Номера вашей страховки достаточно, чтобы взломать целую больницу

Министерство здравоохранения и социальных служб США (HHS) предупреждает медучреждения и страховые компании о новой угрозе. По данным Центра координации кибербезопасности сектора здравоохранения (HC3), злоумышленники все чаще взламывают внутренние системы через службы поддержки, используя методы социальной инженерии.

Хакеры звонят в компании, представляются сотрудниками финансового отдела и сообщают украденные личные данные, например, корпоративные удостоверения и номера социального страхования. Ссылаясь на поломку своих гаджетов, они убеждают IT-специалистов подключить многофакторную аутентификацию (MFA) к новым устройствам под их контролем.

Таким образом можно получить доступ к любым корпоративным ресурсам. Метод позволяет перехватывать легитимные платежные транзакции в рамках атак на корпоративную электронную почту.

«Злоумышленники целенаправленно похищали учетные данные для доступа к сайтам страховых компаний. Используя эти данные, они подавали заявки на изменение реквизитов в системе электронных банковских переводов (ACH)», — отмечают в HC3 .

«Получив доступ к корпоративной электронной почте сотрудников, они рассылали инструкции платежным провайдерам и, таким образом, перенаправляли все денежные переводы на свои счета за границей».

В одном из случаев после успешного взлома хакеры создали поддельную учетную запись якобы от лица финансового директора компании, чтобы не вызывать подозрений и избежать обнаружения.

Иногда используются и технологии клонирования голоса на базе искусственного интеллекта. Согласно недавнему исследованию , с таким видом мошенничества столкнулась четверть опрошенных или их знакомые.

Описанные в предупреждении HHS тактики очень схожи с методами, используемыми хакерской группой Scattered Spider (она же UNC3944 и 0ktapus). Участники банды часто маскируются под IT-специалистов, обманом получая учетные данные или доступ к внутренним сетям.

Прошлой осенью Scattered Spider зашифровала системы MGM Resorts с помощью вымогательского ПО BlackCat/ALPHV. Группа также известна масштабной кампанией 0ktapus, в рамках которой были взломано более 130 организаций, включая Microsoft, Binance, CoinBase, ведущих операторов связи и другие крупные корпорации.

После серии крупных инцидентов ФБР и CISA уже выпускали предупреждение об этой группировке, где описали все методы и уловки.

Тем не менее, HC3 отмечает, что недавние атаки на сектор здравоохранения пока не были приписаны какой-либо конкретной угрозе. Чтобы защититься от атак, организациям рекомендуют:

• Проводить обратные звонки для проверки личности сотрудников, которые просят сбросить пароль или зарегистрировать новое устройство в системе MFA.
• Внимательно отслеживать изменения банковских реквизитов.
• Проводить аудит пользователей, имеющих доступ к платежным системам.
• Отдавать предпочтение личным встречам при решении особенно важных вопросов.
• Обучать сотрудников поддержки распознавать и докладывать о попытках взлома путем социальной инженерии.