Як компанія, ви можете легко захиститися від найпоширенішого типу шахрайства, атаки на захоплення облікового запису (ATO), дотримуючись кількох основних правил.
День 30 серпня 2019 року був дивним для підписників Джека Дорсі у Твіттері (тепер X). «Він» безрозсудно публікував у Твіттері образи та інші образливі повідомлення, які тривали близько 20 хвилин.
Його шанувальники могли сприйняти це як незвичайний психічний зрив генерального директора найбільшого сайту мікроблогів. Проте Chuckling Squad, група, яка стоїть за цією «пригодою», залишила посилання на свій канал Discord в оманливих твітах з облікового запису Джека.
Пізніше Twitter (тепер X) підтвердив інцидент.
Ми це знаємо @джек був скомпрометований і розслідує те, що сталося.
— Twitter Comms (@TwitterComms) 30 серпня 2019 р
Це була класична атака на захоплення облікового запису (ATO), зокрема на заміну сим-карт, під час якої хакери віддалено контролювали номер телефону Джека та писали твіти зі сторонньої служби твітів Cloudhopper.
Які шанси на користь звичайного користувача, якщо жертвою може стати генеральний директор технологічної компанії найвищого рівня?
Тож приєднуйтесь до мене, щоб поговорити про різні форми АТО та про те, як забезпечити безпеку вашої організації.
Що таке АТО?
Атака захоплення облікового запису (ATO), як випливає з її назви, використовує різні методи (розглянемо пізніше) для викрадення онлайн-облікового запису жертви з численними незаконними цілями, такими як фінансове шахрайство, доступ до конфіденційної інформації, обман інших тощо.
Як працює АТО?
Суть атаки в АТО – викрадення облікових даних. Погані актори роблять це різними способами, наприклад:
Це були стандартні способи, які використовують кіберзлодії для злочинного отримання облікових даних для входу. Далі йде захоплення облікового запису, незаконна діяльність і спроба зберегти доступ «живим» якомога довше, щоб ще більше стати жертвою користувача або продовжити атаки на інших.
Найчастіше зловмисники намагаються заблокувати користувача на невизначений термін або встановити бекдори для майбутньої атаки.
Хоча ніхто не хоче проходити через це (як і Джек!), дуже допоможе, якщо ми зможемо зловити це спереду, щоб уникнути пошкоджень.
Виявлення атаки АТО
Як власник бізнесу, є кілька способів виявити атаку ATO на ваших користувачів або співробітників.
#1. Незвичайний логін
Це можуть бути повторні спроби входу з різних IP-адрес, особливо з географічно віддалених місць. Так само можуть бути входи з кількох пристроїв або агентів браузера.
Крім того, активність входу в систему поза звичайними годинами активності може вказувати на можливу атаку ATO.
#2. Помилки 2FA
Повторні помилки двофакторної автентифікації або багатофакторної автентифікації також свідчать про неправомірну поведінку. Здебільшого це поганий гравець, який намагається увійти після того, як отримав витік або викрадене ім’я користувача та пароль.
#3. Аномальна активність
Іноді не потрібен фахівець, щоб помітити аномалію. Усе, що значно відрізняється від звичайної поведінки користувача, може бути позначено як захоплення облікового запису.
Це може бути настільки просто, як невідповідне зображення профілю або серія спам-листів вашим клієнтам.
Зрештою, виявити такі атаки вручну та подібними інструментами нелегко Сукурі або Acronis може допомогти в автоматизації процесу.
Рухаючись далі, давайте спочатку перевіримо, як уникнути таких атак.
Запобігання нападу АТО
Окрім підписки на інструменти кібербезпеки, ви можете взяти до уваги кілька найкращих практик.
#1. Надійні паролі
Ніхто не любить надійні паролі, але вони є абсолютною необхідністю в нинішньому середовищі загроз. Тому не дозволяйте своїм користувачам або співробітникам вдаватися до простих паролів і встановіть деякі мінімальні вимоги до складності для реєстрації облікового запису.
Особливо для організацій, 1Password business це хороший вибір для менеджера паролів, який може виконати важку роботу для вашої команди. Окрім того, що вони зберігають паролі, першокласні інструменти також сканують темну мережу та сповіщають вас у разі витоку облікових даних. Це допомагає надсилати запити на скидання пароля постраждалим користувачам або співробітникам.
#2. Багатофакторна автентифікація (MFA)
Для тих, хто не знає, багатофакторна автентифікація означає, що веб-сайт запитуватиме додатковий код (доставляється на електронну адресу або номер телефону користувача) окрім комбінації імені користувача та пароля для входу.
Як правило, це надійний спосіб уникнути несанкціонованого доступу. Однак шахраї можуть швидко працювати з MFA за допомогою соціальної інженерії або атак MITM. Отже, незважаючи на те, що це чудова перша (чи друга) лінія захисту, у цій історії є ще щось.
#3. Впровадити CAPTCHA
Більшість атак ATO починаються з того, що боти пробують випадкові облікові дані для входу. Таким чином, буде набагато краще, якщо ввімкнути перевірку входу, наприклад CAPTCHA.
Але якщо ви думаєте, що це найкраща зброя, подумайте ще раз, оскільки існують служби розв’язання CAPTCHA, які може застосувати поганий гравець. Тим не менш, CAPTCHA добре мати та захистити від ATO у багатьох випадках.
