaznunk annak érdekében, hogy biztosítsuk, hogy nehéz legyen megkerülni a védelmi rendszereket” – hangsúlyozta Forte.
Az NCSC tanácsa arra utal, hogy a hackerek olyan taktikákat alkalmaznak, amelyek a Scattered Spider néven ismert, angolul beszélő kibertársadalomra jellemzőek. A név a „pók” kifejezésből származik, amely a pénzkeresés céljából tevékenykedő kibertámadókra vonatkozik, míg a „szétszórt” kifejezés arra utal, hogy nem alkotnak egy koherens, szervezett bandát. Az elmúlt két évben ezek a különböző hackerek, akik jellemzően a tinédzserkorukban vagy a húszas éveik elején járnak, összehangolt támadásokat terveztek a Discord és a Telegram platformokon, hogy számos céget meghekkeljenek, adatokat lopjanak el vagy titkosítsanak, hogy váltságdíjat követeljenek áldozataiktól.
Bár az NCSC nem nevezte meg kifejezetten ezt a csoportot a legújabb támadásokkal kapcsolatban, elismerte, hogy a Scattered Spider ismertek az ilyen típusú hackelésekért. A kibervédelmi központ arra is figyelmeztette a cégeket, hogy figyeljenek a „kockázatos bejelentkezésekre”, ami azt jelenti, hogy figyelni kell, mikor és honnan jelentkeznek be az alkalmazottak – például késő este vagy furcsa helyszínekről. A bűnözők bárhonnan a világ bármely pontjáról be tudnak hatolni a rendszerekbe, azonban a fiatal angolul beszélő hackerek az Egyesült Királyságban és az Egyesült Államokban különösen ügyessé váltak a szociális manipuláció alkalmazásában.
A Scattered Spider hackerei felelősek voltak több magas szintű támadásért, köztük a Las Vegas-i kaszinók ellen, ahol az MGM Grand Kaszinók és a Caesar’s Palace gyors egymás utánban váltak a támadások célpontjává. Az Egyesült Államokban és az Egyesült Királyságban az elmúlt évben hat embert tartóztattak le, akiket a Scattered Spider csoporthoz tartozónak gyanúsítanak. 2024 júliusában egy 17 éves fiút tartóztattak le Walsallban az MGM-hekkelés kapcsán folytatott FBI nyomozás keretében, majd néhány hónappal később egy hasonló korú fiút fogtak el a Transport for London egyik hekkelése miatt. A rendőrség azonban nem árulta el, hogy a gyanúsítottak azonosak-e.
A pénteki napon a hackerek, akik a legújabb támadásokért felelősek, nyilatkoztak a BBC-nek. A bűnözők többször is tagadták, hogy a Scattered Spider tagjai lennének, és csak DragonForce-nak nevezték magukat – ez egy kibertámadásokhoz kapcsolódó szolgáltatás. A BBC-nek elmondták, hogy kompromittálták a Co-op rendszerét, és jelentős mennyiségű ügyfél- és alkalmazotti adatot loptak el, a Marks & Spencer támadásáról azonban nem kívántak nyilatkozni. Feltételezések szerint a DragonForce váltságdíj szoftverét használták a cég IT szervereinek titkosítására. Az NCSC elmondta, hogy „van rálátásuk” a helyzetre, de még nem állnak készen arra, hogy kijelentsék, ezek a támadások összefüggésben állnak-e egymással. Az NCSC munkatársai a károsultakkal és a bűnüldöző hatóságokkal együtt dolgoznak a helyzet tisztázásán.
Ezeket is érdemes megnézni
Bill Gates 2045-re a vagyonának legnagyobb részét jótékony célokra ajánlja fel
Trumpot faggatja a BBC tudósítója az amerikai marhahús-export ügyében
