Door gebruik te maken van methoden die vertrouwde gebruikers duperen, manipuleren of volledig uitbuiten, proberen aanvallers te profiteren van het kernmechanisme van moderne identiteitsverificatie en toegang te krijgen tot het online account van een gebruiker. Zodra ze de gedaante van een gebruikersaccount dragen, krijgen ze diepere toegang tot anderszins goed verdedigde netwerken.
Door de aantrekkingskracht van zo'n open deur zijn aanvallen op accountovernames de afgelopen twee jaar enorm in populariteit gestegen. In 2021 groeiden de online transacties bijvoorbeeld met in totaal 65%, terwijl er aanvallen op accounts werden overgenomen steeg met 233% op jaarbasis. Ze zijn nu zo gebruikelijk dat er een geheel nieuwe industrie is ontstaan rond het witwassen van geld dat is gestolen bij ATO-aanvallen. Cybercriminelen organiseren en ontmoeten elkaar via Telegram en werken samen om gekaapte bankrekeningen te koppelen aan crypto-wallets. De stelende aanvaller zal op zo'n groep posten over de hoeveelheid gestolen geld, op zoek naar een andere fraudeur die bekwaam is in het overnemen van crypto-accounts en een crypto-account aanbiedt om dat gestolen geld op te laden. Eenmaal witgewassen via een gestolen crypto-account, wordt al het geld opgenomen in een privéportemonnee en verdeeld tussen de twee partijen.
In een beveiligingslandschap vol hergebruikte en gelekte inloggegevens, naast de snel toenemende eisen op het gebied van accountbeheer, vormen ATO-aanvallers een zeer georganiseerde, scherp nauwkeurige dreiging.
Hoe werkt een accountovername?
Waar de gemiddelde gebruiker mee te maken heeft meer dan 100 online-accounts, zijn wachtwoorden snel uit de hand gelopen. Van bankzaken tot kappersafspraken, inloggegevens worden met roekeloze overgave omgegooid. Aanvallers maken hier in toenemende mate misbruik van, met aanvallen die variëren van hypergepersonaliseerd tot spray-and-pray. Door kwetsbaarheden in beveiligingssystemen en gebruikersgedrag te misbruiken, kunnen aanvallers voor snode doeleinden de controle over deze accounts overnemen.
Hieronder volgt een gedetailleerde uitleg van hoe aanvallen op accountovernames werken:
verkenning
Aanvallers beginnen met het verzamelen van informatie over potentiële doelwitten. Sociale media-accounts bieden enorme goudmijnen aan gemakkelijk toegankelijke, persoonlijke informatie, die kunnen worden opgebouwd in op maat gemaakte social engineering-aanvallen. Daarnaast wordt de munitie van de aanvallers aangevuld met gegevens van eerdere datalekken.
Inloggegevens opvullen
Gewapend met de verkregen gegevens gebruiken aanvallers geautomatiseerde tools om systematisch gestolen inloggegevens op meerdere websites en applicaties te testen. Omdat mensen vaak hergebruik wachtwoorden op verschillende platforms, succesvolle logins zijn waarschijnlijk wanneer wachtwoorden zijn gecompromitteerd bij eerdere inbreuken. De RockYou21-lijst is een ongelooflijk veel voorkomende – en ongelooflijk grote – database met inloggegevens in platte tekst die eerder zijn gelekt. Samengesteld uit meer dan 8.4 miljard inzendingenkunnen aanvallers zonder enige waarschuwing grote schade aanrichten.
Aanvallen met brute kracht
Terwijl referentie vulling pogingen om een gelekt wachtwoord te matchen met het juiste wachtwoord, proberen brute-force-aanvallen eenvoudigweg elke mogelijke combinatie uit, in een poging het te raden. Met geautomatiseerde software die systematisch verschillende combinaties van gebruikersnamen en wachtwoorden genereert en probeert, vormen brute-force-aanvallen een bijzonder risico voor zwakke en veelgebruikte wachtwoorden.
Phishing
In plaats van tijd te verspillen met raden, Phishing-aanvallen zorgen ervoor dat gebruikers eenvoudigweg hun wachtwoord overhandigen. Met misleidende e-mails, berichten en websites imiteren aanvallers bekende merken of diensten. Nietsvermoedende gebruikers worden ertoe verleid hun inloggegevens op deze nepsites op te geven, waarbij ze onbewust hun accountgegevens aan de aanvallers overhandigen.
Diefstal van inloggegevens
Phishing is niet de enige vorm van misleiding; cybercriminelen zullen vaak proberen malware en keyloggers op kwetsbare apparaten te plaatsen. Hiermee kunnen inloggegevens rechtstreeks van de apparaten van gebruikers worden gestolen.
Soorten accountovernameaanvallen
Het enorme aantal aanvalstypen concentreert zich rond twee belangrijke zwakke punten: gebruikers en software.
