Federal Soruşturma Bürosu (FBI), ABD ve uluslararası çalışanlardan ağ erişimi ve ayrıcalık artırma için şirket hesaplarını ve kimlik bilgilerini çalmaya çalışan devam eden vishing saldırılarına ilişkin bir bildirim uyarısı yayınladı.
Vishing (sesli kimlik avı olarak da bilinir), saldırganların bir sesli arama sırasında hedeflerini bankacılık veya oturum açma kimlik bilgileri gibi hassas bilgileri açıklamaya ikna etmek için güvenilir bir varlığı taklit ettikleri bir sosyal mühendislik saldırısıdır.
Özel Sektör Bildirimi (PIN) Cuma günü paylaştı [PDF], tehdit aktörlerin kurumsal seviyede görmezden, dünya çapındaki şirketlerin hedef çalışanlara Internet Protocol (VoIP) platformları (aka IP telefon hizmetleri) üzerinden Ses kullanıyor.
PIN, “COVID-19 yerinde barınma ve sosyal mesafe siparişleri sırasında birçok şirket değişen ortamlara ve teknolojiye hızla uyum sağlamak zorunda kaldı.” diye okuyor. “Bu kısıtlamalarla, ağ erişimi ve ayrıcalık yükseltme tam olarak izlenemeyebilir.”
Başlıklar
VPN kimlik bilgilerini toplamak için kullanılan kimlik avı siteleri
Saldırılar sırasında saldırganlar, hedeflenen çalışanları kullanıcı adlarını ve şifrelerini toplamak için kontrol ettikleri bir phishing web sayfasında oturum açmaları için kandırdılar.
Birden çok durumda, şirketin ağına eriştikten sonra, tehdit aktörleri beklenenden daha fazla ağ erişimi elde ediyor. Risk altındaki çalışanların hesaplarını kullanarak ayrıcalıkları artırmalarına izin verdi.
FBI, “Bir örnekte, siber suçlular şirketin sohbet odası aracılığıyla bir çalışan buldular. Kişiyi siber suçlular tarafından işletilen sahte VPN sayfasına giriş yapmaya ikna ettiler.” dedi.
“Oyuncular, şirketin VPN’inde oturum açmak için bu kimlik bilgilerini kullandı. Daha yüksek ayrıcalıklara sahip birini bulmak için keşif yaptı.”
Siber suçlular, kullanıcı adı ve e-posta değişiklikleri yapabilecek ve bulut tabanlı bir bordro hizmeti aracılığıyla bir çalışan bulabilecek çalışanlar arıyorlardı.
“Siber suçlular, bu çalışanın oturum açma kimlik bilgileriyle iletişim kurmak ve kimlik hırsızlığı için bir sohbet odası mesajlaşma hizmeti kullandı.”
Bir yılda ikinci kurumsal bayram uyarısı
Bu, FBI tarafından pandeminin başlamasından bu yana çalışanların sayısı giderek artan sayıda tele-çalışan haline geldikten sonra, çalışanları hedef alan aktif vishing saldırılarına ilişkin ikinci uyarıdır.
Ağustos 2020’de, FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ABD’deki çeşitli endüstri sektörlerinden şirketleri hedefleyen devam eden bir vishing kampanyası için uzaktan çalışanlara uyarıda bulunan ortak bir tavsiye yayınladı.
Ajanslar, “Temmuz 2020’nin ortasında, siber suçlular erişimden para kazanmak amacıyla birden fazla şirkette ayrım gözetmeyen, hedefleme ile çalışan araçlarına erişim sağlayan bir vishing kampanyası başlattı” dedi.
“Siber suçlular, kayıp kimlik bilgilerini kullanarak, müşterilerinin kişisel bilgilerinin diğer saldırılarda kullanılması için kurbanın şirket veritabanlarını araştırdı.”
Ağustos saldırılarında, tehdit aktörleri, hedeflenen şirketlerin dahili VPN oturum açma sayfalarını klonlayarak kötü amaçlarla oluşturulmuş siteleri de kullandı. Bu da iki faktörlü kimlik doğrulama (2FA) veya tek seferlik şifreleri (OTP) toplamalarına olanak sağladı.
Kurbanları OTP veya 2FA istemlerini onaylamaları için kandırdıktan sonra, dolandırıcılar cep telefonlarının kontrolünü ele geçirdiler. Bir SIM takas saldırısında 2FA ve OTP kimlik doğrulamasını atladılar.
FBI, şirketlerin ve çalışanların bu tür kimlik avı saldırılarını hafifletmesine yardımcı olmak için bir dizi öneri paylaştı:
- İlk uzlaşma olasılığını en aza indirmek için çalışanların hesaplarına erişmek için çok faktörlü kimlik doğrulama (MFA) uygulayın.
- Yeni çalışanlar işe alındığında, ağ erişimi en az ayrıcalık ölçeğinde verilmelidir. Tüm çalışanlar için bu ağ erişiminin periyodik olarak gözden geçirilmesi, ağdaki savunmasız ve / veya zayıf noktaların tehlikeye girme riskini önemli ölçüde azaltabilir.
- Yetkisiz erişim veya değişikliklerin aktif olarak taranması ve izlenmesi, veri kaybını önlemek veya en aza indirmek için olası bir tehlikenin tespit edilmesine yardımcı olabilir.
- Ağ bölümlendirme, bir büyük ağı birden çok küçük ağa bölmek için uygulanmalıdır, bu da yöneticilerin ağ trafiğinin akışını kontrol etmesine olanak tanır.
- Yöneticilere iki hesap verilmelidir: sistem değişiklikleri yapmak için yönetici ayrıcalıklarına sahip bir hesap ve e-posta için kullanılan diğer hesap, güncellemeleri dağıtmak ve raporlar oluşturmak.
