Jak wykryć, zapobiec i złagodzić atak polegający na przejęciu konta (ATO)

przez

Jako firma możesz łatwo obronić się przed najpopularniejszym rodzajem oszustwa, atakiem przejęcia konta (ATO), stosując kilka podstawowych zasad.

Popołudnie 30 sierpnia 2019 r. było dziwne dla obserwujących Jacka Dorseya na Twitterze (obecnie X). „On” miał lekkomyślny szał, trwający około 20 minut, polegający na zamieszczaniu na Twitterze obelg rasistowskich i innych obraźliwych wiadomości.

Jego fani mogli odebrać to jako niezwykłe załamanie psychiczne ze strony dyrektora generalnego największego serwisu mikroblogowego. Jednakże Chuckling Squad, grupa odpowiedzialna za tę „przygodę”, pozostawiła linki do swojego kanału na Discordzie w wprowadzających w błąd tweetach z konta Jacka.

Później Twitter (obecnie X) potwierdził incydent.

Jesteśmy tego świadomi @Jacek został naruszony i badamy, co się stało.

— Twitter Comms (@TwitterComms) 30 sierpnia 2019 r

Był to klasyczny atak polegający na przejęciu konta (ATO), w szczególności polegający na zamianie Sima, podczas którego hakerzy zdalnie przejęli kontrolę nad numerem telefonu Jacka i opublikowali tweety z zewnętrznej usługi tweetowania, Cloudhopper.

Jakie są szanse na faworyzowanie przeciętnego użytkownika, jeśli ofiarą może być dyrektor generalny firmy technologicznej najwyższego szczebla?

Dołącz do mnie, aby porozmawiać o różnych formach ATO i o tym, jak zapewnić bezpieczeństwo swojej organizacji.

Co to jest atak ATO?

Atak przejęcia konta (ATO), jak sugeruje jego nazwa, wykorzystuje różne techniki (omówione później) w celu przejęcia konta internetowego ofiary w wielu nielegalnych celach, takich jak oszustwa finansowe, uzyskanie dostępu do poufnych informacji, oszukiwanie innych i nie tylko.

Jak działa ATO?

Istotą ataku ATO jest kradzież danych uwierzytelniających konta. Źli aktorzy robią to na różne sposoby, np.:

  • Inżynieria społeczna: ma na celu psychologiczne zmuszenie lub przekonanie osoby do ujawnienia danych logowania. Można tego dokonać pod pretekstem wsparcia technicznego lub wymyślenia sytuacji awaryjnej, dając ofierze niewiele czasu na racjonalne myślenie.
  • Upychanie poświadczeń: Podzbiór brutalnej siły, upychanie poświadczeń oznacza oszusta próbującego sprawić, by losowe dane logowania działały, często uzyskane w wyniku naruszenia bezpieczeństwa danych lub zakupione w ciemnej sieci.
  • Złośliwe oprogramowanie: Niebezpieczne, niechciane programy mogą zrobić wiele rzeczy z Twoim komputerem. Jednym z takich przypadków jest kradzież zalogowanych kont i przesłanie szczegółów cyberprzestępcy.
  • Phishing: najczęstsza forma cyberataku, phishing, zwykle rozpoczyna się od prostego kliknięcia. To pozornie nieszkodliwe działanie prowadzi użytkownika do fałszerstwa, w którym potencjalna ofiara wprowadza dane logowania, torując drogę nadchodzącemu atakowi ATO.
  • MITM: Atak typu man-in-the-middle to sytuacja, w której wykwalifikowany haker „nasłuchuje” przychodzącego i wychodzącego ruchu sieciowego. Wszystko, łącznie z wprowadzonymi nazwami użytkowników i hasłami, jest widoczne dla złośliwej strony trzeciej.

    • Były to standardowe sposoby, jakie cyberprzestępcy wykorzystują do przestępczego zdobywania danych logowania. Następstwem tego jest przejęcie konta, działalność niezgodna z prawem i próba utrzymania dostępu „aktywnego” tak długo, jak to możliwe, w celu dalszej wiktymizacji użytkownika lub przeprowadzania ataków na innych.

    Najczęściej przestępcy próbują zablokować użytkownika na czas nieokreślony lub skonfigurować tylne drzwi na potrzeby przyszłego ataku.

    Chociaż nikt nie chce przez to przechodzić (podobnie jak Jack!), bardzo pomaga, jeśli uda nam się dogonić go z przodu, aby uniknąć obrażeń.

    Wykrywanie ataku ATO

    Jako właściciel firmy możesz wykryć atak ATO na swoich użytkowników lub pracowników na kilka sposobów.

    #1. Nietypowe logowanie

    Mogą to być powtarzające się próby logowania z różnych adresów IP, szczególnie z odległych geograficznie lokalizacji. Podobnie może odbywać się logowanie z wielu urządzeń lub agentów przeglądarki.

