Ved at bruge metoder, der duperer, manipulerer eller direkte udnytter betroede brugere, sigter angribere efter at drage fordel af kernemekanikken i moderne identitetsbekræftelse og få adgang til en brugers onlinekonto. Når de er iført skikkelse af en brugers konto, får de dybere adgang til ellers stramt forsvarede netværk.
Tillokkelsen ved en sådan åben dør har fået kontoovertagelsesangreb til at skyrocket i popularitet gennem de sidste to år. For eksempel, i 2021 voksede onlinetransaktioner med i alt 65 %, mens kontoovertagelsesangreb steg med 233 % år-til-år. De er nu så almindelige, at en helt ny industri er opstået omkring hvidvaskning af penge stjålet i ATO-angreb. Ved at organisere og mødes gennem Telegram arbejder cyberkriminelle sammen om at forbinde kaprede bankkonti med kryptopunge. Den tyvagtige angriber vil skrive på en sådan gruppe om mængden af stjålne midler, idet han leder efter en anden svindler, der er dygtig til overtagelse af kryptokontoer og tilbyder en kryptokonto at indlæse disse stjålne midler på. Når de først er blevet hvidvasket via en stjålet kryptokonto, trækkes alle midler til en privat tegnebog og deles mellem de to parter.
I et sikkerhedslandskab fyldt med genbrugte og lækkede legitimationsoplysninger, sammen med hurtigt voksende krav til kontoadministration, repræsenterer ATO-angribere en meget organiseret, meget præcis trussel.
Hvordan fungerer en kontoovertagelse?
Med den gennemsnitlige bruger skal håndtere over 100 online konti, er adgangskoder hurtigt kommet ud af rimelig kontrol. Fra bankvirksomhed til frisøraftaler, login-oplysninger ombrydes med hensynsløs opgivelse. Angribere udnytter dette med stigende grad af alvorlighed, i angreb, der spænder fra hyper-personaliserede til spray-and-pray. Ved at udnytte sårbarheder i sikkerhedssystemer og brugeradfærd kan angribere tage kontrol over disse konti til ondsindede formål.
Det følgende er en detaljeret forklaring på, hvordan kontoovertagelsesangreb fungerer:
Rekognoscering
Angribere begynder med at indsamle information om potentielle mål. Konti på sociale medier præsenterer enorme guldgruber af let tilgængelige, personlige oplysninger, som kan bygges ind i skræddersyede sociale ingeniørangreb. Sideløbende med dette er angribernes ammunition forstærket af data fra tidligere databrud.
Credential fyldning
Bevæbnet med de indsamlede data bruger angribere automatiserede værktøjer til systematisk at teste stjålne legitimationsoplysninger på flere websteder og applikationer. Siden mennesker ofte genbruge adgangskoder på tværs af forskellige platforme, er vellykkede logins sandsynligvis, når adgangskoder er blevet kompromitteret i tidligere brud. RockYou21-listen er en utrolig almindelig – og utrolig stor – database med plaintext-legitimationsoplysninger, der tidligere er blevet lækket. Sammensat af over 8.4 milliarder poster, kan angribere anrette omfattende skader uden nogen advarsel.
Brute-Force-angreb
Mens legitimationsstopning forsøger at matche en lækket adgangskode med den korrekte, forsøger brute-force-angreb simpelthen enhver mulig kombination i et forsøg på at gætte. Med automatiseret software, der systematisk genererer og prøver forskellige kombinationer af brugernavne og adgangskoder, udgør brute-force-angreb en særlig risiko for svage og almindeligt anvendte adgangskoder.
Phishing
I stedet for at spilde tid på at gætte, Phishing-angreb får brugerne til blot at aflevere deres adgangskoder. Med vildledende e-mails, beskeder og websteder efterligner angribere velkendte mærker eller tjenester. Intetanende brugere lokkes til at give deres login-legitimationsoplysninger på disse falske websteder og ubevidst videregiver deres kontooplysninger til angriberne.
Legitimationstyveri
Phishing er ikke den eneste form for bedrageri – cyberkriminelle vil ofte forsøge at implementere malware og keyloggere på sårbare enheder. Disse gør det muligt at stjæle legitimationsoplysninger direkte fra brugernes enheder.
Typer af kontoovertagelsesangreb
Det store antal angrebstyper er centreret omkring to vigtige svagheder: brugere og software.
