Bérszámfejtők átverése
A ReliaQuest által azonosított támadási kampány egy kifinomult SEO poisoning (keresőoptimalizálási mérgezés) technikát alkalmazott, amelynek célja a vállalati bérfizetési rendszerek kompromittálása volt. A támadók hamis hitelesítési portálokat hoztak létre, amelyek a legitim vállalati bejelentkezési oldalakhoz hasonlítottak, és ezeket a keresőmotorok találati listáinak élére juttatták, különösen mobil eszközökön történő keresések esetén. Az áldozatok, akik mobil eszközeiken kerestek rá például a payroll portal kifejezésre, gyakran a támadók által létrehozott hamis oldalakra jutottak, ahol megadták hitelesítő adataikat. Ezeket az adatokat a támadók azonnal felhasználták a vállalati bérfizetési portálokhoz való hozzáféréshez, ahol módosították az alkalmazottak közvetlen befizetési beállításait, így a fizetések a támadók számláira kerültek átutalásra.
A támadók infrastruktúrája kompromittált otthoni irodai routereket és mobilhálózatokat használt a forgalom álcázására, elkerülve ezzel a hagyományos biztonsági intézkedések észlelését. Ezenkívül a támadók a Pusher nevű üzenetküldő szolgáltatást használták az ellopott hitelesítő adatok azonnali értesítéseinek fogadására, lehetővé téve számukra a gyors észrevétlen hozzáférést a vállalati rendszerekhez.
A támadás során alkalmazott taktikák, technikák és eljárások közé tartozik a keresőmotorok manipulálása hamis oldalak előtérbe helyezésére, mobil eszközök célzása, valamint legitim szolgáltatások visszaélése az észlelés elkerülése érdekében. Ezek a módszerek kihasználják a vállalati biztonsági rendszerek azon gyengeségeit, amelyek nem terjednek ki a vállalaton kívüli eszközökre és hálózatokra.
A védekezés érdekében a szervezeteknek javasolt a bérfizetési portálok többfaktoros hitelesítéssel való védelme, a feltételes hozzáférési szabályok alkalmazása, valamint az alkalmazottak oktatása a megbízható hitelesítési módszerek, például az egyetlen bejelentkezés (SSO) használatára. Emellett fontos az illetéktelen közvetlen befizetési változások kivizsgálása és az alkalmazottak figyelmeztetése a hamis bejelentkezési oldalak veszélyeire.
