Balso sukčiavimo strategijų apžvalga: UNC6040 vizijavimo grupės iškilimas
Table of Contents
Naujas žaidėjas kibernetinių nusikaltimų arenoje
Kibernetinių nusikaltimų grupuotė, pavadinta UNC6040, tapo viena iš svarbiausių socialinės inžinerijos pasaulio jėgų. „Google“ grėsmių žvalgybos komandos nustatyta, kad ši finansiškai motyvuota organizacija savo atakas sutelkė prieš įmones, kurios naudoja „Salesforce“ – populiarią debesijos pagrindu veikiančią klientų ryšių valdymo (CRM) platformą. UNC6040 išsiskiria tuo, kad ji naudoja specializuotą balso sukčiavimo metodą, paprastai vadinamą „vishing“ – taktiką, kuri išnaudoja žmonių sąveiką telefonu, siekiant apgauti darbuotojus ir išgauti neskelbtiną informaciją.
Nors kibernetinės grėsmės dažnai kyla dėl programinės įrangos pažeidžiamumų, UNC6040 metodas apverčia scenarijų aukštyn kojomis, taikydamasis į žmones, dirbančius su sistemomis. Apsimesdama vidine IT palaikymo komanda, grupė įtikina darbuotojus netyčia pakenkti savo organizacijoms. Šis praktinis, balsu pagrįstas požiūris suteikia patikimumo, ypač nuotolinio darbo eroje, kai darbuotojai gali būti labiau įpratę bendrauti su nepažįstamais palaikymo darbuotojais.
Socialinė inžinerija susitinka su „Salesforce“
UNC6040 kampanijų pagrindas – sudėtinga gudrybė, susijusi su „Salesforce“ programa, vadinama „Data Loader“. Ši priemonė paprastai naudojama dideliems duomenų kiekiams importuoti ir eksportuoti. Užpuolikai ją modifikuoja, užmaskuodami programą tokiais pavadinimais kaip „Mano bilietų portalas“ ir padeda aukoms ją autorizuoti per oficialią „Salesforce“ sąsają.
Patvirtinta kenkėjiška programėlė veikia kaip užpakalinės durys į organizacijos CRM aplinką, suteikdama UNC6040 tiesioginę prieigą prie vertingų klientų duomenų. Apgaulė tuo nesibaigia. Užpuolikai dažnai naudojasi šia pozicija plėsdamiesi į kitas vidines sistemas, tokias kaip „Okta“, „Microsoft 365“ ir „Workplace“. Tai domino efektas – pradedant telefono skambučiu ir baigiant didelio masto duomenų nutekėjimu.
Daugiau nei vien duomenų vagystė
UNC6040 veiklos pasekmės gerokai viršija pavogtų duomenų ribas. Kai kuriais atvejais grupė ar jos nariai po kelių mėnesių grįžo su reikalavimais išieškoti turtą, naudodami pavogtą informaciją kaip svertą. Siekdami sustiprinti spaudimą, jie teigia esantys susiję su „ShinyHunters“ – gerai žinoma įsilaužėlių grupuote, nors tiesioginis ryšys nebuvo patvirtintas.
Ši uždelsto turto prievartavimo strategija rodo apskaičiuotą požiūrį, galbūt koordinuojant veiksmus su kitais kibernetinių nusikaltimų subjektais. Ji taip pat pabrėžia ilgalaikę tokių pažeidimų keliamą riziką. Organizacijos gali nepajusti viso poveikio dar ilgai po pradinio kompromitavimo, todėl užpuolikai turi laiko ištirti pavogtų duomenų vertę ir galimą jų panaudojimą.
Ne izoliuota grėsmė
UNC6040 neveikia vakuume. Jos taktika sutampa su kitų kibernetinių nusikaltimų grupuočių, tokių kaip „Scattered Spider“, kuri yra laisvai organizuoto tinklo, žinomo kaip „The Com“, dalis. Šie ryšiai rodo, kad vizų paieška tapo finansiškai motyvuotų kibernetinių nusikaltėlių metodu.
Ypač pastebima tai, kaip šios grupės pritaiko tradicinius sukčiavimo apsimetant kitais asmenimis metodus prie šiuolaikinės darbo vietos dinamikos. Daugeliui įmonių pasikliaujant nuotoline IT pagalba ir išorės pagalbos tarnybomis, nepažįstamo balso buvimas telefone nebekelia pavojaus signalų. Šis nuotolinės sąveikos normalizavimas suteikia užpuolikams daugiau erdvės manevruoti.
Kodėl tai svarbu dabar
„Salesforce“, žinodama apie augančią grėsmę, 2025 m. kovo mėn. paskelbė įspėjimą , kuriame atkreipė klientų dėmesį į šią taktiką. Pasak bendrovės, nėra jokių įrodymų apie jos platformos pažeidžiamumą. Vietoj to, atakos grindžiamos individualių vartotojų kibernetinio saugumo žinių stoka. Visais praneštais atvejais užpuolikai naudojo socialinę inžineriją, o ne techninius išnaudojimus, kad įsilaužtų į gynybą.
Ši tendencija pabrėžia besikeičiančią kibernetinio saugumo aplinką. Technologijų platformoms griežtinant savo sistemas, užpuolikai dėmesį perkelia į silpnesnius taikinius: žmones. Balso sukčiavimas derina senamadišką apgaulę su moderniais įrankiais, įrodydamas, kad net aukštųjų technologijų aplinka yra pažeidžiama žemos technologijos manipuliavimo.
Kaip organizacijos gali reaguoti
UNC6040 atsiradimas yra žadinantis skambutis įvairaus dydžio įmonėms. Nors užkardos ir antivirusinės priemonės išlieka būtinos, jos negali apsiginti nuo įtikinamo telefono skambučio. Darbuotojų švietimas dabar yra labai svarbus gynybos sluoksnis. Organizacijos turi apmokyti darbuotojus atpažinti įspėjamąsias vėliavėles, tokias kaip netikėti IT prašymai, neįprastos programų autorizacijos ar spaudimas veikti greitai.
Be to, techninės apsaugos priemonės, tokios kaip programų tvirtinimo darbo eigos, daugiafaktorinis autentifikavimas ir ribotos prieigos kontrolė, gali padėti suvaldyti pasekmes, jei socialinė inžinerija bus sėkminga. Neįprastos programų veiklos stebėjimas ir integracijos leidimų griežtinimas tokiose platformose kaip „Salesforce“ dabar yra būtini, o ne patogūs dalykai.
Esmė
UNC6040 atstovauja augančiai kibernetinių grėsmių klasei, kuri remiasi pasitikėjimu ir žmonių elgesiu, o ne programinės įrangos trūkumais. Šios kampanijos primena mums, kad kibernetinis saugumas yra ne tik techninis iššūkis – tai žmogiškasis. Kadangi balso sukčiavimo taktika tampa vis sudėtingesnė, organizacijos turi vienodai investuoti į sąmoningumą ir technologijas, kad galėtų nuo jų apsiginti. Raginimas gali skambėti kaip pagalba, tačiau, kaip parodė UNC6040, tai gali būti kažko daug žalingesnio pradžia.
