menu arrow

IT helpdesk: potenciálna slabina, ktorá môže ohroziť firmu

Dešifrujeme pre vás, Firemná bezpečnosť 6 minút ago
BVF IT helpdesk nahladovy obrazok

Môže jednoduchý telefonát na helpdesk umožniť útočníkom obísť vaše bezpečnostné opatrenia? Tu je návod, ako sa môže váš tím vysporiadať s rastúcou bezpečnostnou slabinou.

Riziko útokov cez dodávateľský reťazec medzi globálnymi firmami prudko stúpa. Spoločnosť Verizon tvrdí, že za posledný rok sa podiel tretích strán na narušeniach bezpečnosti údajov zdvojnásobil na 30 %. Čo sa stane, ak je zdrojom závažného porušenia bezpečnosti váš vlastný dodávateľ IT služieb?

Niektoré veľké firmy to bohužiaľ začínajú zisťovať, keďže sofistikovaní útočníci zameriavajú svoje útoky typu vishing na ich outsourcované helpdesky. Riešením je viacvrstvová ochrana, náležitá starostlivosť a kvalitné školenia v oblasti kybernetickej bezpečnosti.

Prečo je helpdesk lákavým terčom

Externé IT servisné strediská (alebo helpdesky) sú čoraz populárnejšou voľbou pre mnoho organizácií. Ponúkajú úspory CapEx/OpEx, špecializované odborné znalosti, prevádzkovú efektívnosť a rozsah služieb, ktorý najmä malé a stredné firmy majú problém dosiahnuť interne. Operátori však môžu tiež resetovať heslá, registrovať nové zariadenia, zvyšovať užívateľské oprávnenia a dokonca aj deaktivovať viacfaktorovú autentizáciu (MFA) pre užívateľov. To je v podstate zoznam väčšiny, ak nie všetkých vecí, ktoré útočníci potrebujú na získanie neoprávneného prístupu k sieťovým zdrojom a laterálnemu pohybu. Potrebujú len spôsob, ako presvedčiť pracovníka helpdesku, že sú legitímnymi zamestnancami.

Existujú aj ďalšie dôvody, prečo sa helpdesky tretích strán stávajú predmetom rastúceho záujmu útočníkov:

  • Môžu byť obsadené IT alebo kyberbezpečnostnými profesionálmi na prvom stupni kariérneho rebríčka. Títo zamestnanci nemusia mať dostatočné skúsenosti na to, aby rozpoznali sofistikované pokusy o sociálne inžinierstvo.
  • Útočníci môžu využiť skutočnosť, že helpdesky sú tu na to, aby poskytovali služby zamestnancom svojich klientov, a že zamestnanci môžu byť preto príliš horliví napríklad pri plnení požiadaviek na resetovanie hesiel.
  • Zamestnanci helpdesku sú často zahltení žiadosťami – v dôsledku rastúcej zložitosti IT prostredí, práce z domu a tlaku zo strany spoločností. To môžu využiť aj skúsení podvodníci.
  • Útočníci môžu používať taktiky, ktoré nedokážu odhaliť ani skúsení zamestnanci servisného strediska, napríklad použitie umelej inteligencie na vydávanie sa za vedúcich pracovníkov spoločnosti, ktorí naliehavo potrebujú ich pomoc.

Služba podpory pod paľbou

Útoky sociálneho inžinierstva na helpdesk nie sú ničím novým. V roku 2019 sa útočníkom podarilo ukradnúť účet vtedajšieho generálneho riaditeľa Twitteru Jacka Dorseyho po tom, čo presvedčili zamestnanca zákazníckeho servisu jeho mobilného operátora, aby preniesol jeho číslo na novú SIM kartu. V tom čase tieto útoky typu SIM swap umožňovali zachytiť jednorazové heslá, ktoré boli populárnym spôsobom overovania používateľov služieb.

Medzi najnovšie príklady patria:

  • V roku 2022 skupina LAPSUS$ úspešne napadla niekoľko renomovaných organizácií, vrátane Samsungu, Okta a Microsoftu, po tom, čo zaútočila na zamestnancov helpdesku. Podľa Microsoftu si vybrali konkrétnych zamestnancov, aby mohli odpovedať na bežné otázky na obnovenie hesla, ako napríklad „prvá ulica, na ktorej ste bývali“ alebo „rodné meno matky“.
  • Útočníci zo Scattered Spider boli nedávno obvinení zo zneužitia ľudskej zraniteľnosti prostredníctvom vishingových útokov na zamestnancov helpdesku. Nie je jasné, ktoré organizácie boli napadnuté, hoci sa skupine podarilo týmto spôsobom napadnúť spoločnosť MGM Resorts. Útok z roku 2023 údajne stál firmu najmenej 100 miliónov dolárov.
  • Výrobca bielidiel Clorox žaluje svojho poskytovateľa helpdesku Cognizant po tom, čo zamestnanec údajne vyhovel žiadosti o resetovanie hesla, bez toho aby požiadal osobu na druhom konci telefónu o overenie jej identity. Kompromitácia údajne stála firmu 380 miliónov dolárov.

