Как да откриете, предотвратите и смекчите атака за поглъщане на акаунт (ATO)

Като бизнес можете лесно да се защитите срещу най-разпространения тип измама, атака за поглъщане на акаунт (ATO), с няколко основни правила, направени правилно.

Следобедът на 30 август 2019 г. беше странен за последователите на Джак Дорси в Twitter (сега X). „Той“ беше в безразсъдна разходка, продължила около 20 минути, на туитване на расови обиди и други обидни съобщения.

Феновете му може би са го приели като необичаен психически срив от изпълнителния директор на най-големия уебсайт за микроблогинг. Въпреки това, Chuckling Squad, групата зад това „приключение“, беше оставила връзки към техния канал за раздор в подвеждащите туитове от акаунта на Джак.

По-късно Twitter (сега X) потвърди инцидента.

Ние сме наясно с това @джак беше компрометиран и разследва случилото се.

— Twitter Comms (@TwitterComms) 30 август 2019 г

Това беше класическа атака за поглъщане на акаунт (ATO), по-специално за размяна на Sim, при която хакерите отдалечено контролираха телефонния номер на Джак и туитваха от услуга за туитване на трета страна, Cloudhopper.

Какви са шансовете в полза на средния потребител, ако изпълнителният директор на технологична компания от най-високо ниво може да бъде жертва?

Така че, присъединете се към мен, за да говорим за различните форми на ATO и как да запазите организацията си в безопасност.

Какво е АТО атака?

Атаката за поглъщане на акаунт (ATO), както подсказва името й, използва различни техники (обсъдени по-късно) за отвличане на онлайн акаунт на жертва за множество незаконни цели, като финансови измами, достъп до чувствителна информация, измама на други и др.

Как работи ATO?

Същността на ATO атака е кражба на идентификационни данни за акаунт. Лошите актьори правят това по различни начини, като например:

  • Социално инженерство: Това е психологически принуждаване или убеждаване на човек да разкрие своите данни за вход. Това може да се направи под претекст за техническа поддръжка или изфабрикуване на спешна ситуация, като се дава малко време на жертвата да мисли рационално.
  • Пълнене на идентификационни данни: Подмножество от груба сила, пълнеж на идентификационни данни означава измамник, който се опитва да накара случайни данни за вход да работят, често получени от нарушение на данните или закупени от тъмната мрежа.
  • Зловреден софтуер: Опасни, нежелани програми могат да направят много неща на вашия компютър. Един такъв пример е да откраднете акаунтите, в които сте влезли, и да изпратите подробностите на киберпрестъпника.
  • Фишинг: Най-често срещаната форма на кибератака, фишингът, обикновено започва с просто щракване. Това на пръв поглед безобидно действие отвежда потребителя до фалшификат, където бъдещата жертва въвежда идентификационни данни за вход, проправяйки пътя за предстояща ATO атака.
  • MITM: Атаката Man-in-the-middle представлява ситуация, при която опитен хакер „слуша“ вашия входящ и изходящ мрежов трафик. Всичко, включително потребителските имена и паролите, които въвеждате, е видимо за злонамерена трета страна.
  • Това бяха стандартните начини, които киберкрадците използват за престъпно придобиване на идентификационни данни за вход. Това, което следва, е поглъщане на акаунт, незаконна дейност и опит да се запази достъпът „жив“ възможно най-дълго, за да се направи допълнително жертва на потребителя или да се извършат атаки срещу други.

    По-често лошите момчета се опитват да заключат потребителя за неопределено време или да създадат задни врати за бъдеща атака.

    Въпреки че никой не иска да мине през това (нито Джак!), помага много, ако можем да го хванем отпред, за да избегнем повреда.

    Откриване на АТО атака

    Като собственик на бизнес има няколко начина да забележите ATO атака срещу вашите потребители или служители.

    #1. Необичайно влизане

    Това могат да бъдат многократни опити за влизане от различни IP адреси, особено от географски отдалечени местоположения. По същия начин може да има влизания от множество устройства или агенти на браузъра.

