Используя методы, позволяющие обманывать, манипулировать или напрямую эксплуатировать доверенных пользователей, злоумышленники стремятся воспользоваться основным механизмом современной проверки личности и получить доступ к онлайн-учетной записи пользователя. Под видом учетной записи пользователя им предоставляется более глубокий доступ к надежно защищенным сетям.
Заманчивость такой открытой двери привела к тому, что за последние два года популярность атак с целью захвата учетных записей резко возросла. Например, в 2021 году онлайн-транзакции выросли в общей сложности на 65%, а атаки по захвату учетных записей увеличился на 233% г/г. Сейчас они настолько распространены, что вокруг отмывания средств, украденных в результате атак АТО, возникла совершенно новая индустрия. Организуя и встречаясь через Telegram, киберпреступники работают вместе, чтобы связать похищенные банковские счета с криптокошельками. Злоумышленник-вор будет публиковать в такой группе информацию о сумме украденных средств, ища другого мошенника, опытного в захвате крипто-счетов, предлагающего крипто-счет для загрузки этих украденных средств. После отмывания через украденный криптосчет, все средства выводятся на частный кошелек и распределяются между двумя сторонами.
В условиях безопасности, изобилующей повторным использованием и утечкой учетных данных, а также быстро раздувающимися требованиями к управлению учетными записями, злоумышленники ATO представляют собой высокоорганизованную и чрезвычайно точную угрозу.
Как происходит захват аккаунта?
Среднестатистическому пользователю приходится иметь дело с более 100 онлайн-аккаунтовпароли быстро вышли из-под разумного контроля. От банковских операций до встреч с парикмахером информация для входа в систему используется с безрассудной энергией. Злоумышленники используют это с возрастающей степенью серьезности: от гиперперсонализированных атак до атак типа «распыли и молись». Используя уязвимости в системах безопасности и поведении пользователей, злоумышленники могут получить контроль над этими учетными записями в гнусных целях.
Ниже приводится подробное объяснение того, как работают атаки захвата учетной записи:
разведывательный
Злоумышленники начинают со сбора информации о потенциальных целях. Аккаунты в социальных сетях представляют собой огромные золотые прииски легкодоступной личной информации, которую можно собрать в адаптированные атаки социальной инженерии. Наряду с этим, боезапас злоумышленников подкрепляется данными предыдущих утечек данных.
Заполнение учетных данных
Вооружившись полученными данными, злоумышленники используют автоматизированные инструменты для систематической проверки украденных учетных данных на нескольких веб-сайтах и в приложениях. Поскольку люди часто повторно использовать пароли на разных платформахуспешный вход в систему вероятен, если пароли были раскрыты в ходе предыдущих взломов. Список RockYou21 представляет собой невероятно распространенную и невероятно большую базу данных учетных данных в виде открытого текста, которые ранее были раскрыты. Состоит из более 8.4 миллиарда записей, злоумышленники могут нанести значительный ущерб абсолютно без предупреждения.
Атаки грубой силы
В то время как учетная информация попытки сопоставить утекший пароль с правильным, атаки методом перебора просто перебирают все возможные комбинации, пытаясь угадать. Благодаря автоматизированному программному обеспечению, которое систематически генерирует и пробует различные комбинации имен пользователей и паролей, атаки методом перебора представляют особый риск для слабых и часто используемых паролей.
Фишинг
Вместо того, чтобы тратить время на догадки, фишинговые атаки заставляют пользователей просто передавать свои пароли. С помощью обманных электронных писем, сообщений и веб-сайтов злоумышленники имитируют известные бренды или услуги. Ничего не подозревающие пользователи вынуждены предоставлять свои учетные данные для входа на эти поддельные сайты, неосознанно передавая данные своей учетной записи злоумышленникам.
Кража учетных данных
Фишинг — не единственная форма обмана: киберпреступники часто пытаются установить вредоносное ПО и кейлоггеры на уязвимые устройства. Они позволяют украсть учетные данные непосредственно с устройств пользователей.
Типы атак по захвату учетных записей
Огромное количество типов атак сосредоточено вокруг двух ключевых слабостей: пользователей и программного обеспечения.
