Utilizando métodos que enganam, manipulam ou exploram usuários confiáveis, os invasores pretendem aproveitar a mecânica central da verificação de identidade moderna e obter acesso à conta online de um usuário. Uma vez disfarçados de conta de usuário, eles recebem acesso mais profundo a redes que de outra forma seriam fortemente defendidas.
A atração dessa porta aberta fez com que os ataques de controle de contas disparassem em popularidade nos últimos dois anos. Por exemplo, em 2021, as transações online cresceram um total de 65%, enquanto os ataques de apropriação de contas aumentou 233% A/A. Eles são agora tão comuns que surgiu uma indústria inteiramente nova em torno da lavagem de fundos roubados em ataques ATO. Organizando-se e reunindo-se através do Telegram, os cibercriminosos trabalham juntos para conectar contas bancárias sequestradas a carteiras criptografadas. O invasor ladrão postará em tal grupo sobre a quantidade de fundos roubados, procurando outro fraudador especializado em aquisição de contas criptográficas que ofereça uma conta criptografada para carregar esses fundos roubados. Uma vez lavados através de uma conta criptográfica roubada, todos os fundos são retirados para uma carteira privada e divididos entre as duas partes.
Num cenário de segurança repleto de credenciais reutilizadas e vazadas, juntamente com demandas cada vez maiores de gerenciamento de contas, os invasores ATO representam uma ameaça altamente organizada e extremamente precisa.
Como funciona uma aquisição de conta?
Com o usuário médio tendo que lidar mais de 100 contas online, as senhas rapidamente saíram do controle razoável. De serviços bancários a consultas de barbeiro, as informações de login são divulgadas com abandono imprudente. Os invasores exploram isso com graus crescentes de severidade, em ataques que variam de hiperpersonalizados a spray-and-pray. Ao explorar vulnerabilidades nos sistemas de segurança e no comportamento dos usuários, os invasores podem assumir o controle dessas contas para fins nefastos.
A seguir está uma explicação detalhada de como funcionam os ataques de controle de contas:
Reconhecimento
Os invasores começam coletando informações sobre alvos potenciais. As contas de mídia social apresentam vastas minas de ouro de informações pessoais facilmente acessíveis, que podem ser construídas em ataques personalizados de engenharia social. Paralelamente, a munição dos invasores é reforçada por dados de violações de dados anteriores.
Recheio de credenciais
Armados com os dados adquiridos, os invasores usam ferramentas automatizadas para testar sistematicamente credenciais roubadas em vários sites e aplicativos. Como as pessoas muitas vezes reutilizar senhas em diferentes plataformas, é provável que haja logins bem-sucedidos quando as senhas foram comprometidas em violações anteriores. A lista RockYou21 é um banco de dados incrivelmente comum – e incrivelmente grande – de credenciais de texto simples que já vazaram. Compilado de mais 8.4 bilhões de entradas, os invasores podem causar danos extensos sem nenhum aviso.
Ataques de Força Bruta
Enquanto recheio de credenciais Na tentativa de combinar uma senha vazada com a senha correta, os ataques de força bruta simplesmente tentam todas as combinações possíveis, em um esforço para adivinhar. Com software automatizado que gera e testa sistematicamente diferentes combinações de nomes de usuário e senhas, os ataques de força bruta apresentam um risco específico para senhas fracas e comumente usadas.
Phishing
Em vez de perder tempo adivinhando, ataques de phishing fazem com que os usuários simplesmente entreguem suas senhas. Com e-mails, mensagens e sites enganosos, os invasores imitam marcas ou serviços conhecidos. Usuários desavisados são atraídos a fornecer suas credenciais de login nesses sites falsos, entregando, sem saber, os detalhes de suas contas aos invasores.
Roubo de Credencial
O phishing não é a única forma de fraude – os criminosos cibernéticos muitas vezes tentam implantar malware e keyloggers em dispositivos vulneráveis. Isso permite que as credenciais sejam roubadas diretamente dos dispositivos dos usuários.
Tipos de ataques de controle de conta
O grande número de tipos de ataque gira em torno de dois pontos fracos principais: usuários e software.