    В допълнение, активността при влизане извън нормалните активни часове може да отразява възможна ATO атака.

    #2. 2FA неуспехи

    Повтарящите се грешки при двуфакторно удостоверяване или многофакторно удостоверяване също сигнализират за неправилно поведение. През повечето време лош играч се опитва да влезе, след като се е сдобил с изтеклото или откраднато потребителско име и парола.

    #3. Необичайна активност

    Понякога не е необходим експерт, за да забележи аномалия. Всичко, което е извън обичайното потребителско поведение, може да бъде маркирано за превземане на акаунт.

    Може да бъде толкова просто, колкото неподходяща профилна снимка или поредица от спам имейли до вашите клиенти.

    В крайна сметка не е лесно да се открият такива атаки ръчно и подобни инструменти Сукури или Acronis може да помогне за автоматизиране на процеса.

    Продължавайки напред, нека да проверим как да избегнем подобни атаки на първо място.

    Предотвратяване на АТО атака

    В допълнение към абонамента за инструменти за киберсигурност, има няколко най-добри практики, които можете да вземете под внимание.

    #1. Силни пароли

    Никой не харесва силни пароли, но те са абсолютна необходимост в настоящата среда на заплахи. Затова не позволявайте на вашите потребители или служители да се измъкнат с прости пароли и задайте някои минимални изисквания за сложност за регистрация на акаунт.

    Особено за организации, 1Password бизнес е силен избор за мениджър на пароли, който може да свърши тежката работа за вашия екип. Освен че пазят пароли, първокласните инструменти също сканират тъмната мрежа и ви предупреждават в случай на изтичане на идентификационни данни. Помага ви да изпращате заявки за нулиране на парола до засегнатите потребители или служители.

    #2. Многофакторно удостоверяване (MFA)

    За тези, които не знаят, многофакторното удостоверяване означава, че уебсайтът ще поиска допълнителен код (доставен на имейла или телефонния номер на потребителя) освен комбинацията от потребителско име и парола, за да влезе.

    Това обикновено е стабилен метод за избягване на неоторизиран достъп. Измамниците обаче могат бързо да работят с MFA чрез социално инженерство или MITM атаки. Така че, макар да е отлична първа (или втора) линия на защита, в тази история има още нещо.

    #3. Внедрете CAPTCHA

    Повечето ATO атаки започват с ботове, опитващи произволни идентификационни данни за влизане. Следователно ще бъде много по-добре да имате въведено предизвикателство за влизане като CAPTCHA.

    Но ако смятате, че това е най-доброто оръжие, помислете отново, защото има услуги за решаване на CAPTCHA, които лош актьор може да разположи. И все пак, CAPTCHA е добре да имате и да предпазвате от ATO в много случаи.

    #4. Управление на сесии

    Автоматичното излизане за неактивни сесии може да бъде спасител за превземането на акаунти като цяло, тъй като някои потребители влизат от множество устройства и преминават към други, без да излизат от предишните.

    В допълнение, разрешаването само на една активна сесия на потребител също може да се окаже полезно.

    И накрая, ще бъде най-добре, ако потребителите могат да излизат от активни устройства от разстояние и да има опции за управление на сесии в самия потребителски интерфейс.

    #5. Системи за мониторинг

    Покриването на всички вектори на атака като стартираща организация или организация от средно ниво не е толкова лесно, особено ако нямате специален отдел за кибербезопасност.

    Тук можете да разчитате на решения на трети страни като Cloudflare и Imperva, освен вече посочените Acronis и Sucuri. Тези компании за киберсигурност са едни от най-добрите за справяне с подобни проблеми и могат ефективно да предотвратят или смекчат ATO атаките.

    #6. Geofencing

    Geofencing прилага политики за достъп, базирани на местоположението, за вашия уеб проект. Например 100% базиран в САЩ бизнес няма почти никаква причина да допуска китайски потребители. Въпреки че това не е безупречно решение за предотвратяване на ATO атаки, то допринася за цялостната сигурност.

