A fiókátvételi támadás észlelése, megelőzése és enyhítése (ATO)

Vállalkozásként könnyedén védekezhet a legelterjedtebb csalástípus, a fiókátvételi támadás (ATO) ellen, néhány alapelv helyes végrehajtásával.

A 2019. augusztus 30-i délután bizarr volt Jack Dorsey Twitter (jelenleg X) követői számára. „Ő” vakmerő, körülbelül 20 percig tartó körútján faji szidalmakat és egyéb sértő üzeneteket tweetelt.

Rajongói szokatlan lelki összeomlásnak vehették fel a legnagyobb mikroblog-webhely vezérigazgatójától. A Chuckling Squad, a „kaland” mögött álló csoport azonban linkeket hagyott a viszálycsatornájukra Jack fiókjából származó félrevezető tweetekben.

Később a Twitter (ma X) megerősítette az esetet.

Tisztában vagyunk vele @Jack kompromittálták, és kivizsgálták a történteket.

– Twitter Comms (@TwitterComms) 2019. augusztus 30

Ez egy klasszikus fiókátvételi (ATO) támadás volt, különösen a Sim Swapping, amelyben a hackerek távolról átvették az irányítást Jack telefonszáma felett, és egy harmadik fél tweetszolgáltatásától, a Cloudhoppertől tweeteltek.

Mennyi az esélye annak, hogy egy átlagos felhasználó kedvez, ha egy csúcstechnológiai cég vezérigazgatója áldozattá válhat?

Tehát csatlakozzon hozzám, és beszéljen az ATO különféle formáiról és arról, hogyan tarthatja biztonságban szervezetét.

Mi az ATO támadás?

A fiókátvételi (ATO) támadás, amint azt a neve is sugallja, különféle technikákat alkalmaz (a későbbiekben lesz szó), hogy az áldozat online fiókját eltérítsék számos tiltott célból, például pénzügyi csalások, érzékeny információk elérése, mások megtévesztése stb.

Hogyan működik az ATO?

Az ATO-támadások lényege a fiók hitelesítő adatainak ellopása. A rossz színészek ezt különféle eszközökkel teszik, például:

  • Social Engineering: Ez arra szolgál, hogy pszichológiailag rákényszerítsenek vagy rávegyenek egy személyt a bejelentkezési adatainak felfedésére. Ez megtehető technikai támogatás ürügyén vagy vészhelyzeti helyzet kitalálása, így kevés időt hagyva az áldozatnak a racionális gondolkodásra.
  • Hitelesítési adatok kitöltése: A nyers erő egy részhalmaza, a hitelesítő adatok feltöltése egy csalót jelent, aki megpróbálja működésre bírni a véletlenszerű bejelentkezési adatokat, amelyeket gyakran adatszivárgásból szereztek meg, vagy a sötét webről vásároltak.
  • Rosszindulatú programok: A veszélyes, nem kívánt programok számos dolgot károsíthatnak a számítógépen. Az egyik ilyen eset a bejelentkezett fiókok ellopása, és az adatok elküldése a kiberbûnözõnek.
  • Adathalászat: A kibertámadások leggyakoribb formája, az adathalászat, általában egy kattintással kezdődik. Ez a látszólag ártalmatlan művelet egy hamisítványhoz juttatja a felhasználót, ahol a leendő áldozat megadja a bejelentkezési adatait, megnyitva ezzel az utat egy közelgő ATO-támadás előtt.
  • MITM: Man-in-the-middle támadás olyan helyzetet jelent, amikor egy képzett hacker „meghallgatja” a bejövő és kimenő hálózati forgalmat. Minden, beleértve a beírt felhasználóneveket és jelszavakat, látható egy rosszindulatú harmadik fél számára.
  • Ezek voltak a szokásos módszerek, amelyeket a számítógépes tolvajok alkalmaznak a bejelentkezési adatok bűnös megszerzésére. Ezt követi a fiókok átvétele, a jogellenes tevékenység, valamint a hozzáférés „élő” tartási kísérlete, ameddig csak lehetséges, a felhasználó további áldozatává válása vagy mások elleni támadások végrehajtása.

    Leggyakrabban a rosszfiúk megpróbálják határozatlan időre kizárni a felhasználót, vagy hátsó ajtókat állítanak be egy jövőbeli támadáshoz.

    Bár ezen senki sem akar átmenni (Jack sem!), sokat segít, ha előre tudjuk utolérni a sérülések elkerülése érdekében.

    ATO támadás észlelése

    Vállalkozástulajdonosként van néhány módja annak, hogy észlelje a felhasználók vagy alkalmazottak elleni ATO-támadást.

    #1. Szokatlan bejelentkezés

    Ezek ismétlődő bejelentkezési kísérletek lehetnek különböző IP-címekről, különösen földrajzilag távoli helyekről. Hasonlóképpen több eszközről vagy böngészőügynökről is lehet bejelentkezni.

