Jako firma możesz łatwo obronić się przed najpopularniejszym rodzajem oszustwa, atakiem przejęcia konta (ATO), stosując kilka podstawowych zasad.
Popołudnie 30 sierpnia 2019 r. było dziwne dla obserwujących Jacka Dorseya na Twitterze (obecnie X). „On” miał lekkomyślny szał, trwający około 20 minut, polegający na zamieszczaniu na Twitterze obelg rasistowskich i innych obraźliwych wiadomości.
Jego fani mogli odebrać to jako niezwykłe załamanie psychiczne ze strony dyrektora generalnego największego serwisu mikroblogowego. Jednakże Chuckling Squad, grupa odpowiedzialna za tę „przygodę”, pozostawiła linki do swojego kanału na Discordzie w wprowadzających w błąd tweetach z konta Jacka.
Później Twitter (obecnie X) potwierdził incydent.
Jesteśmy tego świadomi @Jacek został naruszony i badamy, co się stało.
— Twitter Comms (@TwitterComms) 30 sierpnia 2019 r
Był to klasyczny atak polegający na przejęciu konta (ATO), w szczególności polegający na zamianie Sima, podczas którego hakerzy zdalnie przejęli kontrolę nad numerem telefonu Jacka i opublikowali tweety z zewnętrznej usługi tweetowania, Cloudhopper.
Jakie są szanse na faworyzowanie przeciętnego użytkownika, jeśli ofiarą może być dyrektor generalny firmy technologicznej najwyższego szczebla?
Dołącz do mnie, aby porozmawiać o różnych formach ATO i o tym, jak zapewnić bezpieczeństwo swojej organizacji.
Spis treści:
Co to jest atak ATO?
Atak przejęcia konta (ATO), jak sugeruje jego nazwa, wykorzystuje różne techniki (omówione później) w celu przejęcia konta internetowego ofiary w wielu nielegalnych celach, takich jak oszustwa finansowe, uzyskanie dostępu do poufnych informacji, oszukiwanie innych i nie tylko.
Jak działa ATO?
Istotą ataku ATO jest kradzież danych uwierzytelniających konta. Źli aktorzy robią to na różne sposoby, np.:
Były to standardowe sposoby, jakie cyberprzestępcy wykorzystują do przestępczego zdobywania danych logowania. Następstwem tego jest przejęcie konta, działalność niezgodna z prawem i próba utrzymania dostępu „aktywnego” tak długo, jak to możliwe, w celu dalszej wiktymizacji użytkownika lub przeprowadzania ataków na innych.
Najczęściej przestępcy próbują zablokować użytkownika na czas nieokreślony lub skonfigurować tylne drzwi na potrzeby przyszłego ataku.
Chociaż nikt nie chce przez to przechodzić (podobnie jak Jack!), bardzo pomaga, jeśli uda nam się dogonić go z przodu, aby uniknąć obrażeń.
Wykrywanie ataku ATO
Jako właściciel firmy możesz wykryć atak ATO na swoich użytkowników lub pracowników na kilka sposobów.
#1. Nietypowe logowanie
Mogą to być powtarzające się próby logowania z różnych adresów IP, szczególnie z odległych geograficznie lokalizacji. Podobnie może odbywać się logowanie z wielu urządzeń lub agentów przeglądarki.
Ponadto aktywność logowania poza normalnymi godzinami aktywności może odzwierciedlać możliwy atak ATO.
#2. Awarie 2FA
Powtarzające się niepowodzenia uwierzytelniania dwuskładnikowego lub wieloskładnikowego również sygnalizują niewłaściwe postępowanie. W większości przypadków jest to zły aktor próbujący zalogować się po zdobyciu wyciekłej lub skradzionej nazwy użytkownika i hasła.
#3. Nienormalna aktywność
Czasami nie trzeba eksperta, aby zauważyć anomalię. Wszystko, co odbiega od normalnego zachowania użytkownika, może zostać oznaczone do przejęcia konta.
Może to być tak proste, jak nieodpowiednie zdjęcie profilowe lub seria spamerskich e-maili do Twoich klientów.
Ostatecznie nie jest łatwo wykryć takie ataki ręcznie i narzędziami podobnymi Sucuri Lub Acronis może pomóc w automatyzacji procesu.
Idąc dalej, przyjrzyjmy się przede wszystkim, jak uniknąć takich ataków.
