Ochrona przed oszustwami, zwłaszcza atakami polegającymi na przejęciu kont (ATO), jest możliwa poprzez wdrożenie kilku kluczowych zasad w każdej firmie.
Pewnego sierpniowego popołudnia 2019 roku użytkownicy Twittera (obecnie X) byli świadkami nietypowej sytuacji. Na profilu Jacka Dorseya pojawiły się obraźliwe, rasistowskie wpisy, które trwały około 20 minut.
Wywołało to wrażenie załamania psychicznego u dyrektora generalnego platformy. Okazało się, że grupa o nazwie Chuckling Squad umieściła w tych wpisach odnośniki do swojego kanału na Discordzie.
Twitter (X) oficjalnie potwierdził, że doszło do incydentu.
Potwierdzamy, że konto @Jacek zostało zaatakowane. Badamy przyczyny zdarzenia.
— Twitter Comms (@TwitterComms) 30 sierpnia 2019 r.
Był to klasyczny atak ATO, konkretnie wykorzystujący zamianę karty SIM. Hakerzy przejęli zdalną kontrolę nad numerem telefonu Dorseya i publikowali posty za pomocą zewnętrznej usługi Cloudhopper.
Pojawia się pytanie: Jakie szanse ma przeciętny użytkownik, skoro nawet prezes dużej firmy technologicznej może paść ofiarą ataku?
Porozmawiajmy o różnych formach ATO i sposobach ochrony organizacji przed tym zagrożeniem.
Czym jest atak ATO?
Atak przejęcia konta (ATO) polega na wykorzystaniu różnych metod w celu przejęcia kontroli nad kontem internetowym. Celem przestępców mogą być oszustwa finansowe, dostęp do poufnych danych, czy manipulowanie innymi użytkownikami.
Jak działają ataki ATO?
Sednem ataku ATO jest kradzież danych uwierzytelniających. Oto najczęstsze sposoby wykorzystywane przez cyberprzestępców:
- Inżynieria społeczna: Polega na manipulacji psychologicznej, aby skłonić użytkownika do ujawnienia danych logowania. Przestępcy mogą podszywać się pod wsparcie techniczne lub wywoływać sytuacje awaryjne, ograniczając czas na logiczne myślenie.
- Upychanie poświadczeń: Metoda polegająca na próbach użycia losowych danych logowania. Często są one uzyskane w wyniku wycieków danych lub zakupione w darknecie.
- Złośliwe oprogramowanie: Może kraść dane logowania i przesyłać je cyberprzestępcom.
- Phishing: Popularna forma ataku. Ofiara, klikając w niepozorny link, trafia na fałszywą stronę i wprowadza tam swoje dane logowania, udostępniając je przestępcom.
- MITM (atak man-in-the-middle): Haker przechwytuje ruch sieciowy, w tym dane logowania.
Po zdobyciu danych logowania, przestępcy przejmują kontrolę nad kontem, prowadząc nielegalne działania. Starają się oni utrzymać dostęp tak długo, jak to możliwe, aby dalej szkodzić użytkownikowi lub przeprowadzać ataki na innych.
Często celem przestępców jest zablokowanie dostępu użytkownika lub pozostawienie sobie możliwości ponownego ataku w przyszłości.
Lepiej jest zapobiegać takim sytuacjom niż je leczyć. Warto podejmować działania, aby uniknąć przykrych konsekwencji.
Jak wykryć atak ATO?
Jako właściciel firmy możesz monitorować aktywność użytkowników i pracowników w celu wykrycia potencjalnych ataków ATO.
#1. Nietypowe logowanie
Częste próby logowania z różnych adresów IP, zwłaszcza z odległych lokalizacji geograficznych, mogą być sygnałem ataku. Podobnie, logowanie z wielu urządzeń lub przeglądarek, jak również aktywność w nietypowych godzinach, również może wskazywać na atak ATO.
#2. Nieudane próby 2FA
Powtarzające się niepowodzenia w procesie uwierzytelniania dwuskładnikowego lub wieloskładnikowego to kolejny sygnał nieprawidłowości. Zwykle jest to próba zalogowania się przez przestępcę przy użyciu skradzionych danych.
#3. Nieprawidłowa aktywność
Czasami anomalię widać gołym okiem. Wszelkie odstępstwa od normalnego zachowania użytkownika mogą świadczyć o przejęciu konta. Może to być zmiana zdjęcia profilowego lub wysyłanie spamu do klientów.
Ręczne wykrywanie takich ataków jest trudne. Narzędzia takie jak Sucuri lub Acronis pomagają zautomatyzować ten proces.
Zobaczmy teraz, jak możemy zapobiegać takim atakom.
Jak zapobiegać atakom ATO?
Oprócz korzystania z narzędzi do cyberbezpieczeństwa, warto stosować kilka sprawdzonych praktyk.
#1. Silne hasła
Silne hasła są niezbędne w dzisiejszych czasach. Upewnij się, że użytkownicy i pracownicy nie używają prostych haseł, ustal minimalne wymagania dotyczące ich złożoności.
Dla firm, 1Password Business to dobra opcja do zarządzania hasłami. Dobre narzędzia skanują darknet i informują o wyciekach danych, pomagając w zresetowaniu haseł.