Social engineering
Social engineering beschrijft misleidende tactieken die misbruik maken van individuen, hen overhalen gevoelige informatie vrij te geven – of acties uit te voeren die hun veiligheid in gevaar brengen. Phishing is een van de meest voorkomende vormen van social engineering-aanvallen en omvat intensief gebruik van frauduleuze e-mails, berichten of websites die hun legitieme tegenhangers imiteren. Door zich voor te doen als een vertrouwd persoon of autoriteitsfiguur, doen aanvallers zich voor als een collega, een bankvertegenwoordiger of een wetshandhavingsfunctionaris om vertrouwen te winnen en gevoelige informatie te achterhalen.
Er zijn echter nog meer verschillen tussen de soorten phishing-aanvallen. Voor campagnes met een brede aanpak is baiting een zeer gebruikelijke tactiek. Slachtoffers worden verleid met beloften van beloningen in ruil voor het uitvoeren van bepaalde acties. Aanvallers kunnen geïnfecteerde USB-drives achterlaten of kwaadaardige links versturen, vermomd als verleidelijke aanbiedingen, waardoor individuen ertoe worden verleid hun veiligheid in gevaar te brengen. Spearphishing-aanvallen richten zich daarentegen op zeer specifieke individuen of organisaties. Aanvallers besteden uren aan het onderzoeken en verzamelen van informatie over het doelwit om zeer gepersonaliseerde en overtuigende berichten te creëren. Spearphishing-aanvallen worden vaak ingezet tegen 'walvissen': spraakmakende personen zoals CEO's of hooggeplaatste leidinggevenden.
Softwarekwetsbaarheden
Hoewel gebruikers maar één manier hebben om binnen te komen, maken veel aanvallers gebruik van de software waarmee ze dagelijks communiceren. De groeiende trend dat gebruikers diensten van derden gebruiken om gemakkelijk toegang te krijgen tot meerdere accounts heeft drastische gevolgen gehad voor het landschap van accountovername. Als deze diensten van derden in gevaar komen, kunnen aanvallers immers toegang krijgen tot gekoppelde gebruikersaccounts. In 2021 werd bekend dat Facebook een ernstige schending van de gegevens had geleden 533 miljoen gebruikersaccounts. Deze gegevens, inclusief e-mails en wachtwoorden, hebben een stortvloed aan lopende ATO-campagnes aangewakkerd.
Hoe u accountovername-aanvallen kunt detecteren
Het detecteren van tekenen van aanvallen op accounts is van cruciaal belang om gecompromitteerde accounts te voorkomen. Van inkomende berichten tot de prestaties van uw systeem: hier volgen enkele aanwijzingen voor mogelijke inbreuken.
Onverwachte accountactiviteit
ATO-aanvallen kunnen zich op een aantal belangrijke manieren manifesteren. Als een gebruiker bijvoorbeeld meldingen over het opnieuw instellen van het wachtwoord of e-mails ontvangt voor accounts die hij niet heeft gestart, kan dit erop wijzen dat een aanvaller probeert controle over zijn account te krijgen. In dergelijke gevallen moeten gebruikers het onderzoek onafhankelijk van de link in de verdachte e-mail uitvoeren. Dezelfde tactiek wordt gebruikt om nietsvermoedende gebruikers ertoe te verleiden hun gegevens op een valse inlogpagina in te voeren, dus volg altijd de geverifieerde kanalen. Als gebruikers plotseling geen toegang meer kunnen krijgen tot hun accounts, ondanks het gebruik van de juiste inloggegevens, kan dit een teken zijn van een ATO-aanval. Aanvallers hebben mogelijk wachtwoorden gewijzigd of gebruikers uitgesloten van hun eigen accounts.
Het opnieuw instellen van wachtwoorden is niet de enige ongebruikelijke activiteit die door ATO's wordt gegenereerd: niet-herkende inlogpogingen, wijzigingen in persoonlijke gegevens of onbekende transacties kunnen duiden op ongeautoriseerde toegang. Als een aanzienlijke toename van spam- of phishing-e-mails een inbox begint te overspoelen, kan dit erop wijzen dat het bijbehorende e-mailadres is gelekt of gecompromitteerd.
Slechte pc-prestaties
In sommige gevallen kunnen gecompromitteerde accounts ongebruikelijk systeemgedrag vertonen, zoals trage prestaties, frequente crashes of onverwachte pop-ups. Deze signalen kunnen duiden op de aanwezigheid van malware zoals keyloggers.
Hoe ATO detecteren in financiële organisaties?
Financiële organisaties kunnen belangrijke benaderingen toepassen om hun verdediging tegen aanvallen op accountovernames te verbeteren. Analyses van gebruikersgedrag bieden essentiële tools die abnormale patronen monitoren en detecteren. Afwijkingen in inlogtijden, geolocatie, apparaatgebruik en transactiegeschiedenis kunnen allemaal een samenhangend beeld vormen van mogelijke compromissen. Daarnaast stelt IP-reputatieanalyse organisaties in staat de verschillende IP-adressen te beoordelen die toegang krijgen tot hun systemen, waardoor verdacht verkeer kan worden geïdentificeerd en geblokkeerd. Apparaatvingerafdruktechnieken helpen bij het herkennen en volgen van apparaten die worden gebruikt voor accounttoegang, waardoor pogingen tot accountovername worden gedetecteerd. Real-time transactiemonitoringsystemen, die gebruik maken van gedragsanalyse en anomaliedetectie, stellen financiële instellingen in staat om onmiddellijk verdachte of frauduleuze transacties te identificeren en te blokkeren, waardoor de impact van ATO-aanvallen wordt beperkt.
