Jak detekovat, předcházet a zmírňovat útok na převzetí účtu (ATO)

Jako firma se můžete snadno bránit proti nejběžnějšímu typu podvodu, útoku na převzetí účtu (ATO), s několika základními náležitostmi.

Odpoledne 30. srpna 2019 bylo pro příznivce Twitteru Jacka Dorseyho (nyní X) bizarní. „On“ byl na bezohledném řádění, které trvalo asi 20 minut, tweetování rasových nadávek a jiných urážlivých zpráv.

Jeho fanoušci to mohli brát jako neobvyklé duševní zhroucení generálního ředitele největšího mikroblogovacího webu. Nicméně, Chuckling Squad, skupina stojící za tímto „dobrodružstvím“, zanechala odkazy na svůj discord kanál v zavádějících tweetech z Jackova účtu.

Později Twitter (nyní X) incident potvrdil.

Jsme si toho vědomi @zvedák byl kompromitován a vyšetřuje, co se stalo.

— Twitter Comms (@TwitterComms) 30. srpna 2019

Jednalo se o klasický útok převzetí účtu (ATO) Attack, konkrétně o Sim Swapping, při kterém hackeři na dálku převzali kontrolu nad Jackovým telefonním číslem a tweetovali z tweetovací služby třetí strany, Cloudhopper.

Jaké jsou šance pro průměrného uživatele, pokud se generální ředitel špičkové technologické společnosti může stát obětí?

Připojte se ke mně a pohovořte o různých formách ATO a o tom, jak udržet vaši organizaci v bezpečí.

Co je útok ATO?

Útok převzetím účtu (ATO), jak napovídá jeho název, využívá různé techniky (probráno později) k únosu online účtu oběti pro četné nezákonné účely, jako jsou finanční podvody, přístup k citlivým informacím, podvádění ostatních a další.

Jak ATO funguje?

Jádrem útoku ATO je krádež přihlašovacích údajů k účtu. Špatní herci to dělají různými způsoby, jako například:

  • Sociální inženýrství: Je to psychologicky donutit nebo přesvědčit osobu, aby odhalila své přihlašovací údaje. To lze provést pod záminkou technické podpory nebo vytvořením mimořádné situace, přičemž oběti poskytneme málo času na racionální uvažování.
  • Credential Stuffing: Podmnožina hrubé síly, credential stuffing znamená podvodníka, který se snaží zprovoznit náhodné přihlašovací údaje, často získané z úniku dat nebo zakoupené z temného webu.
  • Malware: Nebezpečné nežádoucí programy mohou s vaším počítačem způsobit mnoho věcí. Jedním z takových případů je krádež přihlášených účtů a odeslání podrobností kyberzločinci.
  • Phishing: Nejběžnější forma kybernetického útoku, phishing, obvykle začíná jednoduchým kliknutím. Tato zdánlivě neškodná akce přivede uživatele k padělku, kde budoucí oběť zadá přihlašovací údaje, čímž připraví půdu pro nadcházející útok ATO.
  • MITM: Man-in-the-middle útok představuje situaci, kdy zkušený hacker „naslouchá“ vašemu příchozímu a odchozímu síťovému provozu. Vše, včetně zadaných uživatelských jmen a hesel, je viditelné pro třetí stranu se zlými úmysly.
  •   3 snadné způsoby, jak otevřít soubory JAR

    To byly standardní způsoby, jak kyberzloději kriminálně získávají přihlašovací údaje. Následuje převzetí účtu, nezákonná aktivita a pokus udržet přístup „v provozu“ tak dlouho, jak je to možné, aby se dále stal obětí uživatele nebo aby pokračoval v útokech na ostatní.

    Více často než ne, padouši se snaží uživatele na neurčito zamknout nebo nastavit zadní vrátka pro budoucí útok.

    Ačkoli to nikdo nechce podstoupit (ani Jack!), hodně nám pomůže, když to dokážeme chytit dopředu, abychom se vyhnuli poškození.

    Detekce útoku ATO

    Jako vlastník firmy existuje několik způsobů, jak zaznamenat útok ATO na vaše uživatele nebo zaměstnance.

    #1. Neobvyklé přihlášení

    Může se jednat o opakované pokusy o přihlášení z různých IP adres, zejména z geograficky vzdálených míst. Podobně mohou existovat přihlášení z více zařízení nebo agentů prohlížeče.

