Yardım masası dolandırıcılığını ve kuruluşunuzu nasıl savunacağınızı anlamak

   Haziran 3, 2025  Posted in TheHackerNews


İngiltere perakendecileri Marks & Spencer ve Co-op’a yapılan yüksek profilli saldırıların ardından, dağınık örümcek medyanın her yerinde bulundu, kapsamı neden olan bozulmanın ciddiyeti nedeniyle ana akım haberlere yayıldı-şu anda sadece M & S için yüz milyonlarca kayıp kar gibi görünüyor.

Bu kapsam, güvenlik ekiplerinin her gün savaştığı savaşlar hakkında farkındalık yarattığı için siber güvenlik topluluğu için son derece değerlidir. Ama aynı zamanda büyük resmi anlamayı zorlaştırabilecek çok fazla gürültü yarattı.

İngiltere perakendecilerine karşı son kampanyanın başlık hikayesi, yardım masası dolandırıcılığı kullanımıdır. Bu genellikle saldırganın, bir şirketin yardım masasını bir miktar bilgi ile çağırmayı içerir-en azından Pii, kurbanlarını taklit etmelerini ve bazen bir şifre, yardım masası operatörünü bir kullanıcı hesabına erişim sağlamak için kandırmak için ağır bir şekilde İngilizce konuşan yeteneklerine yaslanmıştır.

Yardım masası dolandırıcılık 101

Bir Yardım Masası aldatmacasının amacı, yardım masası operatörünün, saldırganın kontrolünü ele geçirebilmesi için bir hesaba erişmek için kullanılan kimlik bilgilerini ve/veya MFA’yı sıfırlamasını sağlamaktır. Bunu yapmak için çeşitli arka planlar ve taktikler kullanacaklar, ancak çoğu zaman “Yeni bir telefonum var, mevcut MFA’mı kaldırabilir ve yeni bir tane kaydetmeme izin verebilir misiniz?”

Oradan, saldırgana daha sonra e -posta veya SMS yoluyla bir MFA sıfırlama bağlantısı gönderilir. Genellikle, bu, örneğin, dosyadaki bir numaraya gönderilecektir – ancak bu noktada, saldırgan zaten güven oluşturdu ve Yardım Masası sürecini bir dereceye kadar atladı. “Bu e -posta adresine gönderebilir misin” veya “Aslında yeni bir numaram var, gönderebilir misin …” diye sormak bunu doğrudan saldırgana gönderir.

Bu noktada, bu sadece OKTA veya ENTRA için Self servis şifre sıfırlama işlevini kullanma örneğidir (şimdi kendinizi doğrulamak için MFA faktörüne sahip olduğunuz için etrafta dolaşabilirsiniz) ve voilasaldırgan hesabın kontrolünü ele geçirdi.

Ve en iyi bölüm? Çoğu yardım masaları her hesap için aynı sürece sahiptir – kimin taklit ettiğiniz veya hangi hesabı sıfırlamaya çalıştığınız önemli değildir. Bu nedenle, saldırganlar özellikle üst düzey yönetici ayrıcalıklarına sahip olması muhtemel hesapları hedefliyorlar-yani içeri girdikten sonra, saldırıyı ilerletmek önemsizdir ve tipik ayrıcalık artışının ve yanal hareketin çoğu saldırı yolundan kaldırılır.

Bu nedenle, yardım masası dolandırıcıları, MFA’yı atlamanın ve hesap devralması elde etmenin güvenilir bir yolu olduğunu kanıtladı – veri çalmak, fidye yazılımlarını dağıtmak, vb.

Aldanma – bu yeni bir gelişme değil

Ancak raporlamada tam olarak karşılaşmayan bir şey, dağınık örümceğin bunu 2022’den bu yana başarıyla yaptığı, M&S ve kooperatif saldırıları sadece buzdağının ucuyla. Veşen (bir kullanıcıyı MFA kodlarından vazgeçmelerini sağlamak için çağırmak), Twilio, LastPass, Riot Games ve bir tür ses tabanlı sosyal mühendislik içeren coinbase ile ilgili erken saldırılarla araç setlerinin bir parçası olmuştur.

