Разполагайки с методи, които подмамват, манипулират или директно експлоатират доверени потребители, нападателите целят да се възползват от основната механика на съвременната проверка на самоличността и да получат достъп до онлайн акаунта на потребителя. След като носят прикритието на потребителски акаунт, им се предоставя по-дълбок достъп до иначе строго защитени мрежи. 

Примамката на такава отворена врата доведе до рязък скок на популярността на атаките за поглъщане на акаунт през последните две години. Например през 2021 г. онлайн транзакциите са нараснали с общо 65%, докато атаките за превземане на акаунти се увеличи с 233% на годишна база. Сега те са толкова често срещани, че се появи изцяло нова индустрия около прането на средства, откраднати при атаки на ATO. Организирайки се и срещайки се чрез Telegram, киберпрестъпниците работят заедно, за да свържат отвлечени банкови сметки с крипто портфейли. Крадливият нападател ще публикува в такава група информация за сумата на откраднатите средства, търсейки друг измамник, опитен в превземането на крипто акаунт, предлагащ крипто акаунт, в който да зареди тези откраднати средства. След като бъдат изпрани чрез открадната крипто сметка, всички средства се теглят в частен портфейл и се разделят между двете страни.

В среда на сигурност, изпъстрена с повторно използвани и изтекли идентификационни данни, наред с бързо нарастващите изисквания за управление на акаунти, ATO нападателите представляват високо организирана, изключително прецизна заплаха.

Атаки за поглъщане на акаунт

Как работи поглъщането на акаунт?

С обикновения потребител, който трябва да се справи над 100 онлайн акаунта, паролите бързо излязоха извън разумен контрол. От банкиране до срещи с бръснар, информацията за влизане се използва безразсъдно. Нападателите се възползват от това с нарастваща степен на тежест, в атаки, които варират от хиперперсонализирани до пръскане и молитва. Използвайки уязвимостите в системите за сигурност и поведението на потребителите, нападателите могат да поемат контрола върху тези акаунти за престъпни цели. 

Следва подробно обяснение как работят атаките за превземане на акаунт:

разузнаване

Нападателите започват със събиране на информация за потенциални цели. Акаунтите в социалните медии представляват огромни златни мини от лесно достъпна лична информация, която може да бъде изградена в персонализирани атаки със социално инженерство. Наред с това боеприпасите на нападателите са подсилени от данни от предишни пробиви на данни.

Поверителни пълнежи

Въоръжени с придобитите данни, нападателите използват автоматизирани инструменти за систематично тестване на откраднати идентификационни данни на множество уебсайтове и приложения. Тъй като хората често повторно използване на пароли в различни платформи, успешните влизания са вероятни, когато паролите са били компрометирани при предишни пробиви. Списъкът RockYou21 е една невероятно често срещана – и невероятно голяма – база данни с идентификационни данни в обикновен текст, които преди това са изтекли. Съставен от над 8.4 милиарда записа, нападателите могат да причинят големи щети без абсолютно никакво предупреждение. 

Атаки с груба сила

Докато плънка с достоверност опити за съпоставяне на изтекла парола с правилната, атаките с груба сила просто опитват всяка възможна комбинация в опит да отгатнат. С автоматизиран софтуер, който систематично генерира и изпробва различни комбинации от потребителски имена и пароли, атаките с груба сила представляват особен риск за слабите и често използвани пароли.

Фишинг

Вместо да губите време в гадания, фишинг атаките карат потребителите просто да предадат своите пароли. С измамни имейли, съобщения и уебсайтове нападателите имитират добре известни марки или услуги. Нищо неподозиращите потребители са подмамени да предоставят своите идентификационни данни за вход на тези фалшиви сайтове, като несъзнателно предават данните за акаунта си на нападателите.

Кражба на удостоверение

Фишингът не е единствената форма на измама – киберпрестъпниците често ще се опитват да разположат злонамерен софтуер и кийлогъри на уязвими устройства. Те позволяват идентификационните данни да бъдат откраднати директно от устройствата на потребителите.

Видове атаки за поглъщане на акаунт

Огромният брой видове атаки се концентрират около две ключови слабости: потребители и софтуер.

