Minden a telefonhívással kezdődik
A ShinyHunters jól bevált módszere a vishing, azaz a telefonos adathalászat. Ebben a támadók IT-s kollégának álcázzák magukat, és a munkatársakat hívogatják azzal az ürüggyel, hogy frissíteni kell a többfaktoros azonosítást (MFA). Közben egyedi, valós időben testreszabható adathalászoldalakat használnak, amelyeket az áldozat aktuális rendszeréhez (például Google SSO vagy Okta) igazítanak. Így szinte bármilyen rendszerbe képesek bejutni, ha megkaparintják a belépési adatokat és az MFA-kódokat.
Ezért tarol sok szervezetnél a támadás
A módszer gyors és hatékony, ezért a Google és a Mandiant szakértői szerint sorra dőlnek be a nagyvállalatok. Ha a támadók sikerrel járnak, beléphetnek olyan céges irányítópultokra, ahol szabadon válogathatnak az érzékeny adatok között: Microsoft 365, SharePoint, DocuSign, Dropbox, de különösen a Salesforce-adatokra vadásznak. Az adatlopás után mintát tesznek közzé saját szivárogtató oldalukon, és zsarolják az érintett céget, remélve, hogy inkább fizetnek a csendért.
Sőt, egyre több az áldozat
A CarGurus nem az első, és valószínűleg nem is az utolsó: az elmúlt időszakban hasonló módszer áldozata lett már többek között a Mercer Advisors, a Beacon Pointe Advisors, a Canada Goose, a Figure Technology Solutions, a Betterment, a Match Group, a Panera Bread, a Carvana és az Edmunds is. Az érintett cégek jellemzően hallgatnak a részletekről, így az autós gigacég is mélyen hallgat.
