Inzicht in de oplichting van helpdesk en hoe u uw organisatie kunt verdedigen

Cyberbeveiliging
Inzicht in de oplichting van helpdesk en hoe u uw organisatie kunt verdedigen

In de nasleep van spraakmakende aanvallen op Britse retailers Marks & Spencer en Co-op, is Scattered Spider overal in de media geweest, met dekking in het reguliere nieuws vanwege de ernst van de veroorzaakte verstoring-die er momenteel uitzien als honderden miljoenen in verloren winst alleen voor M&S.

Deze dekking is uiterst waardevol voor de cybersecurity -gemeenschap, omdat het het bewustzijn vergroot van de veldslagen die beveiligingsteams elke dag vechten. Maar het heeft ook veel ruis gecreëerd dat het lastig kan maken om het grote geheel te begrijpen.

Het headline -verhaal van de recente campagne tegen Britse retailers is het gebruik van helpdesk -oplichting. Dit houdt meestal in dat de aanvaller de helpdesk van een bedrijf oproept met een bepaald niveau van informatie-minimaal PII waarmee ze zich kunnen voordoen als hun slachtoffer, en soms een wachtwoord, zwaar leunend op hun moedertaalonderzoek om de helpdesk-operator te misleiden om ze toegang te geven tot een gebruikersaccount.

Helpdesk Scams 101

Het doel van een helpdesk -zwendel is om de helpdesk -operator de referenties en/of MFA te laten resetten die worden gebruikt om toegang te krijgen tot een account, zodat de aanvaller er controle over kan nemen. Ze zullen verschillende achtergrondverhalen en tactieken gebruiken om dat voor elkaar te krijgen, maar meestal is het zo simpel als zeggen: “Ik heb een nieuwe telefoon, kun je mijn bestaande MFA verwijderen en me toestaan ​​een nieuwe te inschrijven?”

Van daaruit krijgt de aanvaller vervolgens een MFA Reset -link verzonden via e -mail of sms. Gewoonlijk zou dit worden verzonden naar bijvoorbeeld een nummer in het dossier – maar op dit moment heeft de aanvaller al vertrouwen ingesteld en het helpdeskproces tot op zekere hoogte omzeild. Dus vragen “kun je het naar dit e -mailadres sturen” of “Ik heb eigenlijk ook een nieuw nummer, kun je het naar …” Hierdoor wordt dit rechtstreeks naar de aanvaller gestuurd.

Op dit moment is het gewoon een geval van het gebruik van de zelfbedieningswachtwoord-reset-functionaliteit voor Okta of Entra (die je kunt omzeilen omdat je nu de MFA-factor hebt om jezelf te verifiëren), en voilade aanvaller heeft de controle over het account overgenomen.

En het beste deel? De meeste helpdesks hebben hetzelfde proces voor elk account – het maakt niet uit wie u zich voordoet of welk account u probeert te resetten. Dus, aanvallers richten zich specifiek op verslagen die waarschijnlijk van topbeheerprivileges hebben-wat betekent dat zodra ze binnenkomen, de aanval voortschrijdt triviaal is, en veel van de typische escalatie van privileges en laterale beweging wordt verwijderd uit het aanvalspad.

Zwendingen van helpdesk zijn dus een betrouwbare manier gebleken om MFA te omzeilen en accountovername te bereiken – de voet van de voet om de rest van een aanval te lanceren, zoals het stelen van gegevens, het implementeren van ransomware, enz.

Laat u niet misleiden – dit is geen nieuwe ontwikkeling

Maar iets dat niet helemaal overkomt in de rapportage is dat verspreide spin dit sinds 2022 met succes doet, met de M&S en co-op aanvallen slechts het topje van de ijsberg. Vishing (een gebruiker bellen om hen op te geven hun MFA-code) is sinds het begin deel uit van hun toolkit, met de vroege aanvallen op Twilio, LastPass, Riot Games en Coinbase met een vorm van spraakgebaseerde sociale engineering.

Met name de spraakmakende aanvallen op Caesars, MGM Resorts en Transport for London omvatten allemaal het bellen van een helpdesk om referenties te resetten als de eerste toegangsvector.

  • Caesars In augustus 2023 waar hackers zich voordoen als een IT -gebruiker en een uitbestede hulpdesk overtuigden om referenties te resetten, waarna de aanvaller de database van het klantloyaliteitsprogramma heeft gestolen en een losgeld van $ 15 miljoen heeft verkregen.
  • MGM Resorts In september 2023, waar de hacker LinkedIn -informatie gebruikte om zich voor te doen als een werknemer en de inloggegevens van de werknemer te resetten, wat resulteerde in een 6 TB -gegevensdiefstal. Nadat MGM weigerde te betalen, resulteerde de aanval uiteindelijk in een storing van 36 uur, een hit van $ 100 miljoen en een class-action-rechtszaak genoegen met $ 45 miljoen.
  • Transport voor Londen In september 2024 resulteerde in de bankgegevens van 5.000 gebruikers, 30.000 medewerkers die nodig waren om persoonlijke afspraken bij te wonen om hun identiteit te verifiëren en wachtwoorden te resetten, en een aanzienlijke verstoring van online diensten die maanden duren.

