Ved å bruke metoder som lurer, manipulerer eller direkte utnytter pålitelige brukere, har angripere som mål å dra nytte av kjernemekanikken til moderne identitetsverifisering, og få tilgang til en brukers nettkonto. Når de har på seg en brukers konto, får de dypere tilgang til ellers tett forsvarte nettverk.
Lokkingen til en så åpen dør har ført til at angrep på kontoovertakelse har økt i popularitet gjennom de siste to årene. For eksempel, i 2021, vokste netttransaksjoner med totalt 65 %, mens kontoovertakelsesangrep økt med 233 % på årsbasis. De er nå så vanlige at en helt ny industri har dukket opp rundt hvitvasking av midler stjålet i ATO-angrep. Nettkriminelle organiserer og møter gjennom Telegram og jobber sammen for å koble sammen kaprede bankkontoer med kryptolommebøker. Den tyvende angriperen vil legge ut på en slik gruppe om mengden stjålne midler, og søke en annen svindler som er dyktig i overtakelse av kryptokontoer og tilbyr en kryptokonto å laste de stjålne midlene på. Når de er vasket via en stjålet kryptokonto, blir alle midler trukket tilbake til en privat lommebok og delt mellom de to partene.
I et sikkerhetslandskap med gjenbrukt og lekket legitimasjon, sammen med raskt oppblåste krav til kontoadministrasjon, representerer ATO-angripere en svært organisert, svært presis trussel.
Hvordan fungerer en kontoovertakelse?
Med den gjennomsnittlige brukeren som må håndtere over 100 nettkontoer, passord har raskt kommet ut av rimelig kontroll. Fra banktjenester til frisøravtaler, påloggingsinformasjon blir slått om med hensynsløs oppgivelse. Angripere utnytter dette med økende grad av alvorlighetsgrad, i angrep som spenner fra hyperpersonlig til spray-and-pray. Ved å utnytte sårbarheter i sikkerhetssystemer og brukeratferd, kan angripere ta kontroll over disse kontoene for ondsinnede formål.
Følgende er en detaljert forklaring på hvordan kontoovertakelsesangrep fungerer:
Rekognosering
Angripere begynner med å samle informasjon om potensielle mål. Sosiale medier-kontoer presenterer enorme gullgruver av lett tilgjengelig, personlig informasjon, som kan bygges inn i skreddersydde sosiale ingeniørangrep. Ved siden av dette er angripernes ammunisjon forsterket av data fra tidligere datainnbrudd.
Legitimasjonsfylling
Bevæpnet med de innhentede dataene bruker angripere automatiserte verktøy for systematisk å teste stjålne legitimasjon på flere nettsteder og applikasjoner. Siden folk ofte gjenbruk passord på ulike plattformer, er vellykkede pålogginger sannsynligvis når passord har blitt kompromittert i tidligere brudd. RockYou21-listen er en utrolig vanlig – og utrolig stor – database med rentekst-legitimasjon som tidligere har blitt lekket. Sammensatt av over 8.4 milliarder oppføringer, kan angripere forårsake omfattende skade uten forvarsel.
Brute-Force-angrep
Samtidig som legitimasjonsstopping prøver å matche et lekket passord med det riktige, prøver brute-force-angrep ganske enkelt alle mulige kombinasjoner, i et forsøk på å gjette. Med automatisert programvare som systematisk genererer og prøver forskjellige kombinasjoner av brukernavn og passord, utgjør brute-force-angrep en spesiell risiko for svake og ofte brukte passord.
Phishing
I stedet for å kaste bort tid på å gjette, phishing-angrep får brukerne til å bare levere passordene sine. Med villedende e-poster, meldinger og nettsteder imiterer angripere kjente merkevarer eller tjenester. Intetanende brukere blir lokket til å oppgi påloggingsinformasjonen sin på disse falske sidene, og uten å vite det overleverer kontodetaljene sine til angriperne.
Legitimasjonstyveri
Phishing er ikke den eneste formen for bedrag – cyberkriminelle vil ofte forsøke å distribuere skadelig programvare og keyloggere på sårbare enheter. Disse gjør at legitimasjon kan stjeles direkte fra brukernes enheter.
Typer kontoovertakelsesangrep
Det store antallet angrepstyper sentrerer seg rundt to viktige svakheter: brukere og programvare.
