Gjigandi i rrjetit Cisco ka zbuluar një shkelje të të dhënave në 5 gusht pasi një kriminel kibernetik përdori një sulm të phishing (vishing) të zërit për të mashtruar një punonjës. Sulmuesi fitoi qasje në një sistem të menaxhimit të marrëdhënieve të klientëve të palëve të treta (CRM), duke eksportuar informacione të profilit për përdoruesit e portalit të tij Cisco.com. 24. Ndërsa emrat, adresat e postës elektronike dhe numrat e telefonit u vodhën, Cisco konfirmoi se nuk u kompromentuan asnjë fjalëkalim ose të dhëna të tjera shumë të ndjeshme. Shkelja nxjerr në pah kërcënimin në rritje të inxhinierisë sociale.
Ky incident nuk është i izoluar. Gazetarët e sigurisë sugjerojnë se është pjesë e një Sistemet më të gjera të të dhënave të korporatave të fushatës . Vektori i sulmit nënvizon një ndjeshmëri kritike në sigurinë e ndërmarrjes: elementi njerëzor, i cili skemat e sofistikuara të phishing janë krijuar për të shfrytëzuar. Sistemi CRM i palëve të treta
thelbi i sulmit ishte një thirrje e ekzekutuar me përpikëri, një formë e phishing e kryer përmes telefonit. Një aktor i kërcënimit me sukses imponoi një entitet të besueshëm, duke manipuluar një përfaqësues të Cisco për t’u dhënë atyre qasje. Ky akt i inxhinierisë sociale ishte çelësi që zhbllokoi derën në një rast të një sistemi të palës së tretë, të menaxhimit të marrëdhënieve me klientët me bazë cloud (CRM) që Cisco përdor për operacionet e tij. Të dhënat e kompromentuara përfshinin një listë të plotë të identifikuesve personalë: emrat, emrat e organizatës, adresat, ID të përdoruesit të caktuar nga Cisco, adresat e postës elektronike dhe numrat e telefonit. Sipas zbulimit të vetë Cisco, u mor edhe metadata e lidhur me llogarinë, siç janë datat e krijimit. Në deklaratën e saj zyrtare, kompania ishte e kujdesshme për të sqaruar,”Aktori nuk mori asnjë nga informacionet konfidenciale ose të pronarit të klientëve tanë organizativ, ose ndonjë fjalëkalim ose lloje të tjera të informacionit të ndjeshëm.”Ky dallim është kritik, pasi kjo do të thotë që sulmuesit nuk fituan kredencialet e nevojshme për marrjen e llogarive të drejtpërdrejta ose qasjen në pronësi të ndjeshme intelektuale, duke zbutur rreziqet më të menjëhershme dhe të rënda. Kjo metodë anashkalon shumë mbrojtje të automatizuar duke u përqëndruar në manipulimin dhe besimin. Siç vuri në dukje TechCrunch në analizën e tij,”Një kriminel kibernetik mashtroi një përfaqësues të Cisco për t’u dhënë atyre qasje për të vjedhur informacionin personal të përdoruesve të Cisco.com.”Kjo qasje nënvizon realitetin që punonjësit mund të bëhen një hyrje e paqëllimshme në rrjetet e korporatave, duke i bërë ata lidhjen më të dobët në një zinxhir sigurie ndryshe të fortë. Studiuesit e sigurisë e kanë lidhur incidentin me një varg sulmesh të ngjashme Vishing duke synuar kompanitë që përdorin Salesforce si ofruesin e tyre CRM. Modus operandi i tyre përfshin përdorimin e inxhinierisë sociale për të fituar qasjen fillestare dhe më pas exfiltrimin e të dhënave të klientit nga platformat CRM. Ky model është vërejtur në shkeljet e fundit.
Viktimat e profilit të lartë përfshijnë Allianz Life, Qantas, Adidas dhe Louis Vuitton. Metodologjia e qëndrueshme në të gjithë këto incidente tregon për një strategji të koordinuar dhe të përsëritshme të sulmit që përdor besimin e vendosur në platformat kryesore CRM. Duke kompromentuar një sistem qendror si një CRM, ata fitojnë qasje në një trove të të dhënave të organizuara të klientëve, të cilat më pas mund të përdoren për mashtrim të mëtejshëm ose të shiten në forume të errëta në internet. Kompania gjithashtu është angazhuar me autoritetet e mbrojtjes së të dhënave dhe po njofton përdoruesit e prekur siç kërkohet me ligj. Kompania deklaroi,”Ne po zbatojmë masa të mëtejshme të sigurisë për të zbutur rrezikun e incidenteve të ngjashme që ndodhin në të ardhmen, duke përfshirë personelin e ri-edukimit se si të identifikohet dhe të mbrohet nga sulmet e mundshme vishing.”Kjo nënvizon një mësim thelbësor: madje edhe kompanitë më të përparuara teknologjikisht janë të ndjeshme ndaj inxhinierisë sociale. Sulmuesit po përdorin gjithnjë e më shumë metoda të sofistikuara, nga postat elektronike të phishing të gjeneruara nga AI deri tek shfrytëzimi i shërbimeve legjitime si mbështjellja e lidhjeve, për tu dukur e besueshme. Isshtë një proces i vazhdueshëm i arsimit, vigjilencës dhe përshtatjes me një peizazh kërcënimi gjithnjë në zhvillim, ku një telefonatë e vetme mund të hap derën e një rrjeti të korporatave.