There's a new angle on an old threat, and it's worth paying attention. According to The Hacker News, the Scattered LAPSUS$ Hunters (SLH) cybercrime group is actively recruiting women to conduct vishing attacks—that's voice phishing—against organizational IT help desks, offering compensation of $500 to $1,000 per successful call. This isn't some hypothetical risk buried in a threat report. It's happening now, and it's a deliberate exploitation of social engineering vulnerabilities that most organizations still haven't adequately defended against.
Before we dig into the specifics, let's be clear about what this signals: attackers have identified a gap in human-centric security defenses and they're operationalizing it at scale. They're not just exploiting technology anymore. They're weaponizing assumptions about gender, trust, and authority that people carry into every phone call.
What We Know
SLH is running a recruitment campaign. They're posting job listings—basically—in underground forums and dark web marketplaces offering substantial payouts for each successful vishing call. The targeting of women specifically suggests they've done their homework: help desk staff tend to lower their guard more readily when speaking with callers perceived as non-threatening, and gender-based social engineering exploits that bias ruthlessly.
The timeline matters here. This isn't a sudden development. Vishing has been a proven attack vector for years, but the systematic recruitment and industrialization of it? That's escalation.
And then it got worse.
The financial incentive structure is designed to be attractive without being suspicious. Five hundred to a thousand dollars per call creates a scalable workforce of motivated attackers who don't need deep technical knowledge—just social engineering skills and a convincing narrative.
How It Works
A recruited caller phones your help desk claiming to be an employee, contractor, or vendor with an urgent access problem. They've usually been prepped with enough surface-level details to sound legitimate: department names, system names, maybe a stolen employee ID they've researched. The goal is straightforward: trick the help desk into resetting credentials, providing access codes, or revealing authentication mechanisms.
What makes this dangerous is the cognitive load on your help desk staff. They're trained to be helpful. They're answering dozens of calls daily. They're tired. And now there's a seemingly credible person on the line with a problem that sounds real.
The caller doesn't need to get everything right. They just need to get one thing right—one tech, one day, one moment of inattention—and they've breached your perimeter without touching a firewall.
Why It Matters
IT help desks are the soft underbelly of most organizations' security posture. They have legitimate access to password reset systems, MFA bypass procedures, and employee databases. They're also staffed by humans who are taught to prioritize customer service and helping colleagues.
So why does this matter right now? Because attackers have figured out how to scale vishing attacks by outsourcing them to a motivated, distributed workforce. They've removed the technical barrier to entry. Now anyone with decent social skills can be a threat actor. The recruitment itself signals that SLH views this as a profitable, sustainable operation—not a one-off campaign.
This is particularly nasty because it works.
Next Steps
First: implement verification protocols that don't rely on caller politeness or perceived trustworthiness. Require callback verification to known-good numbers. Use out-of-band authentication. Make it policy that no credentials are reset without additional verification steps, period.
Second: train your help desk staff specifically on vishing. Not general security awareness—actual scenario-based training where they practice saying no and following escalation procedures. Include recordings of vishing calls so they hear what social manipulation sounds like.
Third: log everything. Every call, every reset request, every unusual access attempt. Then actually review those logs. Patterns emerge when you're looking for them.
Your help desk isn't a liability if you treat them like the front-line defenders they are.
Це новий поворот в старій загрозі, і варто на це звернути увагу. За даними The Hacker News, група кіберзлочинців Scattered LAPSUS$ Hunters (SLH) активно наймає жінок для проведення vishing-атак — голосового фішингу — проти IT-гарячих ліній організацій, пропонуючи компенсацію від $500 до $1,000 за успішний дзвінок. Це не якийсь гіпотетичний ризик, закопаний у звіті про загрози. Це відбувається зараз, і це умисна експлуатація уразливостей людино-центричної безпеки, проти якої більшість організацій досі не захищилися адекватно.
