Angripare använder metoder som duperar, manipulerar eller direkt utnyttjar betrodda användare, och försöker dra fördel av den centrala mekaniken i modern identitetsverifiering och få tillgång till en användares onlinekonto. När de väl bär skepnaden av en användares konto, ges de djupare åtkomst till annars hårt försvarade nätverk.
Lockelsen med en sådan öppen dörr har fått kontouppköpsattacker att öka i popularitet under de senaste två åren. Till exempel 2021 ökade onlinetransaktionerna med totalt 65 %, medan kontouppköpsattacker ökade med 233 % på årsbasis. De är nu så vanliga att en helt ny industri har vuxit upp kring tvättning av pengar som stulits i ATO-attacker. Genom att organisera och möta via Telegram arbetar cyberbrottslingar tillsammans för att koppla ihop kapade bankkonton med kryptoplånböcker. Den tjuvande angriparen kommer att skriva på en sådan grupp om mängden stulna pengar och letar efter en annan bedragare som är skicklig på övertagande av kryptokonton och erbjuder ett kryptokonto att ladda dessa stulna pengar på. När de väl har tvättats via ett stulet kryptokonto dras alla pengar till en privat plånbok och delas upp mellan de två parterna.
I ett säkerhetslandskap fyllt av återanvända och läckta referenser, tillsammans med snabbt svällande krav på kontohantering, representerar ATO-angripare ett mycket organiserat, mycket exakt hot.
Hur fungerar ett kontoövertagande?
Med den genomsnittliga användaren att hantera över 100 onlinekonton, har lösenord snabbt hamnat utanför rimlig kontroll. Från bankverksamhet till frisörträffar, inloggningsinformation slängs runt med hänsynslöst övergivande. Angripare utnyttjar detta med ökande svårighetsgrad, i attacker som sträcker sig från hyperpersonaliserade till spray-and-pray. Genom att utnyttja sårbarheter i säkerhetssystem och användarbeteenden kan angripare ta kontroll över dessa konton för skändliga syften.
Följande är en detaljerad förklaring av hur kontoövertagandeattacker fungerar:
Spaning
Angripare börjar med att samla information om potentiella mål. Sociala mediekonton presenterar stora guldgruvor av lättillgänglig, personlig information som kan byggas till skräddarsydda sociala ingenjörsattacker. Parallellt med detta förstärks angriparnas ammunition av data från tidigare dataintrång.
Credential fyllning
Beväpnade med den inhämtade informationen använder angripare automatiserade verktyg för att systematiskt testa stulna referenser på flera webbplatser och applikationer. Eftersom människor ofta återanvända lösenord på olika plattformar, framgångsrika inloggningar är sannolikt när lösenord har äventyrats vid tidigare intrång. RockYou21-listan är en otroligt vanlig – och otroligt stor – databas med autentiseringsuppgifter i klartext som tidigare har läckt ut. Sammanställt av över 8.4 miljarder poster, kan angripare orsaka omfattande skada utan någon varning.
Brute-Force Attacker
Medan referensstoppning försök att matcha ett läckt lösenord med det korrekta, försöker brute-force-attacker helt enkelt alla möjliga kombinationer, i ett försök att gissa. Med automatiserad programvara som systematiskt genererar och provar olika kombinationer av användarnamn och lösenord, utgör brute-force-attacker en särskild risk för svaga och vanliga lösenord.
Nätfiske
Istället för att slösa tid på att gissa, Nätfiskeattacker får användare att helt enkelt lämna över sina lösenord. Med vilseledande e-postmeddelanden, meddelanden och webbplatser imiterar angripare välkända varumärken eller tjänster. Intet ont anande användare lockas att tillhandahålla sina inloggningsuppgifter på dessa falska webbplatser och omedvetet lämnar över sina kontouppgifter till angriparna.
Credential Stöld
Nätfiske är inte den enda formen av bedrägeri – cyberbrottslingar försöker ofta distribuera skadlig programvara och keyloggers på sårbara enheter. Dessa tillåter att autentiseringsuppgifter stjäls direkt från användarnas enheter.
Typer av kontoövertagandeattacker
Det stora antalet attacktyper kretsar kring två viktiga svagheter: användare och programvara.
