Mengamankan meja layanan: Mengapa serangan rekayasa sosial terus berhasil

Rekayasa sosial di meja layanan tetap menjadi salah satu cara paling efektif bagi penyerang untuk mendapatkan akses ke sistem perusahaan. Serangan pada tahun 2025 terhadap pengecer Inggris Marks & Spencer (M&S), Co-op, dan Harrods, yang dilakukan oleh kolektif peretas Scattered Spider, membuat taktik ini menjadi sorotan, namun hal ini bukanlah sebuah insiden yang terisolasi.

Di kasus M&SKetua Archie Norman mengonfirmasi bahwa penyerang menyamar sebagai karyawan dan meyakinkan agen meja layanan pihak ketiga untuk mengatur ulang kredensial, memberikan akses ke sistem internal.

Baru-baru ini, Perusahaan Karnaval mengungkapkan insiden keamanan siber di mana penyerang menggunakan rekayasa sosial untuk menipu karyawan dan mendapatkan akses ke sebagian kecil lingkungan TI perusahaan.

Pada waktu yang hampir bersamaan, FBI memperingatkan organisasi-organisasi mengenai aktivitas yang terkait dengan aktor ancaman Grup Tebusan Senyapyang anggotanya dilaporkan berperan sebagai personel pendukung TI dan membujuk karyawan untuk bergabung dalam sesi akses jarak jauh menggunakan alat administrasi yang sah.

Regulasi yang lebih ketat, peningkatan kesadaran, dan sejumlah penangkapan besar-besaran tidak banyak membantu mengurangi minat penyerang untuk menggunakan jalur ini di lingkungan perusahaan. Keberhasilan serangan-serangan ini menunjukkan sebuah kenyataan sederhana: mengkompromikan service desk sering kali lebih mudah dibandingkan mengkompromikan teknologi yang dilindunginya.

Memahami alasan penyerang menargetkan layanan, dan bagaimana serangan ini biasanya dilakukan, adalah langkah pertama untuk bertahan melawan serangan tersebut.

Mengapa penyerang menargetkan meja layanan?

Spider dan peretas yang tersebar dengan modus operandi serupa menargetkan meja layanan karena mereka merupakan titik masuk dengan leverage tinggi dan resistansi rendah ke dalam jaringan perusahaan. Inilah alasan penyerang terus berhasil menargetkan meja layanan:

Kerentanan manusia: Staf pusat bantuan pada dasarnya dilatih untuk membantu, meskipun mereka telah menjalani pelatihan terkait hal tersebut rekayasa sosial serangan. Hal ini dapat membuat mereka rentan terhadap upaya peniruan identitas, terutama ketika penyerang terdengar fasih, mendesak, dan berpengetahuan luas.

Akses ke kredensial dan pengaturan ulang: Agen meja layanan biasanya memiliki kemampuan untuk mengatur ulang kata sandi, menyediakan akun, atau menonaktifkan autentikasi multifaktor. Hal ini memberi penyerang jalur langsung menuju akses yang sah.

Melewati pertahanan teknis: Alih-alih menerobos firewall atau mengeksploitasi perangkat lunak yang belum ditambal, rekayasa sosial membiarkan penyerang masuk melalui pintu depan dengan menggunakan kepercayaan dan manipulasi.

Kecepatan dan kerahasiaan: Panggilan atau obrolan yang dirancang dengan baik dapat menghasilkan akses dalam hitungan menit, seringkali tanpa memicu peringatan keamanan, terutama ketika penyerang meniru proses internal atau memalsukan nomor internal.

Singkatnya, ini adalah cara paling efisien bagi peretas seperti Scattered Spider untuk meningkatkan hak istimewa dan berbaur sebagai orang dalam, menjadikan layanan bantuan sebagai target empuk namun penting.

Bagaimana serangan meja layanan terjadi?

1. Pengintaian dan pengaturan

• Target: Identifikasi perusahaan besar dengan dukungan TI yang terdesentralisasi atau dialihdayakan (misalnya, pengecer, kasino, maskapai penerbangan).
• Pengumpulan informasi: Gunakan LinkedIn, bagan organisasi perusahaan, atau kebocoran data untuk mempelajari nama karyawan, peran, dan sistem tiket (misalnya, ServiceNow).
• Alat pemalsuan: Siapkan layanan VoIP untuk meniru nomor telepon internal; terkadang menggunakan ponsel yang ditukar SIM atau spoofing Slack/email.

2. Peniruan identitas dan rekayasa sosial

Pendekatan: Telepon atau ngobrol dengan meja layanan dengan berpura-pura menjadi karyawan atau kontraktor sungguhan yang membutuhkan bantuan segera.

Dalih umum:

• “Saya terkunci dari akun saya sebelum pertemuan penting.”
• “Ponsel saya hilang; saya memerlukan pengaturan ulang MFA untuk mengakses penggajian/email.”
• “Kami mengalami insiden dan saya memerlukan kredensial admin untuk membantu menyelesaikannya.”

