攻击者利用欺骗、操纵或彻底利用受信任用户的方法,旨在利用现代身份验证的核心机制,并获得对用户在线帐户的访问权限。一旦伪装成用户帐户,他们就可以更深入地访问原本防御严密的网络。
在这种敞开的大门的诱惑下,账户接管攻击在过去两年中变得越来越流行。例如,2021 年在线交易总量增长了 65%,而账户接管攻击 同比增长233%。它们现在如此普遍,以致于围绕 ATO 攻击中被盗资金的洗钱活动涌现了一个全新的行业。网络犯罪分子通过 Telegram 组织会议,共同将被劫持的银行账户与加密钱包连接起来。盗窃者的攻击者将在这样的群组中发布有关被盗资金金额的信息,寻找另一位擅长加密账户接管的欺诈者,提供一个加密账户来加载这些被盗资金。一旦通过被盗的加密账户进行洗钱,所有资金都会被提取到私人钱包中并在两方之间分配。
在凭证重复使用和泄露的安全环境中,加上账户管理需求迅速膨胀,ATO 攻击者代表了一种高度组织化、极其精确的威胁。
帐户接管如何运作?
普通用户必须处理 超过 100 个在线帐户,密码迅速失去合理控制。从银行业务到理发师的预约,登录信息都被肆意地传播。攻击者利用这一点的严重程度越来越高,攻击范围从超个性化到喷雾和祈祷。通过利用安全系统和用户行为中的漏洞,攻击者可以控制这些帐户以达到邪恶目的。
以下是帐户接管攻击如何工作的详细说明:
侦察
攻击者首先收集有关潜在目标的信息。社交媒体帐户提供了易于访问的个人信息的巨大金矿,可以建立这些信息 定制的社会工程攻击。除此之外,攻击者的弹药还得到了先前数据泄露的数据的支持。
凭证填充
凭借所获取的数据,攻击者使用自动化工具在多个网站和应用程序上系统地测试被盗的凭据。由于人们经常 跨不同平台重复使用密码,当密码在之前的违规行为中被泄露时,就有可能成功登录。 RockYou21 列表是一个极其常见且极其庞大的数据库,包含先前已泄露的纯文本凭证。编译超过 8.4 亿条条目,攻击者可以在完全没有警告的情况下造成广泛的损害。
暴力攻击
而 凭证填充 尝试将泄露的密码与正确的密码进行匹配,暴力攻击只是尝试每一种可能的组合,以努力猜测。通过自动软件系统地生成并尝试不同的用户名和密码组合,暴力攻击对弱密码和常用密码带来了特别的风险。
網絡釣魚
与其浪费时间去猜测, 网络钓鱼攻击让用户只需交出密码。攻击者通过欺骗性电子邮件、消息和网站模仿知名品牌或服务。毫无戒心的用户被引诱在这些虚假网站上提供登录凭据,从而在不知不觉中将其帐户详细信息交给了攻击者。
凭据盗窃
网络钓鱼并不是唯一的欺骗形式 - 网络犯罪分子经常尝试将恶意软件和键盘记录程序部署到易受攻击的设备上。这些允许直接从用户设备窃取凭证。
帐户接管攻击的类型
大量的攻击类型主要围绕两个关键弱点:用户和软件。
社会工程学
社会工程描述了利用个人的欺骗策略,说服他们泄露敏感信息,或者执行危及其安全的行为。网络钓鱼是最常见的社会工程攻击形式之一,涉及大量使用模仿合法对手的欺诈性电子邮件、消息或网站。通过冒充受信任的个人或权威人物,攻击者冒充同事、银行代表或执法人员,以获取信任并提取敏感信息。
然而,网络钓鱼攻击的类型之间还存在进一步的区别。对于采取广泛方法的活动来说,诱饵是一种极其常见的策略。受害者会受到奖励承诺的诱惑,以换取执行某些行动。攻击者可能会留下受感染的 USB 驱动器或发送伪装成诱人优惠的恶意链接,引诱个人损害其安全。另一方面,鱼叉式网络钓鱼攻击主要针对高度特定的个人或组织。攻击者花费数小时研究和收集有关目标的信息,以创建高度个性化且令人信服的消息。鱼叉式网络钓鱼攻击通常针对“鲸鱼”——首席执行官或高级管理人员等知名人士。
软件漏洞
虽然用户是一种进入方式,但许多攻击者利用他们每天与之交互的软件。用户使用第三方服务方便地访问多个帐户的趋势不断增长,这对帐户接管格局产生了巨大影响。毕竟,如果这些第三方服务受到损害,攻击者就可以访问链接的用户帐户。 2021 年,Facebook 被曝遭遇严重数据泄露事件 533 亿个用户帐户。这些数据(包括电子邮件和密码)助长了一系列正在进行的 ATO 活动。
如何检测帐户接管攻击
检测帐户接管攻击的迹象对于防止帐户受损至关重要。从传入消息到系统性能,以下是一些潜在危害的迹象。
意外的账户活动
ATO 攻击可以通过多种关键方式表现出来。例如,如果用户收到其未启动的帐户的密码重置通知或电子邮件,则可能表明攻击者正在尝试获取对其帐户的控制权。在这种情况下,用户应该独立于可疑电子邮件的链接进行调查。同样的策略也用于欺骗毫无戒心的用户将其详细信息输入到虚假的登录页面,因此请务必通过经过验证的渠道。如果用户突然发现自己无法访问自己的帐户,尽管使用了正确的凭据,这可能是 ATO 攻击的迹象。攻击者可能更改了密码或将用户锁定在自己的帐户之外。
密码重置并不是 ATO 产生的唯一异常活动 - 无法识别的登录尝试、个人信息的更改或不熟悉的交易可能表明未经授权的访问。如果垃圾邮件或网络钓鱼电子邮件显着增加并开始淹没收件箱,则可能表明相关电子邮件地址已被泄露或泄露。
电脑性能不佳
在某些情况下,受损的帐户可能会遇到异常的系统行为,例如性能缓慢、频繁崩溃或意外弹出窗口。这些迹象可能表明存在键盘记录程序等恶意软件。
如何检测金融机构中的ATO?
