2025 tavaszán két ikonikus brit kiskereskedelmi márka, a Marks & Spencer és a Co-op váltak célpontjává egy jól szervezett, mégis meglepően egyszerű módszerrel végrehajtott kibertámadásnak. A tettesek nem bonyolult exploitokat vagy rejtett hátsó ajtókat kerestek. Ehelyett az emberi tényezőt használták ki – pontosabban az IT helpdesk dolgozók naivitását és a szervezetek túlzott bizalmát. Az eset nem csak az áldozatok számára volt fájdalmas: az egész iparágnak tanulságokkal szolgál.
A támadás során a hackerek – a Scattered Spider nevű, főként fiatal, angolul beszélő elkövetőkből álló csoport – „social engineering” technikát alkalmaztak. Megtévesztéssel, manipulációval érték el, hogy IT-alkalmazottak visszaállítsák egyes dolgozók – vagy legalábbis annak tűnő személyek – jelszavait. Ezzel hozzáfértek a cégek belső rendszereihez. A Co-op esetében ez közvetlenül vezetett ügyféladatokhoz való jogosulatlan hozzáféréshez, míg az M&S-nél több száz szerződéses munkavállalót kellett hazaküldeni, és a cég értéke néhány nap leforgása alatt 650 millió fonttal csökkent.
Ez az eset tökéletes példája annak, hogy a legfejlettebb technológiai védelem is kevés, ha a munkavállalókat nem készítik fel a leggyakoribb és legtrükkösebb támadási formákra.
Miért fontos ez? Mert nem technológiai, hanem szervezeti és emberi mulasztás történt
A támadók nem feltörtek egy rendszert – egyszerűen csak „beléptek az ajtón”, amit az áldozat kinyitott nekik. Nem törtek jelszót, nem használtak rosszindulatú kódot – csak elhitették egy IT dolgozóval, hogy jogosultak a belépésre.
Manapság ez a módszer – a social engineering – az egyik leggyakrabban használt támadási forma, mégis sok szervezet alábecsüli. A cégek jelentős erőforrásokat költenek tűzfalakra, végpontvédelemre és biztonsági monitorozásra, miközben a leggyengébb láncszem – az ember – alig kap figyelmet. Egy meggyőző e-mail, egy telefonhívás vagy egy hamis belső chat-üzenet elég ahhoz, hogy egy több milliárd fontos vállalat térdre kényszerüljön.
A valódi probléma gyökere: gyenge jelszó-visszaállítási protokollok és rosszul hitelesített helpdesk folyamatok
Az NCSC (National Cyber Security Centre) gyorsan reagált: új irányelveket adott ki a helpdesk-folyamatok felülvizsgálatára. Kiemelték, hogy minden vállalatnak át kell gondolnia, hogyan hitelesítik azokat, akik jelszót szeretnének visszaállítani – különösen adminisztratív jogosultsággal rendelkező fiókok esetében. Ugyanis ezek révén a támadók az egész vállalati infrastruktúrát lebéníthatják vagy épp zsarolhatják az áldozatot.
A tanácsok között szerepelnek többfaktoros hitelesítés bevezetése, külön jelszó-visszaállítási kódszavak alkalmazása (mint például a biztonsági közösségben javasolt „BluePenguin”), valamint a gyanús belépési próbálkozások („risky login”) figyelése – például éjszakai belépés, vagy szokatlan földrajzi helyszínről történő hozzáférés.
A Scattered Spider: decentralizált, de veszélyes
A Scattered Spider nem klasszikus, hierarchikus szervezet, inkább fiatalok laza, de jól szervezett csoportja, akik Discordon, Telegramon keresztül szerveznek támadásokat. Nevük az „ördög hálóját” idézi: nem egy központból indul a támadás, hanem sok apró, de hatékony szálból. A csoport már 2023-ban hírhedtté vált, amikor a Caesars Entertainment és az MGM Resorts rendszereit zárolták, több millió dolláros váltságdíjat követelve.
A brit események rámutatnak, hogy a célpont immár nem csak a pénzügyi vagy ipari óriások – hanem bármely olyan szervezet lehet, amely jelentős adatvagyonnal vagy digitális működéssel rendelkezik, de nincs megfelelő emberi védekezésre épített protokollja.
Megelőzés: nem technológiai csodafegyver, hanem kultúraváltás kell
A legfontosabb üzenet, amit ebből az esetből levonhatunk: nem elég technológiában gondolkodni. Szükség van kultúraváltásra a szervezeteken belül.
A kiberbiztonság nem (csak) IT-feladat – hanem üzleti, jogi, HR és kommunikációs felelősség is. A social engineering elleni védekezés ugyanis akkor hatékony, ha a dolgozók értik, miért veszélyes egy e-mail, ha a helpdesk tudja, hogyan azonosítsa megbízható módon a hívókat, és ha az admin jogokat valóban csak a legszigorúbb protokoll szerint lehet kezelni.
Ehhez hozzátartozik az is, hogy minden alkalmazottat – legyen az ügyfélszolgálatos, IT-s, vagy vezető – rendszeresen képezni kell. Nem elég évente egyszer aláíratni egy GDPR-tájékoztatót. Életszerű, szimulált támadásokkal, tesztelésekkel és friss példák elemzésével lehet valódi éberséget kialakítani.
A következő „BluePenguin” már most a vonalban lehet
Ez a támadás ismét megerősítette: nem a technológia fogja megnyerni számunkra a kiberháborút, hanem az dolgozók felkészítése. A kérdés nem az, hogy „vajon minket is megtámadnak-e?”, hanem hogy „mikor?” és „hogyan készülünk rá?”
Minden vállalatnak, intézménynek, cégvezetőnek most kell cselekednie. Arra buzdítunk minden felelős vezetőt, hogy vizsgáljátok felül az IT helpdesk protokollokat, képezzétek a dolgozókat, és lássátok be: a social engineering elleni védekezés nem költség – hanem befektetés a túlélésbe.
Ha pedig legközelebb valaki felhívja a helpdesket, és azt mondja: „Elfelejtettem a jelszavam, BluePenguin volt a kódszavam” – talán már lesz, aki gyanút fog. És ez már önmagában egy lépés a jó irányba.
Szerző:
D.László István
Kiberbiztonsági vezető, United Consult cégcsoport