Samhällsteknik
Social ingenjörskonst beskriver vilseledande taktik som drar fördel av individer, övertalar dem att avslöja känslig information – eller utföra åtgärder som äventyrar deras säkerhet. Nätfiske är en av de vanligaste formerna av sociala ingenjörsattacker och involverar kraftig användning av bedrägliga e-postmeddelanden, meddelanden eller webbplatser som imiterar deras legitima motsvarigheter. Genom att utge sig för att vara en betrodd individ eller auktoritetsfigur utger sig angripare för att vara en kollega, en bankrepresentant eller en brottsbekämpande tjänsteman för att vinna förtroende och extrahera känslig information.
Det finns dock ytterligare skillnader mellan typerna av nätfiskeattacker. För kampanjer som har ett brett tillvägagångssätt är bete en extremt vanlig taktik. Offren lockas med löften om belöningar i utbyte mot att de utför vissa handlingar. Angripare kan lämna infekterade USB-enheter eller skicka skadliga länkar förklädda som lockande erbjudanden, vilket lockar individer att äventyra sin säkerhet. Spear phishing-attacker, å andra sidan, fokuserar på mycket specifika individer eller organisationer. Angripare ägnar timmar åt att undersöka och samla information om målet för att skapa mycket personliga och övertygande meddelanden. Spear phishing-attacker utnyttjas ofta mot "valar" – högprofilerade individer som vd:ar eller högt uppsatta chefer.
Sårbarhet i mjukvara
Medan användare är en väg in, utnyttjar många angripare programvaran som de interagerar med dagligen. Den växande trenden med användare som använder tredjepartstjänster för att enkelt komma åt flera konton har haft drastiska konsekvenser för övertagandet av konton. När allt kommer omkring, om dessa tredjepartstjänster äventyras kan angripare få tillgång till länkade användarkonton. 2021 avslöjades det att Facebook hade drabbats av ett allvarligt brott mot detaljerna för 533 miljoner användarkonton. Dessa data, inklusive e-post och lösenord, har underblåst en ström av pågående ATO-kampanjer.
Hur man upptäcker kontoövertagandeattacker
Att upptäcka tecken på kontoövertagandeattacker är avgörande för att förhindra komprometterade konton. Från inkommande meddelanden till systemets prestanda, här är några indikationer på potentiell kompromiss.
Oväntad kontoaktivitet
ATO-attacker kan visa sig på ett antal viktiga sätt. Om en användare till exempel får meddelanden om lösenordsåterställning eller e-postmeddelanden för konton de inte har initierat, kan det tyda på att en angripare försöker få kontroll över sitt konto. I sådana fall bör användare undersöka det oberoende av det misstänkta e-postmeddelandets länk. Samma taktik används för att lura intet ont anande användare att mata in sina uppgifter på en falsk inloggningssida, så gå alltid igenom de verifierade kanalerna. Om användare plötsligt inte kan komma åt sina konton, trots att de använder korrekta referenser, kan det vara ett tecken på en ATO-attack. Angripare kan ha ändrat lösenord eller låst användare från sina egna konton.
Lösenordsåterställningar är inte den enda ovanliga aktiviteten som genereras av ATO:er – okända inloggningsförsök, ändringar i personlig information eller okända transaktioner kan indikera obehörig åtkomst. Om en betydande ökning av spam- eller nätfiske-e-postmeddelanden börjar svämma över en inkorg, kan det tyda på att den associerade e-postadressen har läckt ut eller äventyrats.
Dålig PC-prestanda
I vissa fall kan komprometterade konton uppleva ovanligt systembeteende, som långsam prestanda, frekventa krascher eller oväntade popup-fönster. Dessa tecken kan indikera förekomsten av skadlig programvara som keyloggers.
Hur upptäcker man ATO i finansiella organisationer?
Finansiella organisationer kan använda viktiga tillvägagångssätt för att förbättra sitt försvar mot kontouppköpsattacker. Användarbeteendeanalys ger viktiga verktyg som övervakar och upptäcker onormala mönster. Avvikelser i inloggningstider, geolokalisering, enhetsanvändning och transaktionshistorik kan alla bilda en sammanhängande bild av potentiella kompromisser. Parallellt med detta gör IP-rykteanalyser det möjligt för organisationer att bedöma de olika IP-adresserna som kommer åt deras system, vilket hjälper till att identifiera och blockera misstänkt trafik. Enhetsfingeravtryckstekniker hjälper till att känna igen och spåra enheter som används för kontoåtkomst och därigenom upptäcka kontoövertagandeförsök. Transaktionsövervakningssystem i realtid, som använder beteendeanalys och avvikelsedetektering, ger finansiella institutioner möjlighet att snabbt identifiera och blockera misstänkta eller bedrägliga transaktioner, och därigenom mildra effekterna av ATO-attacker.
