Πώς να εντοπίσετε, να αποτρέψετε και να μειώσετε μια επίθεση κατάληψης λογαριασμού (ATO)

Πώς να εντοπίσετε, να αποτρέψετε και να μειώσετε μια επίθεση κατάληψης λογαριασμού (ATO)
Tweet
Share
Share
Pin

Ως επιχείρηση, μπορείτε εύκολα να αμυνθείτε ενάντια στον πιο συνηθισμένο τύπο απάτης, την Επίθεση Εξαγοράς Λογαριασμού (ATO), με μερικά βασικά να γίνουν σωστά.

Το απόγευμα της 30ης Αυγούστου 2019 ήταν περίεργο για τους οπαδούς του Τζακ Ντόρσεϊ στο Twitter (τώρα Χ). Ο «Εκείνος» βρισκόταν σε ένα απερίσκεπτο ξεφάντωμα, που διήρκεσε περίπου 20 λεπτά, με tweeting ρατσιστικών δυσφημίσεων και άλλων προσβλητικών μηνυμάτων.

Οι θαυμαστές του μπορεί να το εκλάμβαναν ως μια ασυνήθιστη ψυχική κατάρρευση από τον Διευθύνοντα Σύμβουλο της μεγαλύτερης ιστοσελίδας microblogging. Ωστόσο, το Chuckling Squad, το συγκρότημα πίσω από αυτήν την «περιπέτεια», είχε αφήσει συνδέσμους προς το κανάλι της διαφωνίας τους στα παραπλανητικά tweets από τον λογαριασμό του Jack.

Αργότερα, το Twitter (τώρα X) επιβεβαίωσε το περιστατικό.

Το γνωρίζουμε @γρύλος παραβιάστηκε και διερεύνησε τι συνέβη.

— Twitter Comms (@TwitterComms) 30 Αυγούστου 2019

Αυτή ήταν μια κλασική Επίθεση Εξαγοράς Λογαριασμού (ATO), ειδικότερα με την ανταλλαγή Sim, στην οποία οι χάκερ πήραν εξ αποστάσεως τον έλεγχο του αριθμού τηλεφώνου του Jack και δημοσίευσαν tweet από μια υπηρεσία tweeting τρίτου μέρους, το Cloudhopper.

Ποιες είναι οι πιθανότητες να ευνοήσει έναν μέσο χρήστη εάν ο Διευθύνων Σύμβουλος μιας εταιρείας τεχνολογίας ανώτατου επιπέδου μπορεί να είναι θύμα;

Λοιπόν, ελάτε μαζί μου για να μιλήσουμε για τις διάφορες μορφές ATO και πώς να διατηρήσετε τον οργανισμό σας ασφαλή.

Τι είναι μια επίθεση ATO;

Μια επίθεση κατάληψης λογαριασμού (ATO), όπως υποδηλώνεται από το όνομά της, χρησιμοποιεί διάφορες τεχνικές (που συζητούνται αργότερα) για να παραβιάσει τον διαδικτυακό λογαριασμό ενός θύματος για πολλούς παράνομους σκοπούς, όπως οικονομικές απάτες, πρόσβαση σε ευαίσθητες πληροφορίες, εξαπάτηση άλλων και πολλά άλλα.

Πώς λειτουργεί το ATO;

Η ουσία μιας επίθεσης ATO είναι η κλοπή διαπιστευτηρίων λογαριασμού. Οι κακοί ηθοποιοί το κάνουν αυτό με διάφορους τρόπους, όπως:

