Az emberi tényező kihasználása
A támadók alaposan felkészültek: belső neveket, beosztásokat, belső jegyszámokat gyűjtöttek össze. Nyugodt, előre megírt szövegkönyvet használtak telefonhíváskor, hogy még hitelesebbnek tűnjenek, és elérjék, hogy az ügyfélszolgálatos kihagyja az azonosítási szabályokat. Pedig a Clorox által meghatározott eljárás ellenére az első vonalbeli munkatársak hittek nekik, és engedtek a nyomásnak: ellenőrzés nélkül állították vissza a hozzáféréseket. Ennek eredményeként egyetlen feltört azonosító is elegendő volt ahhoz, hogy teljes rendszerekhez férjenek hozzá.
Nem véletlen a veszély: a Verizon jelentése szerint az adatszivárgások csaknem felében (44,7%) ellopott belépési adatok is szerepet játszanak.
Miért veszélyesebb, ha ki van szervezve az ügyfélszolgálat?
A kiszervezett ügyfélszolgálatok gyakran olyan jogosultsági hídon ülnek, amellyel egyszerre akár több, teljes nagyvállalati rendszerhez is hozzáférhetnek. Ha a szolgáltató azonosítási gyakorlata nem elég szigorú, vagy a napi ügymenet során lazaság tapasztalható, a kockázat többszörösére nő.
Három fő ok:
Az ügyfélszolgálati cégek működése átfedhet szervezetek között, a folyamatok bonyolultsága vagy bizonytalan utasítások miatt az ügyintézők hajlamosak gyorsan, szigorú ellenőrzés nélkül megoldani a problémákat. Emellett, ha a szolgáltató csak a saját rendszerében naplóz, az események sokszor nem jelennek meg a megrendelő biztonsági áttekintésében, ami késlelteti a probléma felismerését.
Hogyan védekezzünk?
Az ügyfélszolgálati jelszó-visszaállítást kezeljük kiemelt, privilégizált műveletként, minden esetben utólagos ellenőrzéssel! Legyen kötelező a folyamat során egy független csatorna – például céges telefonon történő visszahívás, munkahelyi emailre érkező egyszeri kód vagy kriptográfiai kihívás – alkalmazása.
Minden nagyobb kockázatú visszaállításnál (MFA, admin, szolgáltatási fiók) legyen kötelező a kétszemélyes jóváhagyás. A visszaállítások naplózását és monitorozását kötelezően integrálni kell a cég SIEM-rendszerébe; riasztás esetén minden atipikus minta (például több különböző felhasználó azonos visszahívószámmal, rövid időn belül többszöri MFA-visszaállítás) automatikusan indítsa el a jogosultságok felfüggesztését, és értesítse a SOC-ot.
Külső partnerek: szerződés és ellenőrzés
Ha az ügyfélszolgálat ki van szervezve, a szolgáltatói szerződésben követeljük meg a technikai kontrollokat, naplózást, évenkénti hitelesített teszteket, valamint a kétcsatornás azonosítás igazolását. Vezessünk be rendszeres social engineering próbákat – akár saját, akár partneri ügyfélszolgálaton –, és az eredmények alapján képezzük a munkatársakat.
Még a legmodernebb technológiák mellett is megtéveszthetők az emberek: a védekezés kulcsa a folyamatok szigorítása és folyamatos tesztelése. A jelszó-visszaállítás utáni reakcióidő lerövidítése sokkal hatékonyabb védelmet jelent, mint bármilyen egyszeri nagyobb biztonsági beruházás.