    Ponadto aktywność logowania poza normalnymi godzinami aktywności może odzwierciedlać możliwy atak ATO.

    #2. Awarie 2FA

    Powtarzające się niepowodzenia uwierzytelniania dwuskładnikowego lub wieloskładnikowego również sygnalizują niewłaściwe postępowanie. W większości przypadków jest to zły aktor próbujący zalogować się po zdobyciu wyciekłej lub skradzionej nazwy użytkownika i hasła.

    #3. Nienormalna aktywność

    Czasami nie trzeba eksperta, aby zauważyć anomalię. Wszystko, co odbiega od normalnego zachowania użytkownika, może zostać oznaczone do przejęcia konta.

    Może to być tak proste, jak nieodpowiednie zdjęcie profilowe lub seria spamerskich e-maili do Twoich klientów.

    Ostatecznie nie jest łatwo wykryć takie ataki ręcznie i narzędziami podobnymi Sucuri Lub Acronis może pomóc w automatyzacji procesu.

    Idąc dalej, przyjrzyjmy się przede wszystkim, jak uniknąć takich ataków.

    Zapobieganie atakowi ATO

    Oprócz subskrypcji narzędzi cyberbezpieczeństwa możesz zwrócić uwagę na kilka najlepszych praktyk.

    #1. Silne hasła

    Nikt nie lubi silnych haseł, ale w obecnym krajobrazie zagrożeń są one absolutną koniecznością. Dlatego nie pozwól, aby Twoi użytkownicy lub pracownicy uszli na sucho prostymi hasłami i ustal pewne minimalne wymagania dotyczące złożoności rejestracji konta.

    Specjalnie dla organizacji, 1Hasło biznesowe to dobry wybór dla menedżera haseł, który może wykonać ciężką pracę dla Twojego zespołu. Oprócz tego, że służą do przechowywania haseł, najwyższej klasy narzędzia skanują także ciemną sieć i ostrzegają Cię w przypadku wycieku jakichkolwiek danych uwierzytelniających. Pomaga w wysyłaniu próśb o zresetowanie hasła do użytkowników lub pracowników, których to dotyczy.

    #2. Uwierzytelnianie wieloskładnikowe (MFA)

    Dla tych, którzy nie wiedzą, uwierzytelnianie wieloskładnikowe oznacza, że ​​witryna poprosi o dodatkowy kod (dostarczony na adres e-mail lub numer telefonu użytkownika) oprócz kombinacji nazwy użytkownika i hasła, aby uzyskać dostęp.

    Jest to na ogół solidna metoda zapobiegania nieautoryzowanemu dostępowi. Oszuści mogą jednak szybko wykorzystać usługę MFA za pomocą socjotechniki lub ataków MITM. Tak więc, chociaż jest to doskonała pierwsza (lub druga) linia obrony, w tej historii jest coś więcej.

    #3. Zaimplementuj CAPTCHA

    Większość ataków ATO rozpoczyna się od próby losowych danych logowania przez boty. Dlatego o wiele lepiej będzie mieć wyzwanie związane z logowaniem, takie jak CAPTCHA.

    Jeśli jednak uważasz, że jest to broń ostateczna, zastanów się jeszcze raz, ponieważ istnieją usługi rozwiązywania problemów CAPTCHA, które może wdrożyć zły aktor. Mimo to w wielu przypadkach warto mieć CAPTCHA i chronić je przed ATO.

    #4. Zarządzanie sesją

    Automatyczne wylogowywanie się w przypadku nieaktywnych sesji może ogólnie uratować życie w przypadku przejęć kont, ponieważ niektórzy użytkownicy logują się z wielu urządzeń i przechodzą na inne bez wylogowywania się z poprzednich.

    Ponadto pomocne może okazać się zezwolenie tylko na jedną aktywną sesję na użytkownika.

    Wreszcie najlepiej będzie, jeśli użytkownicy będą mogli zdalnie wylogować się z aktywnych urządzeń, a w samym interfejsie użytkownika pojawią się opcje zarządzania sesjami.

    #5. Systemy monitorowania

    Ochrona wszystkich wektorów ataków w przypadku organizacji typu start-up lub średniego szczebla nie jest taka łatwa, szczególnie jeśli nie masz dedykowanego działu ds. bezpieczeństwa cybernetycznego.

    Tutaj możesz polegać na rozwiązaniach innych firm, takich jak Cloudflare i Imperva, oprócz już wspomnianych Acronis i Sucuri. Te firmy zajmujące się cyberbezpieczeństwem są jednymi z najlepszych, jeśli chodzi o radzenie sobie z takimi problemami i mogą skutecznie zapobiegać atakom ATO lub je łagodzić.

    #6. Geofencing

    Geofencing stosuje zasady dostępu oparte na lokalizacji dla Twojego projektu internetowego. Na przykład firma mająca w całości siedzibę w USA nie ma żadnego powodu, aby zezwalać chińskim użytkownikom. Chociaż nie jest to niezawodne rozwiązanie zapobiegające atakom ATO, zwiększa ogólne bezpieczeństwo.