    Ezenkívül a normál aktív órákon kívüli bejelentkezési tevékenység egy lehetséges ATO-támadásra utalhat.

    #2. 2FA hibák

    Az ismétlődő kéttényezős vagy többtényezős hitelesítési hibák szintén helytelen magatartást jeleznek. Legtöbbször egy rossz színész próbál bejelentkezni, miután megszerezte a kiszivárgott vagy ellopott felhasználónevet és jelszót.

    #3. Rendellenes tevékenység

    Néha nincs szükség szakértőre, hogy észrevegye az anomáliát. Bármi, ami nagymértékben eltér a normál felhasználói viselkedéstől, megjelölhető fiókátvétel céljából.

    Ez lehet olyan egyszerű, mint egy nem megfelelő profilkép vagy egy sor spam jellegű e-mail az ügyfeleknek.

    Végső soron nem könnyű az ilyen támadásokat manuálisan észlelni, és olyan eszközökkel, mint pl Sucuri vagy Acronis segíthet a folyamat automatizálásában.

    Továbblépve nézzük meg, hogyan kerülhetjük el az ilyen támadásokat.

    Az ATO támadás megelőzése

    A kiberbiztonsági eszközökre való előfizetésen kívül néhány bevált módszert is figyelembe vehet.

    #1. Erős jelszavak

    Senki sem szereti az erős jelszavakat, de ezek elengedhetetlenek a jelenlegi fenyegetési környezetben. Ezért ne hagyja, hogy felhasználói vagy alkalmazottai megússzák az egyszerű jelszavakat, és állítson be néhány minimális bonyolultsági követelményt a fiókregisztrációhoz.

    Főleg szervezetek számára, 1Jelszó üzlet erős választás egy jelszókezelő számára, aki képes elvégezni a kemény munkát a csapatáért. Amellett, hogy jelszómegőrző, a csúcsminőségű eszközök a sötét webet is átvizsgálják, és figyelmeztetik, ha bármilyen hitelesítő adat kiszivárogna. Segítségével jelszó-visszaállítási kérelmeket küldhet az érintett felhasználóknak vagy alkalmazottaknak.

    #2. Többtényezős hitelesítés (MFA)

    Azok számára, akik nem ismerik, a többtényezős hitelesítés azt jelenti, hogy a webhely a belépéshez a felhasználónév és jelszó kombináción kívül további kódot kér (a felhasználó e-mail-címére vagy telefonszámára kézbesítve).

    Ez általában egy robusztus módszer az illetéktelen hozzáférés elkerülésére. A csalók azonban gyorsan végrehajthatják az MFA-t social engineering vagy MITM támadások révén. Tehát bár ez egy kiváló első (vagy második) védelmi vonal, több is van ebben a történetben.

    #3. Végezze el a CAPTCHA-t

    A legtöbb ATO támadás úgy kezdődik, hogy a robotok véletlenszerű bejelentkezési adatokkal próbálkoznak. Ezért sokkal jobb lesz egy bejelentkezési kihívás, például a CAPTCHA.

    De ha úgy gondolja, hogy ez a végső fegyver, gondolja át újra, mert vannak olyan CAPTCHA-megoldó szolgáltatások, amelyeket egy rossz színész is bevethet. Ennek ellenére a CAPTCHA-k jó, ha vannak, és sok esetben védik az ATO-któl.

    #4. Munkamenet menedzsment

    Az inaktív munkamenetek automatikus kijelentkezése általában véve megmentő lehet a fiókok átvételekor, mivel egyes felhasználók több eszközről jelentkeznek be, és anélkül lépnek át másokra, hogy kijelentkeznének az előzőekről.

    Ezenkívül hasznos lehet, ha felhasználónként csak egy aktív munkamenetet engedélyez.

    Végül az lesz a legjobb, ha a felhasználók távolról is ki tudnak jelentkezni az aktív eszközökről, és magában a felhasználói felületen is vannak munkamenet-kezelési lehetőségek.

    #5. Monitoring rendszerek

    Az összes támadási vektor lefedése induló vagy középszintű szervezetként nem olyan egyszerű, különösen akkor, ha nincs külön kiberbiztonsági részleg.

    Itt a már említett Acronis és Sucuri mellett olyan harmadik féltől származó megoldásokra is támaszkodhat, mint a Cloudflare és az Imperva. Ezek a kiberbiztonsági cégek a legjobbak az ilyen problémák kezelésére, és hatékonyan tudják megelőzni vagy mérsékelni az ATO-támadásokat.

    #6. Geofencing

    A Geofencing helyalapú hozzáférési szabályzatot alkalmaz az Ön webprojektjéhez. Például egy 100%-ban amerikai székhelyű vállalkozásnak alig van oka, hogy engedélyezze a kínai felhasználókat. Bár ez nem egy bolondbiztos megoldás az ATO-támadások megelőzésére, az általános biztonságot növeli.