  • Κοινωνική Μηχανική: Είναι να εξαναγκάσεις ψυχολογικά ή να πείσεις ένα άτομο να αποκαλύψει τα στοιχεία σύνδεσής του. Αυτό μπορεί να γίνει με το πρόσχημα της τεχνικής υποστήριξης ή την κατασκευή μιας κατάστασης έκτακτης ανάγκης, δίνοντας λίγο χρόνο στο θύμα να σκεφτεί ορθολογικά.
  • Credential Stuffing: Ένα υποσύνολο της ωμής βίας, το credential stuffing σημαίνει ότι ένας απατεώνας προσπαθεί να κάνει τις τυχαίες λεπτομέρειες σύνδεσης να λειτουργήσουν, που συχνά λαμβάνονται από παραβίαση δεδομένων ή αγοράζονται από τον σκοτεινό ιστό.
  • Κακόβουλο λογισμικό: Επικίνδυνα, ανεπιθύμητα προγράμματα μπορούν να κάνουν πολλά πράγματα στον υπολογιστή σας. Ένα τέτοιο παράδειγμα είναι η κλοπή των συνδεδεμένων λογαριασμών και η αποστολή των στοιχείων στον κυβερνοεγκληματία.
  • Phishing: Η πιο κοινή μορφή κυβερνοεπίθεσης, το phishing, ξεκινά συνήθως με ένα απλό κλικ. Αυτή η φαινομενικά αβλαβής ενέργεια οδηγεί τον χρήστη σε μια απομίμηση όπου το μελλοντικό θύμα εισάγει τα διαπιστευτήρια σύνδεσης, ανοίγοντας το δρόμο για μια επερχόμενη επίθεση ATO.
  • MITM: Η επίθεση Man-in-the-Middle αντιπροσωπεύει μια κατάσταση όπου ένας έμπειρος χάκερ «ακούει» την εισερχόμενη και εξερχόμενη κίνηση του δικτύου σας. Όλα, συμπεριλαμβανομένων των ονομάτων χρήστη και των κωδικών πρόσβασης που εισάγετε, είναι ορατά σε ένα κακόβουλο τρίτο μέρος.
    •   5 καλύτερος αναλυτής επικεφαλίδων που πρέπει να χρησιμοποιήσετε πριν δημοσιεύσετε την επόμενη ανάρτηση ιστολογίου

    Αυτοί ήταν οι τυπικοί τρόποι που χρησιμοποιούν οι κυβερνοκλέφτες για να αποκτήσουν εγκληματικά διαπιστευτήρια σύνδεσης. Αυτό που ακολουθεί είναι η κατάληψη λογαριασμού, η παράνομη δραστηριότητα και μια προσπάθεια να διατηρηθεί η πρόσβαση «ζωντανή» όσο το δυνατόν περισσότερο για να θυματοποιηθεί περαιτέρω ο χρήστης ή να πραγματοποιηθούν επιθέσεις σε άλλους.

    Τις περισσότερες φορές, οι κακοί προσπαθούν να κλειδώσουν τον χρήστη επ’ αόριστον ή να δημιουργήσουν κερκόπορτες για μια μελλοντική επίθεση.

    Αν και κανείς δεν θέλει να το περάσει αυτό (ούτε ο Τζακ!), βοηθά πάρα πολύ αν μπορούμε να το προλάβουμε για να αποφύγουμε τη ζημιά.

    Ανίχνευση επίθεσης ATO

    Ως ιδιοκτήτης επιχείρησης, υπάρχουν μερικοί τρόποι για να εντοπίσετε μια επίθεση ATO στους χρήστες ή τους υπαλλήλους σας.

    #1. Ασυνήθιστη σύνδεση

    Αυτές μπορεί να είναι επαναλαμβανόμενες προσπάθειες σύνδεσης από διαφορετικές διευθύνσεις IP, ειδικά από γεωγραφικά απομακρυσμένες τοποθεσίες. Ομοίως, μπορεί να υπάρχουν συνδέσεις από πολλές συσκευές ή πράκτορες προγράμματος περιήγησης.

    Επιπλέον, η δραστηριότητα σύνδεσης εκτός των κανονικών ωρών λειτουργίας μπορεί να αντικατοπτρίζει μια πιθανή επίθεση ATO.

    #2. 2 Αποτυχίες FA

    Οι επαναλαμβανόμενες αποτυχίες ελέγχου ταυτότητας δύο παραγόντων ή ελέγχου ταυτότητας πολλαπλών παραγόντων σηματοδοτούν επίσης κακή συμπεριφορά. Τις περισσότερες φορές, είναι ένας κακός ηθοποιός που προσπαθεί να συνδεθεί αφού έχει καταλάβει το όνομα χρήστη και τον κωδικό πρόσβασης που διέρρευσαν ή κλάπηκαν.

    #3. Μη φυσιολογική δραστηριότητα

    Μερικές φορές, δεν χρειάζεται ένας ειδικός για να σημειώσει μια ανωμαλία. Οτιδήποτε είναι πολύ εκτός της συνήθους συμπεριφοράς χρήστη μπορεί να επισημανθεί για ανάληψη λογαριασμού.

    Μπορεί να είναι τόσο απλό όσο μια ακατάλληλη εικόνα προφίλ ή μια σειρά ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου προς τους πελάτες σας.

