Které kyberzločinecké skupiny se přihlásily k odpovědnosti za útok na Cushman & Wakefield?

K odpovědnosti se přihlásily dvě skupiny: ShinyHunters, která tvrdí, že odcizila 500 000 záznamů ze Salesforce, a ransomwarová skupina Qilin, která nezávisle na tom oznámila vlastní útok na společnost.

Co je vishing útok a proč je považován za nebezpečný?

Vishing je útok hlasového phishingu, při kterém útočník zavolá zaměstnanci a vydává se za IT podporu, dodavatele nebo vedoucího pracovníka, aby ho zmanipuloval k předání přihlašovacích údajů nebo citlivých informací. Je nebezpečný, protože obchází technické obrany, jako jsou firewally a detekce na koncových bodech, tím, že cílí na lidi, nikoli na stroje.

Jak Cushman & Wakefield charakterizovala rozsah incidentu?

Cushman & Wakefield incident označila jako „omezený" co do rozsahu, přičemž bylo poznamenáno, že údajné odhalení 500 000 záznamů ze Salesforce představuje významné potenciální riziko.

Vishing útok na Cushman & Wakefield: ShinyHunters tvrdí, že získali 500 000 záznamů

Q: Kolik záznamů skupina ShinyHunters tvrdí, že odcizila?

Skupina ShinyHunters tvrdí, že odcizila 500 000 záznamů ze Salesforce obsahujících osobní identifikační údaje (PII).

Q: Jaká opatření článek doporučuje organizacím k obraně proti vishingovým útokům?

Článek doporučuje školení zaměstnanců v oblasti povědomí, přísné ověřovací postupy pro citlivé požadavky a jasné protokoly týkající se změn přihlašovacích údajů, přičemž zdůrazňuje, že bezpečnost nelze pojímat jako čistě technický problém.

Globální realitní firma zasažena útokem hlasového phishingu

Cushman & Wakefield, jedna z největších světových firem v oblasti komerčních nemovitostí, potvrdila bezpečnostní incident spojený s hlasovým phishingem, neboli vishingem. Dvě samostatné kyberzločinecké skupiny se přihlásily k odpovědnosti: skupina ShinyHunters tvrdí, že odcizila 500 000 záznamů ze Salesforce obsahujících osobní identifikační údaje (PII), zatímco ransomwarová skupina Qilin nezávisle na tom oznámila vlastní útok na společnost. Zda se jedná o jedinou koordinovanou kampaň, nebo o dva samostatné průniky, zůstává nejasné, ale incident poukazuje na znepokojivou skutečnost: i organizace s rozsáhlými IT zdroji mohou být zničeny přesvědčivým telefonním hovorem.

Cushman & Wakefield incident označila jako „omezený" co do rozsahu, avšak 500 000 záznamů vázaných na hlavní cloudovou CRM platformu není zanedbatelné odhalení. Prostředí Salesforce často obsahuje kontaktní údaje, historii obchodů a citlivou obchodní komunikaci. U firmy působící v rámci transakcí s komerčními nemovitostmi po celém světě by ohrožená data mohla zasáhnout klienty, partnery a protistrany daleko za hranicemi vlastních zaměstnanců společnosti.

Proč je vishing tak účinný proti technickým obranám

Vishingové útoky jsou obzvláště nebezpečné, protože obcházejí technické kontroly, do nichž většina organizací výrazně investuje. Firewally, detekce na koncových bodech a monitorování sítě jsou do značné míry irelevantní, když útočník jednoduše zavolá zaměstnanci a přesvědčivě se vydá za IT podporu, dodavatele nebo vedoucího pracovníka. Cílem útočníka je manipulovat s člověkem, nikoli se strojem, a lidi je podstatně obtížnější „záplatovat".

V typickém vishingovém scénáři volající vytváří naléhavost, buduje falešnou důvěryhodnost a navádí cíl k předání přihlašovacích údajů, autorizaci změn účtu nebo kliknutí na odkaz, který nainstaluje malware. Jakmile má útočník platné přihlašovací údaje k platformě, jako je Salesforce, může se v prostředí pohybovat tiše a exfiltrovat záznamy, aniž by spustil zřejmé výstrahy. Útok na Cushman & Wakefield sleduje vzorec pozorovaný napříč mnoha odvětvími: sociální inženýrství jako vstupní bod, cloudová data jako cíl.

Právě proto jsou samotná technická bezpečnostní opatření nedostatečná. Školení zaměstnanců v oblasti povědomí, přísné ověřovací postupy pro citlivé požadavky a jasné protokoly týkající se změn přihlašovacích údajů jsou stejně důležité jako jakékoli softwarové kontroly. Organizace, které přistupují k bezpečnosti jako k čistě technickému problému, ponechávají ve své obraně mezeru velikosti člověka.

