Đừng để lừa dối bởi các chiêu lừa mùa outtage của CrowdStrike
Công ty bảo mật CrowdStrike đã tạo ra hỗn loạn trên khắp thế giới vào thứ Sáu sau khi triển khai một bản cập nhật phần mềm lỗi cho nền tảng giám sát Falcon của công ty, làm hỏng các máy tính chạy Windows sử dụng sản phẩm này. Hậu quả từ sự cố sẽ mất vài ngày để giải quyết, và công ty cảnh báo rằng, khi các quản trị hệ thống và nhân viên IT làm việc để khắc phục, một mối đe dọa khác đang ập đến: các chiến lược lừa đảo số học cố gắng tận dụng tình hình khủng hoảng.
Các nhà nghiên cứu vào chiều thứ Sáu đã bắt đầu cảnh báo rằng các kẻ tấn công đang đặt tên miền và bắt đầu xây dựng trang web và cơ sở hạ tầng khác để chạy các trò lừa đảo “Hỗ trợ của CrowdStrike” nhắm vào khách hàng của công ty và bất kỳ ai có thể bị ảnh hưởng bởi hỗn loạn. Chính các nhà nghiên cứu của CrowdStrike cũng đã cảnh báo về hoạt động này vào thứ Sáu và công bố một danh sách các tên miền dường như đã đăng ký để giả mạo công ty.
“Chúng tôi biết rằng kẻ địch và các diễn viên xấu sẽ cố gắng tận dụng những sự kiện như thế này,” George Kurtz, người sáng lập và CEO của CrowdStrike viết trong một tuyên bố. “Tôi khuyến khích mọi người duy trì cảnh giác và đảm bảo rằng bạn đang tương tác với những đại diện chính thức của CrowdStrike. Blog và hỗ trợ kỹ thuật của chúng tôi sẽ tiếp tục là các kênh chính thức để cập nhật mới nhất.”
Kẻ tấn công không thể tránh khỏi việc tận dụng các sự kiện toàn cầu nổi bật cũng như các vấn đề chứ đề tài ở các khu vực địa lý cụ thể để cố gắng lừa người khác gửi tiền cho họ, đánh cắp thông tin tài khoản mục tiêu hoặc tấn công nạn nhân bằng phần mềm độc hại.
“Hoạt động uy hiếp thường cố gắng tận dụng mọi sự kiện lớn,” Brett Callow, giám đốc điều hành của FTI Consulting về truyền thông bảo mật mạng và quyền riêng tư dữ liệu, nói. “Khi một tổ chức gặp sự cố, điều này là điều mà khách hàng và đối tác kinh doanh nên chuẩn bị.”
Mặc dù hầu hết mọi người không phải cá nhân chịu trách nhiệm giải quyết các sự cố liên quan đến máy tính của CloudStrike, sự cố này lại rất dễ bị lợi dụng vì một số chuyên gia IT đang làm việc để khắc phục có thể tuyệt vọng tìm kiếm giải pháp. Trong hầu hết các trường hợp, việc sửa chữa cho các máy tính bị ảnh hưởng gồm việc khởi động và chỉnh sửa từng máy một cách riêng lẻ – một quy trình có thể mất nhiều thời gian và khó khăn về mặt logictic. Và đối với chủ doanh nghiệp nhỏ không có kiến thức chuyên sâu về IT, thách thức có thể đặc biệt khó khăn.
Nhà nghiên cứu, bao gồm cả những người từ thông tin tình báo của CrowdStrike, cho đến nay đã thấy kẻ tấn công gửi email lừa đảo hoặc thực hiện cuộc gọi điện thoại giả mạo nhân viên hỗ trợ của CrowdStrike và bán các công cụ phần mềm mà họ tuyên bố có thể tự động hóa quá trình phục hồi từ cập nhật phần mềm lỗi. Một số kẻ tấn công còn tạo ra vẻ giả dạng thành các nhà nghiên cứu và tuyên bố có thông tin đặc biệt quan trọng cho quá trình phục hồi – rằng tình hình thực chất là kết quả của một vụ tấn công mạng, nhưng thực chất không phải như vậy.
CrowdStrike nhấn mạnh rằng khách hàng nên xác nhận rằng họ đang giao tiếp với các nhân viên chính thức của công ty và chỉ tin tưởng vào thông tin chính thức của công ty.
“Các cảnh báo nhanh chóng tới nhân viên về các nguy cơ tiềm ẩn sẽ giúp,” Callow nói về cách mà khách hàng CloudStrike nên làm để bảo vệ bản thân. “Được cảnh báo trước là được trang bị trước.” #CrowdStrikeOutage #ScamPrevention #CyberSecurityAwareness
Nguồn: https://www.wired.com/story/crowdstrike-outage-support-scams/
The security firm CrowdStrike inadvertently caused mayhem around the world on Friday after deploying a faulty software update to the company’s Falcon monitoring platform that bricked Windows computers running the product. Fallout from the incident will take days to resolve, and the company is warning that, as system administrators and IT staff work on remediation, another threat is looming: predatory digital scams attempting to capitalize on the crisis.
Researchers on Friday afternoon began warning that attackers are reserving domain names and starting to spin up websites and other infrastructure to run “CrowdStrike Support” scams targeting the company’s customers and anyone who might be impacted by the chaos. CrowdStrike’s own researchers also warned about the activity on Friday and published a list of domains seemingly registered to impersonate the company.
“We know that adversaries and bad actors will try to exploit events like this,” CrowdStrike founder and CEO George Kurtz wrote in a statement. “I encourage everyone to remain vigilant and ensure that you’re engaging with official CrowdStrike representatives. Our blog and technical support will continue to be the official channels for the latest updates.”
Attackers inevitably take advantage of prominent global events as well as topical issues in specific geographic areas to try to trick people into sending them money, steal target account credentials, or compromise victims with malware.
“Threat actors invariably attempt to capitalize on any major event,” says Brett Callow, managing director of cybersecurity and data privacy communications at FTI Consulting. “Whenever an organization experiences an incident, it’s something customers and business partners should be prepared for.”
While most individuals are not personally responsible for addressing CloudStrike-related computer outages, the incident is ripe for exploitation because some of the IT professionals working on remediation could be desperate for solutions. In most cases, the fix for impacted computers involves individually booting and correcting each one—a potentially time-consuming and logistically difficult process. And for small-business owners who don’t have access to extensive IT expertise, the challenge may be particularly daunting.
Researchers, including those from CrowdStrike intelligence, have thus far seen attackers sending phishing emails or making phone calls where they pretend to be CrowdStrike support staff and selling software tools that claim to automate the process of recovering from the faulty software update. Some attackers are also pretending to be researchers and claiming to have special information vital to recovery—that the situation is actually the result of a cyberattack, which it’s not.
CrowdStrike emphasizes that customers should confirm that they are communicating with legitimate company staff members and only trust the company’s official corporate communications.
“Speedy alerts to employees outlining potential risks will help,” Callow says of how CloudStrike customers should work to defend themselves. “Forewarned is forearmed.”
