Cisco під загрозою: аналіз нових хитромудрих атак телефонного шахрайства

Передумови інциденту з голосовим фішингом у Cisco

5 серпня 2025 року компанія Cisco повідомила про те, що один з її співробітників став мішенню кампанії голосового фішингу (vishing). Зловмисники змогли переконати представника компанії надати аутентифікаційні токени, що дало їм несанкціонований доступ до системи управління взаємовідносинами з клієнтами (CRM) третьої сторони.

“В ході розслідування ми з’ясували, що експортовані дані в основному містили базову інформацію про профілі людей, які зареєструвалися на Cisco.com,” — зазначили в Cisco. Серед вразливих полів виявилися імена, назви організацій, адреси, ідентифікатори користувачів, призначені Cisco, електронні адреси, номери телефонів та метадані облікових записів, такі як дати створення.

Cisco підкреслила, що паролі, фінансові дані та конфіденційна інформація клієнтів не були скомпрометовані. Не було виявлено жодних ознак переміщення до інших систем або сервісів.

Як голосовий фішинг використовує людські та системні вразливості

• Соціальна інженерія: Зловмисники проводять розвідку через LinkedIn, прес-релізи компаній та відкриті каталоги, щоб створити переконливі профілі абонентів.
• Багатоканальне залучення: Сучасні кампанії поєднують електронні листи, SMS з одноразовими паролями (OTP), push-сповіщення та глибинні фейкові голоси, щоб імітувати легітимні процедури IT-підтримки.
• Обхідні лазівки: Коли багатофакторна аутентифікація (MFA) не спрацьовує, багато організацій дозволяють використовувати резервні коди, SMS OTP або контрольні запитання — що часто є найпростішим способом обійти захист для зловмисників.

Технічний аналіз: FIDO2 та криптографічні захисти

Стандарт FIDO2 (що включає протоколи WebAuthn та CTAP2) використовує публічну ключову криптографію, прив’язану до автентичного домену:

1. Під час реєстрації клієнтський пристрій (наприклад, апаратний ключ безпеки або платформений аутентифікатор) генерує пару ключів. Приватний ключ ніколи не покидає пристрій.
2. Сторона, що покладається (Cisco.com) зберігає лише публічний ключ та лічильник для захисту від повторних атак.
3. При вході аутентифікатор підписує запит із використанням приватного ключа. Браузер забезпечує, щоб підпис був дійсним лише для оригінального домену.

Це запобігає повторному використанню облікових даних на фішингових або схожих доменах. Проте резервні механізми, такі як SMS OTP, залишаються вразливими.

Думки експертів та реакція галузі

“Голосовий фішинг швидко еволюціонує завдяки синтезу голосу на основі штучного інтелекту. Організаціям слід перейти від SMS та сповіщень до криптографічних методів і запровадити суворі політики аутентифікації поза каналами,” говорить доктор Прія Раманатан, старший дослідник Global Security Insights.

Галузеві організації, такі як Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) та Національний інститут стандартів і технологій (NIST), оновили рекомендації щодо усунення застарілих методів MFA та впровадження безперервної аутентифікації, стійкої до фішингу.

Додатковий аналіз

Нові загрози: соціальна інженерія на основі ШІ

Останні досягнення в галузі генеративного штучного інтелекту дозволяють створювати високоякісні голосові клони. Зловмисники тепер можуть імітувати керівників або співробітників підтримки, використовуючи мінімальні аудіозразки. Інструменти потокового мовлення з глибинними фейками обходять голосову біометрію, підвищуючи ймовірність успіху vishing на 40%, згідно з незалежними тестами CyberAI Labs.

Регуляторні та комплаєнс-аспекти

Згідно з GDPR та CCPA, повідомлення про порушення є обов’язковими протягом 72 годин з моменту виявлення. Хоча інцидент Cisco не містив чутливих особистих даних, користувачі CRM повинні бути поінформовані про можливе зловживання профілюванням. Невиконання вимог може призвести до штрафів до 20 мільйонів євро або 4% світового обороту.

Рекомендації та найкращі практики

1. Запровадьте FIDO2 WebAuthn для всіх критично важливих бізнес-додатків; усуньте SMS та електронні OTP як основні фактори.
2. Впровадьте аномалійну детекцію на базі ШІ для виявлення незвичайних геолокацій або відбитків пристроїв під час входу.
3. Проводьте регулярні навчання з симуляцією сценаріїв vishing; включайте тести з реальними глибинними фейками голосу.
4. Впровадьте сувірі процедури перевірки поза каналами: будь-яке скидання аутентифікації або високоризикова транзакція повинні бути підтверджені через попередньо зареєстрований другий канал.
5. Оновлюйте плани реагування на інциденти відповідно до останніх рекомендацій CISA та NIST.

Перспективи на майбутнє

Оскільки організації по всьому світу прискорюють впровадження хмари та цифрову трансформацію, загрози зловмисників вдосконалюватимуть голосовий фішинг та соціальну інженерію з використанням ШІ. Спільнота безпеки повинна співпрацювати над відкритими стандартами, обміном інформацією про загрози та навчанням користувачів, щоб залишатися попереду цієї зростаючої небезпеки.