Cushman & Wakefield vishing-támadás: A ShinyHunters 500 000 rekord megszerzését állítja

Hangalapú adathalász támadás érte a globális ingatlancéget

A Cushman & Wakefield, a világ egyik legnagyobb kereskedelmi ingatlanvállalata megerősítette, hogy adatbiztonsági incidens történt, amely egy hangalapú adathalász, azaz vishing-támadáshoz köthető. Két különálló kiberbűnözői csoport vállalt felelősséget: a ShinyHunters azt állítja, hogy 500 000 személyazonosításra alkalmas adatot (PII) tartalmazó Salesforce-rekordot lopott el, míg a Qilin ransomware-csoport önállóan jelentette be saját támadását a vállalat ellen. Egyelőre nem egyértelmű, hogy ezek egyetlen összehangolt kampányt vagy két különálló behatolást képviselnek-e, de az incidens egy nyugtalanító valóságra mutat rá: még a jelentős informatikai erőforrásokkal rendelkező szervezeteket is meg lehet ingatni egyetlen meggyőző telefonhívással.

A Cushman & Wakefield „korlátozott" mértékűként jellemezte az incidenst, azonban az egy jelentős felhőalapú CRM-platformhoz kötődő 500 000 rekord nem tekinthető elhanyagolható kitettségnek. A Salesforce-környezetek jellemzően elérhetőségi adatokat, üzleti előzményeket és érzékeny üzleti kommunikációt tartalmaznak. Egy olyan cég esetében, amely világszerte kereskedelmi ingatlanügyleteken dolgozik, a veszélyeztetett adatok a vállalat saját alkalmazottain jóval túlmutató körben érinthetik az ügyfeleket, partnereket és üzleti feleket.

Miért olyan hatékony a vishing a technikai védelemmel szemben

A vishing-támadások azért különösen veszélyesek, mert megkerülik azokat a technikai kontrollokat, amelyekbe a legtöbb szervezet jelentős összegeket fektet. A tűzfalak, a végpontok védelme és a hálózatfelügyelet nagyrészt irreleváns, ha a támadó egyszerűen felhív egy alkalmazottat, és meggyőzően IT-ügyfélszolgálatnak, szállítónak vagy vezetőnek adja ki magát. A támadó célja egy ember manipulálása, nem egy gépe, az embereket pedig lényegesen nehezebb „befoltozni".

Egy tipikus vishing-forgatókönyvben a hívó sürgető helyzetet teremt, hamis hitelességet épít fel, és a célszemélyt ráviszi, hogy átadja a hitelesítő adatait, jóváhagyjon fiókváltoztatásokat, vagy egy olyan hivatkozásra kattintson, amely kártevőt telepít. Ha a támadó érvényes hitelesítő adatokat szerez egy olyan platformhoz, mint a Salesforce, csendben mozoghat a rendszerkörnyezetben, és rekordokat szűrhet ki anélkül, hogy nyilvánvaló riasztásokat váltana ki. A Cushman & Wakefield elleni támadás egy több iparágban megfigyelt mintát követ: a social engineering a belépési pont, a felhőalapú adatok pedig a zsákmány.

Pontosan ezért nem elegendők önmagukban a technikai biztonsági intézkedések. Az alkalmazottak tudatosságának fejlesztése, az érzékeny kérések szigorú ellenőrzési eljárásai és a hitelesítő adatok módosításával kapcsolatos egyértelmű protokollok legalább annyira fontosak, mint bármely szoftveres kontroll. Azok a szervezetek, amelyek kizárólag technikai problémaként kezelik a biztonságot, egy emberméretű rést hagynak a védelmi rendszerükben.

Az érv a rétegzett kommunikációs biztonság mellett

A Cushman & Wakefield-incidens szélesebb kérdést vet fel azzal kapcsolatban, hogyan kezelik a vállalatok az érzékeny kommunikációt. Ha egy telefonhívás elegendő ahhoz, hogy hozzáférést adjanak egy több százezer rekordot tároló rendszerhez, az azt jelzi, hogy maga a kommunikációs csatorna is részét képezi a támadási felületnek. A titkosított, hitelesített kommunikációs csatornák olyan súrlódási réteget adnak hozzá, amelyet a támadóknak le kell győzniük, ugyanakkor ellenőrzési nyomvonalakat is létrehoznak, amelyeket a titkosítatlan telefonhívások nem biztosítanak.

