Ditt företag anlitar en extern supportpartner. De hanterar kundärenden, har tillgång till era system och svarar i ert namn. Men vad händer om det är supportpartnern som blir hackad?

Ny hotaktör riktar in sig på supportleverantörer

Google Threat Intelligence Group (GTIG) har avslöjat en ny hotaktör som de spårar som UNC6783, kopplad till en persona som kallas "Raccoon". Gruppen attackerar inte sina slutmål direkt. Istället komprometterar de Business Process Outsourcers (BPO:er), helpdesks och supportleverantörer som har åtkomst till stora företags system.

Väl inne i supportleverantörens miljö stjäl gruppen kunddata, supportbiljetter och inloggningsuppgifter. Informationen används sedan för utpressning eller säljs vidare.

Så går attacken till

UNC6783 använder social engineering och phishing för att ta sig in hos BPO-leverantörer. I vissa fall har de kontaktat helpdesk-personal direkt och manipulerat dem till att ge åtkomst. När gruppen väl har tillgång till supportverktyg som Zendesk kan de läsa alla kundärenden, inklusive känslig information som kunder delat i supportkonversationer.

Det som gör attacken särskilt effektiv är att supportleverantörer ofta har bred åtkomst till sina kunders system. En enda komprometterad BPO kan ge angriparen tillgång till dussintals företag samtidigt.

Varför det är relevant för svenska företag

Outsourcad support är vanligt, även bland svenska SMB. IT-support, kundtjänst, ekonomihantering: många funktioner sköts av externa partners som har djup åtkomst till företagets system och data.

Frågan är inte om era leverantörer är pålitliga. Frågan är om de har tillräckligt starka säkerhetsrutiner för att stå emot en riktad attack. UNC6783 visar att angripare aktivt letar efter den svagaste länken i kedjan, och det är ofta en underleverantör.

Så skyddar du ditt företag

Granska vilken åtkomst era externa partners har. Tillämpa minsta möjliga rättighet: en supportleverantör behöver sällan administratörsåtkomst. Kräv tvåfaktorsautentisering för alla externa konton. Övervaka inloggningar från leverantörer och reagera på avvikelser.

Ställ krav på era leverantörers säkerhet i avtalen. Fråga hur de hanterar phishing-skydd, åtkomsthantering och incidentrespons. Om de inte kan svara bör det vara en varningssignal.

Behöver ni hjälp att granska era leverantörers säkerhet? Kontakta BlckIT så hjälper vi er att kartlägga riskerna i er leverantörskedja.