#4. Керування сеансами
Автоматичний вихід із системи під час неактивних сеансів може стати порятунком для захоплення облікових записів загалом, оскільки деякі користувачі входять із кількох пристроїв і переходять на інші, не виходячи з попередніх.
Крім того, дозволити лише один активний сеанс на користувача також може виявитися корисним.
Нарешті, буде найкраще, якщо користувачі зможуть вийти з активних пристроїв віддалено, а в самому інтерфейсі користувача будуть параметри керування сеансом.
#5. Системи моніторингу
Охопити всі вектори атак як організації-початківцю чи середньому рівню не так просто, особливо якщо у вас немає спеціального відділу кібербезпеки.
Тут ви можете покластися на сторонні рішення, такі як Cloudflare і Imperva, окрім вже заявлених Acronis і Sucuri. Ці компанії з кібербезпеки є одними з найкращих у вирішенні таких проблем і можуть ефективно запобігати або пом’якшувати атаки ATO.
#6. Геозонування
Geofencing застосовує політики доступу на основі місцезнаходження для вашого веб-проекту. Наприклад, компанія, яка на 100% базується в США, практично не має причин дозволяти китайським користувачам. Хоча це не надійне рішення для запобігання атакам ATO, воно підвищує загальну безпеку.
Розглянувши це на кілька кроків вище, онлайн-бізнес можна налаштувати таким чином, щоб дозволяти лише певні IP-адреси, призначені його співробітникам.
Іншими словами, ви можете використовувати корпоративну VPN, щоб покласти край атакам на захоплення облікових записів. Крім того, VPN також шифруватиме вхідний і вихідний трафік, захищаючи ваші бізнес-ресурси від атак типу “людина посередині”.
#7. Оновлення
Як бізнес, що працює в Інтернеті, ви, мабуть, маєте справу з великою кількістю програмних програм, таких як операційні системи, браузери, плагіни тощо. Усе це застаріє та потребує оновлення для найкращої безпеки. Хоча це не має прямого відношення до атак ATO, застарілий фрагмент коду може бути легким шлюзом для кіберзлочинців, щоб завдати шкоди вашому бізнесу.
Підсумок: надсилайте регулярні оновлення безпеки на бізнес-пристрої. Для користувачів спроба навчити їх підтримувати останні версії програм може бути хорошим кроком вперед.
Після всього цього та іншого, немає експерта з безпеки, який міг би гарантувати 100% безпеку. Отже, ви повинні мати енергійний план виправлення на той фатальний день.
Боротьба з АТО
Найкраще мати на борту експерта з кібербезпеки, оскільки кожен випадок унікальний. Тим не менш, ось кілька кроків, які допоможуть вам у типовому сценарії атаки після АТО.
Містять
Після того, як ви виявите атаку ATO на деякі облікові записи, перше, що потрібно зробити, це тимчасово вимкнути уражені профілі. Далі, надсилання пароля та запиту на скидання MFA всім обліковим записам може бути корисним для обмеження шкоди.
Інформ
Повідомте цільовим користувачам про подію та дії зловмисного облікового запису. Потім повідомте їм про миттєву заборону та кроки щодо відновлення облікового запису для безпечного доступу.
Дослідити
Цей процес може найкраще виконати досвідчений експерт або команда фахівців з кібербезпеки. Мета може полягати в тому, щоб ідентифікувати постраждалі облікові записи та переконатися, що зловмисник ще не діє за допомогою механізмів на основі ШІ, таких як аналіз поведінки.
Крім того, має бути відомий ступінь витоку даних, якщо він є.
Відновити
Повне сканування системи на зловмисне програмне забезпечення має бути першим кроком у детальному плані відновлення, оскільки найчастіше злочинці встановлюють руткіти, щоб заразити систему або зберегти доступ для майбутніх атак.
На цьому етапі можна натиснути на біометричну автентифікацію, якщо вона доступна, або MFA, якщо вона ще не використовується.
звіт
Відповідно до місцевого законодавства вам може знадобитися повідомити про це державні органи. Це допоможе вам дотримуватися вимог і за потреби подати позов проти зловмисників.
План
Наразі ви знаєте про деякі лазівки, які існували без вашого відома. Настав час вирішити їх у майбутньому пакеті безпеки.
Крім того, скористайтеся цією можливістю, щоб повідомити користувачів про цей інцидент і попросити дотримуватися здорової гігієни в Інтернеті, щоб уникнути майбутніх проблем.
У майбутнє
Кібербезпека – це сфера, що розвивається. Речі, які десять років тому вважалися безпечними, зараз можуть бути відкритим запрошенням для шахраїв. Таким чином, бути в курсі подій і періодично оновлювати протоколи безпеки вашого бізнесу є найкращим шляхом уперед.
Якщо вам цікаво, розділ безпеки techukraine.net — це гідна закладок бібліотека статей, орієнтованих на стартапи та малий і середній бізнес, які ми регулярно пишемо та оновлюємо. Продовжуйте перевіряти їх, і я впевнений, що ви зможете перевірити частину «бути в курсі» планування безпеки.
Будьте в безпеці та не дозволяйте їм захопити ці облікові записи.