    Kromě toho může přihlašovací aktivita mimo normální aktivní hodiny odrážet možný útok ATO.

    #2. Selhání 2FA

    Opakované selhání dvoufaktorové autentizace nebo vícefaktorové autentizace také signalizuje nesprávné chování. Většinou je to špatný herec, který se snaží přihlásit poté, co se zmocnil uniklého nebo ukradeného uživatelského jména a hesla.

    #3. Abnormální aktivita

    Někdy není potřeba odborníka, aby zaznamenal anomálii. Cokoli, co se výrazně vymyká běžnému chování uživatele, může být označeno pro převzetí účtu.

    Může to být tak jednoduché, jako je nevhodný profilový obrázek nebo série spamových e-mailů vašim klientům.

    Nakonec není snadné takové útoky odhalit ručně a nástroje jako Sucuri nebo Acronis může pomoci při automatizaci procesu.

    Pokračujeme, podívejme se, jak se takovým útokům vyhnout.

    Zabránění útoku ATO

    Kromě přihlášení k odběru nástrojů kybernetické bezpečnosti existuje několik osvědčených postupů, které můžete vzít na vědomí.

    #1. Silná hesla

    Nikdo nemá rád silná hesla, ale v současném prostředí hrozeb jsou naprostou nutností. Nenechte proto své uživatele nebo zaměstnance utéct jednoduchými hesly a pro registraci účtu stanovte minimální požadavky na složitost.

    Zejména pro organizace, 1Password business je silnou volbou pro správce hesel, který může udělat tvrdou práci za váš tým. Špičkové nástroje kromě toho, že jsou správcem hesel, také skenují temný web a upozorní vás v případě úniku jakýchkoli pověření. Pomáhá vám odesílat žádosti o resetování hesla dotčeným uživatelům nebo zaměstnancům.

      12 nejlepších softwaru virtuálního call centra pro efektivní zákaznický servis

    #2. Vícefaktorové ověřování (MFA)

    Pro ty, kteří nevědí, vícefaktorová autentizace znamená, že web bude kromě kombinace uživatelského jména a hesla pro vstup vyžadovat další kód (doručený na e-mail nebo telefonní číslo uživatele).

    Toto je obecně robustní metoda, jak se vyhnout neoprávněnému přístupu. Podvodníci však mohou rychle pracovat na MFA prostřednictvím sociálního inženýrství nebo útoků MITM. Takže i když je to vynikající první (nebo druhá) obranná linie, v tomto příběhu je toho víc.

    #3. Implementujte CAPTCHA

    Většina útoků ATO začíná tím, že roboti zkoušejí náhodné přihlašovací údaje. Proto bude mnohem lepší mít zavedenou výzvu k přihlášení, jako je CAPTCHA.

    Ale pokud si myslíte, že je to ta ultimátní zbraň, zamyslete se znovu, protože existují služby řešící CAPTCHA, které může špatný herec nasadit. Přesto je v mnoha případech dobré mít CAPTCHA a chránit před ATO.

    #4. Správa relace

    Automatické odhlášení pro neaktivní relace může obecně zachraňovat přebírání účtů, protože někteří uživatelé se přihlásí z více zařízení a přejdou na jiná, aniž by se odhlásili z předchozích.

    Kromě toho může být užitečné povolit pouze jednu aktivní relaci na uživatele.

    Nakonec bude nejlepší, když se uživatelé budou moci odhlásit z aktivních zařízení na dálku a v samotném uživatelském rozhraní budou možnosti správy relací.

    #5. Monitorovací systémy

    Pokrýt všechny útoky jako začínající nebo střední organizace není tak snadné, zvláště pokud nemáte vyhrazené oddělení pro kybernetickou bezpečnost.

    Zde se můžete spolehnout na řešení třetích stran, jako je Cloudflare a Imperva, kromě již uvedených Acronis a Sucuri. Tyto společnosti zabývající se kybernetickou bezpečností jsou jedny z nejlepších, které se s takovými problémy vypořádají, a mohou účinně předcházet útokům ATO nebo je zmírňovat.

    #6. Geofencing

    Geofencing používá pro váš webový projekt zásady přístupu založené na umístění. Například společnost se 100% sídlem v USA nemá žádný důvod k tomu, aby umožňovala čínské uživatele. I když se nejedná o spolehlivé řešení pro prevenci útoků ATO, přispívá k celkové bezpečnosti.