Zapobieganie atakowi ATO
Oprócz subskrypcji narzędzi cyberbezpieczeństwa możesz zwrócić uwagę na kilka najlepszych praktyk.
#1. Silne hasła
Nikt nie lubi silnych haseł, ale w obecnym krajobrazie zagrożeń są one absolutną koniecznością. Dlatego nie pozwól, aby Twoi użytkownicy lub pracownicy uszli na sucho prostymi hasłami i ustal pewne minimalne wymagania dotyczące złożoności rejestracji konta.
Specjalnie dla organizacji, 1Hasło biznesowe to dobry wybór dla menedżera haseł, który może wykonać ciężką pracę dla Twojego zespołu. Oprócz tego, że służą do przechowywania haseł, najwyższej klasy narzędzia skanują także ciemną sieć i ostrzegają Cię w przypadku wycieku jakichkolwiek danych uwierzytelniających. Pomaga w wysyłaniu próśb o zresetowanie hasła do użytkowników lub pracowników, których to dotyczy.
#2. Uwierzytelnianie wieloskładnikowe (MFA)
Dla tych, którzy nie wiedzą, uwierzytelnianie wieloskładnikowe oznacza, że witryna poprosi o dodatkowy kod (dostarczony na adres e-mail lub numer telefonu użytkownika) oprócz kombinacji nazwy użytkownika i hasła, aby uzyskać dostęp.
Jest to na ogół solidna metoda zapobiegania nieautoryzowanemu dostępowi. Oszuści mogą jednak szybko wykorzystać usługę MFA za pomocą socjotechniki lub ataków MITM. Tak więc, chociaż jest to doskonała pierwsza (lub druga) linia obrony, w tej historii jest coś więcej.
#3. Zaimplementuj CAPTCHA
Większość ataków ATO rozpoczyna się od próby losowych danych logowania przez boty. Dlatego o wiele lepiej będzie mieć wyzwanie związane z logowaniem, takie jak CAPTCHA.
Jeśli jednak uważasz, że jest to broń ostateczna, zastanów się jeszcze raz, ponieważ istnieją usługi rozwiązywania problemów CAPTCHA, które może wdrożyć zły aktor. Mimo to w wielu przypadkach warto mieć CAPTCHA i chronić je przed ATO.
#4. Zarządzanie sesją
Automatyczne wylogowywanie się w przypadku nieaktywnych sesji może ogólnie uratować życie w przypadku przejęć kont, ponieważ niektórzy użytkownicy logują się z wielu urządzeń i przechodzą na inne bez wylogowywania się z poprzednich.
Ponadto pomocne może okazać się zezwolenie tylko na jedną aktywną sesję na użytkownika.
Wreszcie najlepiej będzie, jeśli użytkownicy będą mogli zdalnie wylogować się z aktywnych urządzeń, a w samym interfejsie użytkownika pojawią się opcje zarządzania sesjami.
#5. Systemy monitorowania
Ochrona wszystkich wektorów ataków w przypadku organizacji typu start-up lub średniego szczebla nie jest taka łatwa, szczególnie jeśli nie masz dedykowanego działu ds. bezpieczeństwa cybernetycznego.
Tutaj możesz polegać na rozwiązaniach innych firm, takich jak Cloudflare i Imperva, oprócz już wspomnianych Acronis i Sucuri. Te firmy zajmujące się cyberbezpieczeństwem są jednymi z najlepszych, jeśli chodzi o radzenie sobie z takimi problemami i mogą skutecznie zapobiegać atakom ATO lub je łagodzić.
#6. Geofencing
Geofencing stosuje zasady dostępu oparte na lokalizacji dla Twojego projektu internetowego. Na przykład firma mająca w całości siedzibę w USA nie ma żadnego powodu, aby zezwalać chińskim użytkownikom. Chociaż nie jest to niezawodne rozwiązanie zapobiegające atakom ATO, zwiększa ogólne bezpieczeństwo.
Podnosząc to o kilka stopni, firmę internetową można skonfigurować tak, aby zezwalała tylko na przydzielanie pracownikom tylko niektórych adresów IP.
Innymi słowy, możesz użyć biznesowej sieci VPN, aby położyć kres atakom polegającym na przejęciu konta. Poza tym VPN będzie również szyfrować ruch przychodzący i wychodzący, chroniąc zasoby biznesowe przed atakami typu man-in-the-middle.