Sosialteknikk
Sosial ingeniørkunst beskriver villedende taktikker som utnytter enkeltpersoner, overtaler dem til å røpe sensitiv informasjon – eller utføre handlinger som kompromitterer deres sikkerhet. Phishing er en av de vanligste formene for sosiale ingeniørangrep, og involverer stor bruk av uredelige e-poster, meldinger eller nettsteder som imiterer deres legitime motparter. Ved å utgi seg for å være en pålitelig person eller autoritetsfigur, utgir angripere seg for å være en kollega, en bankrepresentant eller en politimann for å oppnå tillit og trekke ut sensitiv informasjon.
Det er imidlertid ytterligere forskjeller mellom typene phishing-angrep. For kampanjer som har en bred tilnærming, er lokking en ekstremt vanlig taktikk. Ofre blir lokket med løfter om belønning i bytte for å utføre visse handlinger. Angripere kan forlate infiserte USB-stasjoner eller sende ondsinnede lenker forkledd som fristende tilbud, og lokke enkeltpersoner til å kompromittere sikkerheten deres. Spear phishing-angrep, derimot, fokuserer på svært spesifikke individer eller organisasjoner. Angripere bruker timer på å undersøke og samle informasjon om målet for å lage svært personlige og overbevisende meldinger. Spyd-phishing-angrep brukes ofte mot "hvaler" – høyprofilerte personer som administrerende direktører eller høytstående ledere.
Programvaresårbarheter
Mens brukere er en vei inn, utnytter mange angripere programvaren de samhandler med på daglig basis. Den økende trenden med at brukere bruker tredjepartstjenester for å få tilgang til flere kontoer på en enkel måte, har hatt drastiske konsekvenser for landskapet for kontoovertakelse. Tross alt, hvis disse tredjepartstjenestene er kompromittert, kan angripere få tilgang til koblede brukerkontoer. I 2021 ble det avslørt at Facebook hadde blitt utsatt for et alvorlig brudd på detaljene for 533 millioner brukerkontoer. Disse dataene, inkludert e-post og passord, har ført til en strøm av pågående ATO-kampanjer.
Hvordan oppdage kontoovertakelsesangrep
Å oppdage tegn på kontoovertakelsesangrep er avgjørende for å forhindre kompromitterte kontoer. Fra innkommende meldinger til systemets ytelse, her er noen indikasjoner på potensielt kompromittering.
Uventet kontoaktivitet
ATO-angrep kan manifestere seg på en rekke viktige måter. For eksempel, hvis en bruker mottar varsler om tilbakestilling av passord eller e-poster for kontoer de ikke har startet, kan det tyde på at en angriper prøver å få kontroll over kontoen sin. I slike tilfeller bør brukere undersøke uavhengig av koblingen til den mistenkelige e-posten. Den samme taktikken brukes til å lure intetanende brukere til å legge inn detaljene sine på en falsk påloggingsside, så gå alltid gjennom de bekreftede kanalene. Hvis brukere plutselig ikke kan få tilgang til kontoene sine, til tross for at de bruker riktig legitimasjon, kan det være et tegn på et ATO-angrep. Angripere kan ha endret passord eller låst brukere ute fra sine egne kontoer.
Tilbakestilling av passord er ikke den eneste uvanlige aktiviteten som genereres av ATO-er – ukjente påloggingsforsøk, endringer i personlig informasjon eller ukjente transaksjoner kan indikere uautorisert tilgang. Hvis en betydelig økning i spam eller phishing-e-poster begynner å oversvømme en innboks, kan det tyde på at den tilknyttede e-postadressen har blitt lekket eller kompromittert.
Dårlig PC-ytelse
I noen tilfeller kan kompromitterte kontoer oppleve uvanlig systematferd, for eksempel treg ytelse, hyppige krasj eller uventede popup-vinduer. Disse tegnene kan indikere tilstedeværelsen av skadelig programvare som keyloggere.
Hvordan oppdage ATO i finansielle organisasjoner?
Finansielle organisasjoner kan bruke nøkkeltilnærminger for å forbedre forsvaret mot kontoovertakelsesangrep. Brukeratferdsanalyse gir viktige verktøy som overvåker og oppdager unormale mønstre. Avvik i påloggingstider, geolokalisering, enhetsbruk og transaksjonshistorikk kan alle danne et sammenhengende syn på potensielt kompromiss. Ved siden av dette gjør IP-omdømmeanalysen organisasjoner i stand til å vurdere de ulike IP-adressene som får tilgang til systemene deres, og hjelper til med å identifisere og blokkere mistenkelig trafikk. Enhetsfingeravtrykksteknikker hjelper til med å gjenkjenne og spore enheter som brukes for kontotilgang, og oppdager dermed forsøk på kontoovertakelse. Sanntidstransaksjonsovervåkingssystemer, som bruker atferdsanalyse og avviksdeteksjon, gir finansinstitusjoner mulighet til raskt å identifisere og blokkere mistenkelige eller uredelige transaksjoner, og dermed redusere virkningen av ATO-angrep.
