Óvakodj a hamis IT hívásoktól a Co-op és M&S hackerek után, figyelmeztet a brit kibervédelmi központ
Az Egyesült Királyságban a kiberbiztonságért felelős Nemzeti Kiberbiztonsági Központ (NCSC) figyelmeztetett arra, hogy bűnözők kiber támadásokat indítanak brit kiskereskedők ellen, és olyan IT segélyszolgálatokat utánoznak, amelyek célja, hogy bejussanak a szervezetek rendszereibe. Az elmúlt két hétben a Marks & Spencer, a Co-op és a Harrods vált a támadások célpontjává, és a pénteki napon egy anonim csoport a BBC-nek nyilatkozva azt állította, hogy hamarosan további támadásokra lehet számítani. Az NCSC ezért útmutatást adott ki a szervezetek számára, arra kérve őket, hogy vizsgálják felül IT segélyszolgálatuk „jelszó-visszaállítási folyamatait”, hogy csökkentsék a hackelés kockázatát.
A központ hangsúlyozta, hogy a legjobb gyakorlatok követésével minden cég és szervezet minimalizálhatja a veszélyt, hogy áldozatul essen hasonló bűnözőknek. Az NCSC arra figyelmeztetett, hogy a cégeknek újra kell értékelniük, hogyan autentikálják munkatársaikat a jelszavak visszaállítása előtt, különösen a magas szintű hozzáféréssel rendelkező felsővezetők esetében. A bűnözők által alkalmazott „szociális manipuláció” körüli sajtó találgatásokra is kitértek, mint lehetséges módjára annak, hogy a hackerek hozzáférést nyerhettek fiókokhoz. Ezek a bűnözők szociális manipulációs technikákat alkalmaznak, hogy bizalmat építsenek ki, amikor e-mailt, SMS-t vagy telefonhívást indítanak, mintha a cég IT segélyszolgálatának képviselői lennének, végül pedig arra ösztönzik az alkalmazottakat, hogy adják át a belépési jelszavaikat és biztonsági kódjaikat.
A helyzet azonban nemcsak az alkalmazottak befolyásolására korlátozódik, hanem fordítva is működik: a segélyszolgálat munkatársait is megkereshetik, úgy téve, mintha egy munkavállaló lenne, aki nem tud belépni a fiókjába. A kiberbiztonsági szakértők most további biztonsági rétegek bevezetését javasolják az ilyen típusú támadások kezelésére. Lisa Forte, a Red Goat kiberbiztonsági cég képviselője elmondta, hogy a segélyszolgálatot felhívó alkalmazottak számára kódnevek bevezetése, mint például a „Kék Pingvin”, egy olyan megoldás, amelyet a kiber közösség javasol, hogy ellenőrizzék az alkalmazottak valódiságát. „Végső soron mindig a belépési adatokkal kapcsolatos kérdésekhez térünk vissza – többféle megoldásra van szükség ahhoz, hogy megakadályozzuk az egyszerű megkerülést” – tette hozzá Forte.
Az NCSC tanácsa arra utal, hogy a hackerek olyan taktikákat alkalmaznak, amelyek leginkább a Scattered Spider néven ismert, angolul beszélő kiberbűnözőkből álló csoporthoz köthetők. A név a „pók” kifejezésből ered, amelyet a pénzkereseti célú kiberbűnözőkre használnak, míg a „szétszórt” arra utal, hogy nem egy összeszokott, szervezett bandáról van szó. Az elmúlt két évben ezek a fiatal, tinédzser vagy húszas éveikben járó hackerek koordinált támadásokat indítottak a Discord és Telegram platformokon, hogy számos céget meghekkeljenek, adatokat lopjanak vagy zsarolóvírusokat használjanak.
Bár az NCSC nem nevezte meg kifejezetten a Scattered Spider csoportot a legújabb támadások mögött, elismerte, hogy ez a csoport jól ismert az ilyen típusú hackelésről. Az NCSC másik tanácsában a kibervédelmi szakembereket arra figyelmeztették, hogy figyeljenek a „kockázatos bejelentkezésekre”. Ez azt jelenti, hogy figyelniük kell arra, mikor és honnan jelentkeznek be az alkalmazottak, például éjszaka vagy furcsa helyszínekről. A kiberbűnözők bárhonnan a világ bármely pontjáról támadhatnak, de a fiatal angol nyelvű hackerek az Egyesült Királyságban és az Egyesült Államokban különösen ügyesek a szociális manipuláció alkalmazásában.
A Scattered Spider hackerek felelősek voltak több magas szintű támadásért, beleértve a Las Vegas-i kaszinók ellen irányuló koordinált lépéseket, ahol az MGM Grand Casino és a Caesar’s Palace is gyors egymásutánban vált a támadások célpontjává. Az Egyesült Államokban és az Egyesült Királyságban az elmúlt évben hat letartóztatás történt a Scattered Spider csoporthoz köthető hackerek ügyében. 2024 júliusában egy 17 éves fiatalt tartóztattak le Walsallban, az FBI nyomozása keretében az MGM hack ügyében, és hónapokkal később egy hasonló korú személyt is letartóztattak a Transport for London hackelésével kapcsolatban. A rendőrség nem erősítette meg, hogy a két letartóztatott ugyanaz a személy lenne.
A pénteki napon a támadásokért felelős hackerek a BBC-nek nyilatkoztak, és következetesen tagadták, hogy a Scattered Spider csoport tagjai lennének, helyette DragonForce néven emlegették magukat – ezt a nevet egy kiberbűnözői szolgáltatás viseli, amelyet a hackerek használhatnak rosszindulatú szoftverek és zsarolás céljából. A BBC-nek nyilatkozó hackerek, akik folyékonyan beszéltek angolul, elmondták, hogy sikerült betörniük a Co-op rendszerébe, és jelentős mennyiségű ügyfél- és alkalmazotti adatot elloptak. A Marks & Spencer hackeléséről azonban nem kívántak részleteket megosztani, de feltehetően a DragonForce zsarolóvírusát használták a cég IT szervereinek megbénítására. Az NCSC azt nyilatkozta, hogy „bennfentes információkkal” rendelkezik, de még nem tudják megerősíteni, hogy ezek a támadások összefüggésben állnak-e. „Dolgozunk az áldozatokkal és a rendvédelmi kollégákkal, hogy ezt megállapítsuk” – tették hozzá. A Marks & Spencer üzleteiben most zűrzavar tapasztalható, online rendeléseket felfüggesztettek, az élelmiszerek hiányoznak a polcokról, és a támadás hatásait még mindig próbálják kezelni.
Ezeket is érdemes megnézni
Az Egyesült Államok megállapodása lehetőséget ad az Egyesült Királyságnak egy komolyabb EU-s megállapodásra
Női űrhajósok sikeresen tértek haza a Blue Origin küldetés után