    Podnosząc to o kilka stopni, firmę internetową można skonfigurować tak, aby zezwalała tylko na przydzielanie pracownikom tylko niektórych adresów IP.

    Innymi słowy, możesz użyć biznesowej sieci VPN, aby położyć kres atakom polegającym na przejęciu konta. Poza tym VPN będzie również szyfrować ruch przychodzący i wychodzący, chroniąc zasoby biznesowe przed atakami typu man-in-the-middle.

    #7. Aktualizacje

    Jako firma internetowa prawdopodobnie masz do czynienia z wieloma aplikacjami, takimi jak systemy operacyjne, przeglądarki, wtyczki itp. Wszystkie one stają się nieaktualne i wymagają aktualizacji w celu zapewnienia najlepszego możliwego bezpieczeństwa. Chociaż nie jest to bezpośrednio związane z atakami ATO, przestarzały fragment kodu może być dla cyberprzestępcy łatwą bramą do siania spustoszenia w Twojej firmie.

    Konkluzja: regularnie przesyłaj aktualizacje zabezpieczeń na urządzenia biznesowe. Dla użytkowników dobrym krokiem naprzód może być nauczenie ich, jak zachować najnowsze wersje aplikacji.

    Po tym wszystkim i nie tylko, nie ma eksperta ds. bezpieczeństwa, który mógłby zagwarantować 100% bezpieczeństwa. W związku z tym powinieneś mieć przygotowany energiczny plan zaradczy na ten pamiętny dzień.

    Walka z atakiem ATO

    Najlepiej mieć na pokładzie eksperta ds. cyberbezpieczeństwa, ponieważ każdy przypadek jest wyjątkowy. Mimo to poniżej przedstawiono kilka kroków, które poprowadzą Cię przez typowy scenariusz ataku po ataku ATO.

    Zawierać

    Po wykryciu ataku ATO na niektóre konta, pierwszą rzeczą do zrobienia jest tymczasowe wyłączenie odpowiednich profili. Następnie wysłanie prośby o zresetowanie hasła i MFA do wszystkich kont może pomóc w ograniczeniu szkód.

    Poinformować

    Komunikuj się z docelowymi użytkownikami na temat zdarzenia i aktywności na złośliwym koncie. Następnie poinformuj ich o chwilowym zablokowaniu i krokach przywracania konta, aby uzyskać bezpieczny dostęp.

    Zbadać

    Proces ten najlepiej może przeprowadzić doświadczony ekspert lub zespół specjalistów ds. cyberbezpieczeństwa. Celem może być identyfikacja kont, których dotyczy problem i upewnienie się, że osoba atakująca nie jest nadal w akcji, za pomocą mechanizmów opartych na sztucznej inteligencji, takich jak analiza zachowania.

    Ponadto należy znać zakres naruszenia ochrony danych, jeśli takie ma miejsce.

    Odzyskiwać

    Skanowanie całego systemu pod kątem złośliwego oprogramowania powinno być pierwszym krokiem szczegółowego planu odzyskiwania, ponieważ przestępcy najczęściej instalują rootkity w celu zainfekowania systemu lub utrzymania dostępu na potrzeby przyszłych ataków.

    Na tym etapie można naciskać na uwierzytelnianie biometryczne, jeśli jest dostępne, lub MFA, jeśli jeszcze nie jest stosowane.

    Raport

    Zgodnie z lokalnymi przepisami może zaistnieć konieczność zgłoszenia tego faktu organom rządowym. Pomoże Ci to zachować zgodność i w razie potrzeby wytoczyć pozew przeciwko napastnikom.

    Plan

    Wiesz już o pewnych lukach prawnych, które istniały bez Twojej wiedzy. Czas zająć się nimi w przyszłym pakiecie bezpieczeństwa.

    Ponadto skorzystaj z okazji, aby poinformować użytkowników o tym zdarzeniu i poprosić o przestrzeganie zasad higieny w Internecie, aby uniknąć problemów w przyszłości.

    W przyszłość

    Cyberbezpieczeństwo to dziedzina rozwijająca się. Rzeczy uważane za bezpieczne dziesięć lat temu mogą obecnie stanowić otwarte zaproszenie dla oszustów. Dlatego najlepszym rozwiązaniem jest śledzenie na bieżąco zmian i okresowe aktualizowanie protokołów bezpieczeństwa firmy.

    Jeśli jesteś zainteresowany, sekcja bezpieczeństwa newsblog.pl jest godną zakładek biblioteką artykułów skierowanych do start-upów i małych i średnich firm, którą piszemy i regularnie aktualizujemy. Sprawdzaj je regularnie, a jestem pewien, że uda ci się sprawdzić część planowania bezpieczeństwa polegającą na „byciu na bieżąco”.

    Zachowaj bezpieczeństwo i nie pozwól im przejąć tych kont.