Как обнаружить, предотвратить и смягчить атаку захвата учетной записи (ATO)

Как бизнес, вы можете легко защититься от наиболее распространенного типа мошенничества — атаки захвата учетной записи (ATO), если правильно выполнить несколько основных действий.

День 30 августа 2019 года выдался странным для подписчиков Джека Дорси в Твиттере (теперь X). «Он» безрассудно, продолжаясь около 20 минут, писал в Твиттере расовые оскорбления и другие оскорбительные сообщения.

Его поклонники могли бы воспринять это как необычный психический срыв со стороны генерального директора крупнейшего сайта микроблогов. Однако группа Chuckling Squad, стоящая за этим «приключением», оставила ссылки на свой канал разногласий в вводящих в заблуждение твитах из аккаунта Джека.

Позже Twitter (теперь X) подтвердил инцидент.

Мы знаем, что @Джек был скомпрометирован и расследует случившееся.

— Сообщения в Твиттере (@TwitterComms) 30 августа 2019 г.

Это была классическая атака захвата учетной записи (ATO), в частности, с заменой сим-карт, в которой хакеры удаленно взяли под контроль номер телефона Джека и написали в Твиттере из стороннего сервиса твитов Cloudhopper.

Каковы шансы в пользу обычного пользователя, если жертвой может стать генеральный директор технологической компании высшего уровня?

Итак, присоединяйтесь ко мне, чтобы поговорить о различных формах АТО и о том, как обеспечить безопасность вашей организации.

Что такое АТО?

Атака захвата учетной записи (ATO), как следует из ее названия, использует различные методы (обсуждаемые позже) для захвата онлайн-учетной записи жертвы для многочисленных незаконных целей, таких как финансовое мошенничество, доступ к конфиденциальной информации, обман других и многое другое.

Как работает АТО?

Суть атаки ATO — кража учетных данных. Плохие актеры делают это различными способами, например:

  • Социальная инженерия: психологическое принуждение или убеждение человека раскрыть свои данные для входа. Это может быть сделано под предлогом техподдержки или фабрикации аварийной ситуации, не давая жертве времени на рациональное мышление.
  • Подстановка учетных данных: разновидность грубой силы, подстановка учетных данных означает, что мошенник пытается заставить работать случайные данные для входа, часто полученные в результате утечки данных или приобретенные в темной сети.
  • Вредоносное ПО. Опасные нежелательные программы могут причинить вред вашему компьютеру. Одним из таких случаев является кража учетных записей для входа в систему и отправка данных киберпреступнику.
  • Фишинг. Самая распространенная форма кибератаки — фишинг — обычно начинается с простого щелчка мышью. Это, казалось бы, безобидное действие приводит пользователя к подделке, где потенциальная жертва вводит учетные данные для входа, готовя почву для предстоящей атаки ATO.
  • MITM: Атака «человек посередине» представляет собой ситуацию, когда опытный хакер «прослушивает» ваш входящий и исходящий сетевой трафик. Все, включая имена пользователей и пароли, которые вы вводите, становится видимым для злонамеренной третьей стороны.
  • Это были стандартные способы, которыми киберворы пользуются для преступного получения учетных данных для входа. Далее следует захват учетной записи, незаконная деятельность и попытка сохранить «действующий» доступ как можно дольше, чтобы еще больше преследовать пользователя или продолжать атаки на других.

    Чаще всего злоумышленники пытаются заблокировать пользователя на неопределенный срок или создают бэкдоры для будущей атаки.

    Хотя никто не хочет проходить через это (как и Джек!), это очень поможет, если мы сможем предупредить это заранее, чтобы избежать повреждений.

    Обнаружение атаки АТО

    У владельца бизнеса есть несколько способов обнаружить атаку ATO на ваших пользователей или сотрудников.

    №1. Необычный вход

    Это могут быть повторные попытки входа с разных IP-адресов, особенно из географически удаленных мест. Точно так же могут быть входы с нескольких устройств или агентов браузера.

