Επίθεση Vishing στην Cushman & Wakefield: Η ShinyHunters Ισχυρίζεται ότι Έκλεψε 500.000 Εγγραφές

Παγκόσμια Κτηματομεσιτική Εταιρεία Χτυπήθηκε από Επίθεση Φωνητικού Phishing

Η Cushman & Wakefield, μία από τις μεγαλύτερες εμπορικές κτηματομεσιτικές εταιρείες στον κόσμο, επιβεβαίωσε ένα περιστατικό ασφάλειας δεδομένων που συνδέεται με επίθεση φωνητικού phishing, ή vishing. Δύο ξεχωριστές κυβερνοεγκληματικές ομάδες έχουν εμφανιστεί για να αναλάβουν την ευθύνη: η ShinyHunters ισχυρίζεται ότι έκλεψε 500.000 εγγραφές Salesforce που περιέχουν προσωπικά αναγνωρίσιμα στοιχεία (PII), ενώ η ομάδα ransomware Qilin έχει ανεξάρτητα διεκδικήσει τη δική της επίθεση στην εταιρεία. Αν αυτές αντιπροσωπεύουν μία ενιαία συντονισμένη εκστρατεία ή δύο ξεχωριστές εισβολές παραμένει ασαφές, αλλά το περιστατικό αναδεικνύει μια ανησυχητική πραγματικότητα: ακόμη και οργανισμοί με σημαντικούς πόρους IT μπορούν να καταρρεύσουν από ένα πειστικό τηλεφώνημα.

Η Cushman & Wakefield περιέγραψε το περιστατικό ως «περιορισμένο» σε εύρος, αλλά 500.000 εγγραφές συνδεδεμένες με μια μεγάλη πλατφόρμα CRM στο cloud δεν αποτελούν ασήμαντη έκθεση. Τα περιβάλλοντα Salesforce συχνά περιέχουν στοιχεία επικοινωνίας, ιστορικά συναλλαγών και ευαίσθητες επιχειρηματικές επικοινωνίες. Για μια εταιρεία που δραστηριοποιείται σε εμπορικές ακίνητες συναλλαγές παγκοσμίως, τα δεδομένα που κινδυνεύουν θα μπορούσαν να επηρεάσουν πελάτες, συνεργάτες και αντισυμβαλλόμενους πολύ πέρα από τους ίδιους τους υπαλλήλους της εταιρείας.

Γιατί το Vishing Είναι Τόσο Αποτελεσματικό Ενάντια στις Τεχνικές Άμυνες

Οι επιθέσεις vishing είναι ιδιαίτερα επικίνδυνες επειδή παρακάμπτουν τους τεχνικούς ελέγχους στους οποίους επενδύουν σημαντικά οι περισσότεροι οργανισμοί. Τα τείχη προστασίας, η ανίχνευση τελικών σημείων και η παρακολούθηση δικτύου είναι σε μεγάλο βαθμό άσχετα όταν ένας επιτιθέμενος απλώς τηλεφωνεί σε έναν υπάλληλο και πείθει ότι είναι τεχνική υποστήριξη IT, προμηθευτής ή στέλεχος. Ο στόχος του επιτιθέμενου είναι να χειραγωγήσει ένα άτομο, όχι μια μηχανή, και οι άνθρωποι είναι πολύ πιο δύσκολο να «διορθωθούν».

Σε ένα τυπικό σενάριο vishing, ο καλών δημιουργεί επείγον κλίμα, εδραιώνει ψευδή αξιοπιστία και καθοδηγεί τον στόχο ώστε να παραδώσει διαπιστευτήρια, να εξουσιοδοτήσει αλλαγές λογαριασμού ή να κάνει κλικ σε έναν σύνδεσμο που εγκαθιστά κακόβουλο λογισμικό. Μόλις ένας επιτιθέμενος αποκτήσει έγκυρα διαπιστευτήρια για μια πλατφόρμα όπως το Salesforce, μπορεί να κινηθεί σε ένα περιβάλλον αθόρυβα, εξάγοντας εγγραφές χωρίς να ενεργοποιήσει προφανείς ειδοποιήσεις. Η επίθεση στην Cushman & Wakefield ακολουθεί ένα μοτίβο που παρατηρείται σε πολλούς κλάδους: η κοινωνική μηχανική ως σημείο εισόδου, τα δεδομένα cloud ως το έπαθλο.