Социално инженерство

Социалното инженерство описва измамни тактики, които се възползват от лица, като ги убеждават да разкрият чувствителна информация или да извършват действия, които компрометират тяхната сигурност. Фишингът е една от най-разпространените форми на атаки чрез социално инженерство и включва интензивно използване на измамни имейли, съобщения или уебсайтове, които имитират своите законни двойници. Като се представят за доверено лице или авторитетна фигура, нападателите се представят за колега, представител на банка или служител на правоприлагащите органи, за да спечелят доверие и да извлекат чувствителна информация. 

Съществуват обаче допълнителни разлики между видовете фишинг атаки. За кампании, които имат широк подход, примамката е изключително често срещана тактика. Жертвите са примамвани с обещания за награди в замяна на извършване на определени действия. Нападателите могат да оставят заразени USB устройства или да изпращат злонамерени връзки, маскирани като примамливи оферти, примамвайки хората да компрометират сигурността им. Фишинг атаките, от друга страна, се фокусират върху много конкретни лица или организации. Нападателите прекарват часове в проучване и събиране на информация за целта, за да създадат силно персонализирани и убедителни съобщения. Фишинг атаките често се използват срещу „китове“ – високопоставени лица като главни изпълнителни директори или високопоставени ръководители. 

Софтуерни уязвимости

Въпреки че потребителите са един път, много нападатели използват софтуера, с който взаимодействат ежедневно. Нарастващата тенденция на потребителите, които използват услуги на трети страни за удобен достъп до множество акаунти, има драстични последици върху пейзажа на поглъщане на акаунти. В крайна сметка, ако тези услуги на трети страни са компрометирани, нападателите могат да получат достъп до свързани потребителски акаунти. През 2021 г. беше разкрито, че Facebook е претърпял сериозно нарушение на подробностите за 533 милиона потребителски акаунта. Тези данни, включително имейли и пароли, подхраниха поток от текущи ATO кампании. 

Как да открием атаки за поглъщане на акаунт

Откриването на признаци на атаки за поглъщане на акаунт е от решаващо значение за предотвратяване на компрометирани акаунти. От входящите съобщения до производителността на вашата система, ето някои индикации за потенциален компромет.

Неочаквана активност в акаунта 

ATO атаките могат да се проявят по редица ключови начини. Например, ако потребител получи известия за повторно задаване на парола или имейли за акаунти, които не са инициирали, това може да означава, че нападател се опитва да получи контрол над неговия акаунт. В такива случаи потребителите трябва да проучат независимо от връзката на подозрителния имейл. Същата тактика се използва за подвеждане на нищо неподозиращите потребители да въведат своите данни във фалшива страница за вход, така че винаги преминавайте през проверените канали. Ако потребителите внезапно се окажат неспособни да осъществят достъп до акаунтите си, въпреки че използват правилни идентификационни данни, това може да е знак за ATO атака. Нападателите може да са променили паролите или да са заключили потребителите от собствените си акаунти. 

Повторните настройки на пароли не са единствената необичайна дейност, генерирана от ATO – неразпознати опити за влизане, промени в личната информация или непознати транзакции може да означават неоторизиран достъп. Ако значително увеличение на спам или фишинг имейли започне да наводнява входяща кутия, това може да означава, че свързаният имейл адрес е изтекъл или е компрометиран.

Лоша производителност на компютъра

В някои случаи компрометираните акаунти може да получат необичайно системно поведение, като бавна производителност, чести сривове или неочаквани изскачащи прозорци. Тези знаци могат да показват наличието на злонамерен софтуер, като кийлогъри.

Как да открием ATO във финансови организации?

Финансовите организации могат да използват ключови подходи за подобряване на защитата си срещу атаки за поглъщане на акаунти. Анализът на поведението на потребителите предоставя основни инструменти, които наблюдават и откриват необичайни модели. Отклоненията във времето за влизане, геолокацията, използването на устройството и хронологията на транзакциите могат да формират сплотена представа за потенциален компромис. Наред с това, анализът на репутацията на IP позволява на организациите да оценят различните IP адреси, които имат достъп до техните системи, помагайки за идентифициране и блокиране на подозрителен трафик. Техниките за пръстов отпечатък на устройството подпомагат разпознаването и проследяването на устройства, използвани за достъп до акаунта, като по този начин откриват опити за превземане на акаунт. Системите за наблюдение на транзакции в реално време, използвайки поведенчески анализ и откриване на аномалии, дават възможност на финансовите институции незабавно да идентифицират и блокират подозрителни или измамни транзакции, като по този начин смекчават въздействието на ATO атаките.