Samfundsteknologi
Social engineering beskriver vildledende taktikker, der drager fordel af enkeltpersoner, overtaler dem til at videregive følsomme oplysninger - eller udføre handlinger, der kompromitterer deres sikkerhed. Phishing er en af de mest almindelige former for social engineering-angreb og involverer stor brug af svigagtige e-mails, beskeder eller websteder, der efterligner deres legitime modparter. Ved at udgive sig for at være en betroet person eller autoritetsfigur foregiver angriberne at være en kollega, en bankrepræsentant eller en retshåndhævende embedsmand for at vinde tillid og udtrække følsomme oplysninger.
Der er dog yderligere forskelle mellem typerne af phishing-angreb. Til kampagner, der har en bred tilgang, er lokkemad en yderst almindelig taktik. Ofre lokkes med løfter om belønninger i bytte for at udføre visse handlinger. Angribere kan efterlade inficerede USB-drev eller sende ondsindede links forklædt som lokkende tilbud, hvilket lokker enkeltpersoner til at kompromittere deres sikkerhed. Spear phishing-angreb fokuserer på den anden side på meget specifikke individer eller organisationer. Angribere bruger timer på at undersøge og indsamle information om målet for at skabe meget personlige og overbevisende beskeder. Spear phishing-angreb bliver ofte udnyttet mod 'hvaler' – højt profilerede personer som administrerende direktører eller højtstående ledere.
Softwaresårbarheder
Mens brugerne er én vej ind, udnytter mange angribere den software, de interagerer med på daglig basis. Den voksende tendens til, at brugere anvender tredjepartstjenester til bekvemt at få adgang til flere konti, har haft drastiske konsekvenser for landskabet for kontoovertagelse. Når alt kommer til alt, hvis disse tredjepartstjenester kompromitteres, kan angribere få adgang til sammenkædede brugerkonti. I 2021 blev det afsløret, at Facebook havde lidt et alvorligt brud på detaljerne for 533 millioner brugerkonti. Disse data, inklusive e-mails og adgangskoder, har givet næring til en strøm af igangværende ATO-kampagner.
Sådan opdager du kontoovertagelsesangreb
Registrering af tegn på kontoovertagelsesangreb er afgørende for at forhindre kompromitterede konti. Fra indgående beskeder til dit systems ydeevne, her er nogle indikationer på potentielt kompromittering.
Uventet kontoaktivitet
ATO-angreb kan manifestere sig på en række vigtige måder. For eksempel, hvis en bruger modtager beskeder om nulstilling af adgangskode eller e-mails for konti, de ikke har startet, kan det indikere, at en hacker forsøger at få kontrol over deres konto. I sådanne tilfælde bør brugere undersøge uafhængigt af den mistænkelige e-mails link. Den samme taktik bruges til at narre intetanende brugere til at indtaste deres detaljer på en falsk login-side, så gå altid gennem de verificerede kanaler. Hvis brugere pludselig ikke kan få adgang til deres konti, på trods af at de bruger korrekte legitimationsoplysninger, kan det være et tegn på et ATO-angreb. Angribere kan have ændret adgangskoder eller låst brugere ude af deres egne konti.
Nulstilling af adgangskode er ikke den eneste usædvanlige aktivitet, der genereres af ATO'er - ugenkendte loginforsøg, ændringer i personlige oplysninger eller ukendte transaktioner kan indikere uautoriseret adgang. Hvis en betydelig stigning i spam- eller phishing-e-mails begynder at oversvømme en indbakke, kan det tyde på, at den tilknyttede e-mailadresse er blevet lækket eller kompromitteret.
Dårlig pc-ydelse
I nogle tilfælde kan kompromitterede konti opleve usædvanlig systemadfærd, såsom langsom ydeevne, hyppige nedbrud eller uventede pop op-vinduer. Disse tegn kan indikere tilstedeværelsen af malware såsom keyloggere.
Hvordan opdager man ATO i finansielle organisationer?
Finansielle organisationer kan anvende nøgletilgange til at forbedre deres forsvar mod kontoovertagelsesangreb. Brugeradfærdsanalyse giver vigtige værktøjer, der overvåger og registrerer unormale mønstre. Afvigelser i logintider, geoplacering, enhedsbrug og transaktionshistorik kan alle danne et sammenhængende billede af potentielt kompromis. Sideløbende med dette sætter IP-omdømmeanalyse organisationer i stand til at vurdere de forskellige IP-adresser, der får adgang til deres systemer, og hjælper med at identificere og blokere mistænkelig trafik. Enhedsfingeraftryksteknikker hjælper med at genkende og spore enheder, der bruges til kontoadgang, og detekterer derved forsøg på kontoovertagelse. Transaktionsovervågningssystemer i realtid, der anvender adfærdsanalyse og anomalidetektion, giver finansielle institutioner mulighed for omgående at identificere og blokere mistænkelige eller svigagtige transaktioner og derved afbøde virkningen af ATO-angreb.
