Что такое подмена учетных данных?

DLP

Содержание

Как работают атаки с подстановкой учетных данных?
Что вызывает атаки с подстановкой учетных данных?
Проблемы, с которыми приходится сталкиваться при обнаружении подстановки учетных данных
Как предотвратить подтасовку учетных данных?
Защитите учетные данные сотрудников с помощью LayerX

Сегодня учетные данные для входа являются воротами для доступа к любому онлайн-сервису, поскольку они помогают идентифицировать человека за экраном, защищая вашу конфиденциальную информацию от любых злонамеренных намерений. Несмотря на множество возможных сегодня превентивных мер, подброс учетных данных остается одним из лучших инструментов в арсенале киберзлоумышленника. Благодаря этому злоумышленники могут взломать онлайн-аккаунты и украсть ценные личные данные.

Имея более 15 миллиардов учетных данных, доступных для покупки на черном рынке, злоумышленники всегда стремятся получить быструю прибыль, используя утекшие учетные данные против жертв. Сегодня им не обязательно платить за использование этих украденных учетных данных в качестве оружия: список RockYou21 представляет собой общедоступный список паролей, в котором собраны более 8 миллиардов записей. Благодаря этой бесплатной базе данных хакеры получают огромное количество боеприпасов против ничего не подозревающих онлайн-пользователей. С такими базами данных автоматическим инструментам распыления паролей может потребоваться совсем немного времени, чтобы найти правильную комбинацию для входа и взять на себя управление.

Как работают атаки с подстановкой учетных данных?

Основной слабостью, лежащей в основе популярности вброса учетных данных, является частота повторного использования паролей. Хотя и возникает соблазн возложить всю эту вину на конечного пользователя, стоит иметь в виду огромное количество онлайн-аккаунтов, которые каждый конечный пользователь должен отслеживать.

Недавнее исследование показало, что среднестатистический человек сейчас имеет едва ли не 100 онлайн-аккаунтов – это число резко возросло во время пандемии, поскольку толпы новых пользователей открыли для себя новые формы онлайн-развлечений. Учитывая необходимость манипулировать таким количеством учетных записей, пользователи, по сути, вынуждены выбирать два варианта: первый — использовать обширный и безопасный менеджер паролей; или просто повторно использовать пароли для разных учетных записей. Хотя первый вариант является многообещающим, менеджеры паролей все еще относительно новы и далеки от широкого распространения. Они также представляют собой еще большую цель для злоумышленников, примером чего является недавнее взлом LastPass в результате которого были украдены данные как предприятия, так и клиентов.

Зная, что так много пользователей используют один и тот же пароль для нескольких онлайн-аккаунтов, злоумышленники часто используют ранее взломанные учетные данные, чтобы получить высокую прибыль. Подстановка учетных данных — это процесс включения этих утекших учетных данных в автоматизированную программу, которая затем автоматически обрабатывает любые связанные онлайн-аккаунты в попытке взлома.

Большинство атак имеют один и тот же формат: во-первых, злоумышленник найдет или приобретет кэш имен пользователей и паролей, который часто обнаруживается в результате недавней утечки данных. Затем злоумышленник потратит небольшое количество времени на проверку того, работают ли эти комбинации на нескольких веб-сайтах. После проверки масштабная атака начинается всерьез. Все украденные данные используются, вызывая поток попыток входа на определенный сервер. Если работает только один, то злоумышленник имеет доступ. При взломе злоумышленник вручную начнет извлекать из учетной записи все ценное, например номера кредитных карт, связанные учетные записи электронной почты и номера социального страхования. Наконец, прежде чем отказаться от контроля над учетной записью, злоумышленник может потребовать за нее выкуп.

Что вызывает атаки с подстановкой учетных данных?

Атаки с подтасовкой учетных данных являются просто результатом многих более широких упущений на всей поверхности атаки организации. Боты для автоматического входа в систему процветают благодаря постоянному вводу утекших, украденных и взломанных учетных данных, каждый из которых поступает из отдельных источников.

Нарушения данных

Утечки данных, которые никогда не были более распространенными, вызваны множеством слабых мер безопасности, внутренними угрозами и крупномасштабными целевыми атаками. В то время как компании изо всех сил пытаются справиться с последствиями для PR и технических систем, данные, опубликованные во время взлома, быстро поступают на сильный рынок по подбору учетных данных. Соответствующие учетные данные используются повторно для дальнейших утечек данных, поскольку злоумышленники проникают в более широкий спектр сетей компании. Благодаря этому происходит утечка более конфиденциальных данных, что приводит к экспоненциальному увеличению количества атак.

Повторно используемые пароли

Благодаря сегодняшнему онлайн-соединению распространенность повторного использования паролей растет: 80% утечек данных компаний напрямую вызваны взломанными паролями; эта же цифра описывает процент случаев взлома, вызванных повторным использованием пароля. Наряду с этим надежность различных паролей может зависеть от пугающе доступной информации: до трети сотрудников в США используют дни рождения своих детей или близких в качестве основы для своих паролей. В совокупности потенциальная поверхность атаки, предлагаемая такими воспроизводимыми и угадываемыми паролями, значительно увеличивает радиус атаки при подбросе учетных данных.

Фишинг-атаки

Фишинговые атаки: злоумышленники обманывают жертв, выдавая себя за другое лицо. Создавая поддельные электронные письма – предположительно от банков, поставщиков программного обеспечения или даже коллег – жертв убеждают раскрыть свои данные для входа. Когда эти учетные данные вводятся на мошеннической странице входа, они добавляются в постоянно расширяющуюся базу данных злоумышленника. Электронная почта — не единственная форма обмена сообщениями, используемая злоумышленниками: телефонные звонки, SMS-сообщения и социальные сети — все они предлагают потенциальные возможности для атаки.

