Óvakodj a hamis IT hívásoktól a Co-op és M&S hackelése után, figyelmeztet a brit kibervédelmi központ
A brit kiskereskedelmi szektort sújtó kibertámadásokkal kapcsolatban a Nemzeti Kibervédelmi Központ (NCSC) figyelmeztetett arra, hogy a bűnözők IT támogatási irodákat megszemélyesítve próbálnak behatolni a cégek rendszereibe. Az elmúlt két hét során a támadások célpontjai között szerepelt a Marks & Spencer, a Co-op és a Harrods, és pénteken az anonim hacker csoport a BBC-nek azt nyilatkozta, hogy további támadások várhatóak. A NCSC, amely a brit kormány kibervédelmi ügynöksége, útmutatást adott ki a szervezeteknek, arra kérve őket, hogy vizsgálják felül IT támogatási irodáik „jelszó-visszaállítási folyamatait”, hogy csökkentsék a hackelés kockázatát. Az ügynökség hangsúlyozta, hogy a legjobb gyakorlatok követésével minden cég és szervezet minimalizálhatja a támadások áldozatává válásának esélyeit.
A NCSC kiemelte, hogy a vállalatoknak újra kell gondolniuk, hogyan autentikálják a munkatársakat jelszavak visszaállítása előtt, különösen a magas szintű IT rendszerekhez hozzáféréssel rendelkező vezetők esetében. A sajtóban megjelent találgatások a „szociális manipulációval” kapcsolatosan azt sugallják, hogy a hackerek így juthattak hozzá a cégek fiókjaihoz. A bűnözők a szociális manipuláció technikáit használják, amikor emailben, SMS-ben vagy telefonon jelentkeznek, és IT támogatási munkatársnak adják ki magukat, így rávilágítva arra, hogy a munkatársakat könnyen megtéveszthetik, hogy átadják bejelentkezési jelszavaikat és biztonsági kódjaikat. A módszer fordítva is működik: a támadók felhívják a támogatási irodát, és azt állítják, hogy egy munkatárs, aki nem tud belépni a fiókjába.
A kibervédelmi szakértők most további biztonsági intézkedések bevezetését javasolják az ilyen típusú támadásokkal szemben. Lisa Forte, a Red Goat kibervédelmi cég munkatársa elmondta, hogy többek között olyan kódnevek használatát javasolják, amelyeket a munkatársak használnak, amikor telefonon kérik a hitelesítési adataik megváltoztatását, például „KékPingvin”. Végső soron a probléma mindig ugyanaz marad: többféle módra van szükség a bejelentkezési adatok ellenőrzésére, hogy ne lehessen könnyen megkerülni a biztonsági intézkedéseket.
A NCSC tanácsa egyértelmű utalás arra, hogy a hackerek olyan taktikákat alkalmaznak, amelyek leggyakrabban egy angol nyelvű kibertörvényes csoporthoz, a Scattered Spider néven ismert csoporthoz köthetők. A csoport neve a „pók” elnevezésből származik, amely a pénzügyi motivációjú kibertörvényesekre utal, míg a „szétszórt” kifejezés arra utal, hogy ez a csoport nem egy koherens, szervezett banda. Az elmúlt két évben ezek a fiatal hackerek, akik gyakran a húszas éveik elején járnak, koordinált támadásokat irányítottak a Discord és a Telegram platformokon, több tucat céget célozva meg, hogy adatokat lopjanak vagy titkosítsák, ezzel zsarolva áldozataikat. Bár az NCSC nem nevezi meg kifejezetten a Scattered Spider csoportot a mostani támadások mögött, elismeri, hogy ez a csoport ismert az ilyen típusú hackelésekről.
A NCSC további tanácsai között szerepel, hogy a kibervédelmi szakemberek figyeljenek a „kockázatos bejelentkezésekre”. Ez azt jelenti, hogy figyelniük kell arra, mikor és honnan jelentkeznek be a munkatársak – például késő este vagy furcsa helyszínekről. A kibertörvényesek bárhonnan a világ bármely pontjáról támadhatnak, de a fiatal angol nyelvű hackerek az Egyesült Királyságban és az Egyesült Államokban egyre ügyesebbé váltak a szociális manipuláció használatában.
A Scattered Spider hackerek több magas profilú támadásért is felelősek, köztük a Las Vegas-i kaszinók elleni koordinált támadásokért, ahol az MGM Grand és a Caesar’s Palace gyors egymásutánban voltak célpontok. Az Egyesült Államokban és az Egyesült Királyságban az elmúlt évben hat letartóztatásra került sor a Scattered Spider csoporthoz köthető hackerek ügyében. 2024 júliusában egy 17 éves fiút tartóztattak le Walsallban az MGM hackkel kapcsolatos FBI nyomozás keretében, hónapokkal később pedig egy hasonló korú, ugyanolyan lakóhelyű fiút vettek őrizetbe a Transport for London egy másik hackje miatt. A rendőrség azonban nem árulta el, hogy a gyanúsítottak azonosak-e.
Pénteken a támadások mögött álló hackerek a BBC-nek nyilatkoztak, és többször tagadták, hogy a Scattered Spider csoport tagjai lennének, csupán DragonForce-nak nevezték magukat, ami egy kibertörvényesek által használt szolgáltatás, amely kártékony szoftverekhez és zsaroláshoz kapcsolódik. A hackerszervezet, amely folyékonyan beszél angolul, elmondta a BBC-nek, hogy kompromittálták a Co-opot, és jelentős mennyiségű ügyfél- és munkavállalói adatot loptak el. A Marks & Spencer hackjeiről azonban nem kívántak nyilatkozni. Feltételezések szerint a DragonForce zsarolóvírusát használták a cég IT szervereinek titkosítására. Míg a NCSC elmondta, hogy „információik vannak”, hozzátették, hogy „még nem állnak abban a helyzetben, hogy megmondják, ezek a támadások összefüggenek-e”. „Dolgozunk az áldozatokkal és a bűnüldöző hatóságok kollégáival, hogy ezt megállapítsuk,” mondták. Az online rendelések leálltak, az élelmiszertermékek hiányoznak a polcokról – a Marks & Spencer helyzete egyre kaotikusabbá válik. A helyi tanács szóvivője elmondta, hogy a támadás érintette az oktatási hálózatukat, és a tervek között szerepel az iskolák nyitva tartásának biztosítása. A kiskereskedő közölte, hogy a „folyamatosan zajló kártékony támadások a hackerektől” negatívan befolyásolják IT rendszereik működését. Az iskolák szakértő technikai csapatokkal dolgoznak, és elkülönítették a problémát. A háttérben tehát egyre több kérdés merül fel a Marks & Spencer kibertámadása után, és a károk mértékét még mindig próbálják felmérni.
Ezeket is érdemes megnézni
Starmer válasza Trump vámjaira: lassítás és gyorsítás egyszerre
Repülőgépek GPS-ének feltörése – Az új órák biztonságot nyújthatnak?
