Basit bir yardım merkezi çağrısı, tehdit aktörlerinin güvenlik kontrollerini atlamasına neden olabilir mi? Ekibinizin giderek büyüyen güvenlik açığını nasıl kapatabileceğini burada bulabilirsiniz.
Küresel işletmeler arasında tedarik zinciri riski artıyor. Verizon, veri ihlallerinde üçüncü tarafların katılımının geçen yıl iki katına çıkarak %30’a ulaştığını iddia ediyor. Ancak genellikle bu tür riskler, açık kaynak bileşenleri (Log4Shell), tescilli yazılımlar (MOVEit) ve fiziksel tedarikçiler (Synnovis) ile ilgili sorunlar olarak çerçevelenir. Kendi BT dış kaynak sağlayıcınız büyük bir ihlalin kaynağı olduğunda ne olur?
Ne yazık ki bazı büyük markalar, sofistike tehdit aktörlerinin dış kaynaklı yardım merkezlerini vishing saldırılarıyla hedef almasıyla bunu öğrenmeye başlıyor. Cevap, katmanlı savunma, gerekli özen ve eski usul siber güvenlik eğitiminde yatıyor.
Yardım merkezi neden hedef oluyor?
Dış kaynaklı BT yardım merkezi (veya yardım masaları), birçok işletme için giderek daha popüler bir seçenek hâline geliyor. Kâğıt üzerinde, özellikle KOBİ’lerin iç kaynaklarla sağlamak için zorlandıkları türden CapEx/OpEx tasarrufları, uzmanlık bilgisi, operasyonel verimlilik ve ölçek sunuyorlar. Ancak operatörler ayrıca parolaları sıfırlayabilir, yeni cihazları kaydedebilir, kullanıcı ayrıcalıklarını yükseltebilir ve hatta kullanıcılar için çok faktörlü kimlik doğrulamayı (MFA) devre dışı bırakabilir.
Bu, bir tehdit aktörünün ağ kaynaklarına yetkisiz erişim sağlamak ve yatay olarak hareket etmek için ihtiyaç duyduğu her şeyi içeren bir listedir. Tek ihtiyaçları, yardım merkezi çalışanını kendilerinin meşru bir çalışan olduğuna ikna etmenin bir yolunu bulmaktır.
İLGİLİ MAKALE: Siber suçlular sistemlerinizi hackliyor mu, yoksa sadece oturum mu açıyor?
Üçüncü taraf yardım merkezlerinin tehdit aktörlerinin giderek artan incelemesine maruz kalmasının başka nedenleri de vardır:
- Bu yardım merkezlerinde, kariyer basamaklarının ilk basamağında bulunan BT veya siber güvenlik uzmanları çalışıyor olabilir. Bu nedenle, çalışanlar sofistike sosyal mühendislik girişimlerini tespit edecek deneyime sahip olmayabilir.
- Saldırganlar, yardım merkezlerinin müşterilerinin çalışanlarına hizmet sunmak için var olduğunu ve bu nedenle personelin örneğin parola sıfırlama taleplerini yerine getirmek için aşırı istekli olabileceğini kullanabilir.
- Yardım merkezi personeli, BT ortamlarının artan karmaşıklığı, evden çalışma ve kurumsal baskıların bir sonucu olarak genellikle taleplerle boğulur. Bu durum, deneyimli vishers tarafından da istismar edilebilir.
- Düşmanlar, deneyimli yardım merkezi personelinin bile fark edemeyeceği taktikler kullanabilir, örneğin yapay zekâ kullanarak “acil yardıma ihtiyaç duyan” üst düzey şirket yöneticileri gibi davranabilirler.
Yardım merkezi ateş altında
Yardım merkezine yönelik sosyal mühendislik saldırıları yeni bir şey değildir. 2019 yılında, tehdit aktörleri, mobil operatörünün müşteri hizmetleri masası çalışanını, numarasını yeni bir SIM karta aktarması için ikna ederek o dönem Twitter CEO’su Jack Dorsey’in hesabını ele geçirmeyi başardılar. O zamanlar, bu SIM takas saldırıları, hizmetlerin kullanıcılarını doğrulamak için yaygın olarak kullandıkları tek kullanımlık şifre metinlerinin ele geçirilmesini mümkün kılıyordu.
Daha yakın zamandaki örnekler arasında şunlar yer almaktadır:
- 2022’de LAPSUS$ grubu, yardım merkezi çalışanlarını hedef alarak Samsung, Okta ve Microsoft gibi birçok büyük kuruluşu başarıyla ele geçirdi. Microsoft’a göre, grup “yaşadığınız ilk cadde” veya “annenizin kızlık soyadı” gibi yaygın kurtarma sorularını yanıtlamak için belirli çalışanları araştırdı.
