Óvakodj a hamis IT hívásoktól a Co-op és M&S hackerek után, figyelmeztet a brit kiberközpont
A brit kiskereskedők ellen irányuló kibertámadások egyre aggasztóbb méreteket öltöttek, és mint kiderült, a bűnözők az IT segítségnyújtó központok képviseletében próbálnak behatolni a cégek rendszereibe. Az Egyesült Királyság Nemzeti Kibervédelmi Központja (NCSC) figyelmeztetett arra, hogy az utóbbi két hétben a Marks & Spencer, a Co-op és a Harrods is célponttá vált. A háttérben álló anonim csoport a BBC-nek nyilatkozva jelezte, hogy a közeljövőben újabb támadások várhatók. Az NCSC, amely a kibervédelemért felelős kormányzati ügynökség, útmutatást adott ki a szervezetek számára, hogy vizsgálják felül IT segítségnyújtó központjaik jelszó-visszaállítási folyamatait, ezzel csökkentve annak esélyét, hogy hacksorozat áldozataivá váljanak.
A központ hangsúlyozta, hogy a legjobb gyakorlatok követésével a cégek és szervezetek minimalizálhatják a támadások kockázatát. Az NCSC javasolja, hogy a cégek vizsgálják felül, hogyan hitelesítik a munkatársakat a jelszavak visszaállítása előtt, különösen a magas szintű hozzáféréssel rendelkező vezetők esetében. Emellett kiemelték a sajtóban megjelent találgatásokat a „szociális manipuláció” körül, amely egy lehetséges módszer, amellyel a hackerek hozzáférést nyerhetnek a fiókokhoz. A bűnözők szociális manipulációs technikákat alkalmaznak, hogy bizalmat építsenek ki az áldozatokban, amikor e-mailt, üzenetet küldenek vagy telefonon keresztül az adott cég IT segítségnyújtó központjaként mutatkoznak be. Ezzel végül sikerül rábírniuk az alkalmazottakat, hogy átadják belépési jelszavaikat és biztonsági kódjaikat. Ez a taktikájuk fordítva is működik: hívhatják az IT segítségnyújtó munkatársakat is, és úgy tehetik, mintha az egyik alkalmazott lenne, aki nem tud belépni a fiókjába.
A kibervédelmi szakértők most javasolják, hogy a cégek további biztonsági rétegeket építsenek be a hasonló támadások kezelésére. Lisa Forte, a Red Goat kibervédelmi cég szakértője elmondta, hogy a „kódnevek” bevezetése, amelyeket akkor használnak, amikor egy alkalmazott telefonon keresztül szeretné megváltoztatni a hitelesítő adatait, például a „Kék Pingvin” kifejezés, egy olyan megoldás, amelyet a kibervédelmi közösség is fontolóra vesz, hogy igazolja az alkalmazott valódiságát. A lényeg, hogy a belépési hitelesítőkkel kapcsolatos problémákra mindig többféle megoldást kell találni, hogy a rendszerek ne legyenek könnyen megkerülhetők.
Az NCSC tanácsa egyértelmű utalás arra, hogy a hackerek olyan taktikákat alkalmaznak, amelyeket leggyakrabban a Scattered Spider nevű, angol nyelvű kibertörőkből álló csoporthoz köthetünk. A név a pénzügyi célú kibertörőkre utal, míg a „szétszórt” kifejezés arra vonatkozik, hogy ez a csoport nem egy koherens, szervezett bűnbanda. Az elmúlt két évben ezek a fiatal hackerek, akik jellemzően tinédzserek vagy húszas éveik elején járnak, koordinált támadásokat hajtottak végre a Discord és a Telegram platformokon, hogy behatoljanak számos vállalat rendszerébe, adatokat lopjanak vagy titkosítsanak, hogy váltságdíjat követeljenek áldozataiktól.
Bár az NCSC nem nevezte meg kifejezetten a csoportot, elismerte, hogy a Scattered Spider híres ezekről a típusú támadásokról. További NCSC-irányelvek arra figyelmeztetik a kibervédelmi szakembereket, hogy figyeljenek a „kockázatos bejelentkezésekre”. Ez azt jelenti, hogy ellenőrizni kell, mikor és honnan jelentkeztek be az alkalmazottak, például késő este vagy furcsa helyszínekről. A kibertörők világszerte bárhol lehetnek, de a fiatal angol nyelvű hackerek az Egyesült Királyságban és az Egyesült Államokban egyre ügyesebbek a szociális manipuláció alkalmazásában.
A Scattered Spider hackerei már számos nagy hírű támadásért felelősek, beleértve a Las Vegas-i kaszinók elleni koordinált támadásokat, ahol az MGM Grand és a Caesar’s Palace gyors egymásutánban vált a támadások célpontjává. Az elmúlt évben hat embert tartóztattak le, akik a Scattered Spider csoport tagjaként voltak gyanúsíthatók az Egyesült Államokban és az Egyesült Királyságban. 2024 júliusában egy 17 éves fiút tartóztattak le Walsallban az MGM hackkel kapcsolatos FBI-nyomozás részeként, majd hónapokkal később egy hasonló korú és helyszínű személyt tartóztattak le egy másik támadás ügyében, amely a Transport for London ellen irányult.
A pénteki napon a támadások mögött álló hackerek nyilatkoztak a BBC-nek, és többször is tagadták, hogy ők lennének a Scattered Spider csoport tagjai. Csak DragonForce néven hivatkoztak magukra, amely egy kibertörői szolgáltatás neve, amelyet a hackerek rosszindulatú szoftverekhez és zsarolóprogramokhoz használnak. A BBC-nek adott interjú során elmondták, hogy sikerült behatolniuk a Co-op rendszerébe, és jelentős mennyiségű ügyfél- és alkalmazotti adatot loptak el. A Marks & Spencer elleni támadásokról azonban nem nyilatkoztak. Feltételezések szerint a DragonForce zsarolóprogramot használták a cég IT szervereinek titkosítására. Az NCSC ugyanakkor jelezte, hogy „van betekintése” a helyzetbe, de még nem tudja megmondani, hogy ezek a támadások összefüggésben állnak-e egymással. Az ügynökség dolgozik az áldozatokkal és a rendvédelmi szervekkel, hogy ezt tisztázza. Az M&S esetében az online rendelések szünetelése, az élelmiszertermékek hiánya a polcokon – ezek mind azokat a zűrzavarokat tükrözik, amelyek a kibertámadás következtében alakultak ki. Az iskolák fenntartásához szükséges tartaléktervek kidolgozása folyamatban van, mivel a támadás az oktatási hálózatokat is érintette. Az M&S azt nyilatkozta, hogy a hackerek „fenyegető rosszindulatú kísérletei” befolyásolják IT rendszereiket, és a cég szakértőkkel működik együtt, hogy izolálják a problémát. Az események mögötti valóság, a kibertámadás következményei az M&S esetében, még mindig folyamatban vannak.
Ezeket is érdemes megnézni
Fedezd fel az Északi-sark titkos archívumát, ahol a világ remekművei rejtőznek
Két pornóoldalt vizsgálnak a korellenőrzés hiányosságai miatt
