MGM Resorts-inbreuk

Relive the 10-minute helpdesk call that cost $100M.

Wat is MGM Resorts-inbreuk?

De MGM Resorts-inbreuk van september 2023 is een van de duurste social engineering-aanvallen in de bedrijfsgeschiedenis, met een geschatte schade van $100 miljoen aan gederfde inkomsten en herstelkosten. Deze oefening leidt u door de daadwerkelijke aanvalsketen die werd gebruikt door de dreigingsgroep Scattered Spider. Het begon met open-source verkenning op LinkedIn, waar aanvallers een MGM-medewerker identificeerden, waarna ze de IT-helpdesk belden en zich voordeden als die medewerker om een wachtwoordreset aan te vragen. De volledige social engineering-fase duurde ongeveer 10 minuten. Eenmaal binnen implementeerde de groep ALPHV/BlackCat-ransomware in het netwerk van MGM, waardoor hotelreserveringssystemen, digitale kamerleutels, gokautomaten en geldautomaten in vestigingen in Las Vegas en landelijk werden platgelegd. De storing duurde ongeveer 10 dagen. U analyseert elke fase van de aanval: de LinkedIn-verkenning, het vishingoproep naar de helpdesk, de credential-reset die aanvallers hun voet aan de grond gaf en de laterale beweging die leidde tot volledige netwerkcompromittering. De oefening dwingt u om de identiteitsverificatieprocedures van uw eigen organisatie te evalueren voor helpdeskgesprekken en wachtwoordresets. Zou hetzelfde telefoongesprek werken tegen uw team? De meeste deelnemers ontdekken hiaten waaraan ze eerder niet hadden gedacht.

Wat je leert in MGM Resorts-inbreuk

MGM Resorts-inbreuk — Trainingsstappen

  1. Introductie: een drukke maandag bij MGM IT Support

    Het is maandag 11 september 2023 en je bent net begonnen met je dienst. De ochtend was hectisch: de gebruikelijke wachtwoordresets, VPN-problemen en toegangsverzoeken die gepaard gaan met het begin van een nieuwe week. Vandaag voelt als elke andere maandag, waarbij uw ticketwachtrij al 15 openstaande verzoeken toont. U werkt al twee jaar bij MGM en bent trots op uw klantenservice. Het is uw topprioriteit om werknemers snel weer aan het werk te helpen.

  2. Uw ticketwachtrij controleren

    Uw ticketwachtrij is vanochtend vol: 15 openstaande aanvragen wachten op uw aandacht. De meeste zijn routinematig: het opnieuw instellen van wachtwoorden, VPN-verbindingsproblemen en toegangsverzoeken. U moet inloggen op de ondersteuningsportal om ze te kunnen verwerken. U heeft deze verzoeken de hele ochtend efficiënt afgehandeld. Uw prestatiestatistieken belonen snelle oplossingstijden en u bent er trots op dat u werknemers zo snel mogelijk weer aan het werk kunt helpen.

  3. Een inkomend gesprek

    Om 10:23 uur gaat uw bureautelefoon over. Uit de beller-ID blijkt dat het een intern toestel is: 4429. Dit is volkomen normaal; Medewerkers bellen vaak rechtstreeks naar de helpdesk als ze zelf geen toegang hebben tot het ticketingsysteem. Je staat op het punt een schijnbaar routinematige ondersteuningsoproep te beantwoorden. De beller klinkt gestrest maar professioneel, precies zoals tientallen andere medewerkers die u wekelijks helpt.

  4. Het telefoongesprek begint

    Je antwoordt professioneel en hoort de stem van een jongeman aan de andere kant van de lijn. Hij klinkt oprecht gestrest, maar beleefd. Zijn Engels is perfect: een duidelijk Amerikaans accent, zonder aarzeling, en hij gebruikt dezelfde interne terminologie als uw vaste bellers. Hij stelt zichzelf voor als Bob Richardson van het operationele team van Bellagio en legt uit dat hij geen toegang meer heeft tot zijn rekeningen vanwege een belangrijke VP-vergadering over 20 minuten. Wanneer u om zijn werknemers-ID vraagt, geeft hij toe dat hij deze niet uit zijn hoofd kent en heeft hij zijn badge in zijn auto laten liggen, met de vraag of u hem in plaats daarvan op naam kunt opzoeken. Dit is een veel voorkomend verzoek. Veel medewerkers onthouden hun identiteitsbewijs niet en vergeten hun badges. Niets aan deze oproep roept onmiddellijke alarmsignalen op.