Социальная инженерия
Социальная инженерия описывает тактику обмана, которая использует людей в своих интересах, убеждая их раскрыть конфиденциальную информацию или совершать действия, ставящие под угрозу их безопасность. Фишинг — одна из наиболее распространенных форм атак социальной инженерии, которая предполагает интенсивное использование мошеннических электронных писем, сообщений или веб-сайтов, имитирующих их законные аналоги. Выдавая себя за доверенное лицо или авторитетное лицо, злоумышленники притворяются коллегой, представителем банка или сотрудником правоохранительных органов, чтобы завоевать доверие и получить конфиденциальную информацию.
Однако между типами фишинговых атак существуют и другие различия. Для кампаний, использующих широкий подход, травля является чрезвычайно распространенной тактикой. Жертв соблазняют обещаниями вознаграждения в обмен на выполнение определенных действий. Злоумышленники могут оставлять зараженные USB-накопители или отправлять вредоносные ссылки, замаскированные под заманчивые предложения, заманивая людей в угрозу своей безопасности. С другой стороны, направленные фишинговые атаки ориентированы на весьма конкретных лиц или организации. Злоумышленники часами исследуют и собирают информацию о цели, чтобы создать персонализированные и убедительные сообщения. Целевые фишинговые атаки часто используются против «китов» — высокопоставленных лиц, таких как генеральные директора или высокопоставленные руководители.
Уязвимости программного обеспечения
Хотя пользователи являются одним из способов проникновения, многие злоумышленники используют программное обеспечение, с которым они ежедневно взаимодействуют. Растущая тенденция пользователей, использующих сторонние сервисы для удобного доступа к нескольким учетным записям, имела серьезные последствия для ситуации с захватом учетных записей. В конце концов, если эти сторонние службы будут скомпрометированы, злоумышленники могут получить доступ к связанным учетным записям пользователей. В 2021 году выяснилось, что Facebook подвергся серьезной утечке данных 533 миллиона учетных записей пользователей. Эти данные, включая электронные адреса и пароли, послужили толчком к потоку продолжающихся кампаний АТО.
Как обнаружить атаки захвата учетной записи
Обнаружение признаков атак захвата учетных записей имеет решающее значение для предотвращения взлома учетных записей. От входящих сообщений до производительности вашей системы — вот некоторые признаки потенциальной компрометации.
Неожиданная активность в аккаунте
Атаки ATO могут проявляться по-разному. Например, если пользователь получает уведомления о сбросе пароля или электронные письма для учетных записей, которые он не инициировал, это может указывать на то, что злоумышленник пытается получить контроль над его учетной записью. В таких случаях пользователям следует провести расследование независимо от ссылки в подозрительном электронном письме. Эта же тактика используется, чтобы обманом заставить ничего не подозревающих пользователей ввести свои данные на поддельную страницу входа, поэтому всегда пользуйтесь проверенными каналами. Если пользователи внезапно обнаруживают, что не могут получить доступ к своим учетным записям, несмотря на использование правильных учетных данных, это может быть признаком атаки ATO. Злоумышленники могли изменить пароли или заблокировать пользователям доступ к их собственным учетным записям.
Сброс пароля — не единственное необычное действие, совершаемое ATO: нераспознанные попытки входа в систему, изменения личной информации или незнакомые транзакции могут указывать на несанкционированный доступ. Если значительное увеличение количества спама или фишинговых писем начинает заполонять почтовый ящик, это может указывать на то, что связанный адрес электронной почты был раскрыт или скомпрометирован.
Плохая производительность ПК
В некоторых случаях скомпрометированные учетные записи могут испытывать необычное поведение системы, например низкую производительность, частые сбои или неожиданные всплывающие окна. Эти признаки могут указывать на наличие вредоносных программ, таких как кейлоггеры.
Как обнаружить АТО в финансовых организациях?
Финансовые организации могут использовать ключевые подходы для усиления своей защиты от атак с целью захвата учетных записей. Аналитика поведения пользователей предоставляет важные инструменты для мониторинга и обнаружения аномальных закономерностей. Отклонения во времени входа в систему, геолокации, использовании устройств и истории транзакций могут сформировать целостное представление о потенциальном компрометации. Наряду с этим анализ репутации IP позволяет организациям оценивать различные IP-адреса, осуществляющие доступ к их системам, помогая выявлять и блокировать подозрительный трафик. Методы снятия отпечатков пальцев устройств помогают распознавать и отслеживать устройства, используемые для доступа к учетной записи, тем самым обнаруживая попытки захвата учетной записи. Системы мониторинга транзакций в режиме реального времени, использующие поведенческий анализ и обнаружение аномалий, позволяют финансовым учреждениям оперативно выявлять и блокировать подозрительные или мошеннические транзакции, тем самым смягчая последствия атак ATO.
