Óvakodj a hamis IT hívásoktól a Co-op és M&S hackerei után, figyelmeztet a brit kibervédelmi központ
A brit kiskereskedők ellen irányuló kibertámadások során a bűnözők IT segélyszolgálatoknak álcázva próbálnak bejutni a vállalatok rendszereibe – figyelmeztetett a Brit Nemzeti Kibervédelmi Központ (NCSC). Az elmúlt két hétben több neves cég, közöttük a Marks & Spencer, a Co-op és a Harrods is célponttá vált, és a pénteki napon egy névtelen csoport a BBC-nek nyilatkozva jelezte, hogy további támadások várhatóak. A NCSC, amely a kibervédelmi feladatokért felelős kormányzati ügynökség, útmutatást adott a szervezeteknek, hogy vizsgálják felül IT segélyszolgálatuk „jelszó-visszaállítási folyamatait”, hogy csökkentsék a hekkerek áldozatául esésének esélyeit. Az ügynökség hangsúlyozta, hogy a legjobb gyakorlatok követésével minden cég és szervezet minimalizálhatja a hasonló támadások kockázatát.
A NCSC arra figyelmeztetett, hogy a vállalatoknak újra kell értékelniük, hogyan hitelesítik alkalmazottaikat a jelszavak visszaállítása előtt, különösen a magas szintű hozzáféréssel rendelkező vezetők esetében. A szakemberek felhívták a figyelmet a „szociális manipulációra” is, mint arra a módszerre, amelyet a hekkerek alkalmaznak az alkalmazotti fiókokhoz való hozzáférés megszerzésére. A bűnözők szociális manipulációs technikákat használnak, hogy az emberek megbízzanak bennük, amikor e-mailben, SMS-ben vagy telefonon keresztül jelentkeznek a cég IT segélyszolgálataként, ezzel végül rávéve az alkalmazottakat, hogy átadják a belépési jelszavaikat és biztonsági kódjaikat. A módszer fordítva is működik: a hekkerek az IT segélyszolgálat munkatársait hívják, és azt állítják, hogy ők is alkalmazottak, akik nem tudnak bejelentkezni fiókjukba.
A kibervédelmi szakértők most további biztonsági rétegeket javasolnak az ilyen típusú támadások kezelésére. Lisa Forte, a Red Goat kibervédelmi cég munkatársa elmondta, hogy egy lehetséges megoldás lehet például kódnevek használata, amelyeket alkalmazottak mondanak, amikor telefonon kérik a hitelesítő adataik megváltoztatását. „Például a ‘Kék Pingvin’ kódnevet használnák a hitelesítéshez, ami segíthet megbizonyosodni arról, hogy az illető valóban az adott munkatárs” – tette hozzá Forte. Az NCSC tanácsa arra utal, hogy a hekkerek olyan taktikákat alkalmaznak, amelyek a Scattered Spider néven ismert angolul beszélő kibertámadó csoporthoz köthetők. A név a „pók” elnevezésből ered, amelyet a pénzügyi motivációjú kibertámadókra használnak, míg a „szétszórt” azt jelenti, hogy nem alkotnak egy koherens, szervezett bandát.
Az elmúlt két évben ezek a különálló hekkerek, akik általában tinédzserek vagy húszas éveik elején járnak, koordinált támadásokat terveztek a Discord és a Telegram platformokon, hogy több tucat céget támadjanak meg, ellopva vagy zsarolóvírussal titkosítva az adatokat. A NCSC nem nevezi meg kifejezetten a csoportot, mint a jelenlegi támadások felelősét, azonban elismeri, hogy a Scattered Spider híres az ilyen típusú hekkelésekről. A kibervédelmi szakemberek figyelmét felhívták arra is, hogy figyeljenek a „kockázatos bejelentkezésekre”. Ez azt jelenti, hogy figyelni kell arra, mikor és honnan jelentkeznek be az alkalmazottak, például késő este vagy furcsa helyszínekről.
Bár a kibertámadók bárhol a világban lehetnek, a fiatal angolul beszélő hekkerek az Egyesült Királyságban és az Egyesült Államokban különösen ügyesek lettek a szociális manipulációnak a támadásaikban való alkalmazásában. A Scattered Spider hekkerek felelősek voltak már magas szintű támadásokért, például a Las Vegas-i kaszinók ellen, ahol az MGM Grand és a Caesar’s Palace gyors egymásutánban voltak célpontok. Az elmúlt évben hat letartóztatásra került sor a Scattered Spider tagjainak gyanújával az Egyesült Államokban és az Egyesült Királyságban. 2024 júliusában egy 17 éves fiút tartóztattak le Walsallban az MGM hackkel kapcsolatos FBI nyomozás részeként, és hónapokkal később egy hasonló korú és helyszínű személyt is letartóztattak egy másik hack miatt a Transport for London esetében. A rendőrség nem kívánta megerősíteni, hogy a gyanúsítottak ugyanaz a személyek.
A pénteki napon a támadásokért felelős hekkerek a BBC-nek nyilatkoztak. A bűnözők többször tagadták, hogy ők lennének a Scattered Spider tagjai, és csak DragonForce-nak nevezték magukat, ami egy kibertámadásokhoz használt szolgáltatás neve. A hekkerek angolul folyékonyan beszéltek, és elmondták, hogy kompromittálták a Co-op rendszereit, ellopva jelentős mennyiségű ügyfél- és alkalmazotti adatot. A Marks & Spencer hackeléséről nem kívántak nyilatkozni, de feltételezhető, hogy a DragonForce zsarolóvírusát használták a cég IT szervereinek titkosításához. Míg az NCSC azt mondta, hogy „tudomása van” a helyzetről, hozzátették, hogy „még nem állnak abban a helyzetben, hogy megmondják, vajon ezek a támadások összefüggésben állnak-e egymással”. „Dolgozunk a sértettekkel és a rendvédelmi hatóságokkal, hogy ezt tisztázzuk” – mondták. Az online rendeléseket leállították, az élelmiszerek hiányoznak a polcokról – a Marks & Spencer esetében kialakult káoszról egyre több információ lát napvilágot. A helyi önkormányzat szóvivője elmondta, hogy a támadás hatással volt az oktatási hálózatra, és a tervek szerint folytatják az iskolák nyitva tartásának biztosítását. A kiskereskedő pedig azt nyilatkozta, hogy a hekkerek „folyamatosan rosszindulatú támadásokat” indítanak az IT rendszereik ellen. Az iskola közölte, hogy szakértőkkel dolgozik együtt, és izolálta a problémát. A kibertámadás utáni események hátterében zajló munkálatok tehát folytatódnak.
Ezeket is érdemes megnézni
Az Egyesült Királyság legritkább állatfajait veszélyeztetik a gyújtogatások
Hónapportyán érkezett Kínából az Egyesült Királyságba, értékesebb a aranynál
