Scattered Spider: telefon, który położył handel
W 2025 Scattered Spider sparaliżował brytyjski handel. Bronią nie był 0-day, lecz telefon do helpdesku. Analizujemy technikę i obronę.
Wiosną 2025 roku brytyjski handel detaliczny doświadczył serii ataków, które na tygodnie sparaliżowały część działalności największych sieci. Marks & Spencer wstrzymał zamówienia online, Co-op mierzył się z pustymi półkami przez zakłócenia w łańcuchu dostaw, a Harrods ograniczał dostęp do systemów. Sprawców — grupę Scattered Spider (znaną też jako UNC3944) — łączy z tymi atakami jedno narzędzie, które nie jest żadnym 0-dayem: telefon do helpdesku. To najlepsza możliwa lekcja o tym, że najsłabszym ogniwem wciąż jest proces, nie technologia.
Kim jest Scattered Spider
To luźna grupa młodych, anglojęzycznych napastników, biegłych nie w pisaniu exploitów, lecz w socjotechnice. Ich znak rozpoznawczy to dzwonienie na wewnętrzne helpdeski i podszywanie się pod pracowników w celu zresetowania hasła lub MFA. Wcześniej zasłynęli z ataków na branżę kasyn i technologię; w 2025 przenieśli uwagę na handel, a potem na ubezpieczenia i lotnictwo. Do finalnego szyfrowania używali gotowego ransomware (model RaaS) — sami dostarczali to, w czym byli najlepsi: wejście przez człowieka.
Anatomia ataku: od telefonu do szyfrowania
Schemat jest zaskakująco powtarzalny i nie wymaga żadnej „magii”:
- Rozpoznanie. Napastnik zbiera z LinkedIn i wycieków dane pracownika, którego będzie udawał, oraz osoby z helpdesku, do której zadzwoni.
- Telefon do helpdesku. „Cześć, tu Jan z działu X, zmieniłem telefon i nie mogę się zalogować, zresetujcie mi MFA.” Pewny ton, znajomość szczegółów, presja czasu.
- Reset MFA. Jeśli helpdesk zresetuje drugi składnik bez twardej weryfikacji tożsamości — atakujący rejestruje własne urządzenie i loguje się jako pracownik.
- Eskalacja i ruch boczny. Z dostępem do konta napastnik zbiera kolejne poświadczenia, celuje w Active Directory i systemy krytyczne.
- Szyfrowanie. Po dniach rozpoznania uruchamiane jest ransomware, często w połączeniu z kradzieżą danych (podwójne wymuszenie).
Zwróć uwagę: kroki 4–5 to klasyczny łańcuch ransomware. Nowością nie jest finał, lecz wejście — przez rozmowę telefoniczną, a nie przez lukę w oprogramowaniu.
Dlaczego to działa i jak się bronić
Helpdesk jest zaprojektowany, by pomagać — szybko odblokowywać zablokowanych ludzi. Napastnik wykorzystuje dokładnie tę misję. Obrona nie polega na uczynieniu helpdesku nieuprzejmym, lecz na wpięciu twardych bramek w proces resetu:
Weryfikacja tożsamości niezależnym kanałem. Reset hasła czy MFA nie może opierać się na informacjach, które da się zebrać z internetu (data urodzenia, numer pracownika). Konieczna jest weryfikacja wideo z dokumentem, potwierdzenie przez przełożonego albo kod z zaufanego, wcześniej zarejestrowanego urządzenia. Dla kont uprzywilejowanych — poprzeczka jeszcze wyżej.
MFA odporne na phishing. Passkeye i klucze FIDO2 nie eliminują ataku na proces resetu, ale utrudniają wykorzystanie przejętego konta i zmniejszają liczbę „legalnych” powodów do resetu.
Alerty na wrażliwe operacje. Rejestracja nowej metody MFA, reset dla konta uprzywilejowanego, logowanie z nowego urządzenia zaraz po resecie — to sygnały, które muszą trafiać do monitoringu, nie w próżnię.
Skrypt odmowy dla helpdesku. Zespół wsparcia musi mieć jasną, przećwiczoną listę: czego nigdy nie robi przez telefon, niezależnie od tego, jak przekonująco i pilnie brzmi rozmówca. „Nie mogę tego zrobić przez telefon, oto bezpieczna ścieżka” nie jest niegrzeczne — jest profesjonalne.
Ćwiczenia socjotechniczne. Najlepszy test to kontrolowana próba: zadzwońcie sami (za zgodą) do własnego helpdesku i sprawdźcie, czy da się zresetować MFA bez twardej weryfikacji. To standardowy element naszych testów socjotechnicznych.
Szerszy kontekst 2025
Ataki Scattered Spider na handel to część większego trendu roku: napastnicy coraz częściej wybierają drogę przez ludzi i dostawców, a nie przez łatane luki. To ten sam kierunek, co przy kradzieży tokenów OAuth czy manipulacji interfejsem w napadzie na Bybit. Wspólny mianownik: technologia bywa dobrze zabezpieczona, więc atak przenosi się na proces i zaufanie.
Najczęstsze pytania (FAQ)
Nie jesteśmy siecią handlową. Czy to nas dotyczy? Tak — technika jest branżowo neutralna. Każda organizacja z helpdeskiem resetującym hasła i MFA jest podatna na ten sam scenariusz. Scattered Spider po handlu zaatakował ubezpieczenia i lotnictwo dokładnie tą samą metodą.
Mamy MFA. Czy to nie wystarczy? MFA chroni logowanie, ale ten atak celuje w proces jego resetowania. Jeśli helpdesk zresetuje drugi składnik komuś, kto się dobrze podszył, MFA zostaje ominięte legalną ścieżką. Dlatego zabezpieczyć trzeba nie tylko logowanie, ale i odzyskiwanie dostępu.
Jak w praktyce weryfikować tożsamość przy resecie? Warstwowo, zależnie od wrażliwości konta: dla zwykłych — kod z zarejestrowanego urządzenia lub potwierdzenie menedżera; dla uprzywilejowanych — weryfikacja wideo z dokumentem i druga osoba akceptująca. Kluczowe: nie polegać na danych, które da się znaleźć w internecie.
Czy da się to przetestować, zanim zaatakuje ktoś prawdziwy? Tak, i warto. Kontrolowany test socjotechniczny wymierzony w helpdesk pokazuje dokładnie, czy Wasz proces resetu wytrzyma taki telefon. To jeden z najbardziej „opłacalnych” testów — luka jest tania do wykorzystania i tania do naprawienia.
Co zrobić natychmiast po podejrzeniu takiego włamania? Traktuj jak aktywny incydent: unieważnij sesje i zresetuj poświadczenia podejrzanego konta, sprawdź nowo zarejestrowane urządzenia i metody MFA, przejrzyj reguły skrzynki i logowania. Przy śladach ruchu bocznego — uruchom reagowanie na incydent, zanim dojdzie do szyfrowania.
Podsumowanie
Scattered Spider udowodnił w 2025 roku, że nie trzeba 0-daya, by położyć giganta handlu — wystarczy przekonujący telefon do helpdesku i słaby proces resetu MFA. Obrona jest równie „nietechniczna”: twarda weryfikacja tożsamości przy odzyskiwaniu dostępu, alerty na wrażliwe operacje, skrypt odmowy i regularne ćwiczenia. Jeśli chcesz sprawdzić, czy Twój helpdesk obroni się przed takim telefonem, przetestujemy to — kontrolowanie i z konkretnymi wnioskami.
Źródła i dalsza lektura: NCSC UK, Sekurak, Niebezpiecznik.