  5. Het werknemersdossier opzoeken

    Volgens het standaardprotocol moet u de identiteit van Bob verifiëren door zijn werknemersrecord in het systeem op te zoeken. Hij gaf zijn volledige naam op: Robert Richardson, en zei dat hij werkt in de gastenservice van het Bellagio. U doorzoekt de werknemersdatabase om te bevestigen dat hij een legitieme MGM-werknemer is voordat u doorgaat met accountwijzigingen. Dit is een routinematige beveiligingsstap die u tientallen keren per dag uitvoert.

  6. Het verifiëren van de identiteit van Bob

    Het systeem toont Robert Richardson, werknemer-ID MG-47832, die in mei 2020 is aangenomen als Guest Services Manager bij Bellagio. Alles klopt perfect. Nu moet je zijn identiteit verifiëren met behulp van de standaard beveiligingsvragen. Bob legt zijn MFA-probleem uit: zijn telefoon is gisteren bijgewerkt en de Authenticator-app beschadigd, zodat hij geen inlogcodes kan ontvangen. Dit is een veelvoorkomend probleem dat je al vaker hebt opgelost. Bob geeft zonder aarzeling zijn geboortedatum en de laatste vier cijfers van zijn burgerservicenummer op. Hij noemt zelfs zijn manager Linda Chen (iemand die je al eerder hebt geholpen) en verwijst naar een intern project over de uitrol van het nieuwe inchecksysteem. Hij klinkt gefrustreerd maar professioneel en legt uit hoe urgent dit is vanwege zijn aanstaande VP-vergadering.

  7. Kruiscontrole van de informatie

    Je vergelijkt de gegevens van Bob met wat er in het medewerkersportaal wordt weergegeven. Geboortedatum, BSN, naam manager en afdeling komen perfect overeen. Alles wat Bob je heeft verteld klopt. Hij kent interne projecten, verwijst naar echte mensen en zijn frustratie klinkt oprecht. Hij geeft alle juiste informatie zonder dat je het twee keer hoeft te vragen. Er zijn geen duidelijke waarschuwingssignalen die u achterdochtig maken. Dit lijkt een legitieme werknemer te zijn die hulp nodig heeft om weer aan het werk te gaan vóór een belangrijke vergadering.

  8. Het MFA-resetverzoek

    Je legt Bob de standaardopties uit: je kunt zijn MFA resetten, maar hij moet zijn apparaat opnieuw registreren. Je kunt ook een tijdelijke toegangscode naar zijn geregistreerde e-mailadres of telefoonnummer sturen. Bob legt zijn hachelijke situatie uit: zijn telefoonnummer veranderde toen hij tijdens de update de nieuwe simkaart kreeg, en hij heeft geen toegang tot zijn e-mail omdat daarvoor ook dezelfde MFA nodig is waarvoor hij geen toegang meer heeft. Hij vraagt ​​of u eenvoudigweg de MFA kunt resetten, zodat hij zich meteen opnieuw kan inschrijven terwijl hij zijn telefoon gereed heeft. Dit ligt binnen uw bevoegdheid om te doen. Je hebt dit soort reset al honderden keren eerder uitgevoerd. Het systeem laat zien dat hij een legitieme werknemer is met geverifieerde informatie. Uw prestatiestatistieken belonen snelle oplossingstijden, en Bob heeft duidelijk een legitieme zakelijke behoefte.

  9. Het nemen van de beslissing

    Je hebt je beslissing genomen. Bob heeft laten zien dat hij een echte werknemer is door nauwkeurige persoonlijke gegevens te verstrekken en een redelijke uitleg te geven. U heeft dit exacte type MFA-reset honderden keren eerder uitgevoerd zonder incidenten. Bob klinkt gestresseerd over een legitieme zakelijke behoefte: een aanstaande ontmoeting met de vice-president over slechts een paar minuten. U bent hier om werknemers te helpen snel weer aan het werk te gaan. Er is geen reden om dit verzoek te weigeren of het naar uw supervisor te escaleren. Alles klopt en Bob wacht aan de lijn, klaar om zijn authenticatie-app onmiddellijk opnieuw in te schrijven.

  10. Toegang tot accountinstellingen

    Je navigeert naar het medewerkersprofiel van Bob in de portal. De pagina toont zijn basisgegevens, arbeidsverleden en huidige status. Om de MFA-reset uit te voeren, moet u eerst naar zijn accountinstellingen gaan. U kunt zien dat zijn profiel de door hem verstrekte informatie bevestigt: Guest Services Manager bij Bellagio, aangenomen in mei 2020. Alles komt overeen met wat Bob u aan de telefoon heeft verteld.