#7. Aktualizacje
Jako firma internetowa prawdopodobnie masz do czynienia z wieloma aplikacjami, takimi jak systemy operacyjne, przeglądarki, wtyczki itp. Wszystkie one stają się nieaktualne i wymagają aktualizacji w celu zapewnienia najlepszego możliwego bezpieczeństwa. Chociaż nie jest to bezpośrednio związane z atakami ATO, przestarzały fragment kodu może być dla cyberprzestępcy łatwą bramą do siania spustoszenia w Twojej firmie.
Konkluzja: regularnie przesyłaj aktualizacje zabezpieczeń na urządzenia biznesowe. Dla użytkowników dobrym krokiem naprzód może być nauczenie ich, jak zachować najnowsze wersje aplikacji.
Po tym wszystkim i nie tylko, nie ma eksperta ds. bezpieczeństwa, który mógłby zagwarantować 100% bezpieczeństwa. W związku z tym powinieneś mieć przygotowany energiczny plan zaradczy na ten pamiętny dzień.
Walka z atakiem ATO
Najlepiej mieć na pokładzie eksperta ds. cyberbezpieczeństwa, ponieważ każdy przypadek jest wyjątkowy. Mimo to poniżej przedstawiono kilka kroków, które poprowadzą Cię przez typowy scenariusz ataku po ataku ATO.
Zawierać
Po wykryciu ataku ATO na niektóre konta, pierwszą rzeczą do zrobienia jest tymczasowe wyłączenie odpowiednich profili. Następnie wysłanie prośby o zresetowanie hasła i MFA do wszystkich kont może pomóc w ograniczeniu szkód.
Poinformować
Komunikuj się z docelowymi użytkownikami na temat zdarzenia i aktywności na złośliwym koncie. Następnie poinformuj ich o chwilowym zablokowaniu i krokach przywracania konta, aby uzyskać bezpieczny dostęp.
Zbadać
Proces ten najlepiej może przeprowadzić doświadczony ekspert lub zespół specjalistów ds. cyberbezpieczeństwa. Celem może być identyfikacja kont, których dotyczy problem i upewnienie się, że osoba atakująca nie jest nadal w akcji, za pomocą mechanizmów opartych na sztucznej inteligencji, takich jak analiza zachowania.
Ponadto należy znać zakres naruszenia ochrony danych, jeśli takie ma miejsce.
Odzyskiwać
Skanowanie całego systemu pod kątem złośliwego oprogramowania powinno być pierwszym krokiem szczegółowego planu odzyskiwania, ponieważ przestępcy najczęściej instalują rootkity w celu zainfekowania systemu lub utrzymania dostępu na potrzeby przyszłych ataków.
Na tym etapie można naciskać na uwierzytelnianie biometryczne, jeśli jest dostępne, lub MFA, jeśli jeszcze nie jest stosowane.
Raport
Zgodnie z lokalnymi przepisami może zaistnieć konieczność zgłoszenia tego faktu organom rządowym. Pomoże Ci to zachować zgodność i w razie potrzeby wytoczyć pozew przeciwko napastnikom.
Plan
Wiesz już o pewnych lukach prawnych, które istniały bez Twojej wiedzy. Czas zająć się nimi w przyszłym pakiecie bezpieczeństwa.
Ponadto skorzystaj z okazji, aby poinformować użytkowników o tym zdarzeniu i poprosić o przestrzeganie zasad higieny w Internecie, aby uniknąć problemów w przyszłości.
W przyszłość
Cyberbezpieczeństwo to dziedzina rozwijająca się. Rzeczy uważane za bezpieczne dziesięć lat temu mogą obecnie stanowić otwarte zaproszenie dla oszustów. Dlatego najlepszym rozwiązaniem jest śledzenie na bieżąco zmian i okresowe aktualizowanie protokołów bezpieczeństwa firmy.
Jeśli jesteś zainteresowany, sekcja bezpieczeństwa newsblog.pl jest godną zakładek biblioteką artykułów skierowanych do start-upów i małych i średnich firm, którą piszemy i regularnie aktualizujemy. Sprawdzaj je regularnie, a jestem pewien, że uda ci się sprawdzić część planowania bezpieczeństwa polegającą na „byciu na bieżąco”.
Zachowaj bezpieczeństwo i nie pozwól im przejąć tych kont.