    Σε τελική ανάλυση, δεν είναι εύκολο να εντοπιστούν τέτοιες επιθέσεις με μη αυτόματο τρόπο, και εργαλεία όπως Sucuri ή Ακρόνης μπορεί να βοηθήσει στην αυτοματοποίηση της διαδικασίας.

    Προχωρώντας, ας δούμε αρχικά πώς να αποφύγετε τέτοιες επιθέσεις.

    Αποτροπή επίθεσης ATO

    Εκτός από την εγγραφή σε εργαλεία κυβερνοασφάλειας, υπάρχουν μερικές βέλτιστες πρακτικές που μπορείτε να σημειώσετε.

    #1. Ισχυροί κωδικοί πρόσβασης

    Σε κανέναν δεν αρέσουν οι ισχυροί κωδικοί πρόσβασης, αλλά είναι απόλυτη ανάγκη στο σημερινό τοπίο απειλών. Επομένως, μην αφήνετε τους χρήστες ή τους υπαλλήλους σας να ξεφεύγουν με απλούς κωδικούς πρόσβασης και ορίστε ορισμένες ελάχιστες απαιτήσεις πολυπλοκότητας για την εγγραφή λογαριασμού.

    Ειδικά για οργανισμούς, 1 Business Password είναι μια ισχυρή επιλογή για έναν διαχειριστή κωδικών πρόσβασης που μπορεί να κάνει τη σκληρή δουλειά για την ομάδα σας. Εκτός από το ότι είναι φύλακας κωδικών πρόσβασης, τα κορυφαία εργαλεία σαρώνουν επίσης τον σκοτεινό ιστό και σας ειδοποιούν σε περίπτωση που διαρρεύσει κάποιο διαπιστευτήριο. Σας βοηθά να στέλνετε αιτήματα επαναφοράς κωδικού πρόσβασης στους επηρεαζόμενους χρήστες ή υπαλλήλους.

      Πώς να μειώσετε το θόρυβο στο φόντο του μικροφώνου σε έναν υπολογιστή

    #2. Έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA)

    Για όσους δεν γνωρίζουν, ο έλεγχος ταυτότητας πολλαπλών παραγόντων σημαίνει ότι ο ιστότοπος θα ζητήσει έναν πρόσθετο κωδικό (που θα παραδοθεί στο email ή τον αριθμό τηλεφώνου του χρήστη) εκτός από το συνδυασμό ονόματος χρήστη και κωδικού πρόσβασης για να εισέλθει.

    Αυτή είναι γενικά μια ισχυρή μέθοδος για την αποφυγή μη εξουσιοδοτημένης πρόσβασης. Ωστόσο, οι απατεώνες μπορούν να κάνουν γρήγορη εργασία MFA μέσω επιθέσεων κοινωνικής μηχανικής ή MITM. Έτσι, ενώ είναι μια εξαιρετική πρώτη (ή δεύτερη) γραμμή άμυνας, υπάρχουν περισσότερα σε αυτή την ιστορία.

    #3. Εφαρμογή CAPTCHA

    Οι περισσότερες επιθέσεις ATO ξεκινούν με bots που δοκιμάζουν τυχαία διαπιστευτήρια σύνδεσης. Επομένως, θα είναι πολύ καλύτερο να υπάρχει μια πρόκληση σύνδεσης όπως το CAPTCHA.

    Αλλά αν νομίζετε ότι αυτό είναι το απόλυτο όπλο, ξανασκεφτείτε το γιατί υπάρχουν υπηρεσίες επίλυσης CAPTCHA εκεί έξω που ένας κακός ηθοποιός μπορεί να αναπτύξει. Ωστόσο, οι CAPTCHA είναι καλό να υπάρχουν και να προστατεύονται από τους ATO σε πολλές περιπτώσεις.

    #4. Διαχείριση συνεδρίας

    Η αυτόματη αποσύνδεση για ανενεργές περιόδους σύνδεσης μπορεί να είναι σωτήρια για την εξαγορά λογαριασμών γενικά, καθώς ορισμένοι χρήστες συνδέονται από πολλές συσκευές και προχωρούν σε άλλες χωρίς να αποσυνδεθούν από τις προηγούμενες.

    Επιπλέον, το να επιτρέπεται μόνο μία ενεργή περίοδος σύνδεσης ανά χρήστη μπορεί επίσης να αποδειχθεί χρήσιμο.

    Τέλος, θα ήταν καλύτερο εάν οι χρήστες μπορούν να αποσυνδεθούν από τις ενεργές συσκευές εξ αποστάσεως και να υπάρχουν επιλογές διαχείρισης περιόδων σύνδεσης στο ίδιο το UI.

