Вишинг-атака на Cushman & Wakefield: ShinyHunters заявляет о краже 500 тысяч записей

Мировая компания в сфере недвижимости стала жертвой голосовой фишинговой атаки

Cushman & Wakefield, одна из крупнейших в мире компаний в сфере коммерческой недвижимости, подтвердила инцидент с безопасностью данных, связанный с голосовым фишингом, или вишингом. Ответственность за атаку заявили две отдельные киберпреступные группировки: ShinyHunters утверждает, что похитила 500 000 записей из Salesforce, содержащих персональные данные (PII), тогда как группа вымогателей Qilin независимо заявила о собственной атаке на компанию. Представляют ли эти инциденты единую скоординированную кампанию или два отдельных вторжения — пока неизвестно, однако произошедшее указывает на тревожную реальность: даже организации со значительными IT-ресурсами могут быть скомпрометированы одним убедительным телефонным звонком.

Cushman & Wakefield охарактеризовала инцидент как «ограниченный» по масштабу, однако 500 000 записей, связанных с крупной облачной CRM-платформой, — это отнюдь не тривиальная утечка. Среды Salesforce нередко содержат контактные данные, историю сделок и конфиденциальные деловые переписки. Для компании, работающей в сфере коммерческой недвижимости по всему миру, данные под угрозой могут затронуть клиентов, партнёров и контрагентов далеко за пределами круга собственных сотрудников.

Почему вишинг столь эффективен против технических средств защиты

Вишинг-атаки особенно опасны тем, что обходят технические средства контроля, в которые большинство организаций вкладывают значительные ресурсы. Межсетевые экраны, системы обнаружения угроз на конечных устройствах и мониторинг сети практически бесполезны, когда злоумышленник просто звонит сотруднику и убедительно представляется специалистом IT-поддержки, поставщиком или руководителем. Цель атакующего — манипулировать человеком, а не машиной, а людей «патчить» значительно сложнее.

В типичном вишинг-сценарии звонящий создаёт ощущение срочности, формирует ложное доверие и направляет жертву к передаче учётных данных, авторизации изменений в аккаунте или переходу по ссылке, устанавливающей вредоносное ПО. Получив действующие учётные данные от платформы вроде Salesforce, злоумышленник может перемещаться по среде незаметно, похищая записи без явных оповещений. Атака на Cushman & Wakefield следует схеме, наблюдаемой в различных отраслях: социальная инженерия как точка входа, облачные данные как главная цель.

Именно поэтому одних технических мер безопасности недостаточно. Обучение сотрудников, строгие процедуры верификации для чувствительных запросов и чёткие протоколы изменения учётных данных столь же важны, как любые программные средства контроля. Организации, воспринимающие безопасность как исключительно техническую проблему, оставляют в своей защите брешь человеческого масштаба.

Аргументы в пользу многоуровневой защиты коммуникаций

Инцидент с Cushman & Wakefield поднимает более широкий вопрос о том, как предприятия управляют конфиденциальными коммуникациями. Когда доступ к системам, хранящим сотни тысяч записей, может быть предоставлен по телефонному звонку, это означает, что сам канал связи является частью поверхности атаки. Зашифрованные, верифицированные каналы коммуникации создают дополнительный барьер для злоумышленников, а также формируют журналы аудита, которых незашифрованные телефонные звонки не оставляют.

Безопасные методы коммуникации важны на каждом уровне организации. Это включает использование зашифрованных мессенджеров для внутренней координации, обеспечение доступа удалённых сотрудников к конфиденциальным системам через защищённые аутентифицированные соединения, а также введение внеполосных шагов верификации перед выполнением любого запроса, связанного с учётными данными или доступом к системам. Эти практики актуальны не только для крупных предприятий: компании любого размера, работающие с персональными данными клиентов в облачных платформах, сталкиваются с той же фундаментальной уязвимостью.

Группировка ShinyHunters, ранее связанная с резонансными утечками данных в различных секторах, становится всё более активной в атаках на облачные базы данных. Предполагаемое использование Telegram-канала для объявления об атаке на Cushman & Wakefield подчёркивает, насколько публичными и дерзкими стали подобные операции. Отдельное заявление Qilin свидетельствует либо о том, что компанию атаковали несколько субъектов, использовавших один и тот же первоначальный доступ, либо о том, что группа вымогателей оппортунистически заявляет о своей причастности, чтобы оказать давление на компанию и вынудить её к выплате выкупа.

Что это означает для вас

Для физических лиц наиболее насущный вопрос — находятся ли ваши данные среди предположительно скомпрометированных 500 000 записей Salesforce. Если вы взаимодействовали с Cushman & Wakefield в качестве клиента, арендатора или делового партнёра, стоит отслеживать необычную активность в своих аккаунтах и быть настороже в отношении последующих фишинговых попыток, которые могут использовать ваши персональные данные, чтобы выглядеть убедительно.

Для организаций этот инцидент — повод проверить, как предоставляется и отзывается доступ к облачным CRM-платформам. Ключевые вопросы для самопроверки: может ли сотрудник авторизовать изменение учётных данных или экспорт данных исключительно на основании телефонного запроса? Документированы ли шаги верификации для чувствительных действий и неукоснительно ли они соблюдаются? Предусматривает ли ваш план реагирования на инциденты социальную инженерию в качестве вектора входа?

Взлом Cushman & Wakefield напоминает: культура безопасности важна не менее, чем инструменты безопасности. Никакие технологические инвестиции не компенсируют в полной мере отсутствие обучения сотрудников распознаванию подозрительных звонков и реагированию на них.

Практические рекомендации:

• Обучайте сотрудников конкретно тактикам вишинга, а не только электронному фишингу. Голосовые атаки требуют иных навыков распознавания.
• Внедрите многоэтапную верификацию для любого запроса, связанного с учётными данными, изменением аккаунта или массовым доступом к данным, — независимо от того, насколько убедительно звучит звонящий.
• Проведите аудит того, кто имеет доступ к облачным платформам вроде Salesforce, и применяйте принцип наименьших привилегий: пользователи должны иметь доступ только к тому, что им действительно необходимо.
• Создайте чёткий, надёжный внутренний канал, через который сотрудники могут верифицировать подозрительные запросы, прежде чем действовать.
• Отслеживайте необычную активность экспорта данных в CRM и средах облачного хранилища: масштабный доступ к записям зачастую поддаётся обнаружению до завершения эксфильтрации.

Человеческий фактор остаётся наиболее эксплуатируемой уязвимостью в корпоративной безопасности. Устранение этой бреши требует инвестиций в людей, процессы и верифицированные методы коммуникации, а не только в более совершенное программное обеспечение.