Αυτός είναι ακριβώς ο λόγος για τον οποίο τα αμιγώς τεχνικά μέτρα ασφαλείας δεν επαρκούν. Η εκπαίδευση ευαισθητοποίησης υπαλλήλων, οι αυστηρές διαδικασίες επαλήθευσης για ευαίσθητα αιτήματα και σαφή πρωτόκολλα γύρω από τις αλλαγές διαπιστευτηρίων είναι εξίσου σημαντικά με οποιοδήποτε λογισμικό ελέγχου. Οι οργανισμοί που αντιμετωπίζουν την ασφάλεια ως αμιγώς τεχνικό πρόβλημα αφήνουν ένα κενό στις άμυνές τους, στο μέγεθος ανθρώπου.

Η Υπόθεση για Ασφάλεια Επικοινωνιών Πολλαπλών Επιπέδων

Το περιστατικό της Cushman & Wakefield εγείρει ένα ευρύτερο ερώτημα σχετικά με τον τρόπο που οι επιχειρήσεις χειρίζονται ευαίσθητες επικοινωνίες. Όταν η πρόσβαση σε συστήματα που περιέχουν εκατοντάδες χιλιάδες εγγραφές μπορεί να εκχωρηθεί μέσω ενός τηλεφωνήματος, αυτό υποδηλώνει ότι το ίδιο το κανάλι επικοινωνίας αποτελεί μέρος της επιφάνειας επίθεσης. Τα κρυπτογραφημένα, επαληθευμένα κανάλια επικοινωνίας προσθέτουν ένα επίπεδο τριβής που οι επιτιθέμενοι πρέπει να ξεπεράσουν, ενώ παράλληλα δημιουργούν ίχνη ελέγχου που τα μη κρυπτογραφημένα τηλεφωνήματα δεν παρέχουν.

Οι ασφαλείς πρακτικές επικοινωνίας έχουν σημασία σε κάθε επίπεδο ενός οργανισμού. Αυτό περιλαμβάνει τη χρήση κρυπτογραφημένων μηνυμάτων για εσωτερικό συντονισμό, τη διασφάλιση ότι οι εργαζόμενοι εξ αποστάσεως έχουν πρόσβαση σε ευαίσθητα συστήματα μέσω ασφαλών, πιστοποιημένων συνδέσεων, και τη δημιουργία βημάτων εξωτερικής επαλήθευσης πριν από οποιαδήποτε ενέργεια που αφορά διαπιστευτήρια ή πρόσβαση σε συστήματα. Αυτές οι πρακτικές δεν είναι αποκλειστικές για μεγάλες επιχειρήσεις: επιχειρήσεις οποιουδήποτε μεγέθους που χειρίζονται PII πελατών σε πλατφόρμες cloud αντιμετωπίζουν την ίδια θεμελιώδη έκθεση.

Η ομάδα ShinyHunters, η οποία έχει προηγουμένως συνδεθεί με παραβιάσεις υψηλού προφίλ σε πολλούς κλάδους, έχει γίνει όλο και πιο δραστήρια στη στόχευση βάσεων δεδομένων φιλοξενούμενων στο cloud. Η φερόμενη χρήση ενός καναλιού Telegram για την ανακοίνωση της διεκδίκησης κατά της Cushman & Wakefield υπογραμμίζει πόσο δημόσιες και θρασείς έχουν γίνει αυτές οι επιχειρήσεις. Εν τω μεταξύ, η ξεχωριστή διεκδίκηση της Qilin υποδηλώνει είτε ότι η εταιρεία στοχοποιήθηκε από πολλούς παράγοντες που εκμεταλλεύτηκαν την ίδια αρχική πρόσβαση, είτε ότι η ομάδα ransomware διεκδικεί ευκαιριακά εμπλοκή για να πιέσει την εταιρεία να πληρώσει.