A biztonságos kommunikációs gyakorlatok a szervezet minden szintjén fontosak. Ez magában foglalja a titkosított üzenetküldés használatát a belső koordinációhoz, annak biztosítását, hogy a távoli munkavállalók biztonságos, hitelesített kapcsolatokon keresztül férhessenek hozzá az érzékeny rendszerekhez, valamint különálló ellenőrzési lépések bevezetését azelőtt, hogy bármilyen, hitelesítő adatokat vagy rendszer-hozzáférést érintő kérésre reagálnának. Ezek a gyakorlatok nem kizárólag a nagyvállalatokra vonatkoznak: bármilyen méretű vállalkozás, amely felhőplatformokon ügyfél-személyes adatokat kezel, ugyanezzel az alapvető kitettséggel szembesül.

A ShinyHunters-csoport, amelyet korábban több szektorban bekövetkezett, nagy nyilvánosságot kapott adatszivárgásokhoz is kapcsoltak, egyre aktívabban célozza meg a felhőalapú adatbázisokat. Az, hogy állítólag egy Telegram-csatornán tette közzé a Cushman & Wakefield elleni igényét, jól érzékelteti, mennyire nyilvánossá és szemtelenebbé váltak ezek a műveletek. Ugyanakkor a Qilin önálló bejelentése arra utal, hogy vagy ugyanazon kezdeti hozzáféréssel élve több szereplő is célba vette a céget, vagy a ransomware-csoport opportunista módon igényli magának az érintettséget, hogy nyomást gyakoroljon a vállalatra a fizetés érdekében.

Mit jelent ez az Ön számára

Az egyének számára a legközvetlenebb kérdés az, hogy adataik szerepelhetnek-e az állítólagosan kompromittált 500 000 Salesforce-rekord között. Ha Ön ügyfélként, bérlőként vagy üzleti partnerként kapcsolatban állt a Cushman & Wakefield-del, érdemes figyelemmel kísérni fiókjait a szokatlan tevékenységek szempontjából, és résen lenni az esetleges utólagos adathalász kísérletekkel szemben, amelyek személyes adatait felhasználva próbálhatnak hitelesnek látszani.

A szervezetek számára ez az incidens ösztönzés arra, hogy megvizsgálják, hogyan adják meg és vonják vissza a felhőalapú CRM-platformokhoz való hozzáférést. A kulcskérdések a következők: Engedélyezhet-e egy alkalmazott hitelesítő adat módosítást vagy adatexportot kizárólag telefonos kérés alapján? Az érzékeny műveletekre vonatkozó ellenőrzési lépések dokumentáltak és következetesen betartottak-e? Figyelembe veszi-e az incidens-reagálási terv a social engineeringet mint belépési vektort?

A Cushman & Wakefield-incidens emlékeztet arra, hogy a biztonsági kultúra legalább annyira fontos, mint a biztonsági eszközök. Semmiféle technológiai befektetés nem képes teljes mértékben pótolni azokat az alkalmazottakat, akiket nem képeztek ki a gyanús hívások felismerésére és jelentésére.

Végrehajtható tanulságok:

• Képezze az alkalmazottakat kifejezetten a vishing-taktikákra, ne csupán az e-mailes adathalászatra. A hangalapú támadások felismeréséhez eltérő készségekre van szükség.
• Vezessen be többlépéses ellenőrzést minden olyan kérés esetén, amely hitelesítő adatokat, fiókváltoztatásokat vagy tömeges adathozzáférést érint, függetlenül attól, mennyire törvényesnek hangzik a hívó.
• Ellenőrizze, hogy ki fér hozzá az olyan felhőplatformokhoz, mint a Salesforce, és alkalmazza a legkisebb jogosultság elvét: a felhasználók csak ahhoz férhessenek hozzá, amire valóban szükségük van.
• Hozzon létre egy egyértelmű, megbízható belső csatornát, amelyen keresztül az alkalmazottak ellenőrizhetik a gyanús kéréseket, mielőtt reagálnának rájuk.
• Figyelje a szokatlan adatexport-tevékenységet a CRM- és felhőalapú tárolókörnyezetekben, mivel a nagy léptékű rekord-hozzáférés az adatok kiszűrése előtt gyakran észlelhető.

Az emberi tényező továbbra is a vállalati biztonság leginkább kihasznált sebezhetősége. A rés bezárásához emberekbe, folyamatokba és ellenőrzött kommunikációs gyakorlatokba kell befektetni – nem csupán jobb szoftverekbe.