Bilgisayar korsanları HHS Hibe Ödeme Sisteminden 7,5 Milyon Dolar Dolandırdı

2023 yılı Mart sonu ile Kasım ortası arasında gerçekleşen HHS siber soygunları, sivil hibe ödemelerini işleyen bir HHS sistemini (Ödeme Yönetim Hizmetleri) hedef aldı. Bloomberg haber kaynağının geçen haftaki haberine göre saldırganlar, kırsal topluluklara ve yetersiz hizmet alan hastalara destek amaçlı paralar da dahil olmak üzere beş hesaba dağıtılması amaçlanan milyonlarca doları geri çekti.

Bloomberg, en son saldırılardan en az birinde HHS’nin, kötü aktörlerin bağış alanların alan adı e-posta hesaplarına erişim elde ettiği ve ABD’li ödeme çalışanlarını bağış alanların hesaplarına erişim sağlama konusunda kandırmak için hedef odaklı kimlik avı e-postaları kullandıkları sonucuna vardığını söyledi.

HHS, olayları bakanlıktaki dolandırıcılık ve suiistimalleri araştıran HHS Genel Müfettiş Ofisine bildirdi.

Bir HHS sözcüsü Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada şunları söyledi: “Bu konu OIG’ye havale edildi. Vergi mükelleflerinin dolarının federal idarecileri olarak bu konuyu son derece önemle ele alıyoruz.” HHS, ISMG’nin olaylarla ilgili ek ayrıntı talebine hemen yanıt vermedi.

Bir HHS OIG sözcüsü ISMG’ye, izleme kurumunun bir soruşturmanın varlığını ne doğrulayabileceğini ne de inkar edebileceğini ve sağlayacak başka bilgisi olmadığını söyledi.

Bloomberg’in haberine göre, iddia edilen olaylar, hackerlar tarafından çalınan 7,5 milyon doların 1,5 milyon dolarını alması beklenen HHS’nin Sağlık Kaynakları ve Hizmetler İdaresi de dahil olmak üzere, hibe ödülü alıcılarına yapılan ödemeleri geciktirdi.

HHS HRSA, düşük gelirli aileler, HIV’li bireyler, hamile kadınlar, çocuklar, kırsal bölgelerdeki hastalar ve organ nakli hastaları dahil olmak üzere, yetersiz hizmet alan topluluklara yönelik programlar sunmaktadır. HHS HRSA, ISMG’nin yorum talebine hemen yanıt vermedi.

Kimlik Avı Uyarıları Yetersiz Kalıyor

HHS’nin Sivil Haklar Bürosu, federal hükümetin sağlık sektörü için baş düzenleyici kurumudur ve hasta mahremiyeti ihlallerini uygulamakla görevlidir. Ajans rutin olarak en iyi siber güvenlik uygulamaları konusunda rehberlik sağlıyor ve geçen yıl hastaneler, doktor grupları ve iş ortaklarıyla yapılan bir düzine çözüm anlaşmasının parçası olarak yaklaşık 4,2 milyon dolar HIPAA cezası topladı.

İronik bir şekilde, bu anlaşmalardan biri, kurumun kimlik avı saldırısı merkezli bir ihlale yönelik ilk HIPAA yaptırım eylemini içeriyordu. Bu durumda, Louisiana merkezli bir acil bakım kliniği olan Lafourche Medical Group, 480.000 dolar para cezası ödedi ve 2021’de bildirilen ve neredeyse dünyanın elektronik korumalı sağlık bilgilerini tehlikeye atan bir e-posta kimlik avı ihlalini içeren potansiyel HIPAA ihlallerini çözmek için düzeltici bir eylem planı uygulamayı kabul etti. 35.000 kişi (bkz: Federaller Kimlik Avı İhlalinden Dolayı İlk HIPAA Cezasını Aldı).

Ve Ekim ayında – görünüşe göre HHS, hibe ödeme dolandırıcılıklarını içeren saldırıların ortasındayken – HHS’nin Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, sağlık sektörünü, mali dolandırıcılık girişimleri de dahil olmak üzere yapay zeka destekli kimlik avının oluşturduğu artan tehditlere karşı uyaran bir uyarı yayınladı.

Bu ay Amerikan Hastane Birliği, üyelerine, faturalandırma ve ödeme çalışanlarından kimlik bilgilerinin çalınmasını içeren ödeme dolandırıcılığı dolandırıcılığıyla hastane BT yardım masası çalışanlarını hedef alan sosyal mühendislik planları hakkında uyarıda bulunan bir uyarı yayınladı (bkz: AHA: Ödeme Dolandırıcılığı İçin Yardım Masalarını Hedef Alan Dolandırıcılıklarda Artış).

Gizlilik ve güvenlik danışmanlığı Clearwater’ın baş risk sorumlusu Jon Moore, “Sosyal mühendislikteki yapay zeka destekli ilerlemeler, özellikle kimlik avı, meşru ve kötü niyetli aktörler arasında ayrım yapmayı zorlaştırıyor” dedi.

