Setelah serangan profil tinggi terhadap pengecer Inggris Marks & Spencer dan Co-op, Spider yang tersebar telah ada di seluruh media, dengan liputan yang tumpah ke berita utama karena keparahan gangguan yang disebabkan-saat ini tampak seperti ratusan juta dalam keuntungan yang hilang untuk M&S saja.
Cakupan ini sangat berharga bagi komunitas cybersecurity karena meningkatkan kesadaran akan pertempuran yang diperjuangkan tim keamanan setiap hari. Tapi itu juga menciptakan banyak kebisingan yang bisa membuatnya rumit untuk memahami gambaran besarnya.
Kisah utama dari kampanye baru -baru ini melawan pengecer Inggris adalah penggunaan penipuan Help Desk. Ini biasanya melibatkan penyerang yang memanggil meja bantuan perusahaan dengan beberapa tingkat informasi-minimal, PII yang memungkinkan mereka untuk menyamar sebagai korban mereka, dan kadang-kadang kata sandi, sangat bersandar pada kemampuan berbahasa Inggris asli mereka untuk menipu operator meja bantuan agar memberi mereka akses ke akun pengguna.
Bantuan Meja Penipuan 101
Tujuan dari penipuan meja bantuan adalah untuk mendapatkan operator meja bantuan untuk mengatur ulang kredensial dan/atau MFA yang digunakan untuk mengakses akun sehingga penyerang dapat mengendalikannya. Mereka akan menggunakan berbagai backstories dan taktik untuk menyelesaikannya, tetapi sebagian besar waktu sesederhana mengatakan “Saya punya telepon baru, dapatkah Anda menghapus MFA saya yang ada dan memungkinkan saya untuk mendaftarkan yang baru?”
Dari sana, penyerang kemudian dikirim tautan reset MFA melalui email atau SMS. Biasanya, ini akan dikirim ke, misalnya, angka pada file – tetapi pada titik ini, penyerang telah menetapkan kepercayaan dan melewati proses desk bantuan ke tingkat tertentu. Jadi bertanya “Bisakah Anda mengirimkannya ke alamat email ini” atau “Saya sebenarnya punya nomor baru juga, dapatkah Anda mengirimkannya ke …” Mendapatkan ini langsung dikirim ke penyerang.
Pada titik ini, ini hanyalah kasus menggunakan fungsionalitas reset kata sandi swalayan untuk Okta atau entra (yang dapat Anda berkeliling karena Anda sekarang memiliki faktor MFA untuk memverifikasi diri sendiri), dan voilapenyerang telah mengambil kendali atas akun.
Dan bagian terbaiknya? Sebagian besar meja bantuan memiliki proses yang sama untuk setiap akun – tidak masalah siapa yang Anda nyatakan atau akun mana yang Anda coba ulangi. Jadi, penyerang secara khusus menargetkan akun yang cenderung memiliki hak istimewa admin top-artinya begitu mereka masuk, memajukan serangan itu sepele, dan banyak eskalasi hak istimewa yang khas dan gerakan lateral dihapus dari jalur serangan.
Jadi, bantuan penipuan meja telah terbukti menjadi cara yang dapat diandalkan untuk melewati MFA dan mencapai pengambilalihan akun – pijakan untuk meluncurkan serangan lainnya, seperti mencuri data, menggunakan ransomware, dll.
Jangan tertipu – ini bukan perkembangan baru
Tetapi sesuatu yang tidak cukup terjadi dalam pelaporan adalah bahwa Spider yang tersebar telah melakukan hal ini dengan sukses sejak 2022, dengan serangan M&S dan Co-op hanya puncak gunung es. Vishing (memanggil pengguna untuk membuat mereka melepaskan kode MFA mereka) telah menjadi bagian dari toolkit mereka sejak awal, dengan serangan awal pada Twilio, LastPass, Riot Games, dan Coinbase yang melibatkan beberapa bentuk rekayasa sosial berbasis suara.
Khususnya, serangan profil tinggi pada Caesars, resor MGM, dan transportasi untuk London semua terlibat memanggil meja bantuan untuk mengatur ulang kredensial sebagai vektor akses awal.
- Caesars Pada bulan Agustus 2023 di mana peretas menyamar sebagai pengguna TI dan meyakinkan meja bantuan outsourcing untuk mengatur ulang kredensial, setelah itu penyerang mencuri basis data program loyalitas pelanggan dan mendapatkan pembayaran tebusan $ 15 juta.
- Resor MGM Pada bulan September 2023, di mana peretas menggunakan informasi LinkedIn untuk menyamar sebagai karyawan dan mengatur ulang kredensial karyawan, menghasilkan pencurian data 6TB. Setelah MGM menolak untuk membayar, serangan itu akhirnya menghasilkan pemadaman 36 jam, hit $ 100 juta, dan gugatan class action diselesaikan untuk $ 45 juta.
