Вы можете легко защититься от самого распространенного вида мошенничества – атаки с захватом учетной записи (ATO), выполнив несколько основных действий. День 30 августа 2019 года был странным для подписчиков Twitter (теперь X) Джека Дорси. В течение примерно 20 минут “он” безрассудно разбрасывался расовыми оскорблениями и другими оскорбительными сообщениями в твиттере. Поклонники могли бы принять это за необычное психическое расстройство генерального директора крупнейшего сайта микроблогов. Однако Chuckling Squad, группа, стоящая за этим “приключением”, оставила ссылки на свой дискорд-канал в недостоверных твитах с аккаунта Джека. Позже Twitter (теперь X) подтвердил инцидент. Это была классическая атака с захватом аккаунта (ATO), в частности, с подменой симки, в ходе которой хакеры удаленно завладели номером телефона Джека и отправляли твиты со стороннего сервиса Cloudhopper. Каковы шансы обычного пользователя, если жертвой может стать генеральный директор высококлассной технологической компании? Итак, присоединяйтесь ко мне, чтобы поговорить о различных формах ATO и о том, как обезопасить свою организацию.
Что такое атака ATO?
Атака с захватом учетной записи (ATO), как следует из названия, использует различные методы (о которых мы поговорим позже) для захвата учетной записи жертвы в Интернете с многочисленными незаконными целями, такими как финансовые аферы, доступ к конфиденциальной информации, обман других людей и т. д.
Как работает ATO?
Суть атаки ATO заключается в краже учетных данных. Злодеи делают это различными способами, такими как:
- Социальная инженерия: Это психологическое принуждение или убеждение человека раскрыть свои данные для входа в систему. Это можно сделать под предлогом технической поддержки или сфабриковать чрезвычайную ситуацию, давая жертве мало времени на рациональное мышление.
- Набивка учетных данных: Под подгруппой атак грубой силы подразумевается попытка мошенника заставить работать случайные данные для входа в систему, часто полученные в результате утечки данных или приобретенные в “темной паутине”.
- Вредоносное ПО: Опасные, нежелательные программы могут сделать с вашим компьютером множество вещей. Один из таких случаев – кража учетных записей и отправка данных киберпреступникам.
- Фишинг: самая распространенная форма кибератак – фишинг – обычно начинается с простого щелчка мышью. Это безобидное на первый взгляд действие переводит пользователя на подделку, где будущая жертва вводит учетные данные для входа в систему, прокладывая путь для предстоящей ATO-атаки.
- MITM: атака “человек посередине” представляет собой ситуацию, когда опытный хакер “прослушивает” ваш входящий и исходящий сетевой трафик. Все, включая вводимые вами имена пользователей и пароли, становится доступным для злоумышленников.
Это стандартные способы, которые используют киберпреступники для преступного получения учетных данных. Далее следует захват учетной записи, незаконная деятельность и попытка сохранить доступ как можно дольше, чтобы в дальнейшем стать жертвой пользователя или совершать атаки на других. Чаще всего злоумышленники пытаются заблокировать пользователя на неопределенный срок или установить бэкдоры для будущих атак. Хотя никто не хочет проходить через это (и Джек тоже!), очень помогает, если мы можем поймать его заранее, чтобы избежать повреждений.
Обнаружение атаки ATO
Как владелец бизнеса, существует несколько способов обнаружить ATO-атаку на ваших пользователей или сотрудников.
Необычный вход в систему
Это могут быть многократные попытки входа в систему с разных IP-адресов, особенно из географически удаленных мест. Аналогичным образом может происходить вход с нескольких устройств или агентов браузера. Кроме того, активность входа в систему в нерабочее время может свидетельствовать о возможной атаке ATO.
Сбои в работе 2FA
Неоднократные сбои двухфакторной или многофакторной аутентификации также свидетельствуют о неправомерных действиях. Чаще всего это недобросовестный игрок, пытающийся войти в систему после того, как завладел утечкой или кражей имени пользователя и пароля.
Аномальная активность
Иногда не нужно быть экспертом, чтобы заметить аномалию. Все, что сильно отклоняется от обычного поведения пользователя, может быть отмечено для захвата учетной записи. Это может быть просто неподходящая фотография в профиле или серия спамерских писем вашим клиентам. В конце концов, обнаружить такие атаки вручную нелегко, и такие инструменты, как Sucuri или Acronis, могут помочь автоматизировать этот процесс. Давайте разберемся, как избежать подобных атак.
Предотвращение атаки ATO
Помимо подписки на инструменты кибербезопасности, есть несколько лучших практик, которые вы можете взять на заметку.
Сильные пароли
Никто не любит сложные пароли, но в условиях современных угроз они просто необходимы. Поэтому не позволяйте своим пользователям или сотрудникам обходиться простыми паролями и установите минимальные требования к сложности при регистрации учетной записи. Особенно для организаций 1Password business – это отличный выбор менеджера паролей, который может сделать всю тяжелую работу за вашу команду. Помимо хранения паролей, первоклассные инструменты также сканируют темную паутину и предупреждают вас в случае утечки учетных данных. Это поможет вам отправить запросы на сброс пароля пострадавшим пользователям или сотрудникам.
Многофакторная аутентификация (MFA)
Для тех, кто не знает, многофакторная аутентификация означает, что для входа на сайт, помимо имени пользователя и пароля, необходимо ввести дополнительный код (присылаемый на электронную почту или номер телефона). Как правило, это надежный метод, позволяющий избежать несанкционированного доступа. Однако мошенники могут быстро справиться с MFA с помощью социальной инженерии или MITM-атак. Так что, хотя это и отличная первая (или вторая) линия защиты, в этой истории есть еще кое-что.