Утечка учетных данных

К учетным данным не всегда относятся с тем уважением, которого они заслуживают: быстрые циклы разработки часто приводят к упущениям, которые становятся слишком уязвимыми для злоумышленников. Эта проблема сохраняется и за пределами Devops: сотрудники иногда случайно сливают учетные данные, делясь ими с другими или сохраняя их в открытом виде. Когда происходят случаи утечки учетных данных, они быстро добавляются в базы данных сопоставленных учетных данных, доступных на торговых площадках даркнета.

Автоматизированные инструменты

Последнюю часть головоломки по заполнению учетных данных выполняют автоматизированные инструменты. Проверка достоверности миллиардов паролей была бы невозможна для ручных процессов. Вместо этого злоумышленники повышают эффективность и рентабельность атак, используя ботов. Они каждую минуту проверяют миллионы комбинаций паролей и имен пользователей, распространяя и усиливая активные атаки.

Проблемы, с которыми приходится сталкиваться при обнаружении подстановки учетных данных

Преимущество, которым пользуются набивщики учетных данных, — это их способность сливаться с законными пользователями. Традиционные подходы к брандмауэру веб-приложений (WAF) и использованию черных списков полностью терпят неудачу, поскольку эти атаки не основаны на идентифицируемых эксплойтах или каких-либо явно вредоносных действиях. Технически злоумышленник использует функцию входа в приложение по прямому назначению — делая WAF бесполезным.

Подход к защите, ориентированный на злоумышленников, путем выявления вредоносных IP-адресов может обеспечить некоторую защиту, но сам масштаб распределенных ботнетов позволяет не только ускорить работу, но и провести широкомасштабную атаку, которая потенциально охватывает тысячи различных IP-адресов. Это значительно ограничивает любое превентивное обнаружение подброса учетных данных.

В отличие от моделей поведения, наблюдаемых при атаках методом грубой силы, когда боты постоянно повторяют предыдущие предположения, боты, заполняющие учетные данные, просто пытаются получить доступ через украденную пару, прежде чем двигаться дальше. Это делает их очень мобильными — достаточно гибкими, чтобы уклоняться от программ, которые оценивают частоту неудачных попыток входа в систему.

Как предотвратить подтасовку учетных данных?

Несмотря на проблемы, с которыми сталкиваются службы безопасности, существует несколько новых способов предотвращения попыток подброса учетных данных.

Многофакторная аутентификация

MFA добавляет дополнительный уровень аутентификации к попытке входа в систему, заставляя пользователя аутентифицироваться с использованием того, что у него есть, а также того, что он знает. При использовании метода физической аутентификации, такого как телефон или токен доступа, боты с учетными данными не могут получить доступ к учетной записи, даже если украденные данные для входа верны. Однако проблема, возникающая при внедрении MFA для всей пользовательской базы, является существенной из-за широко распространенных возражений со стороны пользователей.

Используйте капчу

CAPTCHA заставляет пользователей доказывать, что они люди. Это может помочь уменьшить число ботов, успешно осуществляющих атаки, хотя стоит иметь в виду, что у злоумышленников есть два способа обойти эту проблему: первый — это «безголовые» браузеры (см. ниже); другие злоумышленники просто стали использовать людей для завершения этапа CAPTCHA при входе в систему. Как и MFA, CAPTCHA лучше всего сочетать с арсеналом других подходов.

Блокировать безголовые браузеры

Безголовые браузеры предлагают высокий уровень автоматизации веб-действий, включая прохождение CAPTCHA. Однако они работают в основном посредством вызовов JavaScript, поэтому их относительно легко обнаружить. Блокируя доступ ко всем автономным браузерам, методы CAPTCHA обеспечивают более превентивный контроль над попытками ввода учетных данных.

Черный список подозрительных IP-адресов

Злоумышленники-новички обычно имеют меньший пул вредоносных адресов, из которых можно извлечь информацию. Именно здесь блокировка IP-адресов все еще имеет потенциал, поскольку любой IP-адрес, который пытается войти в несколько учетных записей, может быть быстро заблокирован.

Выявление и ограничение нежилого трафика

Обнаружить трафик, исходящий из AWS или других коммерческих центров обработки данных, легко: используйте это в своих интересах, применяя строгие ограничения скорости к этому типу трафика, поскольку он почти наверняка связан с ботами. Относитесь ко всему трафику центров обработки данных с особой осторожностью и обязательно блокируйте всех подозрительных пользователей.

Защитите учетные данные сотрудников с помощью LayerX

LayerX предлагает полностью комплексную защиту от подмены учетных данных путем мониторинга всех действий при аутентификации и авторизации. Эта видимость достигается благодаря его реализации в виде расширения браузера, позволяющего полностью отслеживать и анализировать попытки входа пользователя в систему и запросы доступа к ресурсам на любом устройстве.

Благодаря объединению наблюдения за входом в систему с места с помощью лучшего на рынке механизма анализа веб-сессии и SaaS-сессии ботов по заполнению учетных данных становятся четко видимыми. Автоматически помечаемый как высокий риск, LayerX получает возможность реализовать контекстно-зависимый второй уровень проверки. Хотя MFA исторически было сложно внедрить для всех пользователей, LayerX дополнительно предоставляет этот дополнительный фактор аутентификации, устраняя разочарование UX, вызванное MFA и CAPTCHA. Таким образом, политики доступа могут определять легитимность конечного пользователя, не полагаясь слепо на украденные учетные данные.

Благодаря LayerX организации могут обнаруживать, предотвращать и активно защищать от злонамеренного использования паролей.