金融组织可以采用关键方法来增强对账户接管攻击的防御。用户行为分析提供了监控和检测异常模式的基本工具。登录时间、地理位置、设备使用情况和交易历史记录中的偏差都可以形成潜在危害的整体视图。除此之外,IP 信誉分析使组织能够评估访问其系统的各种 IP 地址,帮助识别和阻止可疑流量。设备指纹识别技术有助于识别和跟踪用于帐户访问的设备,从而检测帐户接管尝试。实时交易监控系统利用行为分析和异常检测,使金融机构能够及时识别和阻止可疑或欺诈交易,从而减轻 ATO 攻击的影响。
这些方法共同加强了金融组织的安全态势,形成了防止全面账户泄露的屏障。
保护您的公司免受帐户接管攻击
为了防止任何帐户接管攻击,所有组织都应在个人和组织级别实施多层最佳实践。
个人会员
为最终用户提供保护帐户安全的知识和工具至关重要。作为每个帐户的实际用户,每个人在组织的安全立场中都发挥着关键作用。独特、强大的密码只是一个开始 - 密码管理工具不仅允许用户使用安全的密码实践,而且可以遵循这些实践,而不会面临忘记高度安全和独特的密码的危险。
除此之外,多重身份验证 (MFA) 要求用户提供多种身份验证因素,例如生物识别、安全令牌,当然还有密码,从而增加了额外的安全层。这降低了 ATO 攻击的风险,因为即使密码被泄露,攻击者在没有额外的身份验证因素的情况下也无法获得访问权限。
组织
为了支持每位员工的努力,针对 ATO 的组织防御同样至关重要。安全事件响应需要融入员工日常工作中。建立有效的安全事件响应计划至关重要。组织应制定适当的协议来处理 ATO 事件,包括与受影响的用户及时沟通、调查和修复受损帐户以及事件后分析以改进安全措施。除此之外,帐户活动监控使组织能够及时检测并响应可疑帐户活动。通过分析模式、异常和行为指标,组织可以识别 ATO 尝试、标记未经授权的访问并采取适当的措施。最后,定期安全评估和渗透测试有助于识别系统和应用程序中的漏洞和弱点。通过主动解决这些问题,组织可以增强对 ATO 攻击的防御并增强整体安全性。
通过实施这些实践,组织可以显着降低 ATO 攻击的风险、保护敏感数据并维护用户的信任。结合技术解决方案、用户教育和主动监控的综合方法对于有效应对 ATO 威胁至关重要。
使用 LayerX 预防帐户接管攻击
LayerX 的浏览器扩展是一种创新的解决方案,旨在防止帐户接管攻击。 LayerX 提供针对网络钓鱼、撞库和会话劫持的全面保护。该工具采用先进的算法和机器学习技术来分析用户行为、检测异常并实时阻止可疑活动。它还与现有的安全基础设施无缝集成,使其兼容不同的浏览器和平台。凭借首个以用户为中心的 ATO 预防方法,LayerX 帮助组织增强帐户安全性、保护敏感信息并降低与帐户接管攻击相关的风险。
LayerX 帐户盗用预防功能:
- 基于浏览器转换作为附加身份验证因素的强化访问要求,实际上阻止任何访问,除非由 LayerX 受保护的浏览器发起。
- 可配置的策略,利用 LayerX 的能力在检测到表明潜在帐户被盗用的用户行为异常时触发保护操作。
- 可配置的策略,可在检测到网络风险时发出警报或阻止访问。基于LayerX的风险引擎威胁检测能力。