Óvatosan a hamis IT hívásokkal a Co-op és M&S hekkerei után, figyelmeztet a brit kiberközpont
Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) figyelmeztetett arra, hogy a bűnözők, akik kiber támadásokat indítanak brit kiskereskedők ellen, IT ügyfélszolgálatoknak álcázva magukat próbálnak behatolni a szervezetekbe. Az utóbbi két hétben a Marks & Spencer, a Co-op és a Harrods voltak a hackerek célkeresztjében, és pénteken egy névtelen csoport arról tájékoztatta a BBC-t, hogy hamarosan újabb támadások várhatóak. A NCSC, amely a kiberbiztonságért felelős állami ügynökség, útmutatást adott ki a szervezetek számára, arra kérve őket, hogy vizsgálják felül IT ügyfélszolgálatuk „jelszó visszaállítási folyamatait”, hogy csökkentsék a hackelés kockázatát.
A központ hangsúlyozta, hogy ha a vállalatok betartják a legjobb gyakorlatokat, akkor minimalizálhatják a lehetőségét annak, hogy áldozatul essenek a bűnözőknek. Azt is javasolták, hogy a cégek mérjék fel, hogyan hitelesítik a munkatársakat az IT ügyfélszolgálaton jelszó visszaállítása előtt, különösen a magasabb beosztású alkalmazottak esetében, akik hozzáférnek az IT hálózat legfontosabb részeihez. A közlemény kiemelte a sajtóban megjelent találgatásokat a „szociális manipuláció” körül, amely mint lehetséges módszer merült fel, amellyel a hackerek hozzáfértek a fiókokhoz. A bűnözők szociális manipulációs technikákat használnak, hogy elnyerjék az emberek bizalmát, amikor e-mailt küldenek, sms-t írnak vagy telefonálnak, és magukat a vállalat IT ügyfélszolgálatának kiadják – végül pedig rávilágítanak arra, hogy az alkalmazottak átadják a bejelentkezési jelszavaikat és biztonsági kódjaikat. Ez a módszer fordítva is működik, amikor az ügyfélszolgálat munkatársait hívják és azt állítják, hogy egy alkalmazott, aki kiesett a fiókjából.
A kiberbiztonsági szakértők további biztonsági rétegek bevezetését javasolják az ilyen típusú támadások kezelésére. Lisa Forte, a Red Goat kiberbiztonsági cég munkatársa elmondta, hogy egyesek javasolják, hogy kódneveket használjanak, amikor egy alkalmazott telefonálni akar a hitelesítő adatok megváltoztatása érdekében, például „KékPingvin” – amely egy lehetséges módja annak, hogy ellenőrizzék, hogy az alkalmazott valóban az a személy, akinek mondja magát. Az NCSC tanácsa arra utal, hogy a hackerek olyan taktikákat alkalmaznak, amelyek a Scattered Spider néven ismert angol nyelvű kiberbűnözők csoportjáról ismertek. A „pók” kifejezés a pénzügyi motivációjú kiberbűnözőkre utal, míg a „szétszórt” arra utal, hogy nem alkotnak egy koherens, szervezett bandát. Az elmúlt két évben ezek a fiatal hackerek, akik jellemzően tizenévesek vagy húszas éveik elején járnak, koordinált támadásokat hajtottak végre a Discord és a Telegram platformokon, hogy számos vállalatot támadjanak meg, adatokat lopjanak el vagy kódoljanak, hogy váltságdíjat szedjenek áldozataiktól.
Bár az NCSC nem nevezi meg kifejezetten a Scattered Spider csoportot a jelenlegi támadássorozat felelőseként, elismeri, hogy ők ismertek az ilyen típusú hackekről. A kibervédők arra is figyelmeztetik a cégeket, hogy figyeljenek a „kockázatos bejelentkezésekre”. Ez azt jelenti, hogy figyelniük kell arra, mikor és honnan jelentkeznek be a munkatársak – például késő este vagy furcsa helyekről. Mivel a kiberbűnözők bárhol a világban lehetnek, a fiatal angol nyelvű hackerek az Egyesült Királyságban és az Egyesült Államokban ügyesen alkalmazzák a szociális manipulációt a támadásaik során.
A Scattered Spider hackerek számos nagy nyilvánosságot kapott támadásért felelősek, beleértve a Las Vegas-i kaszinók ellen indított koordinált támadásokat is, ahol az MGM Grand és a Caesar’s Palace gyors egymásutánban estek áldozatul. Az utóbbi egy évben hat letartóztatás történt olyan hackerek ellen, akiket Scattered Spider csoporthoz köthetnek az Egyesült Államokban és az Egyesült Királyságban. 2024 júliusában egy 17 éves fiút tartóztattak le Walsallban az MGM hackkel kapcsolatos FBI nyomozás keretében – hónapokkal később pedig egy ugyanilyen korú és helyszínű személyt tartóztattak le a Transport for London elleni támadás kapcsán. A rendőrség nem árulta el, hogy a gyanúsítottak ugyanaz a személy volt-e.
Pénteken a támadások mögött álló hackerek a BBC-nek nyilatkoztak. A bűnözők többször is tagadták, hogy a Scattered Spider hackerek lennének, és csak „DragonForce”-nak nevezték magukat – ez a név egy kiberbűnözői szolgáltatást takar, amelyet a hackerek használhatnak rosszindulatú szoftverek és zsarolás céljából. A BBC-nek tett nyilatkozatukban elmondták, hogy kompromittálták a Co-op rendszereit, és jelentős mennyiségű ügyfél- és alkalmazotti adatot loptak el. A Marks & Spencer támadásáról azonban nem voltak hajlandók információt adni. Feltételezések szerint a DragonForce zsarolóvírust használták a cég IT szervereinek titkosítására. Az NCSC azt nyilatkozta, hogy „van némi információjuk”, de hozzátették, hogy „még nem állnak abban a helyzetben, hogy megmondják, hogy ezek a támadások összefüggnek-e”. „Dolgozunk az áldozatokkal és a rendvédelmi hatóságokkal, hogy ezt tisztázzuk” – mondták.
A Marks & Spencer esetében online rendelések szünetelnek, élelmiszertermékek hiányoznak a polcokról – a kiskereskedő közleménye szerint a támadás hatással van az IT rendszereikre. A vállalat állítása szerint „folytonos rosszindulatú kísérletek a hackerektől” befolyásolják a működésüket, míg az iskolák a helyi hatóságokkal együttműködve próbálják fenntartani az oktatási hálózatuk működését, míg a technikai szakemberek már dolgoznak a problémák megoldásán. Az események hátterében tehát komoly kiberbiztonsági kihívások húzódnak meg, amelyek a brit kiskereskedelmet is érintik.
Ezeket is érdemes megnézni
Az Egyesült Államok megállapodása lehetőséget ad az Egyesült Királyságnak egy komolyabb EU-s megállapodásra
Forradalom zajlik az indiai edzőiparban