Argument pro vrstvenou bezpečnost komunikace

Incident Cushman & Wakefield vyvolává širší otázku o tom, jak podniky nakládají s citlivou komunikací. Když může být přístup k systémům uchovávajícím stovky tisíc záznamů udělen prostřednictvím telefonního hovoru, naznačuje to, že samotný komunikační kanál je součástí plochy útoku. Šifrované a ověřené komunikační kanály přidávají vrstvu odporu, kterou musí útočníci překonat, a zároveň vytvářejí auditní záznamy, které nešifrované telefonní hovory neposkytují.

Bezpečné komunikační postupy jsou důležité na každé úrovni organizace. To zahrnuje používání šifrovaného zasílání zpráv pro interní koordinaci, zajištění přístupu vzdálených pracovníků k citlivým systémům prostřednictvím zabezpečených a ověřených připojení a zavedení ověřovacích kroků mimo pásmo před provedením jakéhokoli požadavku zahrnujícího přihlašovací údaje nebo přístup k systému. Tyto postupy nejsou výhradní záležitostí velkých podniků: firmy jakékoli velikosti, které zpracovávají PII klientů v cloudových platformách, čelí stejnému základnímu riziku.

Skupina ShinyHunters, která byla dříve spojována s velmi sledovanými úniky dat napříč více odvětvími, je stále aktivnější při cílení na cloudově hostované databáze. Jejich údajné použití kanálu Telegram k oznámení tvrzení ohledně Cushman & Wakefield zdůrazňuje, jak veřejné a drzé se tyto operace staly. Mezitím samostatné tvrzení skupiny Qilin naznačuje, že buď na společnost cílilo více aktérů využívajících stejný počáteční přístup, nebo že ransomwarová skupina příležitostně nárokuje zapojení, aby firmu přinutila k zaplacení.

Co to znamená pro vás

Pro jednotlivce je nejbezprostřednějším problémem to, zda vaše informace mohou být mezi 500 000 údajně kompromitovanými záznamy Salesforce. Pokud jste jednali s Cushman & Wakefield jako klient, nájemce nebo obchodní partner, je vhodné sledovat vaše účty kvůli neobvyklé aktivitě a být ostražití vůči následným phishingovým pokusům, které mohou využívat vaše osobní údaje, aby vypadaly legitimně.

Pro organizace je tento incident podnětem k přezkoumání toho, jak je přístup ke cloudovým CRM platformám udělován a odebírán. Klíčové otázky, které je třeba položit, zahrnují: Může zaměstnanec autorizovat změnu přihlašovacích údajů nebo export dat výhradně na základě telefonického požadavku? Jsou ověřovací kroky pro citlivé akce zdokumentovány a důsledně dodržovány? Zohledňuje váš plán reakce na incidenty sociální inženýrství jako vstupní vektor?

Narušení bezpečnosti Cushman & Wakefield je připomínkou, že bezpečnostní kultura je stejně důležitá jako bezpečnostní nástroje. Žádná technologická investice plně nekompenzuje zaměstnance, kteří nebyli vyškoleni k rozpoznání a hlášení podezřelých hovorů.

Praktické závěry:

Školte zaměstnance specificky na vishingové taktiky, nejen na e-mailový phishing. Hlasové útoky vyžadují odlišné rozpoznávací dovednosti.
Zavádějte vícekrokové ověření pro jakýkoli požadavek týkající se přihlašovacích údajů, změn účtu nebo hromadného přístupu k datům, bez ohledu na to, jak legitimně volající zní.
Auditujte, kdo má přístup ke cloudovým platformám, jako je Salesforce, a aplikujte princip nejmenšího oprávnění: uživatelé by měli mít přístup pouze k tomu, co skutečně potřebují.
Zřiďte jasný a důvěryhodný interní kanál, kde mohou zaměstnanci ověřit podezřelé požadavky před jejich provedením.
Sledujte neobvyklou aktivitu exportu dat v CRM a prostředích cloudového úložiště, protože rozsáhlý přístup k záznamům je často detekovatelný před dokončením exfiltrace.

Lidský faktor zůstává nejčastěji zneužívanou zranitelností v podnikové bezpečnosti. Uzavření této mezery vyžaduje investici do lidí, procesů a ověřených komunikačních postupů – nikoli pouze lepší software.

Globální realitní firma zasažena útokem hlasového phishingu

Proč je vishing tak účinný proti technickým obranám

Argument pro vrstvenou bezpečnost komunikace

Co to znamená pro vás

// FAQ

// Související