Poučili sme sa?

Tieto útoky boli natoľko úspešné, že sa tvrdí, že profesionálne ruské skupiny zaoberajúce sa počítačovou kriminalitou aktívne náborujú rodených anglicky hovoriacich ľudí, aby vykonávali ich prácu. Inzeráty na kriminálnych fórach ukazujú, že hľadajú plynulých hovoriacich s minimálnym prízvukom, ktorí sú schopní „pracovať“ počas západných pracovných hodín. To by malo byť varovným signálom pre každého vedúceho bezpečnosti v organizácii, ktorá outsourcuje svoju technickú podporu.

Čo sa teda môžeme z týchto incidentov naučiť? Samozrejme, dôkladná kontrola každého nového poskytovateľa služieb by mala byť samozrejmosťou. Tá by mala zahŕňať kontrolu certifikátov osvedčených postupov, ako je ISO 27001, a preskúmanie interných bezpečnostných a náborových politík. V širšom zmysle by CISO mal zabezpečiť, aby ich poskytovateľ mal zavedené:

  • Prísne procesy overovania používateľov pre každého, kto volá na helpdesk s citlivými požiadavkami, ako je resetovanie hesla. Mohlo by to zahŕňať politiku, podľa ktorej je volajúci nútený zavesiť a pracovník helpdesku mu zavolá späť na vopred zaregistrované a overené telefónne číslo. Alebo zaslanie overovacieho kódu prostredníctvom e-mailu/SMS, aby bolo možné pokračovať.
  • Zásady minimálnych oprávnení, ktoré obmedzia možnosť bočného pohybu k citlivým zdrojom, aj keď sa protivníkovi podarí zmeniť heslo alebo podobné. A oddelenie povinností pracovníkov helpdesku, aby vysokorizikové akcie museli schváliť viacerí členovia tímu.
  • Komplexné zaznamenávanie a monitorovanie všetkých aktivít helpdesku v reálnom čase s cieľom zastaviť pokusy o vishing.
  • Neustále školenie pracovníkov založené na simuláciách reálnych situácií, ktoré sú pravidelne aktualizované tak, aby zahŕňali nové taktiky, techniky a postupy (TTP) útočníkov, vrátane používania syntetických hlasov.
  • Pravidelné hodnotenie bezpečnostných politík s cieľom zabezpečiť, aby zohľadňovali vývoj v oblasti hrozieb, aktualizácie interných informácií o hrozbách, záznamy helpdesku a zmeny v infraštruktúre.
  • Technické kontroly, ako napríklad detekcia falšovania identifikácie volajúceho a deepfake audio (ktoré používa skupina ShinyHunters). Všetky nástroje helpdesku by mali byť chránené aj prostredníctvom MFA, aby sa ďalej zmierňovalo riziko.
  • Kultúra, ktorá podporuje hlásenie incidentov a všeobecné bezpečnostné povedomie. To znamená, že operátori budú skôr upozorňovať na neúspešné pokusy o vishing, čím budujú odolnosť a získavajú skúsenosti do budúcnosti.

Posilnite obranu pomocou MDR

Vishing je v podstate výzvou, ktorú predstavujú ľudia. Najlepší spôsob, ako ju riešiť, je však kombinácia ľudských znalostí s technickou sofistikovanosťou a vylepšením procesov vo forme MFA, minimálnych oprávnení, nástrojov na detekciu a reakciu a ďalších.

Pre MSP poskytovateľov, ktorí ponúkajú helpdesk, môžu služby riadenej detekcie a reakcie MDR od dodávateľov, ako je ESET, pomôcť zmierniť tlak tým, že fungujú ako rozšírenie interného bezpečnostného tímu outsourcera. Týmto spôsobom sa môžu sústrediť na poskytovanie najlepších možných služieb helpdesku s istotou, že tím odborníkov monitoruje signály 24 hodín denne, 7 dní v týždni pomocou pokročilej umelej inteligencie, aby zachytil všetko podozrivé.

Odporúčané články

BVF vyroba ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 10. októbra 2025
Výroba pod paľbou: Ako predísť ničivému kyberútoku?
BVF Julius Selecky nahlasenie incidentov ilustracny obrazok
Firemná bezpečnosť, NIS2 3. októbra 2025
Incident nestačí odhaliť, treba ho aj správne nahlásiť