משרד הבריאות האמריקאי (HHS) מזהיר כי האקרים משתמשים בטקטיקות של הנדסה חברתית כדי למקד מתקפות סייבר על מוקדי IT במגזר הבריאות הציבור (HPH). ההתראה המגזרית שפורסמה השבוע על ידי מרכז תיאום אבטחת הסייבר של מגזר הבריאות (HC3) אומרת שטקטיקות אלו איפשרו להאקרים להשיג גישה למערכות מחשוב של ארגונים על ידי רישום מכשירי אימות רב-גורמי (MFA) משלהם. במתקפות סייבר אלו משתמשים ההאקרים בקוד חיוג מקומי כדי להתקשר לארגונים כשהם מתחזים לעובדים במחלקה הפיננסית ומספקים פרטי אימות מזהים גנובים, כולל תעודת זהות ארגונית ומספרי תעודת זהות של אנשים. באמצעות המידע הרגיש הזה, כשהם מספרים שהסמארטפון שלהם מקולקל, הם משכנעים את אנשי מוקד ה- IT לרשום מכשיר חדש ל- MFA שבשליטת ההאקרים. הדבר נותן להם גישה למשאבים ארגוניים ומאפשר להם להפנות מחדש עסקאות בנקאיות במתקפות של פגיעה באימייל העסקי. לאחר מכן מועברים הכספים שנגנבו לחשבונות בחו"ל. יש לציין גם כי במהלך מתקפת סייבר זו רושמים ההאקרים דומיין עם וריאציה של אות אחת של ארגון היעד ויוצרים חשבון המתחזה למנהל הכספים הראשי (CFO) של ארגון היעד.
במתקפות סייבר אלו עשויים ההאקרים להשתמש בכלי שיבוט קולי מבוסס בינה מלאכותית כדי להונות קורבנות, מה שמקשה על אימות זהויות מרחוק. על פי מחקר עולמי שנערך לאחרונה, זוהי כעת טקטיקה פופולרית מאוד, כאשר 25% מהאנשים חוו הונאת התחזות קול בינה מלאכותית או מכירים מישהו שכן.
הטקטיקות המתוארות בהתראה של משרד הבריאות דומות מאד לאלו המשמשות את כנופיית הסייבר Scattered Spider (הידועה גם בשם UNC3944 ו- 0ktapus), אשר משתמשת גם בדיוג, הפצצות MFA (המכונה עייפות MFA) והחלפת SIM כדי להשיג גישה ראשונית לרשת המחשוב של הארגון הקורבן. כנופיית פשעי סייבר זו מתחזה לעתים קרובות לעובדי IT כדי להערים על צוות שירות לקוחות לספק להם אישורי גישה (שמות משתמשים וסיסמאות) או להפעיל כלי גישה מרחוק כדי לפרוץ את רשתות המחשוב של הארגון הקורבן. האקרים של Scattered Spider הצפינו לאחרונה את מערכות המחשוב של MGM Resorts באמצעות כופרת BlackCat/ALPHV. הם גם ידועים לשמצה בעקבות מסע מתקפות סייבר 0ktapus, שבו הם תקפו יותר מ- 130 ארגונים כולל מיקרוסופט, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games ובסט ביי.
ה- FBI ו- CISA פרסמו בנובמבר 2023 אזהרה כדי להדגיש את הטקטיקות, הטכניקות והנהלים של Scattered Spider בתגובה לגניבת מידע ומתקפות הכופרה שלהם נגד שורה ארוכה של חברות בעלות פרופיל גבוה. עם זאת, HC3 טוענים כי אירועים דומים במגזר הבריאות שדווחו עד כה, טרם יוחסו לקבוצת איומים ספציפית.
כדי לחסום מתקפות סייבר המכוונות למוקדי ה- IT שלהם, מומלץ לארגונים במגזר הבריאות: לדרוש התקשרות חוזרת כדי לאמת עובדים המבקשים איפוס סיסמה ומכשירי MFA חדשים, מעקב אחר שינויים חשודים במערכות העברת כספים, תיקוף מחדש של כל המשתמשים בעלי גישה לאתרי תשלום, שקילה בכובד ראש של בקשות אישיות בנושאים רגישים, דרישה מהמפקחים לאמת בקשות, הדרכת צוות מוקד ה- IT לזהות ולדווח על טכניקות הנדסה חברתית ולאמת את זהות המתקשרים.
