A Nemzeti Kiberbiztonsági Központ (NCSC) arra figyelmeztetett, hogy a brit kiskereskedők ellen kibertámadásokat indító bűnözők informatikai help desk-hívásoknak adják ki magukat, hogy betörjenek a szervezetekbe.

A hackerek az elmúlt két hétben a Marks & Spencer, a Co-op és a Harrods cégeket vették célba. pénteken a névtelen csoport azt mondta a BBC-nek hogy hamarosan újabb támadások lesznek.

Most az NCSC, a kiberbiztonságért felelős kormányzati ügynökség, iránymutatást adott ki a szervezetek számára amelyben arra ösztönzi őket, hogy vizsgálják felül az informatikai ügyfélszolgálatok “jelszó-visszaállítási folyamatait”, hogy csökkentsék a hackertámadások esélyét.

“Úgy véljük, hogy a legjobb gyakorlatok követésével minden vállalat és szervezet minimalizálhatja annak esélyét, hogy ilyen szereplők áldozatává váljon” – áll a közleményben.

A közlemény szerint a cégeknek újra kellene értékelniük, hogy az informatikai ügyfélszolgálatuk hogyan “hitelesíti a munkatársakat” a jelszavak visszaállítása előtt, különösen a vezető beosztású, az informatikai hálózat magas szintű részeihez hozzáférő munkatársakat.

Kiemelte a sajtóban megjelent spekulációkat a “social engineering” körül, mint a hackerek fiókokhoz való hozzáférésének egyik lehetséges módja.

A bűnözők szociális mérnöki technikákat alkalmaznak, hogy rávegyék az embereket, hogy bízzanak bennük, amikor e-mailben, sms-ben vagy telefonon úgy tesznek, mintha egy vállalat informatikai ügyfélszolgálatától jöttek volna – végül pedig ráveszik az alkalmazottakat, hogy átadják a belépési jelszavakat és biztonsági kódokat.

Ez fordítva is működik: felhívják a help deskben dolgozó embereket, és úgy tesznek, mintha egy olyan alkalmazott lennének, akit kizártak a fiókjából.

A kiberbiztonsági szakértők most további biztonsági rétegeket ajánlanak az ilyen jellegű támadások kezelésére.

“A kiberközösségben többek között olyan kódszavakról beszélnek, mint például a “BluePenguin”, amelyeket akkor használnak, amikor egy alkalmazott telefonál, hogy megváltoztassa a belépési adatait, és amelyekkel ellenőrizni lehet, hogy a munkatárs valódi-e” – mondta Lisa Forte, a Red Goat kiberbiztonsági cég munkatársa.

“Végső soron ugyanarra a kérdésre tér vissza a bejelentkezési adatokkal kapcsolatban, mint mindig – többféle módszerre van szükség, hogy ne lehessen könnyen kijátszani.”

Az NCSC tanácsa az eddigi legerősebb utalás arra, hogy a hackerek olyan taktikát alkalmaznak, amelyet leginkább az angol nyelvű kiberbűnözők Scattered Spider becenévre hallgató kollektívájával hoznak összefüggésbe.

Az elnevezés onnan ered, hogy a “spider” a pénzügyileg motivált kiberbűnözőket jelöli, a “scattered” pedig azért, mert nem egy összetartó, szervezett bandáról van szó.

Az elmúlt két évben ezek a szétszórt, tizenéves vagy húszas éveik elején járó hackerek a Discordon és a Telegramon keresztül összehangolták és megtervezték a támadásokat, hogy több tucat vállalatba behatoljanak, és adatokat lopjanak vagy titkosítva zsarolják áldozataikat.

Az NCSC nem nevezi meg konkrétan a csoportot, mint a jelenlegi támadási hullám felelősét, de elismeri, hogy a Scattered Spider ismert az ilyen típusú hackelésekről.

Az NCSC egyéb tanácsai szerint a kibervédelmiseket arra kérik, hogy figyeljenek a “kockázatos bejelentkezésekre”.

Ez azt jelenti, hogy figyelni kell, hogy az alkalmazottak mikor és honnan jelentkeztek be – például késő este vagy furcsa helyekről.

Bár a kiberbűnözők bárhol lehetnek a világon, az Egyesült Királyságban és az Egyesült Államokban élő fiatal angol nyelvű hackerek ügyesen használják a social engineeringet támadásaik során.

A Scattered Spider hackerek olyan nagy horderejű támadásokért voltak felelősek, mint a következők a kaszinók elleni összehangolt lépések Las Vegasban, ahol az MGM Grand Casinos-t és a Caesar’s Palace-t gyors egymásutánban támadták meg.

Az elmúlt évben hatszor tartóztattak le hackereket, akiket a Scattered Spiderrel vádoltak az Egyesült Államokban és az Egyesült Királyságban.

2024 júliusában egy 17 éves walsall-i fiatalembert letartóztattak… az MGM hackerrel kapcsolatos FBI nyomozás részeként – és hónapokkal később letartóztattak egy ugyanilyen korú és tartózkodási helyű személyt. egy másik, a Transport for London elleni hackertámadással kapcsolatban.

A rendőrség nem árulta el, hogy az állítólagos hacker ugyanaz a személy volt-e.

Pénteken a mostani támadáshullámért felelős hackerek a BBC-nek nyilatkoztak.

A bűnözők többször is tagadták, hogy ők a Scattered Spider hackerei, és csak DragonForce-nak nevezték magukat – ez egy olyan kiberbűnözési szolgáltatás neve, amelyet a hackerek rosszindulatú szoftverekhez és zsaroláshoz használhatnak.

A hackerek, akik folyékonyan beszéltek angolul, a BBC-nek elárulták, hogy feltörték a Co-opot, és nagy mennyiségű ügyfél- és dolgozói adatot loptak el.

Az M&S hackeléséről nem kívántak beszélni. De úgy gondolják, hogy a DragonForce zsarolóprogramot használták a cég informatikai szervereinek megzavarására.

Bár az NCSC azt mondta, hogy “vannak meglátásai”, hozzátette, hogy “még nincs abban a helyzetben, hogy megmondja, hogy ezek a támadások kapcsolatban állnak-e egymással”.

“Együtt dolgozunk az áldozatokkal és a bűnüldöző kollégákkal, hogy ezt megállapítsuk” – mondta.