Özellikle ABD, Çin, Rusya ve İran gibi ülkeleri ilgilendiren artan jeopolitik gerilimlerin, bu tür saldırıların, sağlık sektörü de dahil olmak üzere kritik altyapıyı hedef almak için gelişmiş tehdit aktörleri tarafından kullanılma riskini artırdığını söyledi.

“Bu saldırılar, hırsızlık, sabotaj ve daha geniş siyasi veya askeri stratejilerin bileşenleri de dahil olmak üzere hırsızlığın ötesinde amaçlara hizmet edebilir. Bu tür senaryolarda, kritik altyapı, potansiyel siber tehditlerin odak noktası haline gelir ve çok hızlı bir şekilde hayatlar riske atılabilir.”

Moore, görünüşe göre HHS’nin hedef odaklı kimlik avı ve ilgili planların kurbanı olması, hiçbir kuruluşun veya bireyin bu tür saldırılara karşı bağışık olmadığının altını çiziyor, dedi Moore.

“Bilgi varlıklarınızın her biriyle ilişkili riski anlamak ve bu riski etkili bir şekilde yönetmek için güvenlik önlemlerini uygulamak önemlidir” dedi. “İnsanlar genellikle en zayıf halkamızdır ve bu nedenle sistem güvenliğini planlarken bunu dikkate almamız gerekir. Eğitim iyi ve gereklidir, ancak bu yeterli değildir ve güvenlik katmanlarının dikkate alınması gerekir” dedi.

Güvenlik firması Abnormal Security’nin CISO’su Mike Britton, HHS gibi devlet kurumlarının potansiyel siber saldırganları ve diğer dolandırıcıları savuşturmak için sıklıkla ek risk faktörleriyle uğraşmak zorunda kaldıklarını söyledi.

Britton, HHS hibelerinin federal fonları da içermesi nedeniyle, bunlarla ilgili bilgilerin çevrimiçi olarak kamuya açık olduğunu söyledi. “HHS sıklıkla hibe fonu alıcılarının kim olduğunu kamuoyuna duyurur, aksi takdirde bilgiler kamuya açık yönetim kurulu toplantıları veya hibe fonu talepleri aracılığıyla ifşa edilebilir. Bu bilgilerle siber suçlular, hedefli sosyal mühendislik saldırıları başlatmak için yüksek değerli hedefleri ve kaynak bilgilerini kolayca belirleyebilir.” söz konusu.

Britton, “Sağlık kuruluşları, barındırdıkları değerli veri yığınları ve operasyonlarını her zaman çalışır durumda tutma ihtiyaçları göz önüne alındığında, genel olarak tehdit aktörleri için her zaman çekici hedefler olmuştur.” dedi. “Bu tür saldırıların yakın zamanda yavaşlaması pek mümkün görünmüyor ve bu finansman programlarının çoğunun alıcılarının en savunmasız hasta topluluklarından bazılarına hizmet sağladığı dikkate alındığında özellikle yıkıcı oluyor.”

Moore, kuruluşların, finansal işlemler için çok faktörlü kimlik doğrulama ve gerçek zamanlı izleme ve olağandışı ödeme isteklerini veya modellerini tanımlayabilen anormallik tespit sistemleri de dahil olmak üzere, ödeme sistemleri ve süreçlerinin sağlam güvenlik önlemlerine sahip olmasını sağlamak için adımlar atmasını öneriyor.

“Kuruluşlar, önemli veya olağandışı finansal işlemler için bant dışı doğrulamaya ihtiyaç duymalıdır” dedi.

“Bu, ödeme isteklerini onaylamak için bir telefon görüşmesi yapmayı veya ayrı bir iletişim kanalı kullanmayı içerebilir. Kuruluşlar ayrıca, hassas mali konuları veya ödeme onaylarını tartışmak için şifreli mesajlaşma uygulamaları veya güvenli video konferans araçları gibi güvenli iletişim kanallarını kullanmayı da düşünebilir.”

Britton, yapay zeka destekli kimlik avı ve diğer dolandırıcılıklara yönelik tehdit düzeyi arttıkça, yapay zeka tabanlı güvenlik çözümlerinin sağlık kuruluşlarının bu gelişen e-posta saldırılarına ayak uydurmak ve bir adım önde olmak için daha iyi bir konuma getirilmesine yardımcı olabileceğini söyledi.

Bu, kullanıcıların tipik e-posta davranışlarının temel çizgisini belirlemek ve ardından potansiyel bir saldırıya işaret edebilecek normdan sapmaları tespit etmek için tasarlanmış ürünleri içerir. “Bu, siber suçluların meşru güvenliği ihlal edilmiş bir alandan gönderilen ve başka hiçbir tehlike belirtisi olmayan, mükemmel bir şekilde yazılmış ve kişiselleştirilmiş bir e-posta saldırısı başlatsa bile, çözümün yine de kötü niyetli niyet sinyallerini alabileceği anlamına geliyor” dedi.