#2. Uwierzytelnianie wieloskładnikowe (MFA)
MFA wymaga dodatkowego kodu (wysłanego np. na e-mail lub telefon), oprócz nazwy użytkownika i hasła. To solidna ochrona przed nieautoryzowanym dostępem. Chociaż przestępcy mogą próbować obejść MFA za pomocą socjotechniki lub ataku MITM, jest to skuteczna pierwsza linia obrony.
#3. Wprowadzenie CAPTCHA
Wiele ataków ATO rozpoczyna się od prób logowania przez boty. CAPTCHA utrudnia im zadanie.
Pamiętaj, że istnieją usługi, które potrafią rozwiązywać CAPTCHA. Niemniej, warto w wielu przypadkach ją stosować, aby chronić się przed ATO.
#4. Zarządzanie sesją
Automatyczne wylogowywanie nieaktywnych sesji to dobra praktyka. Niektórzy użytkownicy logują się na wielu urządzeniach i zapominają się wylogować z poprzednich.
Warto też zezwalać na tylko jedną aktywną sesję na użytkownika. Użytkownicy powinni mieć możliwość zdalnego wylogowania się z urządzeń. Opcje zarządzania sesjami powinny być dostępne w interfejsie.
#5. Systemy monitorowania
Ochrona przed wszystkimi rodzajami ataków nie jest łatwa, zwłaszcza dla małych i średnich firm bez specjalistycznego działu ds. bezpieczeństwa. Warto wtedy polegać na zewnętrznych rozwiązaniach, takich jak Cloudflare i Imperva, oraz wspomnianych wcześniej Acronis i Sucuri. Te firmy specjalizują się w bezpieczeństwie cybernetycznym i pomagają zapobiegać atakom ATO lub je łagodzić.
#6. Geofencing
Geofencing pozwala na ustawienie zasad dostępu na podstawie lokalizacji użytkownika. Jeśli Twoja firma działa tylko w USA, nie ma powodu, aby zezwalać na dostęp z Chin. To nie jest idealne zabezpieczenie przed ATO, ale zwiększa ogólny poziom bezpieczeństwa.
Możesz pójść o krok dalej i zezwolić na dostęp do konta tylko z określonych adresów IP. Firmowa sieć VPN dodatkowo zaszyfruje ruch sieciowy, chroniąc firmę przed atakami MITM.
#7. Aktualizacje
Firma internetowa korzysta z wielu aplikacji, systemów operacyjnych, przeglądarek, wtyczek itp. Wszystkie one powinny być regularnie aktualizowane. Przeterminowany fragment kodu może otworzyć furtkę dla cyberprzestępców.
Regularnie aktualizuj zabezpieczenia. Ucz użytkowników, jak dbać o aktualność aplikacji.
Niestety, nikt nie może zagwarantować 100% bezpieczeństwa. Dlatego dobrze jest mieć przygotowany plan działania na wypadek ataku.
Walka z atakiem ATO
Najlepiej skonsultować się ze specjalistą ds. cyberbezpieczeństwa, ponieważ każdy przypadek jest inny. Poniżej przedstawiamy kilka ogólnych kroków:
Zablokuj
Po wykryciu ataku ATO natychmiast wyłącz podejrzane konta. Następnie wyślij prośby o zresetowanie haseł i MFA do wszystkich użytkowników, aby ograniczyć szkody.
Poinformuj
Poinformuj użytkowników o incydencie i złośliwej aktywności na kontach. Przekaż im informacje o tymczasowym zablokowaniu konta i instrukcje, jak przywrócić do niego bezpieczny dostęp.
Zbadaj
Doświadczony specjalista lub zespół cyberbezpieczeństwa powinien przeprowadzić dochodzenie. Celem jest zidentyfikowanie naruszonych kont i upewnienie się, że przestępca nie działa już w systemie. Wykorzystaj mechanizmy oparte na sztucznej inteligencji, np. analizę zachowań.
Należy również ocenić zakres naruszenia danych, jeśli do niego doszło.
Odzyskaj
Skanowanie systemu w poszukiwaniu złośliwego oprogramowania to pierwszy krok planu odzyskiwania, ponieważ przestępcy często instalują rootkity. Wprowadź uwierzytelnianie biometryczne lub MFA, jeśli jeszcze z niego nie korzystasz.
Zgłoś
W zależności od lokalnych przepisów, może być konieczne zgłoszenie incydentu odpowiednim organom. Pomoże to w zachowaniu zgodności z prawem.
Zaplanuj
Wykorzystaj zdobytą wiedzę o słabościach systemu, aby ulepszyć procedury bezpieczeństwa. Ucz użytkowników zasad higieny internetowej.
Przyszłość
Cyberbezpieczeństwo to dynamicznie rozwijająca się dziedzina. Co było bezpieczne kiedyś, dziś może być łatwe do obejścia. Bądź na bieżąco z nowymi zagrożeniami i regularnie aktualizuj procedury bezpieczeństwa firmy.
Zachęcamy do śledzenia naszego działu bezpieczeństwa, gdzie publikujemy i aktualizujemy artykuły dla startupów oraz małych i średnich firm. Śledzenie nowości jest ważne w planowaniu bezpieczeństwa.
Zadbaj o bezpieczeństwo swoich kont i nie pozwól ich przejąć.
newsblog.pl