Célpontban a légiközlekedés
A Scattered Spider azon ritka kiberbűnöző csoportok közé került, amelyek nemcsak pénzügyi motivált támadásokra fókuszálnak, hanem kritikus infrastruktúrákat, így az légi közlekedést is célba veszik pszichológiai megtévesztéssel. A technika kombinálja a phishinget, MFA-átverő trükköket, és segédeszközök álcázott használatát, hogy a hagyományos biztonsági rendszereket átverje. A Check Point kutatói felhívják a figyelmet arra, hogy a Scattered Spider (UNC 3944 vagy Comm) az utóbbi időben nemcsak nagyvállalatokat, hanem jelentősen az légi közlekedési vállalatokat is fókuszba helyezte.
A támadók kifinomult phishing-domain mintákat alkalmaznak, amelyek könnyen hasonlítanak valódi szolgáltató cégek nevére – rendszerint -partners, -vip vagy országkód-os formában használják ezeket. Ezek segítségével juttatják be álcázott e-maileket vagy telefonhívásokat, amelyek során segítségnek álcázott interakciók során MFA eszközöket próbálnak hozzáadni féltett fiókokhoz. Az áldozatok között olyan légitársaságok és repülőtereik szerepelnek, amelyekhez a támadók segédszolgáltatókon vagy beszállítókon keresztül jutnak el, ezáltal a ellátási láncon át is be tudnak hatolni. A támadástechnika meglepően emberközpontú, helpdesk‑os munkatársakat vernek át, hogy jogosultságot kapjanak, még akkor is, ha az MFA elvileg technikailag védené a belépést.
Az elemzés alapján elengedhetetlen a helpdesk‑folyamatok megújítása, a visszahívásos azonosítás, a belső kódok használata és dupla jóváhagyások az MFA‑eszköz regisztrációhoz. Technikai szinten javasolt az off-hours MFA-regisztráció figyelése, a domain-imitáló címek blokkolása és részletes identitásszolgáltatási naplók elemzése.
