Óvakodj a hamis IT hívásoktól, figyelmeztet a brit kibercentrum a Co-op és M&S hackerek után
Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) figyelmeztetett, hogy bűnözők, akik kiber támadásokat indítanak brit kiskereskedők ellen, IT segélyvonalakat színlelve próbálnak behatolni a szervezetekbe. Az elmúlt két hétben a hackerek a Marks & Spencer, a Co-op és a Harrods cégeket célozták meg, és pénteken egy névtelen csoport a BBC-nek nyilatkozva jelezte, hogy hamarosan újabb támadások várhatóak. Az NCSC, amely a kiberbiztonságért felelős kormányzati ügynökség, útmutatást adott ki a szervezetek számára, arra kérve őket, hogy vizsgálják felül az IT segélyvonaluk „jelszó-visszaállítási folyamatait”, hogy csökkentsék a hackerek áldozatává válásának esélyeit.
A központ kiemelte, hogy a legjobb gyakorlatok követésével minden cég és szervezet minimalizálhatja a hasonló támadások kockázatát. Azt tanácsolták a vállalatoknak, hogy értékeljék újra, hogyan hitelesítik az IT segélyvonal munkatársait a jelszavak visszaállítása előtt, különösen a vezető beosztású alkalmazottak esetében, akik hozzáféréssel rendelkeznek a számítógépes hálózat magas szintű részeihez. Az NCSC hangsúlyozta a „társadalmi manipulációval” kapcsolatos sajtóértesüléseket, mint azt a módot, ahogyan a hackerek hozzáférhettek a fiókokhoz. A bűnözők társadalmi manipulációs technikákat alkalmaznak, hogy bizalmat nyerjenek az emberektől, amikor e-mailben, SMS-ben vagy telefonon a cég IT segélyvonalának munkatársaként lépnek kapcsolatba a munkavállalókkal, végül pedig rávették őket, hogy adják meg bejelentkezési jelszavaikat és biztonsági kódjaikat. Ez a módszer fordítva is működik: a segélyvonal dolgozóihoz telefonáló bűnözők alkalmazottként álcázva magukat próbálják elérni, hogy a munkavállalók átadják a szükséges információkat.
A kiberbiztonsági szakértők most további biztonsági rétegek bevezetését javasolják az ilyen típusú támadásokkal szemben. Lisa Forte, a Red Goat kiberbiztonsági cég képviselője elmondta, hogy a segélyvonalra telefonáló alkalmazottak által használt kódnevek, mint például a „Kék Pinguin”, egy lehetséges megoldás a munkatársak hitelességének ellenőrzésére. „Végső soron mindig a bejelentkezési hitelesítések problémájával állunk szemben – több módot kell bevezetnünk, hogy ne legyen könnyű megkerülni ezeket” – tette hozzá.
Az NCSC tanácsa arra utal, hogy a hackerek olyan taktikákat alkalmaznak, amelyek leginkább a Scattered Spider néven ismert angol nyelvű kiberbűnöző csoporthoz kapcsolódnak. A csoport neve a „pók” kifejezésből származik, amely a pénzkereső kiberbűnözőket jelöli, míg a „szórt” azt jelzi, hogy nem egy koherens, szervezett bandáról van szó. Az elmúlt két évben ezek a fiatal hackerek, akik többsége tinédzser vagy húszas éveik elején jár, összehangolt támadásokat terveztek a Discord és a Telegram platformokon, hogy számos céget törjenek fel, adatokat lopjanak el vagy manipuláljanak, hogy zsarolják áldozataikat.
Bár az NCSC nem nevezi meg egyértelműen a csoportot a jelenlegi támadások felelőseként, elismeri, hogy a Scattered Spider a hasonló típusú hackekről ismert. Az NCSC másik tanácsa arra figyelmezteti a kibervédelmi szakembereket, hogy figyeljenek a „kockázatos bejelentkezésekre”, azaz arra, hogy mikor és honnan jelentkeznek be az alkalmazottak – például késő este vagy furcsa helyszínekről. A kiberbűnözők világszerte bárhol lehetnek, de a fiatal angol nyelvű hackerek az Egyesült Királyságban és az Egyesült Államokban ügyesen alkalmazzák a társadalmi manipulációt a támadásaik során.
A Scattered Spider hackerei számos magas szintű támadást hajtottak végre, például a Las Vegas-i kaszinók ellen, ahol az MGM Grand Casino és a Caesar’s Palace gyors egymásutánban szenvedett el támadást. Az Egyesült Államokban és az Egyesült Királyságban az elmúlt évben hat letartóztatás történt a Scattered Spider által elkövetett hackelésekkel gyanúsított egyének esetében. 2024 júliusában egy 17 éves fiút tartóztattak le Walsallban az FBI MGM hackkel kapcsolatos nyomozása során, majd hónapokkal később egy hasonló korú személyt tartóztattak le London közlekedésével kapcsolatban. A rendőrség nem kívánta megerősíteni, hogy a két gyanúsított egy és ugyanaz az illető.
A pénteki napon a jelenlegi támadásokért felelős hackerek a BBC-nek nyilatkoztak. A bűnözők többször is tagadták, hogy ők a Scattered Spider tagjai, és csupán DragonForce-ként hivatkoztak magukra – ez a kiberbűnözéshez kapcsolódó szolgáltatás neve, amelyet a hackerek használhatnak káros szoftverek és zsarolás céljából. A hackerek, akik folyékonyan beszélnek angolul, elárulták a BBC-nek, hogy betörtek a Co-op rendszerébe, és nagy mennyiségű ügyfél- és alkalmazotti adatot loptak el. A Marks & Spencer támadásáról nem kívántak nyilatkozni, de valószínűleg a DragonForce zsarolóprogramját használták a cég IT szervereinek manipulálására. Az NCSC elmondta, hogy „rendelkezik információkkal”, de hozzátették, hogy „még nem állnak készen arra, hogy megmondják, kapcsolódnak-e ezek a támadások egymáshoz”. Az online megrendelések leállítása, az élelmiszerek hiánya a polcokon – a Marks & Spencer esetében tapasztalható káoszról egyre több információ lát napvilágot. Az önkormányzat szóvivője elmondta, hogy a támadás hatással volt az oktatási hálózatra, és a tervek szerint a iskolák nyitva tartásának fenntartására is dolgoznak. A kiskereskedő azt állítja, hogy „folyamatosan támadások célpontja a hackerek részéről”, ami befolyásolja az IT rendszereit. A iskola nyilatkozata szerint szakértői csapatokkal dolgoznak, és izolálták a problémát. A kiber támadás utáni háttérmunkálatokkal kapcsolatos információk pedig folyamatosan érkeznek.
Ezeket is érdemes megnézni
Veszélyben a varázslatos görög sziget: egy hatalmas vulkánkitörés fenyegetése
Attenborough 99 évesen a legfontosabb üzenetét osztja meg
