Вішинг-атака на Cushman & Wakefield: ShinyHunters заявляє про 500 тис. записів

Глобальна компанія з нерухомості постраждала від атаки голосового фішингу

Cushman & Wakefield, одна з найбільших у світі компаній у сфері комерційної нерухомості, підтвердила інцидент із безпекою даних, пов'язаний із голосовим фішингом, або вішингом. Відповідальність взяли на себе дві окремі кіберзлочинні групи: ShinyHunters стверджує, що викрала 500 000 записів Salesforce, які містять персональні дані (PII), тоді як група-вимагач Qilin незалежно заявила про власну атаку на компанію. Чи є це єдиною скоординованою кампанією чи двома окремими вторгненнями — наразі невідомо, однак інцидент підкреслює тривожну реальність: навіть організації зі значними IT-ресурсами можуть бути зламані завдяки одному переконливому телефонному дзвінку.

Cushman & Wakefield охарактеризувала інцидент як «обмежений» за масштабом, проте 500 000 записів, пов'язаних із великою хмарною CRM-платформою, — це аж ніяк не тривіальний витік. Середовища Salesforce часто містять контактні дані, історію угод і конфіденційні ділові комунікації. Для компанії, що працює з комерційними операціями з нерухомістю по всьому світу, дані під загрозою можуть стосуватися клієнтів, партнерів і контрагентів, далеко виходячи за межі власного персоналу організації.

Чому вішинг такий ефективний проти технічних засобів захисту

Вішинг-атаки особливо небезпечні тим, що обходять технічні засоби контролю, у які більшість організацій вкладає значні кошти. Міжмережеві екрани, виявлення загроз на кінцевих точках і моніторинг мережі практично неефективні, коли зловмисник просто телефонує співробітнику та переконливо видає себе за IT-підтримку, постачальника чи керівника. Мета зловмисника — маніпулювати людиною, а не машиною, а люди значно складніше піддаються «виправленню».

У типовому вішинг-сценарії абонент створює відчуття терміновості, встановлює хибну довіру і спрямовує жертву до розкриття облікових даних, авторизації змін в обліковому записі або переходу за посиланням, яке встановлює шкідливе програмне забезпечення. Щойно зловмисник отримує дійсні облікові дані для такої платформи, як Salesforce, він може непомітно переміщатися середовищем, викрадаючи записи без очевидних сповіщень. Атака на Cushman & Wakefield відтворює схему, що спостерігається в різних галузях: соціальна інженерія як точка входу, хмарні дані як ціль.

Саме тому лише технічних засобів захисту недостатньо. Навчання співробітників з питань безпеки, суворі процедури перевірки конфіденційних запитів і чіткі протоколи щодо зміни облікових даних так само важливі, як і будь-яке програмне рішення. Організації, які розглядають безпеку виключно як технічну проблему, залишають у своєму захисті прогалину людського масштабу.

Аргументи на користь багаторівневої безпеки комунікацій

Інцидент із Cushman & Wakefield порушує ширше питання про те, як підприємства управляють конфіденційними комунікаціями. Якщо доступ до систем, що зберігають сотні тисяч записів, можна отримати через телефонний дзвінок, це свідчить про те, що сам канал зв'язку є частиною поверхні атаки. Зашифровані та верифіковані канали комунікації додають рівень перешкод, які зловмисники мусять подолати, а також створюють журнали аудиту, яких немає у незашифрованих телефонних дзвінках.

Безпечні практики комунікацій мають значення на кожному рівні організації. Це включає використання зашифрованих повідомлень для внутрішньої координації, забезпечення доступу віддалених працівників до чутливих систем через захищені автентифіковані з'єднання, а також встановлення позасмугових кроків перевірки перед виконанням будь-якого запиту, що стосується облікових даних або доступу до систем. Ці практики не є прерогативою великих підприємств: компанії будь-якого розміру, що обробляють персональні дані клієнтів у хмарних платформах, стикаються з тим самим фундаментальним ризиком.

Група ShinyHunters, яку раніше пов'язували з резонансними витоками в різних секторах, дедалі активніше атакує бази даних, розміщені в хмарі. Їхнє стверджуване використання каналу Telegram для оголошення про причетність до атаки на Cushman & Wakefield підкреслює, наскільки публічними та зухвалими стали такі операції. Між тим, окрема заява Qilin свідчить або про те, що компанію атакували кілька суб'єктів, що скористалися одним і тим самим первісним доступом, або про те, що група-вимагач опортуністично заявляє про свою причетність, щоб чинити тиск на компанію з метою отримання викупу.

Що це означає для вас

Для фізичних осіб найбільш безпосереднє занепокоєння полягає в тому, чи не опинилися ваші дані серед 500 000 імовірно скомпрометованих записів Salesforce. Якщо ви мали справу з Cushman & Wakefield як клієнт, орендар або діловий партнер, варто стежити за незвичайною активністю у своїх облікових записах і бути пильними щодо подальших фішингових спроб, які можуть використовувати ваші персональні дані для підвищення довіри.

Для організацій цей інцидент є приводом перевірити, як надається і відкликається доступ до хмарних CRM-платформ. Ключові питання, які слід поставити: чи може співробітник авторизувати зміну облікових даних або експорт даних лише на підставі телефонного запиту? Чи задокументовані і чи послідовно дотримуються кроки перевірки для чутливих дій? Чи враховує ваш план реагування на інциденти соціальну інженерію як вектор входу?

Витік даних Cushman & Wakefield нагадує, що культура безпеки важлива не менше, ніж інструменти безпеки. Жодні технологічні інвестиції повністю не компенсують брак навчання співробітників розпізнавати та повідомляти про підозрілі дзвінки.

Практичні рекомендації:

• Навчайте співробітників конкретно технікам вішингу, а не лише електронному фішингу. Голосові атаки потребують інших навичок розпізнавання.
• Запровадьте багатоетапну перевірку для будь-якого запиту, що стосується облікових даних, змін в обліковому записі або масового доступу до даних, незалежно від того, наскільки легітимним здається абонент.
• Перевірте, хто має доступ до хмарних платформ на кшталт Salesforce, і застосовуйте принцип найменших привілеїв: користувачі повинні мати доступ лише до того, що їм справді необхідно.
• Встановіть чіткий, надійний внутрішній канал для співробітників, щоб перевіряти підозрілі запити перед тим, як діяти відповідно до них.
• Відстежуйте незвичайну активність із експортом даних у середовищах CRM і хмарного сховища, оскільки масовий доступ до записів часто можна виявити ще до завершення їх викрадення.

Людський фактор залишається найбільш використовуваною вразливістю в корпоративній безпеці. Усунення цієї прогалини потребує інвестицій у людей, процеси та верифіковані практики комунікацій, а не лише в кращі програмні рішення.