Özellikle, Caesars, MGM Resorts ve London for London’a yapılan yüksek profilli saldırılar, ilk erişim vektörü olarak kimlik bilgilerini sıfırlamak için bir yardım masası çağırmayı içeriyordu.

  • Sezarlar Ağustos 2023’te, bilgisayar korsanlarının bir BT kullanıcısını taklit ettiği ve dış kaynaklı bir yardım masasını kimlik bilgilerini sıfırlamaya ikna ettiği, bundan sonra saldırgan müşteri sadakat programı veritabanını çaldı ve 15 milyon dolarlık bir fidye ödemesini sağladı.
  • MGM Resorts Hacker’ın bir çalışanı taklit etmek ve çalışanın kimlik bilgilerini sıfırlamak için LinkedIn bilgilerini kullandığı Eylül 2023’te 6 TB veri hırsızlığına neden oldu. MGM ödemeyi reddettikten sonra, saldırı sonunda 36 saatlik bir kesinti, 100 milyon dolarlık bir isabet ve bir sınıf davası 45 milyon dolara karar verdi.
  • Londra için ulaşım Eylül 2024’te 5.000 kullanıcının banka detayının maruz kalmasına neden oldu, 30.000 personelin kimliklerini doğrulamak ve şifrelerini sıfırlamak için yüz yüze randevulara katılması gerekiyor ve aylarca süren çevrimiçi hizmetlerde önemli kesintiler.

Yani sadece dağınık örümcek (ve diğer tehdit grupları) bu teknikleri bir süredir kullanmakla kalmıyor, aynı zamanda bu saldırıların şiddeti ve etkisi artıyor.

Yardım Masası Gotchas’tan kaçınmak

Yardım masalarının dolaşımını güvence altına almak için birçok tavsiye var, ancak tavsiyelerin çoğu hala phishable veya uygulanması zor bir süreçle sonuçlanıyor.

Nihayetinde, kuruluşların yardım masası sürecine sürtünmeye ve önemli risklerin olduğu durumlarda istekleri geciktirmeye veya reddetmeye hazır olmaları gerekir. Örneğin, yüksek ayrıcalıklı bir hesabın sıfırlanmasıyla ilişkili riski tanıyan bir MFA sıfırlama işlemine sahip olmak:

  • Yönetici seviyesi hesap sıfırlamaları için çok partili onay/yükseltme gerektirin
  • Süreç uzaktan takip edilemezse yüz yüze doğrulama gerektirin
  • Şüpheli davranışlarla karşılaşıldığında dondurun self-servis sıfırlanır (bu, bir saldırıdan şüpheleniliyorsa alarmı yükseltmek için bir tür iç süreç ve farkındalık eğitimi gerektirir)

Ve bu gotchas’a dikkat edin:

  • Bir çağrı alırsanız, iyi uygulama çağrıyı sonlandırmak ve çalışanın dosyasındaki numarayı araştırmaktır. Ancak, Sim değiştirme dünyasında, bu kusursuz bir çözüm değil-sadece saldırganı yeniden inceliyor olabilirsiniz.
  • Çözümünüz çalışanı kameraya almaksa, giderek daha sofistike derin yapraklar bu yaklaşımı engelleyebilir.

Ancak, yardım masaları bir nedenden dolayı bir hedeftir. Doğası gereği “yararlı”. Bu genellikle nasıl işletildiklerine ve performans ölçüldüklerine yansır – gecikmeler bu SLA’ları vurmanıza yardımcı olmaz! Nihayetinde, bir süreç yalnızca çalışanların buna bağlı kalmaya istekli olması durumunda çalışır – ve onu kırmak için sosyal olarak tasarlanamaz. Günlük operasyonlardan (özellikle dış kaynaklı veya offshored) kaldırılan yardım masaları, çalışanların taklit edildiği saldırılara doğal olarak duyarlıdır.