Dus niet alleen verspreide Spider (en andere bedreigingsgroepen) gebruiken deze technieken al enige tijd, maar de ernst en impact van deze aanvallen zijn opgelopen.

Helpdesk gotchas vermijden

Er is veel advies voor het beveiligen van hulpdesks die worden verspreid, maar veel van het advies resulteert nog steeds in een proces dat phishable of moeilijk te implementeren is.

Uiteindelijk moeten organisaties bereid zijn om wrijving te introduceren in hun helpdeskproces en verzoeken uit te stellen of te weigeren in situaties waarin er een aanzienlijk risico is. Dus bijvoorbeeld, een proces voor MFA-reset dat het risico erkent dat verband houdt met het resetten van een met een hoog bevoorrechte account:

  • Vereist goedkeuring/escalatie van meerdere partijen voor het geresets van de admin-niveau-account
  • Persoonlijke verificatie vereisen als het proces niet op afstand kan worden gevolgd
  • Preeze Self-Service Resets wanneer er verdacht gedrag wordt aangetroffen (dit zou een soort intern proces en bewustzijnstraining vereisen om het alarm te vergroten als een aanval wordt vermoed)

En pas op voor deze gotcha’s:

  • Als u een oproep ontvangt, is het goed om de oproep te beëindigen en het nummer te bellen voor de werknemer. Maar in een wereld van simwisseling is dit geen waterdichte oplossing-je zou gewoon de aanvaller opnieuw kunnen inrichten.
  • Als uw oplossing is om de werknemer op de camera te krijgen, kunnen deze aanpak steeds meer geavanceerde Deepfakes deze aanpak dwarsbomen.

Maar helpdesks zijn om een ​​reden een doelwit. Ze zijn van nature “nuttig”. Dit wordt meestal weerspiegeld in hoe ze worden gemeten en de prestaties gemeten – vertragingen zullen u niet helpen om die SLA’s te raken! Uiteindelijk werkt een proces alleen als werknemers bereid zijn zich eraan te houden – en niet sociaal ontworpen om het te breken. Help-bureaus die worden verwijderd uit dagelijkse operaties (vooral wanneer uitbesteed of offshored) zijn ook inherent vatbaar voor aanvallen waar werknemers worden aangesloten.

Maar de aanvallen die we op dit moment ervaren, moeten stakeholders van de beveiliging voldoende munitie geven waarom de hervormingen van helpdekingen van vitaal belang zijn om het bedrijf te beveiligen (en wat er kan gebeuren als u geen wijzigingen aanbrengt).

Vergelijking van helpdesk -oplichting met andere benaderingen

Een stap terug doen, het is de moeite waard om na te denken over hoe helpdesk -oplichting in de bredere toolkit van tactieken, technieken en procedures (TTP’s) wordt gebruikt die worden gebruikt door dreigingsacteurs zoals Scattered Spider.

Scattered Spider heeft sterk vertrouwd op op identiteit gebaseerde TTP’s sinds ze voor het eerst in 2022 ontstonden, na een herhaalbaar pad van het omzeilen van MFA, het bereiken van accountovername op bevoorrechte accounts, het stelen van gegevens van cloudservices en het implementeren van ransomware (voornamelijk naar VMware-omgevingen).

  • Referentie phishing via e -mail en sms (Smishing) om wachtwoorden te oogsten en massaal
  • Gebruik van sim swapping (waarbij je de drager krijgt om een ​​nummer over te dragen naar je aanvaller-gecontroleerde simkaart) om op sms gebaseerde MFA te omzeilen
  • MFA-vermoeidheid gebruiken (aka. Push-bombardementen) om de app-gebaseerde push-authenticatie te omzeilen
  • Vishing gebruiken (dwz een slachtoffer rechtstreeks op de Social Engineer hun MFA -code beleven, in tegenstelling tot een aanval van een helpdesk)
  • Registrars voor sociale engineering domein om de controle over de DNS van de doelorganisatie te nemen, hun MX -records en inkomende e -mail te kapen en dit te gebruiken om de zakelijke app -omgevingen van het bedrijf over te nemen
  • En laatstelijk, met behulp van MFA-Bypass AITM phishing-kits zoals Evilginx om live gebruikerssessies te stelen, om alle gemeenschappelijke vormen van MFA te omzeilen (met uitzondering van Webauthn/Fido2)

Dus, helpdesk -oplichting is een belangrijk onderdeel van hun toolkit, maar het is niet het hele plaatje. Met name methoden zoals AITM zijn dit jaar in populariteit verrijkt als een betrouwbare en schaalbare manier om MFA te omzeilen en accountovername te bereiken, waarbij aanvallers deze toolkits gebruiken als de feitelijke standaard, die creatief worden in hun detectieontduikingsmethoden en in sommige gevallen, het ontwijken van standaardbezorgingsvectoren zoals e -mail als e -mail als het succes van hun phishing campagnes.