- Transportasi untuk London Pada bulan September 2024 mengakibatkan 5.000 rincian bank pengguna diekspos, 30.000 staf diharuskan menghadiri janji temu secara langsung untuk memverifikasi identitas mereka dan mengatur ulang kata sandi, dan gangguan signifikan terhadap layanan online yang berlangsung selama berbulan-bulan.
Jadi, tidak hanya laba -laba yang tersebar (dan kelompok ancaman lainnya) telah menggunakan teknik -teknik ini selama beberapa waktu, tetapi keparahan dan dampak serangan ini telah meningkat.
Menghindari Bantuan Meja Gotcha
Ada banyak saran untuk mengamankan meja bantuan yang diedarkan, tetapi banyak saran masih menghasilkan proses yang dapat diproduksi atau sulit diimplementasikan.
Pada akhirnya, organisasi perlu siap untuk memperkenalkan gesekan pada proses bantuan meja mereka dan baik menunda atau menolak permintaan dalam situasi di mana ada risiko yang signifikan. Jadi, misalnya, memiliki proses untuk reset MFA yang mengenali risiko yang terkait dengan mengatur ulang akun yang sangat istimewa:
- Memerlukan persetujuan/eskalasi multi-partai untuk reset akun tingkat admin
- Membutuhkan verifikasi langsung jika proses tidak dapat diikuti dari jarak jauh
- Freeze Self-Service Resets Ketika perilaku mencurigakan ditemui (ini akan membutuhkan semacam proses internal dan pelatihan kesadaran untuk meningkatkan alarm jika serangan dicurigai)
Dan hati -hati dengan gotcha ini:
- Jika Anda menerima panggilan, praktik yang baik adalah untuk menghentikan panggilan dan memanggil nomor pada file untuk karyawan. Tapi, di dunia pertukaran SIM, ini bukan solusi yang sangat mudah-Anda bisa saja meredul ulang penyerang.
- Jika solusi Anda adalah membuat karyawan di depan kamera, Deepfake yang semakin canggih dapat menggagalkan pendekatan ini.
Tapi, meja bantuan adalah target karena suatu alasan. Mereka “bermanfaat” pada dasarnya. Ini biasanya tercermin dalam cara mereka dioperasikan dan kinerja diukur – penundaan tidak akan membantu Anda mencapai SLA itu! Pada akhirnya, suatu proses hanya berfungsi jika karyawan bersedia mematuhinya – dan tidak dapat direkayasa secara sosial untuk memecahkannya. Meja bantuan yang dihapus dari operasi sehari-hari (terutama ketika di-outsourcing atau offshored) juga secara inheren rentan terhadap serangan di mana karyawan disamar.
Tapi, serangan yang kami alami saat ini harus memberi banyak amunisi kepada para pemangku kepentingan keamanan mengapa bantuan reformasi meja sangat penting untuk mengamankan bisnis (dan apa yang bisa terjadi jika Anda tidak melakukan perubahan).
Membandingkan penipuan meja bantuan dengan pendekatan lain
Mengambil langkah mundur, ada baiknya memikirkan bagaimana bantuan penipuan meja cocok dengan toolkit taktik, teknik, dan prosedur (TTP) yang lebih luas yang digunakan oleh aktor ancaman seperti Spider yang tersebar.
Spider yang tersebar sangat mengandalkan TTP berbasis identitas sejak pertama kali muncul pada tahun 2022, mengikuti jalur berulang yang melewati MFA, mencapai pengambilalihan akun pada akun istimewa, mencuri data dari layanan cloud, dan menyebarkan ransomware (terutama ke lingkungan VMware).
- Phishing kredensial melalui email dan sms (smishing) untuk memanen kata sandi secara massal
- Menggunakan Sim Swapping (tempat Anda mendapatkan operator untuk mentransfer nomor ke kartu SIM yang dikendalikan penyerang) ke Bypass SMS MFA berbasis SMS
- Menggunakan kelelahan MFA (alias. Push Bombing) untuk memotong otentikasi dorong berbasis aplikasi
- Menggunakan Vishing (yaitu secara langsung memanggil korban untuk insinyur sosial kode MFA mereka, sebagai lawan dari serangan meja bantuan)
- Pendaftaran Domain Rekayasa Sosial Untuk Mengendalikan DNS Organisasi Target, Membajak Catatan MX dan Mail Inbound, dan Menggunakan Ini Untuk Mengambil alih Lingkungan Aplikasi Bisnis Perusahaan
- Dan terakhir, menggunakan kit phishing AITM MFA-bypass seperti Evilginx untuk mencuri sesi pengguna langsung, melewati semua bentuk umum MFA (dengan pengecualian Webauthn/Fido2)
 |
| Halaman phishing laba -laba yang tersebar menjalankan Evilginx. Sumber: Peneliti di SilentPush |
Jadi, bantuan penipuan meja adalah bagian penting dari toolkit mereka, tetapi itu bukan keseluruhan gambaran. Metode seperti AITM khususnya telah melonjak dalam popularitas tahun ini sebagai cara yang dapat diandalkan dan dapat diskalakan untuk melewati MFA dan mencapai pengambilalihan akun, dengan penyerang menggunakan toolkit ini sebagai standar de facto, menjadi kreatif dalam metode penghindaran deteksi mereka dan dalam beberapa kasus, menghindari vektor pengiriman standar seperti email sama sekali untuk memastikan keberhasilan kampanye phishing mereka.