Nada dan bahasa:

• Ramah, terburu-buru, atau sedikit stres untuk menekan agen pendukung.
• Gunakan bahasa gaul atau referensi internal (“Bisakah Anda masuk ke Okta dan melakukan pengaturan ulang seperti yang Anda lakukan minggu lalu untuk Mike di Ops?”).
• Sebutkan peristiwa lokal yang bersifat topikal (bahkan mengomentari cuaca!) untuk membangun hubungan baik dan mengurangi kecurigaan bahwa penelepon adalah seorang peretas.

3. Reset kredensial dan bypass MFA

Sasaran: Menipu meja bantuan menjadi:

• Menyetel ulang kata sandi pada akun pengguna sebenarnya.
• Menghapus atau mendaftarkan ulang otentikasi multi-faktor (MFA).
• Membuat akun baru dengan akses istimewa.

Taktik:

• Memalsukan ID penelepon atau menggunakan informasi SDM yang dilanggar untuk lolos verifikasi.
• Jika diblokir, telepon lagi sebagai orang lain atau tingkatkan, misalnya, “Bolehkah saya berbicara dengan manajer Anda?”.
• Gunakan ponsel yang ditukar SIM untuk mencegat kode MFA atau meminta kode tersebut dikirim ke perangkat baru.

4. Akses dan gerakan lateral

• Masuk sebagai karyawan yang menyamar.
• Tingkatkan hak istimewa melalui kesalahan konfigurasi kebijakan grup, sistem tiket, atau alat internal (misalnya, Okta, Citrix, Azure AD).
• Menyebarkan malware, mengekstrak data, atau menyiapkan persistensi (pintu belakang, akun jahat).

5. Ransomware atau pencurian data

Tergantung pada sasarannya:

• Menyebarkan ransomware melalui afiliasi seperti Kekuatan Naga (misalnya, dalam serangan M&S).
• Ekstrak data sensitif untuk pemerasan (seperti dalam serangan Caesars/MGM).
• Pertahankan kerahasiaan untuk kampanye selanjutnya (terutama jika menargetkan beberapa organisasi di sektor yang sama).

Bagaimana cara mempertahankan diri dari serangan meja layanan

Berikut adalah beberapa cara penting bagi organisasi untuk melindungi diri mereka dari serangan rekayasa sosial berbasis service desk seperti yang digunakan oleh Scattered Spider:

1. Memerlukan verifikasi identitas yang ketat untuk semua pengaturan ulang kata sandi, termasuk konfirmasi out-of-band (misalnya, metode kontak kedua yang diketahui).
2. Menerapkan MFA yang tidak dapat diatur ulang atau ditransfer dengan mudah tanpa verifikasi langsung atau persetujuan manajer.
3. Latih staf bagian layanan untuk mengenali taktik rekayasa sosial, terutama permintaan mendesak atau emosional dan nomor internal palsu.
4. Pantau aktivitas meja layanan yang tidak biasa, seperti pengaturan ulang kata sandi berulang kali atau penghapusan MFA untuk akun dengan hak istimewa tinggi.
5. Batasi hak istimewa layanan bantuan sehingga agen tidak dapat mengatur ulang akses untuk admin atau pengguna TI tanpa eskalasi.
6. Tinjau pengaturan meja layanan yang dialihdayakan secara teratur, pastikan prosedur verifikasi, jalur eskalasi, dan alur kerja persetujuan didokumentasikan dengan jelas dan diuji melalui latihan meja atau tim merah.
7. Gunakan kontrol akses berbasis peran dan catat semua perubahan kredensial, dengan peringatan untuk pengguna berisiko tinggi.
8. Melakukan simulasi phishing dan rekayasa sosial secara rutin yang berfokus secara khusus pada serangan berbasis telepon dan obrolan.

Lindungi dari rekayasa sosial dengan Specops Secure Service Desk

Meja Layanan Aman Specops dapat membantu mengurangi serangan rekayasa sosial dengan menambahkan verifikasi identitas pada permintaan pengaturan ulang kata sandi dan pembukaan kunci akun. Penelepon dapat diverifikasi menggunakan MFA, atribut direktori, atau pertanyaan tantangan khusus sebelum tindakan apa pun diambil.

Sekalipun penyerang mengetahui nama, peran, atau terminologi internal karyawan, mereka tetap perlu membuktikan identitasnya. Solusi ini juga memberikan jejak audit dan kontrol terperinci atas tindakan pemulihan akun, membantu mengurangi risiko peniruan identitas dan akses tidak sah.

Lindungi lini depan Anda. Lihat bagaimana Specops Secure Service Desk dapat memperkuat layanan bantuan Anda terhadap serangan seperti Scattered Spider.

Cobalah secara gratis hari ini.

Disponsori dan ditulis oleh Perangkat Lunak Specops.