נוסעים נכבדים: KLM היא חברת התעופה החמישית שהותקפה בסייבר

מגזר התעופה תחת מתקפה: KLM אישרה בסוף השבוע כי חוותה מתקפת סייבר. זו חברת התעופה החמישית שנפרצה בסייבר בחודשיים האחרונים.

חברת התעופה ההולנדית חשפה, כי המתקפה השפיעה על פלטפורמת שירות לקוחות חיצונית. הפריצה חשפה פרטי קשר של לקוחות, כולל שמות, מספרי טלפון וכתובות דוא"ל, כמו גם פרטים הקשורים לתוכנית חברות המועדון Flying Blue שלה. למרות שנתונים רגישים, כמו סיסמאות ופרטי נסיעה לא נחשפו, מומחים ציינו כי הפריצה מהווה סיכון להונאות פישינג המכוונות ללקוחות שפרטיהם נחשפו.

חברת התעופה שנפגעה היא חלק מ-Air-France-KLM, חברת החזקות אירופאית שהוקמה ב-2004 כמיזוג חברות התעופה טרנסאביה (Transavia) ו-KLM ההולנדיות וזו הצרפתית. היא בעלת הצי הגדול באירופה: יותר מ-700 מטוסים. המתקפה השפיעה גם על אייר-פראנס.

לפי KLM, מידע רגיש יותר, כגון פרטי כרטיס אשראי, מספרי דרכונים ומסלולי נסיעה – לא נפגע. לדבריה, המערכות התפעוליות שלה לא נפגעו, וצוותי ה-IT של החברה, בסיוע חיצוני, פעלו במהירות כדי להכיל את הפריצה ולשפר את אמצעי האבטחה. שתי החברות עדכנו את רשויות האכיפה בצרפת והולנד. המתקפה אירעה לפני כשבועיים. KLM סירבה לחשוף את מספר הנוסעים שהושפעו מהמתקפה, ואת ציר הזמן של הפריצה.

קבוצת הסחיטה ציידים מבריקים, ShinyHunters הודיעה שהיא התוקפת. שמה לקוח מהנוהג פופולרי בקרב שחקני פוקימון לנסות ללכוד "פוקימונים נוצצים". קולקטיב הפריצה אחראי לכמה פריצות והדלפות נתונים בפרופיל גבוה בשנים האחרונות. הקורבנות האחרונים כוללים את טיקטמאסטר (Ticketmaster) ואת הבנק המקוון הספרדי סנטנדר (Santander).

מומחי אבטחה רבים העריכו כי הציידים המבריקים הם שם אחר לקבוצת שחקני האיומים Scattered Spider. עכביש מפוזר הוא קבוצה בינלאומית של צעירים האקרים, שערכה כמה מתקפות סייבר בפרופיל גבוה בשנים האחרונות, בהן כופרה ב-2023 על MGM Resorts ו-Caesars Entertainment בלאס וגאס, והשנה על מארקס אנד ספנסר (Marks & Spencer) הבריטית ועל חברת הביטוח Aflac. זו כיוונה בעבר מתקפות על סיילספורס (Salesforce), כדי לפרוץ דרכה לחברות גדולות כמו שאנל (Chanel), טיפאני (Tiffany & Co) ודיור (Dior). מתקפות נוספות היו על אדידס (Adidas), אליאנץ לייף (Allianz Life), לואי ויטון (Louis Vuitton), ובאחרונה גם על גוגל. כלל הפריצות החלו במתקפות Vishing (פישינג קולי) והנדסה חברתית.

"ההאקרים ממקדים את מאמציהם לעבר פלטפורמות SaaS (תוכנה כשירות), כי אלו מחזיקות הרבה מאד נתוני לקוחות יקרי ערך. פריצה אחת לחברה שהיא חלק משרשרת אספקה מעניקה גישה לארגונים רבים", הסבירו מומחי אבטחה. אף שחברות התעופה לא חשפו באיזו פלטפורמת שירות לקוחות מדובר, מומחים ציינו שהתוקפים התמקדו בארגונים שהם לקוחות סיילספורס. עכביש מפוזר מתמקדת בחודשים האחרונים בחברות תעופה ותחבורה, לאחר שבעבר התמקדה בארגונים ממגזרי הביטוח והקמעונאות.

KLM היא חברת התעופה הגלובלית החמישית שהותקפה ונפרצה בסייבר מאז אמצע יוני: ווסטג'ט (WestJet) הקנדית, הוואיאן איירליינס (Hawaiian Airlines) מארה"ב, קוואנטס (Qantas) האוסטרלית ואייר פראנס.

ציידים מבריקים עושיםימוש נרחב בפישינג קולי. קבוצת מודיעין האיומים של גוגל פרסמה באחרונה פוסט בנושא: "הגישה הוכיחה עצמה כיעילה במיוחד בהטעיית עובדים, לעתים קרובות בסניפים דוברי אנגלית בתאגידים רב-לאומיים. הפעולות הללו מעניקות לתוקפים גישה לשיתוף אישורים רגישים, בדרך לגניבת נתונים.  של הארגון. בכל המקרים, התוקפים הסתמכו על מניפולציה שנערכה על משתמשי קצה, ולא ניצלו פגיעות בסיילספורס". חלק ממומחי האבטחה ציינו שבמתקפות היו מעורבים מומחי סיילספורס, שלפני שהפכו להאקרים, היו בעבר מפתחי סיילספורס. סיילספורס הכחישה: "הפלטפורמה שלנו לא נפגעה, ובעיה זו אינה נובעת מפגיעות ידועה בטכנולוגיה שלנו".