Meer informatie over hoe moderne phishing-kits detectiebeheersing ontwijken in dit on-demand webinar van Push Security.

Verspreide spin is bewust vastgestelde beveiligingscontroles ontwijken

Er is dus meer om de toolkit van Spider te verspreiden dan alleen helpdesk -oplichting. In feite kan hun aanpak in grote lijnen worden geclassificeerd als bewust ontwrichte controles ontwijken op het eindpunt en de netwerklaag door zich te richten op identiteiten.

Vanaf het punt van account overname volgen ze ook herhaalbare patronen:

  • Het oogsten en exfiltreren van gegevens van cloud- en SaaS-services, waarbij monitoring doorgaans minder consistent is dan traditionele omgevingen op on-premise, en exfiltratie past vaak in met normale activiteit. Veel organisaties hebben gewoon niet de logboeken of het zicht om sowieso kwaadwillende activiteiten in de cloud te detecteren, en verspreide spin is ook gezien geknoeid met cloudlogboeken (bijv. Risky AWS CloudTrail -logboeken, maar het niet volledig uit te schakelen om vermoeden niet te verhogen).
  • Richt op VMware -omgevingen voor ransomware -implementatie. Ze doen dit door hun gecompromitteerde gebruikersaccount toe te voegen aan de VMware Admins Group in VCENTRE (indien nodig – ze gaan standaard na accounts met toprechten). Vanaf hier hebben ze toegang tot de VMware -omgeving via de ESXI Hypervisor Layer, waar beveiligingssoftware niet bestaat – waardoor EDR en andere typische eindpunt- en host -gebaseerde bedieningselementen waarop u afhankelijk is om ransomware -uitvoering te voorkomen.

Het belangrijkste thema? Omgaan met uw gevestigde beveiligingscontroles.

Conclusie

Je kunt verspreide Spider beschouwen als een soort “post-MFA” bedreigingsacteur die alles doet wat ze kunnen om gevestigde beveiligingscontroles te ontwijken. Door zich te richten op identiteiten en accountovernames, omzeilen ze het eindpunt en netwerkoppervlakken zoveel mogelijk, tot het einde van de aanvalsketen – waarmee het bijna te laat is om op die bedieningselementen te vertrouwen.

Dus, niet te veel index op helpdesk-oplichting-u moet uw bredere identiteitsaanvaloppervlak en verschillende inbraakmethoden overwegen, van apps en accounts met MFA-gaten, lokale accounts die aanvallers een achterdeur geven naar rekeningen die anders bezocht zijn met SSO en MFA-Bypassing AITM phishing-kits die het nieuwe normaal zijn voor phishing-aanvallen.

Verdedig uw organisatie tegen verspreide Spider TTPS (niet alleen helpdesk -oplichting)

Bekijk voor meer informatie over Scattered Spider’s Identity-First Toolkit, die steeds meer als standaard wordt aangenomen door bedreigingsgroepen, het nieuwste webinar van Push Security-nu beschikbaar on-demand!

Leer hoe push -beveiliging de identiteitsaanvallen stopt

Push Security biedt uitgebreide detectie- en responsmogelijkheden voor identiteitsaanval tegen technieken zoals AITM phishing, referentievulling, wachtwoordspuiten en sessiekaping met behulp van gestolen sessietokens. U kunt ook PUSH gebruiken om identiteitskwetsbaarheden te vinden en op te lossen in elke app die uw werknemers gebruiken, zoals: Ghost Logins; SSO dekking hiaten; MFA -openingen; zwakke, overtreden en hergebruikte wachtwoorden; risicovolle oauth -integraties; en meer.

Als je meer wilt leren over hoe PUSH je helpt bij het detecteren en verslaan van gemeenschappelijke identiteitsaanvaltechnieken, boek dan wat tijd met een van ons team voor een live demo.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google’s antitrust fallout gaat door – Alphabet bereikt $ 500 miljoen aandeelhoudersregeling

Snapdragon X2 Elite Lek onthult enorm RAM voor laptops van de volgende generatie

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]