    Ezt néhány fokozattal feljebb véve egy online vállalkozás konfigurálható úgy, hogy csak bizonyos IP-címeket engedélyezzen alkalmazottainak.

    Más szóval, üzleti VPN segítségével véget vethet a fiókátvételi támadásoknak. Ezenkívül a VPN titkosítja a bejövő és kimenő forgalmat is, megvédve az üzleti erőforrásokat a köztes támadásoktól.

    #7. Frissítések

    Internet-alapú vállalkozásként valószínűleg sok szoftveralkalmazással foglalkozik, például operációs rendszerekkel, böngészőkkel, bővítményekkel stb. Ezek mindegyike elavult, és a lehető legjobb biztonság érdekében frissíteni kell. Noha ez nem kapcsolódik közvetlenül az ATO-támadásokhoz, egy elavult kódrészlet könnyű átjáró lehet a kiberbűnözők számára, hogy pusztítást végezzenek az Ön vállalkozásában.

    A lényeg: rendszeres biztonsági frissítések küldése az üzleti eszközökre. A felhasználók számára jó előrelépést jelenthet, ha arra próbálják tanítani őket, hogy tartsák meg az alkalmazások legújabb verzióját.

    Mindezek és még sok más után nincs olyan biztonsági szakértő, aki 100%-os biztonságot garantálhatna. Következésképpen erőteljes gyógyítási tervet kell készítenie a végzetes napra.

    Harc ATO támadás

    A legjobb dolog az, ha egy kiberbiztonsági szakértő van a fedélzeten, mivel minden eset egyedi. Mindazonáltal itt van néhány lépés, amelyek elvezetik Önt egy általános ATO utáni támadási forgatókönyvhöz.

    Tartalmaz

    Miután észlelt egy ATO-támadást egyes fiókok ellen, az első teendő az érintett profilok ideiglenes letiltása. Ezután a jelszó és az MFA-visszaállítási kérelem elküldése az összes fióknak hasznos lehet a károk korlátozásában.

    Tájékoztassa

    Kommunikáljon a megcélzott felhasználókkal az eseményről és a rosszindulatú fióktevékenységről. Ezután tájékoztassa őket a pillanatnyi kitiltásról és a fiók-visszaállítás lépéseiről a biztonságos hozzáférés érdekében.

    Vizsgálja meg

    Ezt a folyamatot egy tapasztalt szakértő vagy egy kiberbiztonsági szakemberekből álló csapat tudja a legjobban végrehajtani. A cél lehet az érintett fiókok azonosítása és annak biztosítása, hogy a támadó ne legyen még mindig akcióban mesterséges intelligencia által vezérelt mechanizmusok, például viselkedéselemzés segítségével.

    Ezenkívül ismerni kell az adatvédelmi incidens mértékét, ha van ilyen.

    Visszaszerez

    A teljes rendszer rosszindulatú programjainak vizsgálatának kell lennie a részletes helyreállítási terv első lépésének, mivel a bűnözők leggyakrabban rootkitet telepítenek a rendszer megfertőzésére vagy a hozzáférés fenntartására a jövőbeli támadásokhoz.

    Ebben a szakaszban kérheti a biometrikus hitelesítést, ha rendelkezésre áll, vagy MFA-t, ha még nem alkalmazták.

    Jelentés

    A helyi törvények alapján előfordulhat, hogy jelentenie kell a kormányzati hatóságoknak. Ez segít abban, hogy megfeleljen az előírásoknak, és szükség esetén pert indítson a támadók ellen.

    Terv

    Mostanra már tud néhány kiskapuról, amelyek az Ön tudta nélkül léteztek. Ideje foglalkozni velük a jövőbeli biztonsági csomagban.

    Ezenkívül használja ki az alkalmat, hogy tájékoztassa a felhasználókat erről az esetről, és kérje az egészséges internetes higiéniát a jövőbeni problémák elkerülése érdekében.

    A jövőbe

    A kiberbiztonság egy fejlődő tartomány. Az egy évtizeddel ezelőtt biztonságosnak tartott dolgok jelenleg nyílt meghívás lehet a csalók számára. Ezért a legjobb előrelépés, ha lépést tart a fejleményekkel és rendszeresen frissíti az üzleti biztonsági protokollokat.

    Ha érdekli, a etoppc.com biztonsági szakasza az induló vállalkozásoknak és a kis- és középvállalkozásoknak szóló cikkek könyvjelzők számára megfelelő könyvtára, amelyet rendszeresen írunk és frissítünk. Folyamatosan ellenőrizze ezeket, és biztos vagyok benne, hogy ellenőrizheti a biztonsági tervezés „lépésben maradása” részét.

    Maradjon biztonságban, és ne hagyja, hogy átvegyék ezeket a fiókokat.