美國國土安全部本周發表了有關Lapsus$駭客組織的網路安全審查委員會（Cyber Safety Review Board，CSRB）報告，指出Lapsus$駭客組織其實只利用了許多簡單的技倆就入侵了數十家的知名企業，包括社交工程、SIM卡挾持、招募線人、向IAB（Initial Access Brokers）業者購買憑證，只有少數時候會針對已知漏洞展開攻擊。此一CSRB報告亦列出了防範Lapsus$與相關手法的多項建議。

Lapsus$活躍於2021年底至2022年，從微軟、三星、Nvidia、T-Mobile、Uber到身分認證管理業者Okta，都是該駭客組織的受駭者，Lapsus$並未於受害企業植入勒索軟體，僅是竊取這些企業的機密資料或原始碼，再以外洩這些資料作為威脅，向受害者勒索。Lapsus$據傳主要是由青少年組成，英國警方曾在去年逮捕了7個與Lapsus$駭客組織有關的嫌犯，他們的年紀介於16歲到21歲之間，而首腦現年只有17歲。

可能由於還不那麼專業，Lapsus$在入侵企業之後所寄出的勒索信函，還曾直接被忽略。

根據CSRB報告，Lapsus$使用的入侵技倆相對簡單，例如透過社交媒體蒐集受害企業員工的個資，再偽裝其身分，或是採用網站、語音或簡訊等網釣攻擊；也常採用SIM卡挾持，同樣是先蒐集目標對象的公開資料，再向電信業者要求同樣號碼的新SIM卡，之後即可利用該號碼來接收雙因素認證資料；還會以金錢賄賂企業員工，使其幫忙駭進自家公司，或是成為駭客的線人，例如取得電信系統的存取權，以利展開SIM卡挾持；更方便的是在黑市向IAB業者購買服務存取憑證。

在少數情況下Lapsus$會攻擊已知漏洞來滲透目標企業，根據資安專家的觀察，Lapsus$從未使用過零時差漏洞。

Lapsus$多次的成功攻擊讓CSRB發現，這主要是因為受害企業並未考量到，採用文字簡訊或語音通話作為多因素身分認證的風險，因而呼籲應儘速遷移到更安全、更容易使用，也更不需要密碼的解決方案，同時也建議電信業者應該採用更嚴謹的身分認證方式來保護客戶，並要求美國聯邦通訊委員會（FCC）及美國聯邦交易委員會（FTC），應制定對抗SIM卡挾持的最佳實踐，將其標準化且強制執行。

CSRB是在美國總統拜登（Joe Biden）的指示下，由美國國土安全部部長Alejandro Mayorkas在2022年2月所設立，它集結了數十位來自產、官、學界的資安專家，主要的任務為共同釐清重大的資安事件並提出建議。