Deze benaderingen versterken gezamenlijk de veiligheidspositie van financiële organisaties en vormen een barrière tegen volledige accountcompromisjes.
Bescherm uw bedrijf tegen aanvallen op accountovernames
Ter bescherming tegen elke aanval op accountovername moeten alle organisaties verschillende lagen van best practices implementeren, zowel op individueel als op organisatorisch niveau.
Individu
Het is van cruciaal belang om eindgebruikers te voorzien van de kennis en hulpmiddelen om accounts veilig te houden. Als lokale gebruiker van elk account speelt elk individu een sleutelrol in het beveiligingsbeleid van een organisatie. Unieke, robuuste wachtwoorden zijn nog maar het begin. Met tools voor wachtwoordbeheer kunnen gebruikers niet alleen veilige wachtwoordpraktijken gebruiken, maar deze ook volgen zonder het gevaar te lopen zeer veilige en unieke wachtwoorden te vergeten.
Daarnaast voegt Multi-Factor Authenticatie (MFA) een extra beveiligingslaag toe door van gebruikers te eisen dat ze meerdere authenticatiefactoren opgeven, zoals biometrie, beveiligingstokens en natuurlijk wachtwoorden. Dit verkleint het risico op ATO-aanvallen, want zelfs als wachtwoorden in gevaar komen, kunnen aanvallers geen toegang krijgen zonder de extra authenticatiefactor.
Organisatorisch
Ter ondersteuning van de inspanningen van iedere medewerker is de verdediging van de organisatie tegen ATO net zo cruciaal. De respons op beveiligingsincidenten moet worden ingebed in de routines van medewerkers. Het opstellen van een effectief responsplan voor beveiligingsincidenten is van cruciaal belang. Organisaties moeten over protocollen beschikken om ATO-incidenten af te handelen, waaronder tijdige communicatie met getroffen gebruikers, onderzoek en herstel van gecompromitteerde accounts, en analyse na een incident om de beveiligingsmaatregelen te verbeteren. Daarnaast zorgt het monitoren van accountactiviteiten ervoor dat organisaties verdachte accountactiviteiten snel kunnen detecteren en hierop kunnen reageren. Door patronen, afwijkingen en gedragsindicatoren te analyseren, kunnen organisaties ATO-pogingen identificeren, ongeautoriseerde toegang markeren en passende actie ondernemen. Ten slotte helpen regelmatige beveiligingsbeoordelingen en penetratietests kwetsbaarheden en zwakheden in systemen en applicaties te identificeren. Door deze problemen proactief aan te pakken, kunnen organisaties hun verdediging tegen ATO-aanvallen versterken en de algehele beveiliging verbeteren.
Door deze praktijken te implementeren kunnen organisaties het risico op ATO-aanvallen aanzienlijk verminderen, gevoelige gegevens beschermen en het vertrouwen van hun gebruikers behouden. Een alomvattende aanpak die technologische oplossingen, gebruikerseducatie en proactieve monitoring combineert, is essentieel om ATO-bedreigingen effectief te bestrijden.
Preventie van accountovernameaanvallen met LayerX
De browserextensie van LayerX is een innovatieve oplossing die is ontworpen om aanvallen op accountovername te voorkomen. LayerX biedt uitgebreide bescherming tegen phishing, credential stuffing en sessiekaping. De tool maakt gebruik van geavanceerde algoritmen en machine learning-technieken om gebruikersgedrag te analyseren, afwijkingen te detecteren en verdachte activiteiten in realtime te blokkeren. Het integreert ook naadloos met de bestaande beveiligingsinfrastructuur, waardoor het compatibel is met verschillende browsers en platforms. Met de eerste gebruikersgerichte benadering van ATO-preventie helpt LayerX organisaties hun accountbeveiliging te verbeteren, gevoelige informatie te beschermen en de risico's te beperken die gepaard gaan met aanvallen op accountovernames.
Mogelijkheden ter preventie van LayerX-accountovername:
- Verscherpte toegangsvereisten gebaseerd op de transformatie van de browser als een extra authenticatiefactor, waardoor vrijwel elke toegang wordt voorkomen tenzij geïnitieerd door de met LayerX beveiligde browser.
- Configureerbaar beleid dat gebruik maakt van het vermogen van LayerX om een beschermende actie te activeren bij het detecteren van gedragsafwijkingen van gebruikers die duiden op een mogelijke accountovername.
- Configureerbaar beleid dat de toegang waarschuwt of blokkeert bij het detecteren van een internetrisico. gebaseerd op de risicodetectiemogelijkheden van LayerX.