Τι Σημαίνει Αυτό για Εσάς

Για τα άτομα, η πιο άμεση ανησυχία είναι αν τα στοιχεία σας ενδέχεται να βρίσκονται μεταξύ των 500.000 φερόμενα παραβιασμένων εγγραφών Salesforce. Εάν είχατε συναλλαγές με την Cushman & Wakefield ως πελάτης, ενοικιαστής ή επιχειρηματικός εταίρος, αξίζει να παρακολουθείτε τους λογαριασμούς σας για ασυνήθιστη δραστηριότητα και να είστε σε εγρήγορση για επακόλουθες απόπειρες phishing που ενδέχεται να χρησιμοποιούν τα προσωπικά σας στοιχεία για να φαίνονται νόμιμες.

Για τους οργανισμούς, αυτό το περιστατικό αποτελεί αφορμή να εξετάσουν πώς εκχωρείται και ανακαλείται η πρόσβαση σε πλατφόρμες CRM στο cloud. Βασικές ερωτήσεις που πρέπει να τεθούν περιλαμβάνουν: Μπορεί ένας υπάλληλος να εξουσιοδοτήσει αλλαγή διαπιστευτηρίων ή εξαγωγή δεδομένων βασιζόμενος αποκλειστικά σε αίτημα μέσω τηλεφώνου; Τα βήματα επαλήθευσης για ευαίσθητες ενέργειες είναι τεκμηριωμένα και τηρούνται με συνέπεια; Το σχέδιο αντιμετώπισης περιστατικών σας λαμβάνει υπόψη την κοινωνική μηχανική ως φορέα εισόδου;

Η παραβίαση της Cushman & Wakefield υπενθυμίζει ότι η κουλτούρα ασφαλείας έχει εξίσου μεγάλη σημασία με τα εργαλεία ασφαλείας. Καμία τεχνολογική επένδυση δεν αντισταθμίζει πλήρως τους υπαλλήλους που δεν έχουν εκπαιδευτεί να αναγνωρίζουν και να αναφέρουν ύποπτες κλήσεις.

Εφαρμόσιμα συμπεράσματα:

• Εκπαιδεύστε τους υπαλλήλους ειδικά στις τακτικές vishing, όχι μόνο στο phishing μέσω email. Οι φωνητικές επιθέσεις απαιτούν διαφορετικές δεξιότητες αναγνώρισης.
• Εφαρμόστε πολυβηματική επαλήθευση για κάθε αίτημα που αφορά διαπιστευτήρια, αλλαγές λογαριασμού ή μαζική πρόσβαση σε δεδομένα, ανεξάρτητα από το πόσο νόμιμος ακούγεται ο καλών.
• Ελέγξτε ποιος έχει πρόσβαση σε πλατφόρμες cloud όπως το Salesforce και εφαρμόστε την αρχή της ελάχιστης προνομίας: οι χρήστες θα πρέπει να έχουν πρόσβαση μόνο σε αυτά που πραγματικά χρειάζονται.
• Δημιουργήστε ένα σαφές, αξιόπιστο εσωτερικό κανάλι για να επαληθεύουν οι υπάλληλοι ύποπτα αιτήματα πριν ενεργήσουν βάσει αυτών.
• Παρακολουθείτε για ασυνήθιστη δραστηριότητα εξαγωγής δεδομένων σε περιβάλλοντα CRM και αποθήκευσης cloud, καθώς η μαζική πρόσβαση σε εγγραφές είναι συχνά ανιχνεύσιμη πριν ολοκληρωθεί η εξαγωγή.

Το ανθρώπινο στοιχείο παραμένει η πιο εκμεταλλεύσιμη ευπάθεια στην εταιρική ασφάλεια. Το κλείσιμο αυτού του κενού απαιτεί επένδυση σε ανθρώπους, διαδικασίες και επαληθευμένες πρακτικές επικοινωνίας, όχι μόνο καλύτερο λογισμικό.