Dessa tillvägagångssätt stärker kollektivt säkerhetsställningen för finansiella organisationer och utgör en barriär mot full kontokompromiss.
Skydda ditt företag från kontouppköpsattacker
För att skydda mot eventuella kontoövertagandeattacker bör alla organisationer implementera flera lager av bästa praxis på både individ- och organisationsnivå.
Individuell
Det är viktigt att ge slutanvändare kunskap och verktyg för att hålla konton säkra. Som användare på plats av varje konto spelar varje individ en nyckelroll i en organisations säkerhetsställning. Unika, robusta lösenord är bara början – verktyg för lösenordshantering tillåter användare att inte bara använda säkra lösenordspraxis, utan även följa dem utan risken att glömma mycket säkra och unika lösenord.
Utöver detta lägger Multi-Factor Authentication (MFA) till ett extra lager av säkerhet genom att kräva att användarna tillhandahåller flera autentiseringsfaktorer, såsom biometri, säkerhetstokens och naturligtvis lösenord. Detta minskar risken för ATO-attacker eftersom även om lösenord äventyras kan angripare inte få åtkomst utan den extra autentiseringsfaktorn.
organisations~~POS=TRUNC
För att stödja varje anställds ansträngningar är organisatoriska försvar mot ATO lika avgörande. Reaktion på säkerhetsincidenter måste cementeras i de anställdas rutiner. Att upprätta en effektiv åtgärdsplan för säkerhetsincidenter är avgörande. Organisationer bör ha protokoll på plats för att hantera ATO-incidenter, inklusive snabb kommunikation med berörda användare, utredning och åtgärdande av komprometterade konton och analyser efter incidenter för att förbättra säkerhetsåtgärderna. Utöver detta tillåter övervakning av kontoaktivitet organisationer att upptäcka och reagera på misstänkta kontoaktiviteter omedelbart. Genom att analysera mönster, anomalier och beteendeindikatorer kan organisationer identifiera ATO-försök, flagga för obehörig åtkomst och vidta lämpliga åtgärder. Slutligen hjälper regelbundna säkerhetsbedömningar och penetrationstester att identifiera sårbarheter och svagheter i system och applikationer. Genom att proaktivt ta itu med dessa problem kan organisationer stärka sitt försvar mot ATO-attacker och förbättra den övergripande säkerheten.
Genom att implementera dessa metoder kan organisationer avsevärt minska risken för ATO-attacker, skydda känslig data och upprätthålla förtroendet hos sina användare. Ett heltäckande tillvägagångssätt som kombinerar tekniska lösningar, användarutbildning och proaktiv övervakning är avgörande för att effektivt bekämpa ATO-hot.
Förebyggande av attacker mot kontoövertagande med LayerX
LayerX:s webbläsartillägg är en innovativ lösning utformad för att förhindra kontoövertagandeattacker. LayerX erbjuder omfattande skydd mot nätfiske, inloggningsuppfyllning och kapning av sessioner. Verktyget använder avancerade algoritmer och maskininlärningstekniker för att analysera användarbeteende, upptäcka anomalier och blockera misstänkta aktiviteter i realtid. Den integreras också sömlöst med befintlig säkerhetsinfrastruktur, vilket gör den kompatibel med olika webbläsare och plattformar. Med det första användarfokuserade tillvägagångssättet för ATO-förebyggande hjälper LayerX organisationer att förbättra deras kontosäkerhet, skydda känslig information och minska riskerna i samband med kontoövertagandeattacker.
Förebyggande funktioner för LayerX-kontoövertagande:
- Hårdade åtkomstkrav baserade på omvandlingen av webbläsaren som en extra autentiseringsfaktor, vilket praktiskt taget förhindrar all åtkomst om den inte initieras av den LayerX-skyddade webbläsaren.
- Konfigurerbara policyer som utnyttjar LayerX:s förmåga att utlösa en skyddsåtgärd vid upptäckt av användarbeteendeavvikelser som indikerar ett potentiellt kontoövertagande.
- Konfigurerbara policyer som varnar eller blockerar åtkomst vid upptäckt av en webbburen risk. baserat på LayerX:s riskmotorhotdetekteringsmöjligheter.