Ancak, şu anda yaşadığımız saldırılar, güvenlik paydaşlarına yardım masası reformlarının işin sağlanması için neden hayati önem taşıdığına dair bol miktarda mühimmat vermelidir (ve değişiklik yapmazsanız ne olabilir).

Yardım masası dolandırıcılığını diğer yaklaşımlarla karşılaştırma

Geri adım atarak, yardım masası dolandırıcılarının dağınık örümcek gibi tehdit aktörleri tarafından kullanılan taktik, teknik ve prosedürlerin (TTP) daha geniş araç setine nasıl uyduğunu düşünmeye değer.

Dağınık Örümcek, MFA’yı atlama, ayrıcalıklı hesaplar üzerinde hesap devralma, bulut hizmetlerinden veri çalmak ve fidye yazılımlarını (esas olarak VMware ortamlarına) (esas olarak VMware ortamlarına) tekrarlanabilir bir yoldan sonra, 2022’de ilk kez ortaya çıktıkları için kimlik tabanlı TTP’lere büyük ölçüde güvenmiştir.

  • E -posta ve SMS (Smishing) aracılığıyla kimlik bilimi, toplu olarak parolaları hasat etmek için
  • SMS tabanlı MFA’yı atlamak için SIM Swapping’i (Taşıyıcıyı Saldırgan Kontrollü SIM kartınıza aktarmak için aldığınız yer) kullanarak
  • Uygulama Tabanlı Push kimlik doğrulamasını atlamak için MFA yorgunluğu (aka. Push Bombing) kullanma
  • Vishing’i kullanarak (yani, yardım masası saldırısının aksine, MFA kodlarını doğrudan Sosyal Mühendis’e arıyor)
  • Sosyal Mühendislik Etki Alanı Kayıt Şirketleri Hedef kuruluşun DNS’sinin kontrolünü ele geçirmek, MX kayıtlarını ve gelen postalarını kaçırmak ve bunu şirketin iş uygulama ortamlarını devralmak için kullanmak için
  • Ve daha sonra, MFA’nın tüm ortak formlarını atlayarak (WebAuthn/Fido2 hariç) canlı kullanıcı oturumlarını çalmak için MFA-Bypass AITM phingsing kitlerini kullanmak, canlı kullanıcı oturumlarını çalmak için
Dağınık örümcek kimlik avı sayfaları evilginx çalıştırıyor. Kaynak: Silentpush’ta araştırmacılar

Yani, yardım masası dolandırıcıları araç setlerinin önemli bir parçasıdır, ancak tüm resim değil. Özellikle AITM gibi yöntemler, bu yıl MFA’yı atlamanın ve hesap devralmasına ulaşmanın güvenilir ve ölçeklenebilir bir yolu olarak popülerlik kazanmıştır, saldırganlar bu araç setlerini fiili standart olarak kullanırlar, tespit kaçakçılığı yöntemlerinde yaratıcı hale gelir ve kimlik kampanyalarının başarısını sağlamak için e -posta altom gibi standart dağıtım vektörlerinden kaçınırlar.

Modern kimlik avı kitlerinin bu isteğe bağlı web seminerinde PUSH Security’den nasıl kaçındığı hakkında daha fazla bilgi edinin.

Dağınık örümcek bilinçli olarak yerleşik güvenlik kontrollerinden kaçıyor

Yani, dağınık Spider’ın araç setini sadece yardım masası dolandırıcılarından daha fazlası var. Aslında, yaklaşımları genel olarak sınıflandırılabilir. bilinçli olarak kaçan yerleşik kontroller uç noktada ve ağ katmanında kimlikleri hedefleyerek.

