Для вашої компанії існує кілька фундаментальних кроків, які допоможуть убезпечити себе від поширеного виду шахрайства, а саме атак із захопленням облікових записів (ATO).
30 серпня 2019 року став незвичайним днем для підписників Джека Дорсі в Twitter (тепер X). Його акаунт почав безладно публікувати образливі твіти протягом 20 хвилин.
Деякі шанувальники могли подумати, що це був незвичний психічний зрив генерального директора великої платформи мікроблогів. Проте група Chuckling Squad, яка стояла за цим інцидентом, залишила посилання на свій канал Discord у цих оманливих твітах, опублікованих з акаунта Джека.
Згодом Twitter (тепер X) підтвердив цей інцидент.
Нам відомо, що @jack був зламаний, і ми розслідуємо, що сталося.
— Twitter Comms (@TwitterComms) 30 серпня 2019 р
Це був типовий приклад атаки на захоплення облікового запису (ATO), зокрема, атаки із заміною SIM-карти. Хакери дистанційно перехопили контроль над телефонним номером Джека і публікували твіти через сторонній сервіс Cloudhopper.
Які шанси звичайного користувача, якщо навіть генеральний директор великої технологічної компанії може стати жертвою?
Тому, давайте обговоримо різні види атак ATO і способи захисту вашої організації.
Що таке атака АТО?
Атака із захопленням облікового запису (ATO) – це вид кібератаки, коли зловмисники різними методами (які розглянемо пізніше) викрадають облікові записи користувачів для незаконних цілей. Це може включати фінансове шахрайство, крадіжку конфіденційної інформації, обман інших та багато іншого.
Як працюють атаки ATO?
Ключовим елементом атаки ATO є викрадення облікових даних. Зловмисники використовують різні методи, наприклад:
- Соціальна інженерія: це метод, коли злочинці психологічно маніпулюють користувачем, щоб виманити його дані для входу. Це може відбуватися під виглядом технічної підтримки або створення термінової ситуації, яка не залишає жертві часу для роздумів.
- Перебір облікових даних: різновид атаки грубої сили, коли шахраї намагаються використовувати випадкові облікові дані, які вони часто отримують в результаті витоків даних або купують у темній мережі.
- Шкідливе програмне забезпечення: небезпечні програми можуть завдати багато шкоди вашому комп’ютеру. Одним із варіантів є викрадення облікових даних, які використовуються для входу в акаунти, і відправка їх кіберзлочинцям.
- Фішинг: найпоширеніша форма кібератак, яка зазвичай починається з простого кліку. Це може перенаправити користувача на підроблений веб-сайт, де жертва вводить свої облікові дані, що відкриває шлях для майбутньої атаки ATO.
- MITM: атака “людина посередині” (Man-in-the-middle) – це ситуація, коли хакер перехоплює мережевий трафік, що передається між вами та сервером. Уся інформація, включно з вашими іменами користувачів та паролями, стає видимою для зловмисників.
Це типові методи, які використовують кіберзлочинці для отримання облікових даних. Після цього вони захоплюють обліковий запис, займаються незаконною діяльністю та намагаються утримувати доступ якомога довше, щоб продовжувати використовувати жертву або атакувати інших.
Зловмисники часто намагаються заблокувати доступ користувача на невизначений термін або створюють бекдори для майбутніх атак.
Хоча ніхто не хоче потрапляти в таку ситуацію (як Джек!), важливо мати можливість виявляти атаки на ранньому етапі, щоб уникнути негативних наслідків.
Виявлення атаки ATO
Як власник бізнесу, ви можете використовувати різні способи виявлення атак ATO, націлених на ваших користувачів або співробітників.
#1. Незвичні входи в систему
Мова може йти про численні спроби входу з різних IP-адрес, особливо з географічно віддалених локацій. Також це можуть бути входи з багатьох пристроїв або браузерів.
До того ж, вхід в систему поза межами звичного часу активності також може свідчити про можливу атаку ATO.
#2. Проблеми з двофакторною аутентифікацією
Постійні помилки при двофакторній або багатофакторній аутентифікації також є ознакою підозрілої активності. Це часто означає, що зловмисник намагається увійти, використовуючи викрадені логіни та паролі.
#3. Нетипова активність
Іноді не потрібно бути експертом, щоб помітити аномалії. Будь-яка діяльність, яка значно відрізняється від звичної поведінки користувача, може сигналізувати про захоплення облікового запису.
Це може бути, наприклад, зміна зображення профілю на недоречне або розсилка спаму вашим клієнтам.
Виявити такі атаки вручну нелегко, тому автоматизовані інструменти, такі як Sucuri або Acronis, можуть допомогти автоматизувати цей процес.
Далі розглянемо, як можна запобігти таким атакам.
Запобігання атакам ATO
Крім використання інструментів кібербезпеки, слід пам’ятати про деякі важливі правила.
#1. Надійні паролі
Ніхто не любить надійні паролі, але вони є абсолютно необхідними в сучасних умовах кіберзагроз. Не дозволяйте користувачам або співробітникам використовувати прості паролі. Встановіть мінімальні вимоги до складності паролів під час реєстрації акаунта.
Для організацій 1Password business – це хороший вибір як менеджер паролів, що може спростити цю роботу для вашої команди. Окрім зберігання паролів, ці інструменти також сканують темну мережу та сповіщають вас про витоки даних. Це допоможе швидко надіслати запит на відновлення пароля постраждалим користувачам або співробітникам.