Pelajari lebih lanjut tentang bagaimana kit phishing modern menghindari kontrol deteksi dalam webinar sesuai permintaan ini dari Push Security.
Laba -laba yang tersebar secara sadar menghindari kontrol keamanan yang mapan
Jadi, ada lebih banyak toolkit Spider yang tersebar daripada hanya membantu penipuan meja. Faktanya, pendekatan mereka dapat diklasifikasikan secara luas sebagai secara sadar menghindari kontrol yang mapan di titik akhir dan lapisan jaringan dengan menargetkan identitas.
Dari titik pengambilalihan akun, mereka juga mengikuti pola yang dapat diulang:
- Data memanen dan mengekspiltrasi dari layanan cloud dan SaaS, di mana pemantauan biasanya kurang konsisten daripada lingkungan tradisional di tempat, dan exfiltrasi sering menyatu dengan aktivitas normal. Banyak organisasi tidak memiliki log atau visibilitas untuk mendeteksi aktivitas jahat di awan, dan laba -laba yang tersebar juga terlihat merusak log cloud (misalnya penyaringan berisiko AWS cloudtrail log, tetapi tidak menonaktifkannya sepenuhnya agar tidak menimbulkan kecurigaan).
- Menargetkan lingkungan VMware untuk penyebaran ransomware. Mereka melakukan ini dengan menambahkan akun pengguna yang dikompromikan ke grup admin VMware di vcentre (jika diperlukan – mereka mengejar akun dengan hak istimewa tingkat atas secara default). Dari sini, mereka dapat mengakses lingkungan VMware melalui lapisan Hypervisor ESXI, di mana perangkat lunak keamanan tidak ada – dengan demikian melewati EDR dan titik akhir khas dan kontrol berbasis host lainnya yang Anda andalkan untuk mencegah eksekusi ransomware.
Tema utama? Berkeliling dengan kontrol keamanan Anda yang sudah mapan.
Kesimpulan
Anda dapat menganggap laba-laba yang tersebar sebagai semacam aktor ancaman “post-mfa” yang melakukan segala yang mereka bisa untuk menghindari kontrol keamanan yang mapan. Dengan menargetkan identitas dan pengambilalihan akun, mereka melewati titik akhir dan permukaan jaringan sebanyak mungkin, sampai akhir rantai serangan – pada titik mana hampir terlambat untuk mengandalkan kontrol tersebut.
Jadi, jangan berlebihan pada penipuan Bantuan Desk-Anda perlu mempertimbangkan permukaan serangan identitas Anda yang lebih luas dan berbagai metode intrusi, dari aplikasi dan akun dengan kesenjangan MFA, akun lokal yang memberi penyerang sebuah backdoor ke dalam akun yang diakses dengan SSO, dan MFA-Bypassing AITM Phishing Kits yang merupakan normal baru untuk serangan phining.
Bela organisasi Anda dari TTP laba -laba yang tersebar (bukan hanya membantu penipuan meja)
Untuk mempelajari lebih lanjut tentang toolkit Identitas Laba-laba yang tersebar, yang semakin diadopsi sebagai standar oleh kelompok ancaman, lihat webinar terbaru dari Push Security-sekarang tersedia sesuai permintaan!
Pelajari Bagaimana Dorong Keamanan Menghentikan Serangan Identitas
Push Security menyediakan deteksi serangan identitas yang komprehensif dan kemampuan respons terhadap teknik seperti phishing AITM, isian kredensial, penyemprotan kata sandi dan pembajakan sesi menggunakan token sesi curian. Anda juga dapat menggunakan dorongan untuk menemukan dan memperbaiki kerentanan identitas di setiap aplikasi yang digunakan karyawan Anda, seperti: Ghost Login; Kesenjangan cakupan SSO; Kesenjangan MFA; kata sandi yang lemah, dilanggar dan digunakan kembali; integrasi oauth yang berisiko; dan lebih banyak lagi.
Jika Anda ingin mempelajari lebih lanjut tentang bagaimana dorongan membantu Anda mendeteksi dan mengalahkan teknik serangan identitas umum, pesanlah beberapa waktu dengan salah satu tim kami untuk demo langsung.
