Vigyázat a hamis IT hívásokra a Co-op és M&S hackelések után, figyelmeztet a brit kibervédelmi központ
Az Egyesült Királyságban a kiberbiztonságért felelős Országos Kiberbiztonsági Központ (NCSC) figyelmeztetett arra, hogy bűnözők egyre inkább kibertámadásokat indítanak brit kiskereskedők ellen, és ezt az IT segítségnyújtó központok álcájában teszik. Az elmúlt két hétben a támadások célpontjaivá váltak olyan neves cégek, mint a Marks & Spencer, a Co-op és a Harrods. A pénteki napon egy névtelen csoport a BBC-nek nyilatkozva jelezte, hogy a közeljövőben további támadások várhatóak.
A NCSC, amely a kormány kiberbiztonsági ügynöksége, most útmutatást adott ki az érintett szervezetek számára, arra kérve őket, hogy vizsgálják felül IT segítségnyújtó központjaik jelszó-visszaállítási folyamatait, hogy csökkentsék a hackertámadások kockázatát. A központ hangsúlyozta, hogy ha a vállalatok követik a legjobb gyakorlatokat, akkor minimalizálhatják annak esélyét, hogy áldozatul essenek az olyan támadóknak, akik a közelmúltban aktívak voltak. A javaslatok között szerepel, hogy a cégek vizsgálják felül, hogyan autentikálják az IT segítségnyújtó központ munkatársai a dolgozókat, különösen a vezető beosztású alkalmazottakat, akik hozzáférnek a hálózat kritikus részeihez.
A NCSC kiemelte a sajtóban megjelent spekulációkat a „szociális manipulációról”, mint a hackerek által használt módszerről, amellyel hozzáférhettek bizonyos fiókokhoz. A bűnözők szociális manipulációs technikákat alkalmaznak, hogy az emberek megbízzanak bennük, akár e-mailben, SMS-ben, vagy telefonon, miközben az IT segítségnyújtó központ munkatársának adják ki magukat. Ezzel végül arra kényszerítik az alkalmazottakat, hogy átadják a belépési jelszavaikat és biztonsági kódjaikat. Ezt a módszert a másik irányba is alkalmazzák, amikor a segítségnyújtó központ munkatársait hívják fel, és azt állítják, hogy egy alkalmazott, aki nem tud belépni a fiókjába.
A kiberbiztonsági szakértők további biztonsági rétegeket javasolnak az ilyen típusú támadások kezelésére. Lisa Forte, a Red Goat kiberbiztonsági cég munkatársa elmondta, hogy egyes szakemberek „kódnevekről” beszélnek, amelyeket akkor használnának, amikor egy alkalmazott telefonon keresztül szeretné megváltoztatni a hitelesítő adatait. Ilyen például a „Kék Pingvin”, amely segíthet az alkalmazott valódiságának ellenőrzésében. Forte hangsúlyozta, hogy a belépési hitelesítések esetében mindig többféle módszert kell alkalmazni, hogy ne legyen könnyű kikerülni őket.
Az NCSC tanácsai alapján a hackerek olyan taktikákat alkalmaznak, amelyeket leggyakrabban a Scattered Spider néven ismert angol nyelvű kiberbűnöző csoporthoz társítanak. A név abból ered, hogy a „pók” kifejezést a pénzügyileg motivált kiberbűnözőkre használják, míg a „szétszórt” arra utal, hogy ezek a bűnözők nem alkotnak egy egységes, jól szervezett bandát. Az elmúlt két évben ezek a fiatal bűnözők, akik jellemzően tinédzserek vagy húszas éveik elején járnak, összehangolt támadásokat indítottak a Discord és a Telegram platformokon, hogy számos vállalatot meghekkeljenek, adatokat lopjanak el, vagy zsarolják áldozataikat.
Bár az NCSC nem nevezte meg kifejezetten a Scattered Spider csoportot, elismerte, hogy ők ismertek az ilyen típusú hackelésekről. A kiberbiztonsági szakemberek arra figyelmeztetnek, hogy a cégeknek figyelniük kell a „kockázatos bejelentkezésekre”, ami azt jelenti, hogy figyelniük kell arra, mikor és honnan lépnek be az alkalmazottak. Például ha késő este, vagy szokatlan helyekről jelentkeznek be. A kiberbűnözők bárhonnan a világ bármely tájáról aktívak lehetnek, de a fiatal angol nyelvű hackerek különösen ügyesek a szociális manipulációs technikák alkalmazásában.
A Scattered Spider csoporthoz köthető, magas szintű támadások közé tartoznak a Las Vegas-i kaszinók elleni koordinált támadások, amelyek során az MGM Grand és a Caesar’s Palace gyors egymásutánban váltak célponttá. Az elmúlt évben hat letartóztatásra került sor a Scattered Spider csoporthoz tartozó hackerek ügyében az Egyesült Államokban és az Egyesült Királyságban. Például 2024 júliusában egy 17 éves fiút tartóztattak le Walsallban az FBI nyomozása keretében az MGM hack miatt, és hónapokkal később egy ugyanilyen korú és helyszínű személyt is letartóztattak a Transport for London elleni hackelés kapcsán.
Pénteken a támadások mögött álló hackerek a BBC-nek nyilatkoztak, és többször is tagadták, hogy ők a Scattered Spider tagjai, helyette magukat DragonForce-nak nevezték, amely egy kiberbűnözői szolgáltatás, amelyet a hackerek kártékony szoftverek és zsarolás céljára használnak. A BBC-nek beszámoltak arról, hogy betörtek a Co-op rendszerébe, és jelentős mennyiségű ügyfél- és alkalmazottadatot loptak el. Az M&S hackeléséről nem kívántak nyilatkozni, de feltételezhető, hogy a DragonForce zsarolóprogramot használták a cég IT szervereinek megbénítására.
Miközben az NCSC azt nyilatkozta, hogy „információkkal rendelkezik”, hozzátették, hogy „még nem állnak abban a helyzetben, hogy megállapítsák, ezek a támadások összefüggésben állnak-e”. Az online rendeléseket felfüggesztették, az élelmiszerek eltűntek a polcokról – a Marks & Spencer körüli káoszról folyamatosan érkeznek a hírek. Az egyik önkormányzat szóvivője elmondta, hogy a támadás hatással volt az oktatási hálózatukra, és a tervek folyamatosan zajlanak annak érdekében, hogy az iskolák nyitva maradhassanak. A kiskereskedő azt nyilatkozta, hogy a hackerek „folyamatos rosszindulatú kísérletei” befolyásolják az IT rendszereiket, miközben a helyi iskola szakértő technikai segítséget kér, és izolálta a problémát.
Ezeket is érdemes megnézni
HNT: Az új hulladékgazdálkodási szabályozás nem növelheti a szőlő- és bortermelők terheit
Pernod Ricard Hungary: a minőségi italok világa