Внедрите CAPTCHA
Большинство атак ATO начинаются с того, что боты пробуют случайные учетные данные для входа в систему. Поэтому будет гораздо лучше, если при входе в систему вы будете использовать такие средства защиты, как CAPTCHA.
Но если вы думаете, что это самое совершенное оружие, подумайте еще раз, потому что существуют сервисы для решения CAPTCHA, которые могут использовать злоумышленники. Тем не менее, CAPTCHA полезно иметь и во многих случаях они защищают от ATO.
Управление сеансами
Автоматический выход для неактивных сессий может стать спасением при захвате учетной записи, поскольку некоторые пользователи входят в систему с нескольких устройств и переходят на другие, не выходя из предыдущих. Кроме того, полезным может оказаться разрешение только одной активной сессии на одного пользователя. Наконец, будет лучше, если пользователи смогут удаленно выходить из активных устройств, а в самом пользовательском интерфейсе будут доступны опции управления сеансами.
Системы мониторинга
Охватить все векторы атак начинающей или средней организации не так-то просто, особенно если у вас нет специального отдела кибербезопасности. Здесь вы можете положиться на сторонние решения, такие как Cloudflare и Imperva, помимо уже упомянутых Acronis и Sucuri. Эти компании, занимающиеся кибербезопасностью, являются одними из лучших в решении подобных проблем и могут эффективно предотвратить или смягчить последствия ATO-атак.
Геозонирование
Геозондирование – это применение политик доступа на основе местоположения для вашего веб-проекта. Например, бизнесу, на 100% базирующемуся в США, практически незачем разрешать доступ китайским пользователям. Хотя это и не является надежным решением для предотвращения атак ATO, оно повышает общую безопасность. Если поднять этот параметр на несколько ступеней выше, можно настроить онлайн-бизнес так, чтобы разрешить только определенные IP-адреса, выделенные его сотрудникам. Другими словами, вы можете использовать VPN для бизнеса, чтобы положить конец атакам с захватом учетной записи. Кроме того, VPN шифрует входящий и исходящий трафик, защищая ваши бизнес-ресурсы от атак типа “человек посередине”.
Обновления
Как интернет-предприятие, вы, вероятно, имеете дело с большим количеством программных приложений, таких как операционные системы, браузеры, плагины и т. д. Все они устаревают и нуждаются в обновлении для обеспечения максимальной безопасности. Хотя это не имеет прямого отношения к атакам ATO, устаревшая часть кода может стать для киберпреступника легким проходом, чтобы посеять хаос в вашем бизнесе. Итог: регулярно обновляйте систему безопасности на рабочих устройствах. Для пользователей хорошим шагом вперед может стать попытка научить их поддерживать приложения на последних версиях. После всего этого и многого другого не существует эксперта по безопасности, который мог бы гарантировать стопроцентную безопасность. Поэтому на случай рокового дня у вас должен быть разработан эффективный план по исправлению ситуации.
Борьба с атакой АТО
Лучше всего пригласить эксперта по кибербезопасности, поскольку каждый случай уникален. Тем не менее, вот несколько шагов, которые помогут вам справиться с распространенным сценарием атаки после НАТО.
Содержите
Обнаружив атаку ATO на некоторые учетные записи, первым делом временно отключите затронутые профили. Затем отправьте запрос на сброс пароля и MFA всем учетным записям, это поможет ограничить ущерб.
Информируйте
Сообщите целевым пользователям о событии и вредоносной активности учетной записи. Затем проинформируйте их о временном запрете и шагах по восстановлению учетной записи для безопасного доступа.
Исследуйте
Этот процесс лучше всего поручить опытному специалисту или команде профессионалов в области кибербезопасности. Задача состоит в том, чтобы выявить затронутые учетные записи и убедиться, что злоумышленник не продолжает действовать, с помощью механизмов, основанных на искусственном интеллекте, таких как анализ поведения. Кроме того, должны быть известны масштабы утечки данных, если таковая имела место.
Восстановливайте
Проверка всей системы на наличие вредоносного ПО должна стать первым шагом в подробном плане восстановления, поскольку чаще всего преступники устанавливают руткиты, чтобы заразить систему или сохранить доступ для будущих атак. На этом этапе можно прибегнуть к биометрической аутентификации, если она доступна, или к MFA, если она еще не используется.
Отчет
В соответствии с местными законами вам, возможно, придется сообщить об этом в государственные органы. Это поможет вам соблюсти требования и при необходимости подать иск против злоумышленников.
План
Теперь вы знаете о некоторых лазейках, которые существовали без вашего ведома. Пришло время устранить их в будущем пакете безопасности. Кроме того, воспользуйтесь этой возможностью, чтобы рассказать пользователям об этом инциденте и попросить их придерживаться здоровой интернет-гигиены, чтобы избежать проблем в будущем.
На будущее
Кибербезопасность – это развивающаяся область. То, что считалось безопасным десять лет назад, сегодня может стать открытым приглашением для мошенников. Поэтому следить за развитием событий и периодически обновлять протоколы безопасности своего бизнеса – лучший выход. Если вам интересно, раздел безопасности Geekflare – это библиотека статей, предназначенных для начинающих компаний и СМБ, которые мы регулярно пишем и обновляем. Продолжайте знакомиться с ними, и я уверен, что вы сможете проверить часть планирования безопасности, касающуюся “быть в курсе”. Будьте осторожны и не позволяйте им завладеть этими аккаунтами.
![Как обнаружить вредоносную рекламу и обезопасить себя [2023]](https://clickfraud.ru/wp-content/uploads/2023/09/preview-8-1.jpg)
