Un simplu apel la serviciul de suport IT (helpdesk) le-ar putea permite atacatorilor să ocolească controalele de securitate? Iată cum echipa dvs. poate remedia o vulnerabilitate din ce în ce mai răspândită.

Riscul din lanțul de aprovizionare este în creștere rapidă în rândul companiilor globale. Verizon susține că implicarea terților în breșele de date s-a dublat în ultimul an, ajungând la 30%. Totuși, de obicei, acest tip de risc este discutat în contextul problemelor cauzate de componente open source (Log4Shell), software proprietar (MOVEit) sau furnizori tip bricks and mortar (Synovis). Dar ce se întâmplă atunci când propria dvs. firmă de outsourcing IT este sursa unei breșe majore?

Din păcate, unele branduri de renume încep să experimenteze acest scenariu, pe măsură ce atacatori sofisticați vizează serviciile lor externalizate de helpdesk prin atacuri de tip vishing. Răspunsul constă în apărări multistratificate, diligență prealabilă (due diligence) și instruire clasică în securitate cibernetică.

De ce serviciile de helpdesk sunt o țintă

Serviciile externalizate de asistență IT sunt o opțiune din ce în ce mai populară pentru multe companii. În principiu, ele oferă economii de tip CapEx/OpEx (de capital / operaționale), expertiză specializată, eficiență operațională și scalabilitate – greu de egalat intern, în special de către companiile mici și mijlocii. Totuși, operatorii acestor servicii pot reseta parole, înrola dispozitive noi, acorda privilegii sporite utilizatorilor și chiar dezactiva autentificarea multi‑factor (MFA) în anumite cazuri. Asta este, practic, o listă cu majoritatea lucrurilor, dacă nu toate, de care un atacator are nevoie pentru a obține acces neautorizat la resursele rețelei și pentru a se mișca lateral în infrastructură. Le rămâne doar să găsească o modalitate de a convinge operatorul helpdesk că ar fi un angajat legitim.

Există și alte motive pentru care serviciile de helpdesk terțe au intrat în vizorul atacatorilor:
– Personalul poate fi format din practicieni IT sau de securitate cibernetică aflați la început de carieră. Ca atare, angajații s-ar putea să nu aibă experiența necesară pentru a identifica tentativele sofisticate de inginerie socială.
– Adversarii pot exploata faptul că rolul helpdesk-urilor este de a oferi suport angajaților clientului și că personalul ar putea fi, prin urmare, prea dornic să onoreze cererile, de exemplu, de resetare a parolelor.
– Personalul de la helpdesk este adesea copleșit de solicitări – un rezultat al complexității tot mai mari a mediilor IT, al muncii de acasă și al presiunii corporate. Acest lucru poate fi, de asemenea, exploatat de atacatorii experimentați care folosesc tehnici de vishing.
– Adversarii pot folosi tactici pe care nici personalul experimentat din service desk nu le poate identifica, cum ar fi utilizarea AI-ului pentru a impersona lideri de nivel superior ai companiei care „au nevoie urgent de ajutorul lor”.

Serviciile de helpdesk, sub asediu

Atacurile de tip social engineering asupra departamentelor de suport tehnic nu sunt deloc o noutate. Încă din 2019, atacatorii au reușit să preia controlul asupra contului de Twitter al lui Jack Dorsey, pe atunci CEO al companiei, după ce au convins un angajat al serviciului de relații cu clienții al operatorului său de telefonie mobilă să transfere numărul acestuia pe o nouă cartelă SIM.

La acea vreme, astfel de atacuri tip SIM swap (preluare frauduloasă a accesului la cartela SIM) le permiteau infractorilor să intercepteze mesajele text cu coduri unice de autentificare, folosite pe scară largă de servicii pentru verificarea identității utilizatorilor.

Exemple mai recente includ:
– În 2022, grupul LAPSUS$ a reușit să compromită mai multe organizații de renume, printre care Samsung, Okta și Microsoft, după ce a vizat personalul de suport tehnic. Potrivit Microsoft, atacatorii s-au documentat în prealabil cu privire la anumiți angajați pentru a putea răspunde la întrebări de recuperare uzuale, precum „prima stradă pe care ai locuit” sau „numele de fată al mamei”.
– Atacatori din gruparea Scattered Spider au fost acuzați recent că au „exploatat vulnerabilitatea umană” prin atacuri de tip vishing îndreptate asupra personalulului de suport tehnic. Nu este clar care organizații au fost compromise, însă se știe că au reușit să pătrundă în rețeaua MGM Resorts printr-o astfel de metodă. Se estimează că atacul din 2023 a costat compania cel puțin 100 de milioane de dolari.
– Producătorul de înălbitor Clorox a intentat un proces împotriva furnizorului său de suport tehnic, Cognizant, după ce un angajat al acestuia ar fi aprobat o cerere de resetare a parolei fără a solicita persoanei de la celălalt capăt al firului să-și confirme identitatea. Se estimează că această compromitere a costat compania 380 de milioane de dolari.