    #5. Συστήματα Παρακολούθησης

    Η κάλυψη όλων των φορέων επίθεσης ως νεοφυής ή μεσαίου επιπέδου οργανισμός δεν είναι τόσο εύκολη, ειδικά αν δεν διαθέτετε ειδικό τμήμα ασφάλειας στον κυβερνοχώρο.

    Εδώ, μπορείτε να βασιστείτε σε λύσεις τρίτων όπως το Cloudflare και το Imperva, εκτός από τα ήδη αναφερόμενα Acronis και Sucuri. Αυτές οι εταιρείες κυβερνοασφάλειας είναι μερικές από τις καλύτερες για την αντιμετώπιση τέτοιων ζητημάτων και μπορούν να αποτρέψουν ή να μετριάσουν αποτελεσματικά τις επιθέσεις ATO.

    #6. Γεωφράχτη

    Το Geofencing εφαρμόζει πολιτικές πρόσβασης βάσει τοποθεσίας για το έργο ιστού σας. Για παράδειγμα, μια επιχείρηση που εδρεύει 100% στις ΗΠΑ έχει ελάχιστο έως καθόλου λόγο να επιτρέπει στους Κινέζους χρήστες. Αν και αυτή δεν είναι μια αλάνθαστη λύση για την πρόληψη επιθέσεων ATO, προσθέτει στη συνολική ασφάλεια.

    Κάνοντας αυτό μερικές βαθμίδες, μια διαδικτυακή επιχείρηση μπορεί να ρυθμιστεί ώστε να επιτρέπει μόνο συγκεκριμένες διευθύνσεις IP που έχουν εκχωρηθεί στους υπαλλήλους της.

    Με άλλα λόγια, μπορείτε να χρησιμοποιήσετε ένα επαγγελματικό VPN για να τερματίσετε τις επιθέσεις εξαγοράς λογαριασμού. Επιπλέον, ένα VPN θα κρυπτογραφεί επίσης την εισερχόμενη και την εξερχόμενη κίνηση, προστατεύοντας τους πόρους της επιχείρησής σας από επιθέσεις man-in-the-middle.

    #7. Ενημερώσεις

    Ως επιχείρηση που βασίζεται στο Διαδίκτυο, πιθανότατα ασχολείστε με πολλές εφαρμογές λογισμικού, όπως λειτουργικά συστήματα, προγράμματα περιήγησης, πρόσθετα κ.λπ. Όλα αυτά είναι ξεπερασμένα και πρέπει να ενημερωθούν για την καλύτερη δυνατή ασφάλεια. Αν και αυτό δεν σχετίζεται άμεσα με επιθέσεις ATO, ένα απαρχαιωμένο κομμάτι κώδικα μπορεί να είναι μια εύκολη πύλη για έναν εγκληματία του κυβερνοχώρου για να προκαλέσει τον όλεθρο στην επιχείρησή σας.

      7 Εργαλεία Κατασκευής CRM για τη διαχείριση της επιχείρησής σας

    Κατώτατη γραμμή: προωθήστε τακτικές ενημερώσεις ασφαλείας στις επαγγελματικές συσκευές. Για τους χρήστες, η προσπάθεια να τους εκπαιδεύσει ώστε να διατηρήσουν τις εφαρμογές στις πιο πρόσφατες εκδόσεις τους μπορεί να είναι ένα καλό βήμα προς τα εμπρός.

    Μετά από όλα αυτά και άλλα πολλά, δεν υπάρχει ειδικός σε θέματα ασφάλειας που να μπορεί να εγγυηθεί 100% ασφάλεια. Ως εκ τούτου, θα πρέπει να έχετε ένα δυναμικό πρόγραμμα αποκατάστασης για τη μοιραία ημέρα.

    Καταπολέμηση της επίθεσης ATO

    Το καλύτερο είναι να υπάρχει ένας ειδικός στον τομέα της κυβερνοασφάλειας, καθώς κάθε περίπτωση είναι μοναδική. Ωστόσο, εδώ είναι μερικά βήματα που θα σας καθοδηγήσουν σε ένα κοινό σενάριο επίθεσης μετά το ATO.