Тези подходи колективно укрепват позицията на сигурност на финансовите организации, образувайки бариера срещу пълен компромет на сметката. 

Защитете вашата компания от атаки за поглъщане на акаунт

За да се предпазят от всякакви атаки за поглъщане на акаунт, всички организации трябва да прилагат няколко слоя най-добри практики както на индивидуално, така и на организационно ниво. 

Индивидуален 

Овластяването на крайните потребители със знанията и инструментите за поддържане на сигурността на акаунтите е жизненоважно. Като потребители на място на всеки акаунт, всеки индивид играе ключова роля в позицията за сигурност на организацията. Уникалните, стабилни пароли са само началото – инструментите за управление на пароли позволяват на потребителите не само да използват практики за сигурни пароли, но и да ги следват без опасност да забравят много сигурни и уникални пароли. 

Наред с това многофакторното удостоверяване (MFA) добавя допълнителен слой на сигурност, като изисква от потребителите да предоставят множество фактори за удостоверяване, като биометрични данни, токени за сигурност и разбира се – пароли. Това намалява риска от ATO атаки, тъй като дори ако паролите са компрометирани, нападателите не могат да получат достъп без допълнителния фактор за удостоверяване.

Организационна

Подкрепяйки усилията на всеки служител, организационните защити срещу ATO са също толкова важни. Реагирането на инциденти със сигурността трябва да бъде циментирано в рутинните процедури на служителите. Създаването на ефективен план за реакция при инциденти със сигурността е от решаващо значение. Организациите трябва да разполагат с протоколи за справяне с ATO инциденти, включително навременна комуникация със засегнатите потребители, разследване и коригиране на компрометирани акаунти и анализ след инцидента за подобряване на мерките за сигурност. Наред с това, мониторингът на активността на акаунта позволява на организациите да откриват и реагират незабавно на подозрителни дейности в акаунта. Чрез анализиране на модели, аномалии и поведенчески индикатори организациите могат да идентифицират опити за ATO, да маркират неоторизиран достъп и да предприемат подходящи действия. И накрая, редовните оценки на сигурността и тестовете за проникване помагат да се идентифицират уязвимостите и слабостите в системите и приложенията. Чрез проактивно справяне с тези проблеми организациите могат да укрепят своите защити срещу ATO атаки и да подобрят цялостната сигурност.

Чрез прилагането на тези практики организациите могат значително да намалят риска от ATO атаки, да защитят чувствителните данни и да запазят доверието на своите потребители. Цялостният подход, който съчетава технологични решения, обучение на потребителите и проактивен мониторинг, е от съществено значение за ефективната борба със заплахите от ATO.

Предотвратяване на атаки за поглъщане на акаунт с LayerX

Разширението за браузър на LayerX е иновативно решение, предназначено да предотврати атаки за превземане на акаунт. LayerX предлага цялостна защита срещу фишинг, препълване на идентификационни данни и отвличане на сесии. Инструментът използва усъвършенствани алгоритми и техники за машинно обучение за анализиране на потребителското поведение, откриване на аномалии и блокиране на подозрителни дейности в реално време. Той също така се интегрира безпроблемно със съществуващата инфраструктура за сигурност, което го прави съвместим с различни браузъри и платформи. С първия фокусиран върху потребителя подход за предотвратяване на ATO, LayerX помага на организациите да подобрят сигурността на своите акаунти, да защитят чувствителната информация и да намалят рисковете, свързани с атаките за поглъщане на акаунти.

Възможности за предотвратяване на превземане на акаунт в LayerX:

  • Засилени изисквания за достъп, базирани на трансформацията на браузъра като допълнителен фактор за удостоверяване, практически предотвратяващ всякакъв достъп, освен ако не е иницииран от защитения с LayerX браузър.
  • Конфигурируеми политики, които използват способността на LayerX да задейства защитно действие при откриване на аномалии в поведението на потребителя, които показват потенциално поглъщане на акаунт. 
  • Конфигурируеми правила, които предупреждават или блокират достъпа при откриване на пренасян от мрежата риск. въз основа на възможностите за откриване на заплахи на машината за риск LayerX.