Engenharia social
A engenharia social descreve táticas enganosas que tiram vantagem dos indivíduos, persuadindo-os a divulgar informações confidenciais – ou a realizar ações que comprometam a sua segurança. O phishing é uma das formas mais comuns de ataques de engenharia social e envolve o uso intenso de e-mails, mensagens ou sites fraudulentos que imitam seus equivalentes legítimos. Ao se passar por um indivíduo confiável ou uma figura de autoridade, os invasores fingem ser um colega, um representante de um banco ou um policial para ganhar confiança e extrair informações confidenciais.
No entanto, existem outras distinções entre os tipos de ataque de phishing. Para campanhas que adotam uma abordagem ampla, a isca é uma tática extremamente comum. As vítimas são aliciadas com promessas de recompensas em troca da realização de determinadas ações. Os invasores podem deixar unidades USB infectadas ou enviar links maliciosos disfarçados de ofertas atraentes, induzindo indivíduos a comprometer sua segurança. Os ataques de spear phishing, por outro lado, concentram-se em indivíduos ou organizações altamente específicas. Os invasores passam horas pesquisando e coletando informações sobre o alvo para criar mensagens altamente personalizadas e convincentes. Os ataques de spear phishing são frequentemente utilizados contra “baleias” – indivíduos de alto perfil, como CEOs ou executivos de alto escalão.
Vulnerabilidades de software
Embora os usuários sejam uma forma de entrar, muitos invasores aproveitam o software com o qual interagem diariamente. A tendência crescente de usuários que empregam serviços de terceiros para acessar múltiplas contas de forma conveniente teve ramificações drásticas no cenário de aquisição de contas. Afinal, se esses serviços de terceiros forem comprometidos, os invasores poderão obter acesso às contas de usuários vinculadas. Em 2021, foi revelado que o Facebook havia sofrido uma grave violação dos detalhes de 533 milhões de contas de usuários. Esses dados, incluindo e-mails e senhas, alimentaram uma torrente de campanhas ATO em andamento.
Como detectar ataques de controle de conta
Detectar sinais de ataques de controle de contas é crucial para prevenir contas comprometidas. Desde mensagens recebidas até o desempenho do seu sistema, aqui estão algumas indicações de possíveis comprometimentos.
Atividade inesperada da conta
Os ataques ATO podem se manifestar de diversas maneiras importantes. Por exemplo, se um usuário receber notificações de redefinição de senha ou e-mails de contas que não iniciou, isso poderá indicar que um invasor está tentando obter o controle de sua conta. Nesses casos, os usuários devem investigar independentemente do link do e-mail suspeito. Essa mesma tática é usada para enganar usuários desavisados, fazendo-os inserir seus dados em uma página de login falsa, portanto, sempre passe pelos canais verificados. Se os usuários repentinamente não conseguirem acessar suas contas, apesar de usarem as credenciais corretas, isso pode ser um sinal de um ataque ATO. Os invasores podem ter alterado as senhas ou bloqueado o acesso dos usuários às suas próprias contas.
As redefinições de senha não são a única atividade incomum gerada por ATOs – tentativas de login não reconhecidas, alterações em informações pessoais ou transações desconhecidas podem indicar acesso não autorizado. Se um aumento significativo de spam ou e-mails de phishing começar a inundar uma caixa de entrada, isso pode indicar que o endereço de e-mail associado vazou ou foi comprometido.
Baixo desempenho do PC
Em alguns casos, as contas comprometidas podem apresentar comportamento incomum do sistema, como desempenho lento, travamentos frequentes ou pop-ups inesperados. Esses sinais podem indicar a presença de malware, como keyloggers.
Como detectar ATO em organizações financeiras?
As organizações financeiras podem empregar abordagens importantes para melhorar a sua defesa contra ataques de apropriação de contas. A análise do comportamento do usuário fornece ferramentas essenciais que monitoram e detectam padrões anormais. Desvios nos tempos de login, geolocalização, uso do dispositivo e histórico de transações podem formar uma visão coesa de possíveis comprometimentos. Paralelamente, a análise de reputação de IP permite que as organizações avaliem os vários endereços IP que acedem aos seus sistemas, ajudando a identificar e bloquear tráfego suspeito. As técnicas de impressão digital de dispositivos auxiliam no reconhecimento e rastreamento de dispositivos usados para acesso à conta, detectando assim tentativas de controle de conta. Os sistemas de monitoramento de transações em tempo real, utilizando análise comportamental e detecção de anomalias, capacitam as instituições financeiras a identificar e bloquear prontamente transações suspeitas ou fraudulentas, mitigando assim o impacto dos ataques ATO.
