Célkeresztben az ellátási láncok: miért kedvelt célpont a kiskereskedelem?
Fontos kiemelni, hogy ezek az akciók egyáltalán nem véletlenszerűek. A kiskereskedelmi vállalatok tökéletes célpontjai a szervezett bűnözői csoportoknak, mivel működésük során szinte mindent kiszerveznek – a beszállítóktól a logisztikai partnereken át a pénzügyi szolgáltatókig. Egyetlen gyenge láncszem is dominóhatást indíthat el, ezért a cégek gyakran hajlanak arra, hogy fizessenek, csak hogy újraindulhasson a normális működés.
Annak ellenére, hogy a gazdasági szereplők többsége tisztában van a védekezési hálók hiányosságaival, a Scattered Spider nevű, magasan képzett bűnözői csoport mégis új szintre emelte a kibertámadások hatékonyságát. Tipikus eset, amikor ezek a támadók belső informatikai csapatnak adják ki magukat, vagy SMS-alapú adathalász üzenetekkel (smishing) próbálnak kulcsszereplőket MFA (többfaktoros azonosítás) újraállítására rávenni. Így percek alatt szerezhetnek magas szintű hozzáférést a legbizalmasabb rendszerekhez is.
Megtévesztés mesterfokon – a támadók új kedvencei
A Scattered Spider különösen veszélyes, mert kiválóan beszél angolul, pontosan érti a nyugati üzleti folyamatokat, és valós időben képes reagálni – nem futószalagon támadnak, hanem célzottan és precízen. Ma már a legnagyobb veszélyt nem a klasszikus vírusok jelentik, hanem olyan eredetileg teljesen legális távmenedzsment szoftverek, mint az AnyDesk, a TeamViewer vagy a Gyorssegély (Quick Assist). Ezeket nap mint nap használják az informatikai csapatok támogatásra, így a támadók is észrevétlenek maradhatnak.
Különösen nagy problémát jelent, hogy ezek a szoftverek általában eleve engedélyezettek a céges hálózatokon, így nem keltenek gyanút, ha éppen támadók használják őket. Ezzel a módszerrel a támadók könnyedén elrejtőzhetnek, oldalirányban mozoghatnak a hálózatban, sőt, hónapokig is észrevétlenek maradhatnak.
Mit tehetnek most a kiskereskedelmi cégek?
Ennek fényében a kiskereskedelmi láncoknak azonnal kiemelt figyelmet kell fordítaniuk a támadási felület csökkentésére és a gyors reagálásra. Célszerű radikálisan szigorítani az MFA- és jelszó-visszaállítási eljárásokat, és minden szokatlan műveletet azonnal kivizsgálni (például ha valaki ismeretlen eszközről regisztrál újra MFA-t, vagy rövid idő alatt sok jelszót módosít).
A távoli hozzáférési programokat úgy kell kezelni, mint kritikus infrastruktúrát: szigorúan szabályozott engedélyezési folyamat, rendszeres felülvizsgálat és az összes gyanús használat aktív keresése szükséges. A nagyobb védelem érdekében érdemes a viselkedési anomáliákat is figyelni – például éjszakai belépéseket, rövid idő alatt nagy mennyiségű adatmozgatást a kasszarendszerről, vagy ha valaki partnerszámláról jelentkezik be.
Kiemelten fontos az oktatás: az informatikai, helpdesk vagy partneri szerepkörrel rendelkező munkatársak folyamatos, életszerű támadási szcenáriókkal támogatott képzése kulcsfontosságú.
A legújabb zsarolóvírus-hullám megmutatta: a biztonság többé nem pusztán háttérrendszer, hanem kulcskérdés a vásárlók, a márka és a működés szempontjából is. A folyamatos kontroll, a proaktív keresés, valamint a dolgozók tudatosítása és felhatalmazása jelentheti a legjobb garanciát arra, hogy a következő támadás ne bénítsa meg teljesen a céget – hiszen ha egyetlen láncszem is kiesik, az egész ellátási lánc veszélybe kerül.
