Der Beitrag von Specops Software zeichnet den Service Desk als besonders attraktives Ziel für Gruppen wie Scattered Spider. Der Grund sei ein Zugangspunkt mit großer Hebelwirkung und vergleichsweise geringem Widerstand. Statt technische Schutzmechanismen zu überwinden oder ungepatchte Software auszunutzen, setzen die Angreifer auf Vertrauen, Dringlichkeit und Manipulation.

Ein zentrales Problem liegt laut dem Text in der Rolle der Help-Desk-Mitarbeiter. Sie seien in erster Linie darauf geschult, zu helfen. Selbst wenn Schulungen zu Social Engineering stattgefunden haben, bleibe die Anfälligkeit für Täuschungsversuche bestehen – insbesondere dann, wenn Angreifer sprachlich sicher auftreten, intern wirkende Details kennen und Zeitdruck aufbauen.

Hinzu kommt der privilegierte Zugriff vieler Service-Desk-Teams. Sie können Passwörter zurücksetzen, Konten bereitstellen oder Multi-Faktor-Authentifizierung deaktivieren. Genau diese Befugnisse eröffnen Angreifern einen direkten Weg zu legitim wirkendem Zugang. Aus Sicht des Beitrags ist das einer der Hauptgründe, warum dieser Angriffsweg so attraktiv bleibt.

Als weiteren Vorteil für die Täter nennt der Text Geschwindigkeit und Unauffälligkeit. Ein gut vorbereiteter Anruf oder Chat könne innerhalb weniger Minuten zum Ziel führen und dabei Sicherheitswarnungen oft vermeiden. Das gelte besonders dann, wenn Angreifer interne Abläufe nachahmen oder interne Rufnummern vortäuschen.

Der Fall Marks & Spencer illustriert dieses Vorgehen konkret. Nach Angaben von Chairman Archie Norman gaben sich die Angreifer als Beschäftigte aus und überzeugten einen externen Service-Desk-Mitarbeiter, Zugangsdaten zurückzusetzen. Dadurch erhielten sie Zugang zu internen Systemen. Bei Carnival Corporation verlief der Einstieg ähnlich: Das Unternehmen teilte mit, dass ein Angreifer einen Mitarbeiter mittels Social Engineering täuschte und so Zugang zu einem begrenzten Teil der IT-Umgebung erlangte.

Auch das FBI beschrieb jüngst eine verwandte Methode bei der Silent Ransom Group. Deren Mitglieder traten laut Warnung als IT-Support-Personal auf und brachten Mitarbeiter dazu, Fernzugriffssitzungen mit legitimen Administrationswerkzeugen zu starten. Der Beitrag ordnet diese Beispiele als Beleg dafür ein, dass strengere Regulierung, mehr Sensibilisierung und mehrere öffentlichkeitswirksame Festnahmen das Interesse der Angreifer an diesem Zugangskanal bislang nicht verringert haben.

Zur Einordnung verweist der Text zudem auf Verizons „Data Breach Investigation Report“. Demnach sind gestohlene Zugangsdaten an 44,7 Prozent der Datenschutzverletzungen beteiligt.

Als Gegenmaßnahme verweist Specops Software auf das eigene Produkt Specops Secure Service Desk. Die Lösung solle Social-Engineering-Angriffe eindämmen, indem sie bei Passwort-Zurücksetzungen und Kontoentsperrungen eine Identitätsprüfung ergänzt. Anrufer könnten vor jeder Aktion per Multi-Faktor-Authentifizierung, über Verzeichnisattribute oder mit benutzerdefinierten Sicherheitsfragen überprüft werden. Außerdem nenne der Beitrag Prüfpfade und granulare Kontrollen für Wiederherstellungsaktionen von Konten als Funktionen, die das Risiko von Identitätsvortäuschung und unbefugtem Zugriff reduzieren sollen.