    Кроме того, активность входа в систему за пределами обычных часов активности может отражать возможную атаку ATO.

    №2. Сбои 2FA

    Повторные сбои двухфакторной или многофакторной аутентификации также сигнализируют о неправомерном поведении. В большинстве случаев злоумышленник пытается войти в систему после того, как получил утекшее или украденное имя пользователя и пароль.

    №3. Аномальная активность

    Иногда не нужен эксперт, чтобы заметить аномалию. Все, что выходит за рамки обычного поведения пользователя, может быть помечено как захват учетной записи.

    Это может быть просто неприемлемое изображение профиля или серия спам-сообщений вашим клиентам.

    В конечном счете, такие атаки нелегко обнаружить вручную, и такие инструменты, как Сукури или Акронис может помочь в автоматизации процесса.

    Двигаясь дальше, давайте в первую очередь выясним, как избежать таких атак.

    Предотвращение атаки АТО

    Помимо подписки на инструменты кибербезопасности, вы можете принять к сведению несколько рекомендаций.

    №1. Надежные пароли

    Никто не любит надежные пароли, но они абсолютно необходимы в нынешней ситуации с угрозами. Поэтому не позволяйте вашим пользователям или сотрудникам использовать простые пароли и установите некоторые минимальные требования к сложности для регистрации учетной записи.

    Специально для организаций, 1Пароль бизнес — хороший выбор для менеджера паролей, который сможет выполнить тяжелую работу за вашу команду. Первоклассные инструменты не только хранят пароли, но и сканируют даркнет и предупреждают вас в случае утечки каких-либо учетных данных. Это поможет вам отправлять запросы на сброс пароля затронутым пользователям или сотрудникам.

    №2. Многофакторная аутентификация (MFA)

    Для тех, кто не знает, многофакторная аутентификация означает, что веб-сайт запрашивает дополнительный код (доставленный на адрес электронной почты или номер телефона пользователя) помимо комбинации имени пользователя и пароля для входа.

    Как правило, это надежный метод предотвращения несанкционированного доступа. Однако мошенники могут быстро справиться с MFA с помощью социальной инженерии или атак MITM. Итак, хотя это отличная первая (или вторая) линия защиты, в этой истории есть еще кое-что.

    №3. Внедрить капчу

    Большинство атак ATO начинаются с того, что боты пытаются использовать случайные учетные данные для входа. Поэтому будет намного лучше иметь систему проверки входа, например CAPTCHA.

    Но если вы думаете, что это самое мощное оружие, подумайте еще раз, потому что существуют службы решения CAPTCHA, которые может использовать злоумышленник. Тем не менее, CAPTCHA полезно иметь и защищать от ATO во многих случаях.

    №4. Управление сеансами

    Автоматический выход из системы для неактивных сеансов может оказаться спасением при захвате учетных записей в целом, поскольку некоторые пользователи входят в систему с нескольких устройств и переходят на другие, не выходя из предыдущих.

    Кроме того, может оказаться полезным разрешить только один активный сеанс для каждого пользователя.

    Наконец, будет лучше, если пользователи смогут удаленно выходить из активных устройств и в самом пользовательском интерфейсе будут предусмотрены параметры управления сеансами.

    №5. Системы мониторинга

    Охватить все векторы атак в начинающей или средней организации не так-то просто, особенно если у вас нет специального отдела кибербезопасности.

    Здесь вы можете положиться на сторонние решения, такие как Cloudflare и Imperva, помимо уже заявленных Acronis и Sucuri. Эти компании, занимающиеся кибербезопасностью, являются одними из лучших в решении таких проблем и могут эффективно предотвращать или смягчать атаки ATO.

    №6. Геофенсинг

    Геофенсинг применяет политики доступа на основе местоположения для вашего веб-проекта. Например, у компании, на 100% базирующейся в США, практически нет причин допускать пользователей из Китая. Хотя это не является надежным решением для предотвращения атак ATO, оно повышает общую безопасность.

