Az alliteráló cím csak a véletlen műve, a lényeg sokkal inkább az, hogy akár lesz második, meg sokadik hullám, akár nem, többé kevésbé minden cégnél teret nyert már a homeoffice, így a sötét oldalnak érdemes volt régi-új social engineering módszerekkel támadni a munkavállalókat.
Aki az IT biztonság kenyerét eszi, az nem nagyon kerülhette el Kevin Mitnick nevét, munkásságát – értékeljük azt erkölcsileg bárhogyan is, mindenképpen jelentős “aha” élményt okozott akkoriban sokaknak. Több könyve is megjelent, három magyar nyelven is, amelyben azt mutatta meg, hogy a leggyengébb láncszem, az ember megtévesztését, kihasználását hogyan vitte tökélyre, sőt művészi szintre.
Az IT biztonsági képzések, tréningek nem véletlenül tartalmaznak a puszta műszaki kérdések mellett ilyen témákat is, hiszen lehet az embernek bármilyen erős jelszava, ha abban a hitben, hogy a vállalati rendszergazdával beszél, naivan bediktálja azt telefonon egy vadigennek, akkor ezzel lenulláz mindent.
Tavasz óta látszik egy olyan forgatókönyv, aminek az a lényege, hogy a támadók e-mailben próbálkoznak munkavállalókat elérni, és a céges VPN oldalak adathalász hasonmásaira átirányítgatni őket. Most is ugyanez történik, de már telefonhívásokkal kiegészülve, hogy az említett vállalati VPN hitelesítő adatokat a bűnözők ellophassák.
Brian Krebs szerint az elmúlt félévben több tucat, de lehet, hogy több száz rosszindulatú domain bejegyzés beregisztrálására került sor, és ezekkel a jelek szerint elsősorban a világ vezető vállalatait célozták meg, elsősorban a pénzügyi, távközlési és szociális média területére koncentrálva.
Az akció telefonhívásokkal (vishing) kezdődik, amelyet a megcélzott szervezetnél távolról dolgozó alkalmazottakkal folytatnak. Az adathalászok elmagyarázzák, hogy a munkaadó informatikai részlegétől hívják őket, hogy segítsenek a vállalat virtuális magánhálózati (VPN) technológiájával kapcsolatos problémák elhárításában, beállításában.
Az átlag munkavállalók többsége esetében – különösen akik nem részesültek külön homeoffice miatt biztonsági képzésben – nem az a kérdés merül fel bennük, hogy ez most biztos igaz-e, hanem hogy ez VPN nekem kínai, és lehetőleg ne tartson sokáig a beavatkozás, mert sürgősen dolgozni kell. Ha itt aztán szépen bediktálják a csalóknak a kért VPN azonosítókat, úgy valóban nem fog sokáig tartani.
A mese szólhat arról is, hogy valaki egy újonnan felvett alkalmazott, aki éppen nem boldogul a biztonsági beállításokkal, ezért kér sürgős segítséget, illetve kéri el a “kolléga” accountját. Ehhez akár kamu LinkedIn profilt is szerkesztenek a csalók, hogy kérdés esetén tudjanak rá hivatkozni. A legtöbb helyen ez szerencsére kiegészül valamilyen OTP vagy többfaktoros hitelesítéssel is, így a támadóknak roppant gyorsnak kell lenniük, hiszen gyakran másodpercekben vagy percekben mérhető időablak áll csak a rendelkezésükre.
Ha viszont sikerrel járnak, akkor hozzáférnek a belső vállalati eszközökhöz, beleértve a szociális média és e-mail fiókokat, valamint kapcsolódó pénzügyi eszközöket, például a bankszámlákat, kriptovalutákat. A 85+ ezres munkavállalóval rendelkező Google esetén egyébként, miután ott 2017-ben bevezették a Ubikeyt, egyetlen ilyen sikeres támadást sem észleltek.
A friss beszámolók szerint a csalók szisztematikusan próbálgatják végig a megcélzott cégek munkavállalóit, így ha valaki gyanakodott, és éppen nem adott meg semmit, akkor máris lépnek a következő névre a listájukban, immár finomítva a sztorit és beépítve a korábbi beszélgetésekből nyert információkat, tanulságokat.
Figyelemre méltó, hogy a hamis domainek bejegyzésekor is ügyesen járnak el a támadók, ugyanis egy címről csak egy domaint foglalnak le, így ha borul a dolog, és jön a leleplezés, akkor is csak egyet vesztenek el, és nem az összeset. Óvatosságukra az is jellemző, hogy már eleve olyan regisztrátoroknál jegyeznek be címeket, ahol Bitcoinnal is tudnak fizetni.
2020. augusztus 27. 11:27 – Csizmazia Darab István