Disse tilnærmingene styrker samlet sikkerhetsstillingen til finansielle organisasjoner, og danner en barriere mot fullstendig kontokompromittering.
Beskytt selskapet ditt mot angrep på kontoovertakelse
For å beskytte mot ethvert angrep på kontoovertakelse, bør alle organisasjoner implementere flere lag med beste praksis både på individ- og organisasjonsnivå.
Individuell
Det er viktig å gi sluttbrukere kunnskap og verktøy for å holde kontoer sikre. Som brukere på bakken av hver konto, spiller hver enkelt en nøkkelrolle i en organisasjons sikkerhetsholdning. Unike, robuste passord er bare begynnelsen – passordadministrasjonsverktøy lar brukere ikke bare bruke sikker passordpraksis, men også følge dem uten fare for å glemme svært sikre og unike passord.
Ved siden av dette legger Multi-Factor Authentication (MFA) til et ekstra lag med sikkerhet ved å kreve at brukerne oppgir flere autentiseringsfaktorer, for eksempel biometri, sikkerhetstokens og selvfølgelig - passord. Dette reduserer risikoen for ATO-angrep, da selv om passord er kompromittert, kan angripere ikke få tilgang uten den ekstra autentiseringsfaktoren.
organisasjons~~POS=TRUNC
For å støtte innsatsen til hver ansatt, er organisatorisk forsvar mot ATO like avgjørende. Respons på sikkerhetshendelser må sementeres inn i ansattes rutiner. Det er avgjørende å etablere en effektiv responsplan for sikkerhetshendelser. Organisasjoner bør ha protokoller på plass for å håndtere ATO-hendelser, inkludert rettidig kommunikasjon med berørte brukere, etterforskning og utbedring av kompromitterte kontoer og analyser etter hendelsen for å forbedre sikkerhetstiltakene. Ved siden av dette lar overvåking av kontoaktivitet organisasjoner oppdage og svare på mistenkelige kontoaktiviteter umiddelbart. Ved å analysere mønstre, anomalier og atferdsindikatorer kan organisasjoner identifisere ATO-forsøk, flagge uautorisert tilgang og iverksette passende tiltak. Til slutt hjelper regelmessige sikkerhetsvurderinger og penetrasjonstesting med å identifisere sårbarheter og svakheter i systemer og applikasjoner. Ved å ta opp disse problemene proaktivt, kan organisasjoner styrke forsvaret mot ATO-angrep og forbedre den generelle sikkerheten.
Ved å implementere denne praksisen kan organisasjoner redusere risikoen for ATO-angrep betydelig, beskytte sensitive data og opprettholde tilliten til brukerne. En omfattende tilnærming som kombinerer teknologiske løsninger, brukerutdanning og proaktiv overvåking er avgjørende for å effektivt bekjempe ATO-trusler.
Forebygging av angrep mot kontoovertakelse med LayerX
LayerXs nettleserutvidelse er en innovativ løsning designet for å forhindre angrep på kontoovertakelse. LayerX tilbyr omfattende beskyttelse mot phishing, legitimasjonsfylling og øktkapring. Verktøyet bruker avanserte algoritmer og maskinlæringsteknikker for å analysere brukeratferd, oppdage anomalier og blokkere mistenkelige aktiviteter i sanntid. Den integreres også sømløst med eksisterende sikkerhetsinfrastruktur, noe som gjør den kompatibel med forskjellige nettlesere og plattformer. Med den første brukerfokuserte tilnærmingen til ATO-forebygging, hjelper LayerX organisasjoner med å forbedre kontosikkerheten deres, beskytte sensitiv informasjon og redusere risikoen forbundet med kontoovertakelsesangrep.
Forebyggende evner for LayerX-kontoovertakelse:
- Skjerpede tilgangskrav basert på transformasjon av nettleseren som en ekstra autentiseringsfaktor, som praktisk talt forhindrer all tilgang med mindre den er initiert av den LayerX-beskyttede nettleseren.
- Konfigurerbare policyer som utnytter LayerXs evne til å utløse en beskyttende handling ved oppdagelse av brukeradferdsavvik som indikerer en potensiell kontoovertakelse.
- Konfigurerbare retningslinjer som varsler eller blokkerer tilgang ved oppdagelse av nettbåren risiko. basert på LayerXs risikomotor-trusselsdeteksjonsfunksjoner.