#2. Багатофакторна аутентифікація (MFA)
Для тих, хто не знає, багатофакторна аутентифікація передбачає, що веб-сайт проситиме ввести додатковий код (надісланий на електронну пошту або телефон користувача) на додаток до імені користувача та пароля для входу.
Це надійний метод уникнення несанкціонованого доступу. Однак шахраї можуть обходити MFA, використовуючи соціальну інженерію або атаки MITM. Тому, хоча це гарний перший (або другий) рівень захисту, він не є єдиним рішенням.
#3. Використовуйте CAPTCHA
Більшість атак ATO починаються з того, що боти намагаються підібрати облікові дані. Тому краще використовувати перевірку входу, як-от CAPTCHA.
Проте не вважайте це панацеєю, оскільки існують сервіси для обходу CAPTCHA, які можуть використовувати зловмисники. Однак CAPTCHA є корисним інструментом для захисту від багатьох атак ATO.
#4. Керування сесіями
Автоматичний вихід із системи під час неактивних сеансів може запобігти захопленню облікових записів, оскільки деякі користувачі входять у систему з декількох пристроїв і не виходять з попередніх.
Також корисним може виявитися правило дозволу лише одного активного сеансу на користувача.
Бажано надати користувачам можливість виходити з активних пристроїв віддалено, а також мати зручні параметри керування сесіями в інтерфейсі.
#5. Системи моніторингу
Охопити всі вектори атак нелегко для початкового або середнього бізнесу, особливо якщо ви не маєте окремого відділу кібербезпеки.
Тут можна скористатися сторонніми рішеннями, такими як Cloudflare та Imperva, а також Acronis та Sucuri. Ці компанії спеціалізуються на кібербезпеці і можуть ефективно запобігати або зменшувати атаки ATO.
#6. Геозонування
Геозонування дозволяє застосовувати правила доступу на основі місця розташування для вашого веб-проекту. Наприклад, компанія, яка працює виключно в США, навряд чи матиме потребу в китайських користувачах. Хоча це не є надійним методом захисту від атак ATO, він покращує загальну безпеку.
Більш просунутим методом є налаштування онлайн-бізнесу таким чином, щоб дозволити доступ тільки з певних IP-адрес, які належать вашим співробітникам.
Ви можете використовувати корпоративний VPN для запобігання атакам із захопленням облікових записів. VPN шифрує вхідний і вихідний трафік, що захищає бізнес-ресурси від атак “людина посередині”.
#7. Оновлення
Онлайн-бізнес зазвичай використовує велику кількість програм, таких як операційні системи, браузери, плагіни тощо. Всі вони з часом застарівають і потребують оновлення для забезпечення належної безпеки. Хоча це не є безпосередньо пов’язано з атаками ATO, застарілий код може створити вразливість, яку можуть використати кіберзлочинці.
Тому регулярно оновлюйте системи безпеки на бізнес-пристроях. Користувачів необхідно навчити оновлювати своє програмне забезпечення до останньої версії.
Варто пам’ятати, що жоден експерт не може гарантувати 100% безпеки. Тому вам потрібно мати план дій на випадок атаки.
Боротьба з атаками ATO
Найкраще мати експерта з кібербезпеки, оскільки кожен випадок є унікальним. Проте, ось декілька кроків, які можуть допомогти вам у типовій ситуації атаки ATO.
Обмежити
Після виявлення атаки ATO перше, що потрібно зробити, – це тимчасово деактивувати уражені акаунти. Далі, може бути корисно надіслати запит на зміну пароля та скидання MFA для всіх акаунтів, щоб обмежити шкоду.
Повідомити
Повідомте користувачів про інцидент та дії зловмисників. Поінформуйте їх про тимчасову заборону та дії, необхідні для відновлення облікового запису та безпечного доступу.
Дослідити
Цей процес найкраще виконує експерт або команда фахівців із кібербезпеки. Метою має бути ідентифікація постраждалих акаунтів і перевірка, чи не діють зловмисники за допомогою методів на основі штучного інтелекту, як-от поведінковий аналіз.
Також важливо виявити ступінь витоку даних, якщо він мав місце.
Відновити
Повне сканування системи на наявність шкідливого програмного забезпечення має бути першим кроком у детальному плані відновлення, оскільки злочинці часто встановлюють руткіти, щоб заразити систему або зберегти доступ для майбутніх атак.
На цьому етапі можна використовувати біометричну автентифікацію, якщо вона є, або MFA, якщо її ще не використовують.
Звітувати
Відповідно до місцевого законодавства, вам може знадобитися повідомити про інцидент державні органи. Це допоможе вам дотримуватись вимог і, за потреби, подати позов проти зловмисників.
Планувати
Тепер ви знаєте про існуючі недоліки в системі безпеки. Настав час виправити їх у вашому майбутньому плані захисту.
Також скористайтеся нагодою, щоб повідомити користувачів про інцидент і нагадати їм про необхідність дотримання правил гігієни в Інтернеті для уникнення майбутніх проблем.
У майбутнє
Кібербезпека постійно розвивається. Те, що вважалося безпечним 10 років тому, сьогодні може бути відкритим запрошенням для шахраїв. Тому, слідкуйте за новинами та регулярно оновлюйте протоколи безпеки вашого бізнесу.
Якщо вас цікавить ця тема, розділ безпеки на techukraine.net – це корисна бібліотека статей для стартапів і малого та середнього бізнесу, яку ми постійно оновлюємо. Перевіряйте його регулярно, і ви зможете бути в курсі подій у сфері безпеки.
Будьте в безпеці та не дозволяйте зловмисникам захоплювати ваші акаунти.