Câteva lecții învățate

Aceste atacuri au fost atât de eficiente, încât se crede că grupuri profesioniste de criminalitate cibernetică din Rusia recrutează activ vorbitori nativi de limba engleză pentru escrocherii. Anunțuri observate pe forumuri ale infractorilor arată că ei caută persoane care vorbesc fluent engleza, cu accent minim, disponibile să „lucreze” în timpul orelor de muncă din țările occidentale. Ar trebui să fie un semnal de alarmă pentru orice manager de securitate dintr-o organizație care își externalizează serviciul de helpdesk.

Așadar, ce putem învăța din aceste incidente? Desigur, efectuarea unei verificări riguroase (due diligence) asupra oricărui nou furnizor de servicii ar trebui să fie o practică de bază. Ar trebui să includă verificarea existenței unor certificări recunoscute, cum este ISO 27001, precum și evaluarea politicilor interne de securitate și de recrutare. Într-o perspectivă mai amplă, CISO-ul (directorul de securitatea informațiilor) ar trebui să se asigure că furnizorul dispune de:

– Proceduri stricte de autentificare a utilizatorilor pentru oricine contactează serviciul de helpdesk cu solicitări sensibile, cum ar fi resetarea parolelor. De exemplu, o politică prin care apelantul este obligat să închidă apelul, iar operatorul de la helpdesk să îl sune înapoi la un număr de telefon preînregistrat și verificat. O altă opțiune este trimiterea unui cod de autentificare prin email sau mesaj text, necesar pentru a continua procesul.
– Politici de acces cu privilegii minime, care să limiteze posibilitatea de mișcare laterală către resurse sensibile, chiar dacă atacatorul reușește să efectueze o resetare de parolă sau o acțiune similară. De asemenea, separarea responsabilităților pentru personalul de la helpdesk, astfel încât acțiunile cu risc ridicat să necesite aprobare din partea mai multor membri ai echipei.
– Instruirea continuă a personalului, bazată pe exerciții de simulare din lumea reală, care sunt actualizate regulat pentru a include noi tactici, tehnici și proceduri (TTP) folosite de atacatori, inclusiv utilizarea vocii sintetice.
– Evaluări periodice ale politicilor de securitate, pentru a se asigura că sunt sincronizate cu evoluțiile din peisajul amenințărilor, actualizările interne de threat intelligence, evidențele helpdesk-ului și schimbările din infrastructură.
– Controale tehnice, cum ar fi detecția falsificării ID-ului apelantului și a audio-ului generat prin deepfake (tehnică folosită, de exemplu, de grupul ShinyHunters). De asemenea, toate instrumentele folosite de helpdesk ar trebui protejate prin MFA (autentificare multifactor) pentru a reduce și mai mult riscul.
– O cultură care încurajează raportarea incidentelor și conștientizarea în general. Astfel, agenții vor fi mai predispuși să semnaleze încercările de vishing care eșuează, contribuind astfel la consolidarea rezilienței și la acumularea de lecții pentru viitor.

Consolidați-vă apărarea cu MDR

Vishing-ul (phishing vocal) reprezintă, în esență, o provocare de natură umană. Cel mai bun mod de a-l combate este combinarea expertizei umane cu excelența tehnică și îmbunătățiri de proces, sub forma autentificării multifactor (MFA), politicilor de privilegii minime, instrumentelor de detecție și răspuns și altele.

Pentru furnizorii de servicii gestionate (MSP) care oferă suport helpdesk, Managed Detection and Response (MDR) de la provideri precum ESET poate ajuta la reducerea presiunii, funcționând ca o extensie a echipei interne de securitate a outsourcer-ului. Astfel, aceștia se pot concentra pe furnizarea celui mai bun serviciu helpdesk posibil, având siguranța că o echipă de experți monitorizează semnalele 24/7 cu ajutorul AI avansat, pentru a detecta orice activitate suspectă.