Kibernetička kriminalna skupina ShinyHunters privukla je globalnu pozornost nakon što je Google pozvao 2,5 milijardi korisnika na pojačane mjere sigurnosti zbog curenja korisničkih podataka iz Salesforcea.

Za razliku od izravnog provaljivanja u baze podataka koje sadrže vrijedne informacije, ShinyHunters – i nekoliko drugih skupina – nedavno su ciljali velike tvrtke putem socijalnog inženjeringa temeljenog na glasu (također poznatog kao vishing, skraćeno od voice phishing).

U ovom slučaju, kako bi dobio pristup zaštićenim sustavima, kriminalac bi se predstavljao kao član IT službe za korisnike ciljane tvrtke i uvjerio zaposlenika da podijele lozinke i/ili kodove za višestupanjsku potvrdu.

Iako vishing nije nova taktika, korištenje deepfakeova i generativne umjetne inteligencije za kloniranje glasova otežava otkrivanje ove vrste socijalnog inženjeringa. Samo ove godine tvrtke Qantas, Pandora, Adidas, Chanel, Tiffany & Co. i Cisco bile su meta sličnih taktika, a pogođeni su milijuni korisnika.

Tko ili što su ShinyHunters?

ShinyHunters su se pojavili 2020. godine, a tvrde da su do sada uspješno napali 91 žrtvu. Kriminalna skupina prvenstveno traži novac, ali je također bila spremna nanijeti štetu ugledu svojih žrtava. Tijekom 2021. objavili su tako prodaju podataka ukradenih od 73 milijuna korisnika AT&T-a.

Prethodno su ciljali tvrtke iskorištavajući ranjivosti u aplikacijama u računalnom oblaku i bazama podataka web stranica. Ciljajući pružatelje usluga upravljanja korisnicima poput Salesforcea, kibernetički kriminalci mogu dobiti pristup bogatim skupovima podataka od više klijenata u jednom napadu.

Korištenje tehnika društvenog inženjeringa smatra se relativno novom taktikom za ShinyHunters, a ova promjena pristupa pripisuje se njihovim vezama sa sličnim grupama. Sredinom kolovoza ShinyHunters su na Telegramu objavili da surađuju sa skupinama Scattered Spider i Lapsus$ kako bi ciljali tvrtke poput Salesforcea i Allianz Lifea.

Telegram je ukinuo taj kanal u roku od nekoliko dana od pokretanja, a grupa je javno objavila podatke Allianz Life i Salesforcea, među njima i 2,8 milijuna zapisa koji se odnose na pojedinačne klijente i korporativne partnere.

Scattered Lapsus$ Hunters, kako su se odnedavno nazvali, objavili su da su počeli pružati ransomware kao uslugu, a to znači da će pokretati napade ucjenjivačkim softverom u ime drugih koji su spremni platiti za to. Tvrde da je njihova usluga bolja od one koju nude druge skupine, poput LockBita i Dragonforcea, no umjesto izravnih pregovora sa žrtvama, grupa često objavljuje javne poruke o iznudi.

Tko su svi ovi cyber kriminalci?

Vjerojatno postoji značajno preklapanje članstva između ShinyHuntersa, Scattered Spidera i Lapsusa$a. Sve ove skupine su međunarodne, s članovima koji djeluju na dark webu iz različitih dijelova svijeta.

Zbrku povećava to što je svaka grupa poznata pod više imena. Naprimjer, Scattered Spider je poznat kao UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm-0875 i Muddled Libra.

Kako se zaštititi od vishinga?

Kao svakodnevni korisnici i kupci velikih tehnoloških tvrtki, malo toga možemo učiniti suočeni s organiziranim skupinama kibernetičkog kriminala. Zaštita od prijevara znači stalnu budnost jer taktike socijalnog inženjeringa mogu biti vrlo učinkovite svojim oslanjanjem na ljudske emocije te želju za povjerenjem i pomoći. No tvrtke također mogu biti proaktivne u smanjenju rizika.

Organizacije mogu podići svijest o tim taktikama i ugraditi obuku temeljenu na scenarijima u programe edukacije zaposlenika. Također mogu koristiti dodatne metode provjere (primjerice zatražiti potvrđivanje identiteta putem službene iskaznice ili postavljanjem pitanja na koja se ne može lako odgovoriti informacijama pronađenim na mreži).

Osim toga, korisno je upogoniti aplikacije koje traže višestupanjsku potvrdu, ako je moguće i geoverifikacijom, piše Conversation.