- Scattered Spider kolektifinden tehdit aktörleri, son zamanlarda yardım merkezi çalışanlarına yönelik vishing saldırıları ile “insanların savunmasızlığını silah olarak kullanmakla” suçlanıyor. Bu grubun MGM Resorts’u bu şekilde ele geçirmeyi başardığı bilinmekle birlikte, hangi kuruluşların saldırıya uğradığı belirsiz. 2023’teki bu saldırının şirkete en az 100 milyon dolar zarara mal olduğu söyleniyor.
- Çamaşır suyu üreticisi Clorox, bir çalışanının telefonun diğer ucundaki kişinin kimliğini doğrulamadan parola sıfırlama talebini yerine getirdiği iddiasıyla yardım merkezi sağlayıcısı Cognizant’ı dava ediyor. Bu saldırının şirkete 380 milyon dolar zarara mal olduğu bildiriliyor.
Alınan bazı dersler
Bu saldırılar o kadar başarılı oldu ki profesyonel Rus siber suç gruplarının kirli işlerini yapmak için aktif olarak ana dili İngilizce olan kişileri işe aldıkları iddia ediliyor. Suç forumlarında görülen ilanlar, Batı’daki çalışma saatleri içinde “çalışabilecek” ve aksanı minimum düzeyde olan akıcı konuşan kişiler aradıklarını gösteriyor. Bu, yardım merkezini dış kaynaklara veren kuruluşların güvenlik sorumluları için bir uyarı işareti olmalıdır.
Peki, bu olaylardan ne öğrenebiliriz? Elbette, yeni hizmet sağlayıcılar hakkında gerekli özeni göstermek bir zorunluluktur. Bu, ISO 27001 gibi en iyi uygulama sertifikalarının kontrol edilmesini ve iç güvenlik ve işe alım politikalarının gözden geçirilmesini içermelidir. Daha genel olarak CISO sağlayıcısının aşağıdakileri uyguladığından emin olmalıdır:
- Parola sıfırlama gibi hassas taleplerle yardım merkezini arayan herkes için sıkı kullanıcı kimlik doğrulama süreçleri. Bu, arayanın telefonu kapatması ve yardım masası görevlisinin önceden kayıtlı ve kimliği doğrulanmış bir telefon numarasından geri araması gibi bir politikayı içerebilir. Veya devam etmek için e-posta/SMS yoluyla bir kimlik doğrulama kodu gönderilmesi.
- Saldırgan, parola sıfırlama veya benzeri bir işlem yapmayı başarsa bile hassas kaynaklara yanal hareket imkanını sınırlayacak en az ayrıcalık politikaları. Yardım masası personelinin görevlerinin ayrılması, böylece yüksek riskli eylemlerin birden fazla ekip üyesi tarafından onaylanması zorunluluğu.
- Vishing girişimlerini engellemek amacıyla tüm yardım merkezi faaliyetlerinin kapsamlı bir şekilde kaydedilmesi ve gerçek zamanlı olarak izlenmesi.
- Sentetik seslerin kullanımı da dâhil olmak üzere yeni tehdit aktörlerinin TTP’lerini içerecek şekilde düzenli olarak güncellenen, gerçek dünya simülasyon egzersizlerine dayalı sürekli temsilci eğitimi.
- Güvenlik politikalarının, tehdit ortamındaki gelişmeleri, iç tehdit istihbaratı güncellemelerini, yardım masası kayıtlarını ve altyapıdaki değişiklikleri dikkate aldığından emin olmak için düzenli değerlendirmeler.
- Arayan kimliği sahteciliği ve deepfake ses (ShinyHunters grubu tarafından kullanılan) gibi teknik kontroller. Tüm yardım merkezi araçları, riski daha da azaltmak için MFA ile korunmalıdır.
- Genel olarak olayların raporlanmasını ve güvenlik farkındalığını teşvik eden bir kültür. Bu, temsilcilerin başarısız olan vishing girişimlerini daha fazla işaretleme olasılığının artacağı ve böylece gelecek için dayanıklılık ve öğrenme sağlayacağı anlamına gelir.
MDR ile yardım merkezi savunmanızı güçlendirin
Vishing temelde insan kaynaklı bir sorundur. Ancak bununla başa çıkmanın en iyi yolu, insan uzmanlığını teknik mükemmellik ve süreç iyileştirmeleriyle birleştirmektir. Bu, MFA, en az ayrıcalık, algılama ve yanıt araçları ve daha fazlası şeklinde olabilir.
Yardım merkezi hizmetleri sunan MSP’ler için ESET gibi sağlayıcıların sunduğu yönetilen tespit ve müdahale (MDR) hizmetleri, dış kaynak sağlayıcının şirket içi güvenlik ekibinin bir uzantısı olarak çalışarak baskıyı azaltmaya yardımcı olabilir. Bu sayede, uzman bir ekibin şüpheli durumları yakalamak için gelişmiş yapay zekâ ile 7/24 sinyalleri izlediğini bilerek mümkün olan en iyi yardım merkezi hizmetini sunmaya odaklanabilirler.