    Περιέχω

    Αφού εντοπίσετε μια επίθεση ATO σε ορισμένους λογαριασμούς, το πρώτο πράγμα που πρέπει να κάνετε είναι να απενεργοποιήσετε προσωρινά τα επηρεαζόμενα προφίλ. Στη συνέχεια, η αποστολή ενός κωδικού πρόσβασης και αιτήματος επαναφοράς MFA σε όλους τους λογαριασμούς μπορεί να είναι χρήσιμη για τον περιορισμό της ζημιάς.

    Πληροφορώ

    Επικοινωνήστε με τους στοχευμένους χρήστες σχετικά με το συμβάν και τη δραστηριότητα κακόβουλου λογαριασμού. Στη συνέχεια, ενημερώστε τους για τη στιγμιαία απαγόρευση και τα βήματα επαναφοράς λογαριασμού για ασφαλή πρόσβαση.

    Ερευνώ

    Αυτή η διαδικασία μπορεί να επιτευχθεί καλύτερα από έναν έμπειρο ειδικό ή μια ομάδα επαγγελματιών στον τομέα της ασφάλειας στον κυβερνοχώρο. Ο στόχος μπορεί να είναι ο εντοπισμός των επηρεαζόμενων λογαριασμών και η διασφάλιση ότι ο εισβολέας δεν είναι ακόμα σε δράση με τη βοήθεια μηχανισμών που υποστηρίζονται από AI, όπως η ανάλυση συμπεριφοράς.

    Επιπλέον, η έκταση της παραβίασης δεδομένων, εάν υπάρχει, θα πρέπει να είναι γνωστή.

    Αναρρώνω

    Μια σάρωση κακόβουλου λογισμικού πλήρους συστήματος θα πρέπει να είναι το πρώτο βήμα σε ένα λεπτομερές σχέδιο αποκατάστασης, επειδή, τις περισσότερες φορές, οι εγκληματίες φυτεύουν rootkits για να μολύνουν το σύστημα ή να διατηρήσουν την πρόσβαση για μελλοντικές επιθέσεις.

    Σε αυτό το στάδιο, μπορεί κανείς να πιέσει για βιομετρικό έλεγχο ταυτότητας, εάν είναι διαθέσιμο, ή MFA, εάν δεν χρησιμοποιείται ήδη.

    Κανω ΑΝΑΦΟΡΑ

    Με βάση τους τοπικούς νόμους, ίσως χρειαστεί να το αναφέρετε στις κρατικές αρχές. Αυτό θα σας βοηθήσει να παραμείνετε συμμορφωμένοι και να ασκήσετε μήνυση κατά των εισβολέων εάν χρειαστεί.

    Σχέδιο

    Μέχρι τώρα, γνωρίζετε για κάποια κενά που υπήρχαν εν αγνοία σας. Ήρθε η ώρα να τα αντιμετωπίσουμε στο μελλοντικό πακέτο ασφαλείας.

    Επιπλέον, εκμεταλλευτείτε αυτήν την ευκαιρία για να ενημερώσετε τους χρήστες σχετικά με αυτό το περιστατικό και να ζητήσετε να εφαρμόζουν υγιή υγιεινή στο διαδίκτυο για να αποφύγετε μελλοντικά προβλήματα.

    Στο μελλον

    Η κυβερνοασφάλεια είναι ένας εξελισσόμενος τομέας. Πράγματα που θεωρήθηκαν ασφαλή πριν από μια δεκαετία μπορεί να είναι μια ανοιχτή πρόσκληση προς τους απατεώνες προς το παρόν. Επομένως, η παρακολούθηση των εξελίξεων και η περιοδική αναβάθμιση των πρωτοκόλλων ασφαλείας της επιχείρησής σας είναι ο καλύτερος τρόπος για να προχωρήσετε.

    Αν σας ενδιαφέρει, η ενότητα ασφαλείας του grtechpc.org είναι μια βιβλιοθήκη άρθρων που αξίζει σελιδοδείκτες που απευθύνονται σε νεοφυείς επιχειρήσεις και μικρομεσαίες επιχειρήσεις που γράφουμε και ενημερώνουμε τακτικά. Συνεχίστε να τα ελέγχετε και είμαι βέβαιος ότι μπορείτε να ελέγχετε το μέρος του σχεδιασμού ασφαλείας για τη «συντήρηση».

    Μείνετε ασφαλείς και μην τους αφήσετε να κατακτήσουν αυτούς τους λογαριασμούς.

    Prev post Τι είναι το Wave Browser; Είναι Ιός;
    Next post 8 Χρήσιμα εργαλεία δοκιμής gRPC για χρήση κατά την ανάπτυξη