Estas abordagens fortalecem colectivamente a postura de segurança das organizações financeiras, formando uma barreira contra o comprometimento total da conta.
Proteja sua empresa contra ataques de controle de contas
Para se protegerem contra qualquer ataque de controle de conta, todas as organizações devem implementar diversas camadas de práticas recomendadas, tanto no nível individual quanto organizacional.
Individual
É vital capacitar os usuários finais com o conhecimento e as ferramentas para manter as contas seguras. Como usuários locais de cada conta, cada indivíduo desempenha um papel fundamental na postura de segurança de uma organização. Senhas exclusivas e robustas são apenas o começo – as ferramentas de gerenciamento de senhas permitem que os usuários não apenas usem práticas de senha seguras, mas também as sigam sem o perigo de esquecer senhas altamente seguras e exclusivas.
Além disso, a autenticação multifator (MFA) adiciona uma camada extra de segurança, exigindo que os usuários forneçam vários fatores de autenticação, como biometria, tokens de segurança e, claro, senhas. Isso reduz o risco de ataques ATO, pois mesmo que as senhas sejam comprometidas, os invasores não poderão obter acesso sem o fator de autenticação adicional.
Organizacional
Apoiando os esforços de cada funcionário, as defesas organizacionais contra a ATO são igualmente cruciais. A resposta a incidentes de segurança precisa ser consolidada nas rotinas dos funcionários. Estabelecer um plano eficaz de resposta a incidentes de segurança é crucial. As organizações devem ter protocolos em vigor para lidar com incidentes ATO, incluindo comunicação atempada com os utilizadores afetados, investigação e remediação de contas comprometidas e análise pós-incidente para melhorar as medidas de segurança. Além disso, o monitoramento da atividade da conta permite que as organizações detectem e respondam prontamente a atividades suspeitas da conta. Ao analisar padrões, anomalias e indicadores comportamentais, as organizações podem identificar tentativas de ATO, sinalizar acessos não autorizados e tomar as medidas adequadas. Por fim, avaliações regulares de segurança e testes de penetração ajudam a identificar vulnerabilidades e pontos fracos em sistemas e aplicações. Ao abordar proativamente estas questões, as organizações podem reforçar as suas defesas contra ataques ATO e melhorar a segurança geral.
Ao implementar estas práticas, as organizações podem reduzir significativamente o risco de ataques ATO, proteger dados sensíveis e manter a confiança dos seus utilizadores. Uma abordagem abrangente que combine soluções tecnológicas, educação dos utilizadores e monitorização proativa é essencial para combater eficazmente as ameaças ATO.
Prevenção de ataques de controle de conta com LayerX
A extensão do navegador LayerX é uma solução inovadora projetada para evitar ataques de controle de contas. LayerX oferece proteção abrangente contra phishing, preenchimento de credenciais e sequestro de sessão. A ferramenta emprega algoritmos avançados e técnicas de aprendizado de máquina para analisar o comportamento do usuário, detectar anomalias e bloquear atividades suspeitas em tempo real. Ele também se integra perfeitamente à infraestrutura de segurança existente, tornando-o compatível com diferentes navegadores e plataformas. Com a primeira abordagem focada no usuário para prevenção de ATO, a LayerX ajuda as organizações a melhorar a segurança de suas contas, proteger informações confidenciais e mitigar os riscos associados a ataques de controle de contas.
Capacidades de prevenção de controle de conta LayerX:
- Requisitos de acesso reforçados baseados na transformação do navegador como um fator de autenticação adicional, praticamente impedindo qualquer acesso, a menos que seja iniciado pelo navegador protegido por LayerX.
- Políticas configuráveis que aproveitam a capacidade do LayerX de acionar uma ação de proteção ao detectar anomalias comportamentais do usuário que indicam uma possível tomada de controle da conta.
- Políticas configuráveis que alertam ou bloqueiam o acesso ao detectar um risco transmitido pela web. com base nos recursos de detecção de ameaças do mecanismo de risco do LayerX.