Hesap devralma noktasından, tekrarlanabilir kalıpları da takip ederler:

  • İzlemenin tipik olarak geleneksel şirket içi ortamlardan daha az tutarlı olduğu bulut ve SaaS hizmetlerinden veri hasat ve eksfiltrasyon ve eksfiltrasyon genellikle normal aktiviteyle karışır. Birçok kuruluşta bulutta kötü niyetli etkinlikleri tespit etmek için günlüklere veya görünürlüğe sahip değildir ve dağınık örümcek de bulut günlükleri ile kurcalanırken görülmüştür (örneğin riskli AWS CloudTrail günlüklerini filtrelemek, ancak şüpheyi yükseltmek için tamamen devre dışı bırakmaz).
  • Fidye yazılımı dağıtım için VMware ortamlarının hedeflenmesi. Bunu, tehlikeye atılan kullanıcı hesaplarını VCentre’deki VMware Adims Group’a ekleyerek yaparlar (gerekirse – varsayılan olarak üst düzey ayrıcalıklarla hesapların peşinden gidiyorlar). Buradan, güvenlik yazılımının mevcut olmadığı ESXI hipervizör katmanı aracılığıyla VMware ortamına erişebilirler – böylece fidye yazılımının yürütülmesini önlemek için güvendiğiniz EDR ve diğer tipik uç nokta ve ana bilgisayar tabanlı kontrolleri atlayabilirler.

Anahtar tema? Yerleşik güvenlik kontrollerinizi aşmak.

Çözüm

Dağınık örümcek, yerleşik güvenlik kontrollerinden kaçınmak için ellerinden gelen her şeyi yapan bir tür “MFA sonrası” tehdit oyuncusu olarak düşünebilirsiniz. Kimlikleri ve hesap devralmalarını hedefleyerek, saldırı zincirinin sonuna kadar uç nokta ve ağ yüzeylerini mümkün olduğunca atlarlar – bu noktada bu kontrollere güvenmek için neredeyse çok geçtir.

Bu nedenle, yardım masası dolandırıcılığına aşırı endekslemeyin-daha geniş kimlik saldırısı yüzeyinizi ve MFA boşluklarına sahip uygulamalardan ve hesaplardan çeşitli saldırı yöntemlerini, Saldırganlara SSO ile aksi takdirde erişilen hesaplara bir arka kapı veren ve Phishish saldırıları için yeni normal olan MFA-Bypassing AITM kimlik avı kitlerini göz önünde bulundurmanız gerekir.

Organizasyonunuzu dağınık örümcek TTPS’den koruyun (sadece yardım masası dolandırıcılığı değil)

Tehdit grupları tarafından standart olarak daha fazla kabul edilen dağınık Spider’ın kimlik ilk araç seti hakkında daha fazla bilgi edinmek için, şimdi isteğe bağlı olarak mevcut olan Push Security’den en son web seminerine göz atın!

Push Security’nin kimlik saldırılarını nasıl durdurduğunu öğrenin

Push Security, AITM kimlik avı, kimlik bilgisi doldurma, şifre püskürtme ve çalıntı oturum jetonları kullanılarak oturum kaçırma gibi tekniklere karşı kapsamlı kimlik saldırısı algılama ve yanıt özellikleri sağlar. Ayrıca, çalışanlarınızın kullandığı her uygulamada kimlik güvenlik açıklarını bulmak ve düzeltmek için push kullanabilirsiniz: hayalet girişleri; SSO kapsam boşlukları; MFA boşlukları; zayıf, ihlal edilmiş ve yeniden kullanılan şifreler; riskli OAuth entegrasyonları; ve daha fazlası.

Push, ortak kimlik saldırısı tekniklerini tespit etmenize ve yenmenize nasıl yardımcı olduğu hakkında daha fazla bilgi edinmek istiyorsanız, canlı bir demo için ekibimizden biriyle biraz zaman ayırın.

Bu makaleyi ilginç mi buldunuz? Bu makale, değerli ortaklarımızdan birinin katkıda bulunan bir parçasıdır. Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link