    Подняв это на несколько ступеней, онлайн-бизнес можно настроить так, чтобы его сотрудникам выделялись только определенные IP-адреса.

    Другими словами, вы можете использовать бизнес-VPN, чтобы положить конец атакам с целью захвата учетных записей. Кроме того, VPN также шифрует входящий и исходящий трафик, защищая ваши бизнес-ресурсы от атак «человек посередине».

    №7. Обновления

    Как интернет-бизнесмен, вы, вероятно, имеете дело со многими программными приложениями, такими как операционные системы, браузеры, плагины и т. д. Все они устаревают и нуждаются в обновлении для обеспечения максимальной безопасности. Хотя это не имеет прямого отношения к атакам ATO, устаревший фрагмент кода может стать для киберпреступника легким шлюзом, позволяющим нанести ущерб вашему бизнесу.

    Итог: регулярно распространяйте обновления безопасности на бизнес-устройства. Для пользователей попытка научить их использовать последние версии приложений может стать хорошим шагом вперед.

    После всего этого и многого другого не существует эксперта по безопасности, который мог бы гарантировать 100% безопасность. Следовательно, у вас должен быть четкий план действий на случай рокового дня.

    Борьба с атакой АТО

    Лучше всего иметь на борту эксперта по кибербезопасности, поскольку каждый случай уникален. Тем не менее, вот несколько шагов, которые помогут вам в распространенном сценарии атаки после ATO.

    Содержать

    После того как вы обнаружите атаку ATO на некоторые учетные записи, первое, что нужно сделать, — это временно отключить затронутые профили. Далее, отправка пароля и запроса на сброс MFA всем учетным записям может помочь ограничить ущерб.

    Поставить в известность

    Сообщите целевым пользователям о событии и активности вредоносной учетной записи. Затем сообщите им о моментальной блокировке и действиях по восстановлению учетной записи для безопасного доступа.

    Расследовать

    Лучше всего этот процесс может выполнить опытный эксперт или команда специалистов по кибербезопасности. Цель может заключаться в том, чтобы идентифицировать затронутые учетные записи и убедиться, что злоумышленник все еще не действует, с помощью механизмов на базе искусственного интеллекта, таких как анализ поведения.

    Кроме того, необходимо знать степень утечки данных, если таковая имеется.

    Восстанавливаться

    Полное сканирование системы на наличие вредоносных программ должно быть первым шагом в детальном плане восстановления, поскольку чаще всего преступники устанавливают руткиты для заражения системы или сохранения доступа для будущих атак.

    На этом этапе можно настаивать на биометрической аутентификации, если она доступна, или MFA, если она еще не используется.

    Отчет

    В соответствии с местным законодательством вам может потребоваться сообщить об этом в государственные органы. Это поможет вам соблюдать требования и при необходимости подать иск против злоумышленников.

    План

    К настоящему моменту вы знаете о некоторых лазейках, существовавших без вашего ведома. Пришло время решить их в будущем пакете безопасности.

    Кроме того, воспользуйтесь этой возможностью, чтобы проинформировать пользователей об этом инциденте и попросить соблюдать правила гигиены в Интернете, чтобы избежать проблем в будущем.

    В будущее

    Кибербезопасность — это развивающаяся область. Вещи, которые десять лет назад считались безопасными, сегодня могут стать открытым приглашением для мошенников. Поэтому оставаться в курсе событий и периодически обновлять протоколы безопасности вашего бизнеса — лучший путь вперед.

    Если вам интересно, раздел безопасности toadmin.ru представляет собой достойную закладки библиотеку статей, предназначенных для стартапов и предприятий малого и среднего бизнеса, которые мы регулярно пишем и обновляем. Продолжайте проверять их, и я уверен, что вы сможете проверить часть планирования безопасности «быть в курсе».

    Будьте в безопасности и не позволяйте им завладеть этими учетными записями.