Ένα φαινομενικά απλό τηλεφώνημα έγινε η πύλη για μια περίπλοκη επίθεση που εκτρέπει τους μισθούς των εργαζομένων χωρίς κανένα κακόβουλο λογισμικό ή παραβίαση δικτύου.
Μια οργάνωση ανακάλυψε αυτή την απάτη όταν οι εργαζόμενοι ανέφεραν ότι έλειπαν οι καταθέσεις μισθών. Ο εισβολέας είχε τροποποιήσει τις πληροφορίες άμεσης κατάθεσης για να διοχετεύσει πληρωμές σε λογαριασμούς υπό τον έλεγχό του.
Αυτό το περιστατικό αποκαλύπτει μια ανησυχητική τάση όπου οι παράγοντες απειλών εγκαταλείπουν πολύπλοκες τεχνικές μεθόδους και στρέφονται αντ’ αυτού στην κοινωνική μηχανική που στοχεύει στην ανθρώπινη ευπάθεια.
Η επίθεση ξεκίνησε με τακτικές κοινωνικής μηχανικής, μια μέθοδο που προτιμάται όλο και περισσότερο από τους παράγοντες απειλών. Σύμφωνα με την Έκθεση Παγκόσμιας Αντίδρασης Συμβάντων 2025 Unit 42 της Palo Alto Networks, το 36 τοις εκατό των περιστατικών που εξετάστηκαν ξεκίνησαν με εκστρατείες κοινωνικής μηχανικής.
Ο εισβολέας υποδύθηκε υπαλλήλους και επικοινώνησε με πολλές ομάδες γραφείου υποστήριξης σε τμήματα μισθοδοσίας, πληροφορικής και ανθρώπινου δυναμικού.
Συλλέγοντας δημόσια διαθέσιμες πληροφορίες από πλατφόρμες μέσων κοινωνικής δικτύωσης, ο εισβολέας συγκέντρωσε αρκετά προσωπικά στοιχεία για να απαντήσει σε ερωτήσεις επαλήθευσης.
Στη συνέχεια έπεισαν το προσωπικό του γραφείου βοήθειας να επαναφέρει τους κωδικούς πρόσβασης και να εγγράψει ξανά συσκευές ελέγχου ταυτότητας πολλαπλών παραγόντων.
Ο εισβολέας μάλιστα τηλεφώνησε επανειλημμένα για να προσδιορίσει ποιες ερωτήσεις επαλήθευσης τέθηκαν, βελτιώνοντας τις πιθανότητες επιτυχίας του σε επόμενες προσπάθειες.
Αναλυτές της Palo Alto Networks αναγνωρισθείς ο μηχανισμός επιμονής της επίθεσης ως ιδιαίτερα ανησυχητικός. Ο παράγοντας απειλής κατέγραψε μια εξωτερική διεύθυνση email ως μέθοδο ελέγχου ταυτότητας στο περιβάλλον του Azure Active Directory του οργανισμού.
Αυτό το βήμα έδειξε ξεκάθαρη πρόθεση διατήρησης της πρόσβασης πέρα από την άμεση κλοπή μισθοδοσίας. Ο εισβολέας παραβίαζε συστηματικά πολλούς λογαριασμούς εργαζομένων για πρόσβαση σε ευαίσθητα δεδομένα μισθοδοσίας.
Μετά τον έλεγχο ταυτότητας, ο εισβολέας τροποποίησε τις πληροφορίες άμεσης κατάθεσης για αρκετούς εργαζόμενους, ανακατευθύνοντας τις πληρωμές μισθών τους σε τραπεζικούς λογαριασμούς που ελέγχονται από τον εισβολέα.
Η δόλια δραστηριότητα παρέμεινε απαρατήρητη για εβδομάδες, επειδή τα νόμιμα διαπιστευτήρια και ο έγκυρος έλεγχος ταυτότητας πολλαπλών παραγόντων έκαναν τις συναλλαγές να φαίνονται κανονικές.
Η ευπάθεια του Help Desk: Ένα κρίσιμο κενό ασφαλείας
Οι λειτουργίες του γραφείου υποστήριξης αντιπροσωπεύουν ένα από τα πιο αγνοημένα αδύνατα σημεία ασφάλειας στους σύγχρονους οργανισμούς.
Οι επαναφορές κωδικών πρόσβασης και οι διαδικασίες επανεγγραφής MFA, όταν δεν είναι σωστά ασφαλισμένες, γίνονται ευπάθειες με μεγάλο αντίκτυπο.
Αυτό το περιστατικό δείχνει πώς οι ανθρωποκεντρικές ροές εργασίας μπορούν να παρακάμψουν όλες τις τεχνικές διασφαλίσεις.
Οι εισβολείς κατανοούν ότι η κοινωνική μηχανική δεν απαιτεί ανάπτυξη κακόβουλου λογισμικού, ανακάλυψη εκμετάλλευσης ή δεξιότητες εισβολής στο δίκτυο.
Χρειάζονται απλώς πειστική επικοινωνία και δημόσια διαθέσιμες πληροφορίες.
Η έρευνα περιείχε τελικά τον αντίκτυπο σε τρεις λογαριασμούς εργαζομένων, αλλά αποκάλυψε βαθύτερα συστημικά ζητήματα σε όλη την υποδομή ασφαλείας του οργανισμού.
