Trzy znane sieci handlowe w Wielkiej Brytanii padły ofiarą ataków, które ujawniły poważne braki w systemach ochrony danych. Marks & Spencer, Co-op oraz Harrods musiały zmierzyć się z ingerencją z zewnątrz, która wpłynęła nie tylko na ich działanie, ale też postawiła wiele pytań o bezpieczeństwo całego sektora detalicznego. Sprawa zaczęła się od włamania do systemów M&S. Hakerzy wykorzystali oprogramowanie typu ransomware znane jako DragonForce. W efekcie doszło do przestojów w zamówieniach internetowych i zakłóceń w działaniu płatności zbliżeniowych. Użytkownicy skarżyli się także na brak dostępu do popularnej usługi Click & Collect. Do włamania doszło po tym, jak osoby podszywające się pod pracowników skontaktowały się z działem technicznym firmy i uzyskały nowe dane logowania. Nie było to przełamanie zabezpieczeń w sensie technicznym, lecz działanie polegające na manipulacji.
Socjotechnika jako broń XXI wieku
Schemat powtórzył się kilka dni później w sieci Co-op. Tam również doszło do kontaktu z działem technicznym i próby wyłudzenia dostępu. Firma najpierw poinformowała o skutecznym odparciu ataku, jednak pod koniec tygodnia przyznała, że część danych klientów została jednak przejęta. Działania prewencyjne objęły m.in. ograniczenie dostępu do firmowego VPN. W obu przypadkach sposób działania był bardzo podobny. Nie chodziło o luki w oprogramowaniu ani błędy w konfiguracji serwerów. Przestępcy wiedzieli, jak obejść technologię, uderzając w ludzi. 1 maja do podobnej sytuacji doszło w Harrodsie. Tu nie odnotowano kradzieży danych, ale administracja zdecydowała o odłączeniu części systemów od Internetu. Miało to zapobiec rozprzestrzenieniu się zagrożenia. Choć nie potwierdzono, że wszystkie trzy ataki miały wspólne źródło, śledczy analizują podobieństwa. Hakerzy mieli korzystać z tych samych kanałów komunikacji i forów, a ich działania noszą znamiona pracy tych samych grup znanych wcześniej z ataków na firmy technologiczne.
Reakcja państwa i nowe wytyczne NCSC
Po tych wydarzeniach Narodowe Centrum Cyberbezpieczeństwa zdecydowało się opublikować zestaw zaleceń. Dokument zawiera konkretne instrukcje, jak usprawnić procedury w firmach. Szczególną uwagę zwrócono na sposób, w jaki działy pomocy technicznej weryfikują tożsamość osób proszących o reset hasła. Właśnie ten etap – pozornie rutynowy – stał się w ostatnich atakach punktem wejścia. Zalecenia obejmują też przegląd kont uprzywilejowanych, monitorowanie prób logowania z nietypowych lokalizacji oraz obowiązkowe wdrożenie uwierzytelniania wieloetapowego. Centrum ostrzega, że firmy, które nie wdrożą tych środków, mogą znaleźć się na celowniku. Nie ma znaczenia, czy chodzi o dużą sieć, średniego dostawcę czy lokalny sklep — wszyscy powinni być przygotowani na podobne próby. W sprawę zaangażowano także ekspertów spoza rządu, którzy śledzili aktywność przestępców i analizowali, jak doszło do włamań. Część informacji nie została upubliczniona ze względu na trwające działania. Służby nie ujawniają, kto stoi za atakami, ale przyznają, że schematy działania pokrywają się z wcześniej znanymi przypadkami. Prace analityczne trwają, a nowe informacje mają być publikowane sukcesywnie.