Disse tilgange styrker tilsammen sikkerhedspositionen for finansielle organisationer og danner en barriere mod fuld kontokompromis.
Beskyt din virksomhed mod kontoovertagelsesangreb
For at beskytte mod ethvert kontoovertagelsesangreb bør alle organisationer implementere flere lag af bedste praksis på både det individuelle og organisatoriske niveau.
Individuel
Det er afgørende at give slutbrugerne viden og værktøjer til at holde konti sikre. Som brugere på jorden af hver konto spiller hver enkelt en nøglerolle i en organisations sikkerhedsposition. Unikke, robuste adgangskoder er kun begyndelsen – adgangskodeadministrationsværktøjer giver brugerne mulighed for ikke kun at bruge sikker adgangskodepraksis, men også følge dem uden fare for at glemme meget sikre og unikke adgangskoder.
Sideløbende med dette tilføjer Multi-Factor Authentication (MFA) et ekstra lag af sikkerhed ved at kræve, at brugerne leverer flere autentificeringsfaktorer, såsom biometri, sikkerhedstokens og selvfølgelig - adgangskoder. Dette mindsker risikoen for ATO-angreb, da selv hvis adgangskoder er kompromitteret, kan angribere ikke få adgang uden den ekstra autentificeringsfaktor.
Organisatorisk
For at støtte enhver medarbejders indsats er organisatorisk forsvar mod ATO lige så afgørende. Reaktion på sikkerhedshændelser skal cementeres i medarbejderrutiner. Det er afgørende at etablere en effektiv reaktionsplan for sikkerhedshændelser. Organisationer bør have protokoller på plads til at håndtere ATO-hændelser, herunder rettidig kommunikation med berørte brugere, undersøgelse og afhjælpning af kompromitterede konti og analyse efter hændelsen for at forbedre sikkerhedsforanstaltningerne. Sideløbende med dette giver overvågning af kontoaktivitet organisationer mulighed for at opdage og reagere på mistænkelige kontoaktiviteter omgående. Ved at analysere mønstre, anomalier og adfærdsindikatorer kan organisationer identificere ATO-forsøg, markere uautoriseret adgang og træffe passende foranstaltninger. Endelig hjælper regelmæssige sikkerhedsvurderinger og penetrationstest med at identificere sårbarheder og svagheder i systemer og applikationer. Ved proaktivt at håndtere disse problemer kan organisationer styrke deres forsvar mod ATO-angreb og forbedre den overordnede sikkerhed.
Ved at implementere disse praksisser kan organisationer reducere risikoen for ATO-angreb markant, beskytte følsomme data og bevare deres brugeres tillid. En omfattende tilgang, der kombinerer teknologiske løsninger, brugeruddannelse og proaktiv overvågning, er afgørende for effektivt at bekæmpe ATO-trusler.
Forebyggelse af kontoovertagelsesangreb med LayerX
LayerX's browserudvidelse er en innovativ løsning designet til at forhindre kontoovertagelsesangreb. LayerX tilbyder omfattende beskyttelse mod phishing, credential stuffing og sessionskapring. Værktøjet anvender avancerede algoritmer og maskinlæringsteknikker til at analysere brugeradfærd, opdage anomalier og blokere mistænkelige aktiviteter i realtid. Den integreres også problemfrit med eksisterende sikkerhedsinfrastruktur, hvilket gør den kompatibel med forskellige browsere og platforme. Med den første brugerfokuserede tilgang til ATO-forebyggelse hjælper LayerX organisationer med at forbedre deres kontosikkerhed, beskytte følsomme oplysninger og mindske de risici, der er forbundet med kontoovertagelsesangreb.
Forebyggelse af LayerX-kontoovertagelsesfunktioner:
- Skærpede adgangskrav baseret på transformation af browseren som en ekstra godkendelsesfaktor, der praktisk talt forhindrer enhver adgang, medmindre den startes af den LayerX-beskyttede browser.
- Konfigurerbare politikker, der udnytter LayerX's evne til at udløse en beskyttende handling, når der registreres brugeradfærdsmæssige uregelmæssigheder, der indikerer en potentiel kontoovertagelse.
- Konfigurerbare politikker, der advarer eller blokerer adgang ved detektering af en web-båren risiko. baseret på LayerX's risikomotor-trusselsdetektionsfunktioner.