Grupa cyberprzestępczości ShinyHunters zwróciła globalną uwagę po tym, jak Google powiadomił 2,5 miliarda użytkowników do wzmocnienia bezpieczeństwa po naruszeniu danych za pośrednictwem Salesforce, platformie zarządzania klientami. To naruszenie, w przeciwieństwie do tradycyjnych wtargnięć bazy danych, podkreśla rosnący trend, w którym lśniące łowcy i inne grupy kierują główne firmy poprzez inżynierię społeczną, znaną również jako „vishing”.
Inżynieria społeczna polega na manipulowaniu jednostkami do ujawnienia informacji lub wykonywania działań, których normalnie nie podejmowaliby. W kontekście vishing przestępcy podszywają się pod personel pomocniczy, aby oszukać pracowników do udostępniania haseł i kodów uwierzytelniania wieloskładnikowego. Rosnące wyrafinowanie głębokich szaf i klonowanie głosu opartego na AI powoduje zaostrzenie wykrywania takich prób inżynierii społecznej.
Tylko w tym roku firmy, w tym Qantas, Pandora, Adidas, Chanel, Tiffany & Co. i Cisco, zostały ukierunkowane na podobne taktyki, wpływając na miliony użytkowników. Shinyhunters, który pojawił się w 2020 r., Twierdzi odpowiedzialność za 91 udanych ataków. Choć przede wszystkim motywowane zyskiem finansowym, grupa wykazała również gotowość do wyrządzania ofiarom szkód reputacyjnych. W 2021 r. Shinyhunters podobno sprzedał dane skradzione od 73 milionów klientów AT&T.
Historycznie ShinyHunters wykorzystał luki w aplikacjach w chmurze i bazach danych stron internetowych. Kierując się na dostawców zarządzania klientami, takimi jak Salesforce, mogą oni uzyskać dostęp do obszernych zestawów danych od wielu klientów poprzez jeden atak. Przyjęcie technik inżynierii społecznej oznacza stosunkowo nową strategię dla błyszczących łowców, pod wpływem ich powiązań z innymi grupami cyberprzestępcznymi.
W połowie sierpnia ShinyHunters ogłosił współpracę z rozproszonym Spider i Lapsus $ do docelowych firm takich jak Salesforce i Allianz Life na Telegram. Kanał Telegram został natychmiast zamknięty, ale nie wcześniej niż grupa publicznie opublikowała dane Salesforce Allianz Life, obejmujące 2,8 miliona rekordów związanych z klientami indywidualnymi i partnerami korporacyjnymi. Rebranded Group, rozproszony Lapsus $ Hunters, ogłosiła również ofertę ransomware-as-a-usługa, twierdząc, że wyższości nad konkurentami, takimi jak Lockbit i Dragonforce, i często publikuje wiadomości publiczne, a nie negocjować bezpośrednio z ofiarami.
Krajobraz cyberprzestępczyny jest dodatkowo komplikowany przez nakładające się członkostwo i wiele aliasów grup takich jak błyszczące, rozproszony pająk i Lapsus $. Te międzynarodowe grupy działają z różnych lokalizacji w ciemnej sieci. Na przykład rozproszony pająk jest również znany jako UNC3944, Scrept Swine, Oktapus, Octo Tempest, Storm-0875 i Muddled Wagra.
Podczas gdy poszczególni użytkownicy mają ograniczone odwołanie do zorganizowanej cyberprzestępczości, utrzymanie stałej czujności ma kluczowe znaczenie dla bezpieczeństwa osobistego. Taktyka inżynierii społecznej są skuteczne, ponieważ wykorzystują ludzkie emocje i zaufanie. Firmy mogą jednak proaktywnie ograniczać ryzyko ataków wirowania.
Organizacje mogą wdrażać programy uświadamiające i szkolenia oparte na scenariuszach, aby edukować pracowników na temat tych taktyk. Można również zastosować dodatkowe metody weryfikacji, takie jak kontrole w aparacie z odznakami korporacyjnymi lub identyfikatorami rządowymi, oraz pytania bezpieczeństwa, na które nie można łatwo odpowiedzieć online. Zaleca się również wzmocnienie bezpieczeństwa poprzez oporne na phishing uwierzytelnianie wieloskładnikowe, takie jak dopasowanie liczb lub weryfikacja geo za pośrednictwem aplikacji uwierzytelniających. Dopasowanie liczb wymaga, aby użytkownicy wprowadzali numery z platformy tożsamości do aplikacji uwierzytelniającego do zatwierdzenia uwierzytelnienia, podczas gdy geo-weryfikacja wykorzystuje fizyczną lokalizację użytkownika jako dodatkowy współczynnik uwierzytelnienia.
Source: ShinyHunters narusza Salesforce; Google ostrzega użytkowników