    Повишавайки това с няколко стъпки, онлайн бизнесът може да бъде конфигуриран да позволява само определени IP адреси, разпределени на неговите служители.

    С други думи, можете да използвате бизнес VPN, за да сложите край на атаките за поглъщане на акаунт. Освен това, VPN също така ще шифрова входящия и изходящия трафик, предпазвайки бизнес ресурсите ви от атаки човек по средата.

    #7. Актуализации

    Като интернет базиран бизнес вероятно имате работа с много софтуерни приложения, като операционни системи, браузъри, добавки и т.н. Всички те остаряват и трябва да се актуализират за възможно най-добра сигурност. Въпреки че това не е пряко свързано с ATO атаки, остаряла част от кода може да бъде лесен вход за киберпрестъпник, за да посее хаос върху вашия бизнес.

    В крайна сметка: изпращайте редовни актуализации за сигурност на бизнес устройства. За потребителите опитът да ги образовате да поддържат приложенията до най-новите им версии може да бъде добра стъпка напред.

    След всичко това и още, няма експерт по сигурността, който да гарантира 100% сигурност. Следователно, трябва да имате енергичен план за коригиране на място за съдбовния ден.

    Борба с АТО атака

    Най-доброто нещо е да имате експерт по киберсигурност на борда, тъй като всеки случай е уникален. И все пак, ето някои стъпки, които да ви насочат в обичаен сценарий на атака след ATO.

    Съдържат

    След като откриете ATO атака на някои акаунти, първото нещо, което трябва да направите, е временно да деактивирате засегнатите профили. След това изпращането на парола и заявка за нулиране на MFA до всички акаунти може да бъде полезно за ограничаване на щетите.

    Информирам

    Комуникирайте с целевите потребители относно събитието и активността на злонамерения акаунт. След това ги информирайте за моментната забрана и стъпките за възстановяване на акаунта за безопасен достъп.

    Проучете

    Този процес може да бъде осъществен най-добре от опитен експерт или екип от специалисти по киберсигурност. Целта може да бъде да се идентифицират засегнатите акаунти и да се гарантира, че нападателят все още не е в действие с помощта на механизми, задвижвани от AI, като анализ на поведението.

    Освен това трябва да се знае степента на нарушение на данните, ако има такова.

    Възстанови се

    Пълното сканиране на системата за злонамерен софтуер трябва да бъде първата стъпка в подробен план за възстановяване, защото по-често престъпниците поставят руткитове, за да заразят системата или да поддържат достъп за бъдещи атаки.

    На този етап можете да настоявате за биометрично удостоверяване, ако е налично, или MFA, ако вече не е използвано.

    Докладвай

    Въз основа на местните закони може да се наложи да докладвате за това на държавните органи. Това ще ви помогне да поддържате съответствие и да заведете дело срещу нападателите, ако е необходимо.

    Планирайте

    Досега знаете за някои вратички, които са съществували без ваше знание. Време е да им обърнем внимание в бъдещия пакет за сигурност.

    В допълнение, използвайте тази възможност, за да информирате потребителите за този инцидент и да поискате да практикувате здравословна интернет хигиена, за да избегнете бъдещи проблеми.

    В бъдещето

    Киберсигурността е развиваща се област. Нещата, считани за безопасни преди десетилетие, в момента може да са открита покана за измамници. Ето защо най-добрият път напред е да сте в крак с новостите и периодично да надграждате протоколите за сигурност на вашия бизнес.

    Ако се интересувате, разделът за сигурност на pctechbg.net е библиотека, достойна за отметки, от статии, насочени към стартиращи фирми и малки и средни предприятия, които пишем и актуализираме редовно. Продължавайте да ги проверявате и съм сигурен, че можете да проверите частта „да останете в течение“ на планирането на сигурността.

    Пазете се и не им позволявайте да превземат тези акаунти.