Óvakodj a hamis IT hívásoktól a Co-op és M&S hackelése után, figyelmeztet a brit kibervédelmi központ
A brit kormányzati Cyber Security Centre (NCSC) figyelmeztetett, hogy bűnözők, akik kiber támadásokat indítanak brit kiskereskedők ellen, IT segítségnyújtó központoknak álcázzák magukat, hogy behatoljanak a szervezetekbe. Az elmúlt két hét során a hackerek célba vették a Marks & Spencer, a Co-op és a Harrods áruházakat, és pénteken egy névtelen csoport a BBC-nek azt mondta, hogy hamarosan újabb támadásokra lehet számítani. Az NCSC most útmutatást adott ki a szervezetek számára, arra ösztönözve őket, hogy vizsgálják felül IT segítségnyújtó központjaik „jelszó-visszaállítási folyamatait”, hogy csökkentsék a hekkerek áldozatává válásának esélyét.
A hatóság hangsúlyozta, hogy ha a cégek követik a legjobb gyakorlatokat, minimalizálhatják a kiberbűnözők áldozatává válásának kockázatát. Az NCSC javasolta, hogy a cégek értékeljék újra, hogyan azonosítják az IT segítségnyújtó központ munkatársait, különösen a magas szintű hozzáféréssel rendelkező vezető alkalmazottak esetében. Kiemelte a „szociális manipulációról” szóló sajtóspeculációkat, mint lehetséges módszert, amelyet a hackerek használtak az ügyfélfiókokhoz való hozzáférés megszerzésére. A bűnözők szociális manipulációs technikákat alkalmaznak, hogy rávegyék az embereket a bizalomra, miközben e-mailben, SMS-ben vagy telefonon keresztül IT segítségnyújtó központnak adják ki magukat, végül pedig rákényszerítik az alkalmazottakat, hogy átadják bejelentkezési jelszavaikat és biztonsági kódjaikat.
Ez a módszer fordítva is működik: a segítségnyújtó központ munkatársait hívják fel, és azt állítják, hogy egy alkalmazott, aki hozzáférés nélkül maradt a fiókjához. A kiberbiztonsági szakértők most további biztonsági rétegek alkalmazását javasolják az ilyen támadások kezelésére. Lisa Forte, a Red Goat kiberbiztonsági cég munkatársa elmondta, hogy például „kódnevek” használata, amelyeket akkor használnak, amikor egy alkalmazott telefonon keresztül szeretné megváltoztatni a hitelesítő adatait, mint például a „KékPingvin”, egy lehetséges megoldás, amely a kiber közösségben felmerült. „Végső soron mindig ugyanabba a problémába ütközünk a bejelentkezési adatokkal kapcsolatban – többféle módszert kell alkalmaznunk, hogy biztosítsuk, hogy ne lehessen könnyen megkerülni ezeket” – tette hozzá.
Az NCSC tanácsai arra utalnak, hogy a hackerek olyan taktikákat alkalmaznak, amelyek leggyakrabban a Scattered Spider néven ismert angol nyelvű kiberbűnözők csoportjához köthetők. A „spider” kifejezés pénzügyileg motivált kiberbűnözőkre utal, míg a „scattered” arra utal, hogy nem egy összeszedett, szervezett bandáról van szó. Az elmúlt két évben ezek a fiatal, általában tinédzserek vagy húszas éveik elején járó hackerek koordinált és megtervezett támadásokat hajtottak végre a Discord és a Telegram platformokon, hogy több tucat céget meghekkeljék, ellopva vagy titkosítva az adatokat, hogy zsarolják áldozataikat.
Bár az NCSC nem nevezi meg kifejezetten a csoportot a jelenlegi támadások mögött, elismeri, hogy a Scattered Spider híres az ilyen típusú hackelésekről. Az NCSC másik tanácsában a kibervédelmi szakemberek figyelmét arra hívták fel, hogy figyeljenek a „kockázatos bejelentkezésekre”. Ez azt jelenti, hogy figyelni kell arra, mikor és honnan jelentkeznek be az alkalmazottak, például késő este vagy furcsa helyekről. Noha a kiberbűnözők bárhol a világban lehetnek, az angol nyelvű fiatal hackerek az Egyesült Királyságban és az Egyesült Államokban egyre ügyesebbek a szociális manipulációs támadásokban. A Scattered Spider hackerek felelősek voltak több magas szintű támadásért, például a Las Vegas-i kaszinók elleni koordinált akciókért, ahol az MGM Grand Kaszinót és a Caesar’s Palace-t gyors egymásutánban támadták meg.
Az utóbbi évben hat embert tartóztattak le a Scattered Spider csoporthoz köthető hackelés miatt az Egyesült Államokban és az Egyesült Királyságban. 2024 júliusában egy 17 éves fiút tartóztattak le Walsallban az FBI MGM hackkel kapcsolatos nyomozása keretében, néhány hónappal később pedig egy hasonló korú, ugyanott lakó személyt is letartóztattak a Transport for London elleni hackelés miatt. A rendőrség nem kívánta megerősíteni, hogy a két eset ugyanaz a személy volt-e.
Pénteken a jelenlegi támadásokért felelős hackerek a BBC-nek nyilatkoztak. A bűnözők többször tagadták, hogy a Scattered Spider hackerek lennének, és csak DragonForce néven emlegették magukat – ez a név egy kiberbűnözői szolgáltatásra utal, amelyet a hackerek használhatnak rosszindulatú szoftverekhez és zsaroláshoz. A hackerek, akik folyékonyan beszéltek angolul, elárulták a BBC-nek, hogy kompromittálták a Co-op rendszerét, és nagy mennyiségű vásárlói és alkalmazotti adatot loptak el. A Marks & Spencer hackjeiről azonban nem kívántak nyilatkozni. Úgy vélik, hogy a DragonForce zsarolóvírusát használták a cég IT szervereinek titkosítására. Az NCSC elmondta, hogy „látták az eseményeket”, de hozzátették, hogy „még nem állnak készen arra, hogy megmondják, hogy ezek a támadások összefüggésben állnak-e”. „Dolgozunk az áldozatokkal és a bűnüldöző hatóságokkal, hogy ezt megállapítsuk” – fogalmaztak. Az M&S-nél tapasztalt káoszról, az online rendelések felfüggesztéséről és az eltűnt élelmiszerekről folyamatosan érkeznek a hírek, míg a bolt elmondta, hogy a „folyamatos rosszindulatú támadások a hackerektől” befolyásolják az IT rendszereit. Az iskola pedig közölte, hogy dolgozik a szakértőkkel és izolálta a problémát. A háttérben zajló események a kiber támadás után az M&S-nél komoly aggodalomra adnak okot.
Ezeket is érdemes megnézni
A bank csökkenti a kamatokat, újabb mérséklések várhatóak
Ukrán letartóztatások: két férfi a gyanúsított magyar kémügyben
