TfL, het Londonse openbaarvervoersbedrijf met de iconische rode bussen, is gehackt en wat tot nu toe bekend is doet vrezen voor klanten en personeel. Het is met name een spoedmaatregel die alle seinen op rood zet.
Het begon, zoals zo vaak, de meldingen op de socials dat er iets aan de hand was met Transport for London (TfL). Klanten waren benaderd door het bedrijf met de melding dat hun bankgegevens mogelijk waren gelekt. Dat lek zelf was niet opgevallen. Wel was kort daarvoor de online omgeving van het vervoersbedrijf slecht bereikbaar.
Een hack na een cyberaanval – daar leek het op. Maar er was echt wel meer aan de hand. Het bedrijf heeft iets dat lijkt op de OV chip. Er is dus een behoorlijke hoeveelheid data van alle reizigers voorhanden. Daarom werd de vraag gesteld waarom van slechts 5.000 klanten de data was gelekt. Was de hack en het lek zo snel afgeweerd en gedicht? De arrestatie van een 17 jarige puber deed dat vermoeden. Snel opgepakt, dus een aanval die makkelijke te traceren is geweest.
30.000 resets
Als dat het verhaal was, dat was dit artikel niet verschenen. Donderdag lekte op de socials interne berichtgeving van TfL aan de medewerkers door. Van alle 30.000 personeelsleden is het wachtwoord gereset. Niemand kan meer online. Om weer toegang te krijgen moet van elke medewerker de identiteit worden vastgesteld. Dat kan niet online gebeuren, iedereen moet met een geldig ID bewijs naar kantoor komen.
“Low tech”
Het is deze melding die alle seinen op rood zet. Het is de tweede keer in evenzoveel maanden dat een low tech “cyberaanval” op een bedrijf tot deze drastische spoedmaatregel leidt. TfL heeft in het interne bericht bevestigd dat gegevens van het personeel zijn gelekt. Dit doet dus vermoeden dat men vreest dat door de aanval het klonen van personeel ID’s is geworden. Met een gekloond ID kan nu of later het systeem worden benaderd en gemanipuleerd.
Door hard aan de noodrem te trekken en ieder account opnieuw te verifiëren wordt van alle gekloonde accounts de nek omgedraaid. TfL heeft dus genoeg redenen aan te nemen dat dit soort accounts bestaat. Met dit soort accounts zijn dus ook de betaalgegevens van 5.000 klanten bekeken.
Social Engineering
Er zijn signalen dat de aanval zelf amper iets met cyber te maken heeft. De “groep” Scattered Spider doet namelijk niets meer dan social engineering. Men belt de helpdesk van een bedrijf op, doet zich voor als een medewerker die niet meer kan inloggen. De criminelen doen zich uiteraard niet voor als de jongste bediende, want dat levert te weinig bevoegdheden op. Gelet op meldingen van TfL zijn de aanvallers er in geslaagd de ID van een of meer personen te bemachtigen of klonen die betalingen aan klanten mogen verrichten.
Helpdesk als zwakste schakel
Cyberaanvallen, zerodays, geheime diensten, niets van dat alles. Wederom wijst alles op criminelen met een snelle babbel die (kortstondig) konden profiteren van menselijke fouten, een helpdesker wil immers zijn “collega’s” graag verder helpen. Support als zwakste schakel – dat moet elke IT beheerder en MSP’er zich aantrekken.
(nog niet alles is helder, maar de contouren van deze aanval zijn dat wel. We wachten nog op informatie over het aanwezig en verplicht zijn van MFA)