Kumarhane korsanları Marks & Spencer'ın dijital çöküşüne nasıl sebep oldu

Genç bir hacker çetesinin yaptığı iddia edilen siber saldırı, perakende devi Marks & Spencer'ı zor durumda bıraktı: 22 Nisan'dan bu yana çevrimiçi mağazasını ve çevrimiçi işe alımını askıya almak zorunda kaldı, süpermarketlerine taze ürün tedarik etmede sorunlar yaşıyor ve "müşterilerinin bazılarının kişisel verilerinin" çalındığını kabul etmek zorunda kaldı, ancak banka bilgilerinin çalınmadığını iddia ediyor. Borsada şu ana kadar bilançoda yüzde 14'lük bir düşüş ve haftada 50 milyon avroluk zarar var.

Siber güvenlik uzmanları, siber saldırının faillerinin, DragonForce adlı bir programı alt yüklenici olarak kullanan, Scattered Spider ağıyla bağlantılı, 10-20 yaşlarındaki bir grup hacker olduğunu belirtiyor. Operatör Parlem'in teknolojik hizmetler bölümü olan Parlem Tech'in kıdemli siber güvenlik analisti Francesc Xavier Vendrell, "Hizmet olarak suç, iş olarak organize suç vakasıyla karşı karşıyayız" diyor. "Şirkete verilerini şifreleyen bir program sokmayı başardılar ve şifresini çözmek için para talep ediyorlar. Şirket öderse, bu onların işine katkıda bulunuyor. Ve onlara anahtarları vereceklerine, çalışacaklarına veya müşteri verilerini satmadıklarına dair hiçbir garantileri yok."

Scattered Spider'ın, çoğunluğu İngiliz ve Amerikalı, bazıları 16 yaşında olan, dijital forumlarda tanışıp koordine olan gençlerden oluşan bir grup olduğu düşünülüyor. İlk saldırılarını 2022 yılında gerçekleştiren saldırganların, o tarihten bu yana oyun sektöründeki işletmelere, telekomünikasyon operatörlerine, finans kuruluşlarına ve şirketlere yönelik 100'e yakın saldırı gerçekleştirdikleri biliniyor. Dağınıklığı, hiyerarşi eksikliği ve merkezsiz faaliyetleri, polisin üyelerinden birkaçını tutuklamasına rağmen ağın faaliyette kalmasını sağladı. Son olarak nisan ayında, İspanya'da tutuklanan ve ABD'ye iade edilen 23 yaşındaki İskoç Tyler Buchanan da olaya dahil oldu.

Scattered Spider'ın şu ana kadar en dikkat çeken kurbanları, şirketin büyük fidyeler talep ettiği Las Vegas'taki iki kumarhane işletmecisi Caesars ve MGM Resorts oldu. Siber risk sigorta brokeri Brown & Brown'a göre Caesars'ın yeniden açılması için kendilerine yaklaşık 15 milyon avro ödediği düşünülüyor.

Ayrıca okuyun

Bu bilgisayar korsanları, alıcıları kişisel bilgilerini vermeye kandırmak için sahte e-posta veya SMS kampanyaları (kimlik avı veya smishing) kullanan "sosyal mühendislik" saldırılarında uzmanlaşmıştır. Marks & Spencer olayında, BT çalışanlarına saldırdılar ve önemli çalışanları arayarak şifrelerini güncellemelerini sağladılar (Scattered Spider hacker'ları ana dili İngilizce olduğu için ikna olmuşlardı).

Danışmanlık firması ITech by Plexus'un ortağı Pere Martínez, saldırının "bir şirkete kötü amaçlı erişimin ana yolunun insan hatası olmaya devam ettiğini" gösterdiğini ve bu durumda saldırının "daha güçlü bir çift kimlik sistemiyle" önlenebileceğini açıklıyor.

Bu, şirketlere bu tür saldırıları önlemek için yeni bir kılavuz yayınlayan ve BT çalışanları için veya "riskli" oturum açmalar (birisinin alışılmadık zamanlarda veya yerlerde oturum açması) için ek kimlik kanıtı gerektiren İngiltere Ulusal Siber Güvenlik Merkezi'nin de görüşü gibi görünüyor.

Vendrell, "Bir hatalar zinciriyle karşı karşıyayız" diyor. Ona göre, "Marks & Spencer'ın bir saldırıyla başa çıkmak için bir acil durum planı veya değiştirilemez yedeklemeler gibi hızlı kurtarma sistemleri olmadığı anlaşılıyor." Bir şirket bu kadar gün boyunca böyle devam edemez.”

Marks & Spencer'ın saldırıya uğradığı günlerin hemen hemen aynı günlerinde, İngiltere'nin diğer iki büyük perakendecisi Harrods ve Co-op da saldırıya uğramıştı. BBC'de DragonForce sözcüsü olduğu iddia edilen bir kişi, üç saldırının da virüslerini kullanan gruplar tarafından gerçekleştirildiğini iddia etti ancak İngiliz yetkililer üç saldırının da aynı kişiler tarafından gerçekleştirildiğini doğrulayamadı.

Diğer saldırılar: sahte web siteleri ve botlar

Danışmanlık firması EY'de siber güvenlik ortağı olan José Luis Rojo, "Perakende sektörü, saldırılara en çok maruz kalan sektörlerden biri çünkü bilgisayar korsanları bunları kolayca paraya çevirebiliyor. Bu sektörde uzmanlaşmış siber suç grupları var." diyor.

Fidye yazılımları veya Marks & Spencer'ın maruz kaldığı veri ele geçirme saldırıları tüm sektörlerde yaygın olsa da perakendeciler hırsızlık gibi saldırılara karşı özellikle savunmasızdır. "Gerçek mağazaları taklit etmek için kullanılan web siteleri ve alan adlarının sürekli olarak oluşturulduğunu görüyoruz. Harfleri değiştiriyorlar - örneğin, O yerine 0. Ve bir kimlik avı kampanyasıyla tüketicileri sahte web sitelerine yönlendiriyorlar." Bu şekilde hem sizi dolandırıyorlar (yaptığınız alışverişin parasını asla alamıyorsunuz) hem de başka dolandırıcılıklar için verilerinizi çalıyorlar. Rojo, " Karanlık web'de kişisel veriler için gerçek bir pazar var" diyor.

Ayrıca okuyun

Sektördeki bir diğer tipik saldırının ise e-ticaret operatörlerinin kabusu olan botlar olduğunu belirten Rojo, şunları kaydetti: "Mağazayla ilgili tüm bilgileri takip ederek teklifleri hakkında çalışmalar sunabilir ve bunları satabilirler. Bazen çok fazla oldukları için web sitesini doyururlar. Ayrıca çok hızlı işlemler gerçekleştirerek, daha sonra diğer platformlarda daha yüksek bir fiyata satmak üzere indirimli büyük miktarda ürün satın alabilirler ve bu da tüketicilere zarar verir."