Перш ніж занурятися в деталі, давайте чітко усвідомимо, що це сигналізує: зловмисники виявили прогалину в захисті людино-центричної безпеки і впроваджують її у масштабі. Вони більше не просто експлуатують технології. Вони озброюють припущення про стать, довіру та авторитет, які люди приносять в кожен телефонний дзвінок.
Що нам відомо
SLH проводить кампанію найму. Вони розміщують оголошення про роботу — фактично — на підпільних форумах та торговельних майданчиках темної мережі, пропонуючи значні виплати за кожен успішний vishing-дзвінок. Спеціальне спрямування на жінок дає змогу припустити, що вони попередньо дослідили ситуацію: персонал гарячої лінії охоче знижує пильність при спілкуванні з абонентами, які сприймаються як неагресивні, а гендер-орієнтована соціальна інженерія беззастережно експлуатує цю упередженість.
Час відіграє тут важливу роль. Це не раптовий розвиток. Vishing давно доведений вектор атаки, але систематичний наймдля її проведення та її індустріалізація? То це означає еквівалент до ескалації.
А потім стало ще гірше.
Структура фінансових стимулів розроблена так, щоб бути привабливою без підозрілості. П'ять сотень до тисячі доларів за дзвінок створює масштабабельну робочу силу мотивованих зловмисників, яким не потрібні глибокі технічні знання — лише навички соціальної інженерії та переконлива розповідь.
Як це працює
Найнята особа телефонує на вашу гарячу лінію, видаючи себе за працівника, підрядника або постачальника з невідкладною проблемою доступу. Зазвичай їм попередньо надається достатньо поверхневих деталей, щоб звучати достовірно: назви відділів, назви систем, можливо, викрадене посвідчення працівника, яке вони дослідили. Мета проста: змусити гарячу лінію скинути облікові дані, надати коди доступу або розкрити механізми автентифікації.
Те, що робить це небезпечним, — це когнітивне навантаження на персонал вашої гарячої лінії. Їх тренують бути корисними. Вони відповідають на десятки дзвінків щодня. Вони втомлені. І тепер на лінії є здавалося б, легітимна особа з реальною проблемою.
Абонент не повинен все робити правильно. Йому потрібно виконати одне правильно — один фахівець, один день, один момент неуваги — і вони пробили ваш периметр без дотику до firewall.
Чому це важливо
IT-гарячі лінії — м'яке місце у позиції безпеки більшості організацій. Вони мають законний доступ до систем скидання паролів, процедур байпасу MFA та баз даних працівників. Вони також укомплектовані людьми, яких навчають пріоритизувати обслуговування клієнтів та допомогу колегам.
Отже, чому це важливо саме зараз? Тому що зловмисники з'ясували, як масштабувати vishing-атаки, аутсорсингом їх мотивованій розподіленій робочій силі. Вони усунули технічний бар'єр для входу. Тепер будь-хто з гарними соціальними навичками може бути учасником вирішення атак. Сам найм сигналізує, що SLH розглядає це як прибуткову, стійку операцію — не одноразову кампанію.
Це особливо гидко, тому що це працює.
Наступні кроки
По-перше: впровадьте протоколи перевірки, які не покладаються на ввічливість абонента або сприймаючу довіру. Вимагайте перевірки зворотного виклику на відомі номери. Використовуйте автентифікацію поза смугою. Встановіть політику, за якою жодні облікові дані не скидаються без додаткових кроків перевірки, період.
По-друге: тренуйте персонал вашої гарячої лінії спеціально на vishing. Не загальну обізнаність у безпеці — фактичне навчання на основі сценаріїв, де вони практикують відмову та дотримання процедур залучення. Включіть записи vishing-дзвінків, щоб вони почули, як звучить маніпуляція.
По-третє: фіксуйте все. Кожен дзвінок, кожен запит на скидання, кожна необична спроба доступу. Потім насправді перегляньте ці логи. Закономірності з'являються, коли ви їх шукаєте.
Ваша гаряча лінія не є вразливістю, якщо ви ставитеся до неї як до передових захисників, якими вони є.