Vishing атака срещу Cushman & Wakefield: ShinyHunters претендира за 500 хил. записа

Глобална компания за недвижими имоти, ударена от атака с гласов фишинг

Cushman & Wakefield, една от най-големите световни компании в сферата на търговските недвижими имоти, потвърди инцидент със сигурността на данните, свързан с гласов фишинг, известен като вишинг. Две отделни киберпрестъпни групи са поели отговорност: ShinyHunters твърди, че е откраднала 500 000 записа от Salesforce, съдържащи лична идентифицираща информация (PII), докато групата за рансъмуер Qilin самостоятелно е заявила собствена атака срещу компанията. Дали тези инциденти представляват единна координирана кампания или две отделни прониквания остава неясно, но инцидентът подчертава тревожна реалност: дори организации със значителни IT ресурси могат да бъдат сломени от убедителен телефонен разговор.

Cushman & Wakefield описа инцидента като „ограничен" по обхват, но 500 000 записа, свързани с голяма облачна CRM платформа, не е маловажно излагане на риск. Средите на Salesforce често съдържат данни за контакти, история на сделки и чувствителна бизнес кореспонденция. За компания, опериращa в сферата на търговски сделки с недвижими имоти по целия свят, данните в риск могат да засегнат клиенти, партньори и контрагенти, далеч отвъд собствените служители на фирмата.

Защо вишингът е толкова ефективен срещу техническите защити

Вишинг атаките са особено опасни, защото заобикалят техническите контроли, в които повечето организации инвестират сериозно. Защитни стени, засичане на заплахи на крайни точки и мрежов мониторинг са до голяма степен без значение, когато нападателят просто се обажда на служител и убедително се представя за IT поддръжка, доставчик или ръководител. Целта на нападателя е да манипулира човек, не машина, а хората са значително по-трудни за „коригиране".

При типичен вишинг сценарий обаждащият се създава усещане за неотложност, установява невярна достоверност и насочва жертвата да предаде идентификационни данни, да оторизира промени по акаунт или да кликне върху връзка, която инсталира зловреден софтуер. След като нападателят разполага с валидни идентификационни данни за платформа като Salesforce, той може тихомълком да се движи из средата, като ексфилтрира записи, без да задейства очевидни сигнали. Атаката срещу Cushman & Wakefield следва модел, наблюдаван в множество индустрии: социалното инженерство като входна точка, облачните данни като награда.

Именно затова техническите мерки за сигурност сами по себе си са недостатъчни. Обучението за информираност на служителите, строгите процедури за верификация при чувствителни заявки и ясните протоколи относно промените на идентификационни данни са също толкова важни, колкото и всяка програмна защита. Организации, които третират сигурността като чисто технически проблем, оставят пролука с „човешки размери" в своите защити.

Аргументът в полза на многопластовата комуникационна сигурност

Инцидентът с Cushman & Wakefield повдига по-широк въпрос за начина, по който предприятията управляват чувствителните комуникации. Когато достъпът до системи, съдържащи стотици хиляди записи, може да бъде предоставен чрез телефонно обаждане, това подсказва, че самият комуникационен канал е част от повърхността за атаки. Шифровани, верифицирани комуникационни канали добавят ниво на триене, което нападателите трябва да преодолеят, като същевременно създават одитни следи, каквито нешифрованите телефонни разговори не оставят.

Сигурните комуникационни практики имат значение на всяко ниво на организацията. Това включва използването на шифровани съобщения за вътрешна координация, гарантиране, че отдалечените служители достъпват чувствителни системи чрез сигурни, автентифицирани връзки, и установяване на стъпки за верификация извън основния канал, преди да се предприемат действия по всяка заявка, свързана с идентификационни данни или системен достъп. Тези практики не са ексклузивни за големите предприятия: фирми от всякакъв мащаб, обработващи клиентска PII в облачни платформи, са изложени на същия основен риск.

Групата ShinyHunters, която преди това е свързвана с мащабни пробиви в множество сектори, е все по-активна в насочването срещу облачно хоствани бази данни. Предполагаемото им използване на Telegram канал за обявяване на претенцията срещу Cushman & Wakefield подчертава колко публични и безочливи са станали тези операции. Междувременно отделната претенция на Qilin предполага, че или компанията е била атакувана от множество участници, използващи едни и същи начални точки за достъп, или групата за рансъмуер опортюнистично заявява участие, за да окаже натиск върху фирмата да плати.

Какво означава това за вас

За физическите лица най-непосредственото притеснение е дали вашата информация може да е сред 500 000-те предположително компрометирани Salesforce записа. Ако сте имали отношения с Cushman & Wakefield като клиент, наемател или бизнес партньор, струва си да наблюдавате акаунтите си за необичайна активност и да сте нащрек за последващи фишинг опити, които могат да използват вашите лични данни, за да изглеждат легитимни.

За организациите този инцидент е повод да се прегледа начинът, по който се предоставя и отнема достъпът до облачни CRM платформи. Ключовите въпроси, които трябва да се зададат, включват: Може ли служител да оторизира промяна на идентификационни данни или експорт на данни, основавайки се единствено на телефонна заявка? Верификационните стъпки за чувствителни действия документирани ли са и последователно спазвани ли са? Планът ви за реагиране при инциденти отчита ли социалното инженерство като входен вектор?

Пробивът при Cushman & Wakefield е напомняне, че културата на сигурност е също толкова важна, колкото и инструментите за сигурност. Никаква технологична инвестиция не компенсира напълно служители, които не са обучени да разпознават и докладват подозрителни обаждания.

Практически изводи:

• Обучавайте служителите специално за вишинг тактики, не само за фишинг по имейл. Гласовите атаки изискват различни умения за разпознаване.
• Прилагайте многостъпкова верификация за всяка заявка, свързана с идентификационни данни, промени по акаунти или масов достъп до данни, независимо колко легитимно звучи обаждащият се.
• Одитирайте кой има достъп до облачни платформи като Salesforce и прилагайте принципа на минималните привилегии: потребителите трябва да имат достъп само до това, което им е действително необходимо.
• Установете ясен, доверен вътрешен канал, чрез който служителите да верифицират подозрителни заявки, преди да предприемат действия по тях.
• Наблюдавайте за необичайна активност при експорт на данни в CRM и облачни среди за съхранение, тъй като мащабен достъп до записи често е открим, преди ексфилтрацията да приключи.

Човешкият фактор остава най-експлоатираната уязвимост в корпоративната сигурност. Запълването на тази пролука изисква инвестиции в хора, процеси и верифицирани комуникационни практики, а не само по-добър софтуер.