    Když to vezmeme o několik stupňů výš, online obchod může být nakonfigurován tak, aby umožňoval pouze určité IP adresy přidělené jeho zaměstnancům.

    Jinými slovy, můžete použít firemní VPN k ukončení útoků na převzetí účtu. Kromě toho bude VPN také šifrovat příchozí a odchozí provoz, čímž ochrání vaše podnikové zdroje před útoky typu man-in-the-middle.

    #7. Aktualizace

    Jako internetová firma se pravděpodobně zabýváte mnoha softwarovými aplikacemi, jako jsou operační systémy, prohlížeče, pluginy atd. Všechny tyto aplikace zastarávají a je třeba je aktualizovat pro co nejlepší zabezpečení. Ačkoli to přímo nesouvisí s útoky ATO, zastaralý kus kódu může být pro kyberzločince snadnou bránou, která může způsobit zkázu ve vašem podnikání.

      Pine je krásný správce záložek umístěný zcela ve vašem prohlížeči [Chrome]

    Sečteno a podtrženo: zasílejte pravidelné aktualizace zabezpečení do firemních zařízení. Pro uživatele může být dobrým krokem vpřed snaha vzdělávat je, aby udržovali aplikace na nejnovějších verzích.

    Po tom všem a ještě více neexistuje žádný bezpečnostní expert, který by mohl zaručit 100% bezpečnost. V důsledku toho byste měli mít pro osudný den připravený rázný plán nápravy.

    Boj proti útoku ATO

    Nejlepší je mít na palubě odborníka na kybernetickou bezpečnost, protože každý případ je jedinečný. Přesto je zde několik kroků, které vás provedou běžným scénářem útoku po ATO.

    Obsahovat

    Po zjištění útoku ATO na některé účty je první věcí, kterou musíte udělat, dočasně deaktivovat postižené profily. Dále může být užitečné zaslání hesla a žádosti o resetování MFA na všechny účty při omezení škod.

    Informovat

    Komunikujte s cílovými uživateli o události a škodlivé aktivitě účtu. Dále je informujte o krocích dočasného zákazu a obnovení účtu pro bezpečný přístup.

    Vyšetřovat

    Tento proces může nejlépe provést zkušený odborník nebo tým odborníků na kybernetickou bezpečnost. Cílem může být identifikovat postižené účty a zajistit, že útočník není stále v akci, pomocí mechanismů poháněných umělou inteligencí, jako je analýza chování.

    Kromě toho by měl být znám rozsah úniku dat, pokud k němu došlo.

    Uzdravit se

    Kontrola celého systému malwaru by měla být prvním krokem v podrobném plánu obnovy, protože zločinci častěji zavádějí rootkity, aby infikovali systém nebo aby si zachovali přístup pro budoucí útoky.

    V této fázi lze tlačit na biometrickou autentizaci, pokud je k dispozici, nebo MFA, pokud se již nepoužívá.

    Zpráva

    Na základě místních zákonů to možná budete muset nahlásit státním úřadům. To vám pomůže zůstat v souladu a v případě potřeby zahájit soudní řízení proti útočníkům.

    Plán

    Nyní víte o některých mezerách, které existovaly bez vašeho vědomí. Je čas se jim věnovat v budoucím bezpečnostním balíčku.

    Kromě toho využijte této příležitosti a poučte uživatele o tomto incidentu a požádejte o dodržování zdravé internetové hygieny, abyste předešli budoucím problémům.

    Do budoucnosti

    Kybernetická bezpečnost je vyvíjející se doménou. Věci považované za bezpečné před deseti lety mohou být v současnosti otevřenou pozvánkou pro podvodníky. Nejlepší cestou vpřed je proto držet krok s vývojem a pravidelně aktualizovat své podnikové bezpečnostní protokoly.

    Pokud máte zájem, bezpečnostní sekce etechblog.cz je knihovna článků, které jsou vhodné pro záložky a zaměřené na začínající podniky a malé a střední podniky, které pravidelně píšeme a aktualizujeme. Pokračujte v kontrole těchto a jsem si jistý, že můžete zkontrolovat část „zůstat s krokem“ v bezpečnostním plánování.

    Zůstaňte v bezpečí a nenechte je převzít tyto účty.