Эти подходы в совокупности укрепляют безопасность финансовых организаций, образуя барьер против полного компрометации счетов.
Защитите свою компанию от атак с целью захвата учетной записи
Чтобы защититься от любой атаки захвата учетной записи, все организации должны внедрить несколько уровней передового опыта как на индивидуальном, так и на организационном уровне.
Индивидуальной
Предоставление конечным пользователям знаний и инструментов для обеспечения безопасности учетных записей имеет жизненно важное значение. Будучи реальными пользователями каждой учетной записи, каждый человек играет ключевую роль в обеспечении безопасности организации. Уникальные и надежные пароли — это только начало: инструменты управления паролями позволяют пользователям не только использовать методы безопасного использования паролей, но и следовать им, не опасаясь забыть высоконадежные и уникальные пароли.
Наряду с этим, многофакторная аутентификация (MFA) добавляет дополнительный уровень безопасности, требуя от пользователей предоставления нескольких факторов аутентификации, таких как биометрические данные, токены безопасности и, конечно же, пароли. Это снижает риск атак ATO, поскольку даже если пароли будут скомпрометированы, злоумышленники не смогут получить доступ без дополнительного фактора аутентификации.
Организационной
Не менее важное значение имеет организационная защита от АТО, поддерживающая усилия каждого сотрудника. Реагирование на инциденты безопасности должно быть закреплено в повседневной работе сотрудников. Крайне важно разработать эффективный план реагирования на инциденты безопасности. Организации должны иметь протоколы для обработки инцидентов ATO, включая своевременную связь с пострадавшими пользователями, расследование и исправление скомпрометированных учетных записей, а также анализ после инцидентов для улучшения мер безопасности. Наряду с этим мониторинг активности учетных записей позволяет организациям выявлять подозрительные действия по учетным записям и оперативно реагировать на них. Анализируя закономерности, аномалии и поведенческие индикаторы, организации могут выявлять попытки ATO, сигнализировать о несанкционированном доступе и принимать соответствующие меры. Наконец, регулярные оценки безопасности и тестирование на проникновение помогают выявить уязвимости и слабые места в системах и приложениях. Заблаговременно решая эти проблемы, организации могут укрепить свою защиту от атак ATO и повысить общую безопасность.
Внедряя эти методы, организации могут значительно снизить риск атак ATO, защитить конфиденциальные данные и сохранить доверие своих пользователей. Для эффективной борьбы с угрозами АТО необходим комплексный подход, сочетающий в себе технологические решения, обучение пользователей и упреждающий мониторинг.
Предотвращение атак с целью захвата учетной записи с помощью LayerX
Расширение браузера LayerX — это инновационное решение, предназначенное для предотвращения атак с целью захвата учетных записей. LayerX предлагает комплексную защиту от фишинга, подброса учетных данных и перехвата сеанса. Инструмент использует передовые алгоритмы и методы машинного обучения для анализа поведения пользователей, обнаружения аномалий и блокировки подозрительных действий в режиме реального времени. Он также легко интегрируется с существующей инфраструктурой безопасности, что делает его совместимым с различными браузерами и платформами. Благодаря первому ориентированному на пользователя подходу к предотвращению ATO LayerX помогает организациям повысить безопасность своих учетных записей, защитить конфиденциальную информацию и снизить риски, связанные с атаками с захватом учетных записей.
Возможности предотвращения захвата учетной записи LayerX:
- Ужесточенные требования к доступу, основанные на преобразовании браузера в дополнительный фактор аутентификации, практически предотвращающий любой доступ, если он не инициирован защищенным браузером LayerX.
- Настраиваемые политики, которые используют способность LayerX инициировать защитные действия при обнаружении аномалий в поведении пользователей, которые указывают на потенциальный захват учетной записи.
- Настраиваемые политики, которые предупреждают или блокируют доступ при обнаружении веб-риска. на основе возможностей обнаружения угроз механизма управления рисками LayerX.