În lumea afacerilor, protejarea împotriva escrocheriilor, în special a atacurilor de preluare a contului (ATO), este crucială. Cu măsuri de securitate de bază implementate corect, vă puteți menține afacerea în siguranță.
În data de 30 august 2019, după-amiaza a fost neobișnuită pentru urmăritorii lui Jack Dorsey pe Twitter (acum X). Contul său a fost implicat într-o serie de postări ofensatoare, cu insulte rasiale și alte mesaje deranjante, care au durat aproximativ 20 de minute.
Admiratorii săi ar fi putut interpreta acest lucru ca o cădere mentală neobișnuită a CEO-ului uneia dintre cele mai mari platforme de microblogging. Însă, grupul „Chuckling Squad”, responsabil pentru această acțiune, a inclus link-uri către canalul lor de Discord în postările frauduloase de pe contul lui Jack.
Twitter (acum X) a confirmat ulterior incidentul.
Suntem conștienți că @jack a fost compromis și investigăm ce s-a întâmplat.
— Twitter Comms (@TwitterComms) 30 august 2019
Acesta a fost un atac clasic de preluare a contului (ATO), specific un atac de schimbare SIM, prin care hackerii au preluat controlul de la distanță al numărului de telefon al lui Jack și au postat mesaje pe Twitter prin intermediul unui serviciu terț, Cloudhopper.
Dacă CEO-ul unei companii tehnologice de top poate fi victimă, ce șanse are un utilizator obișnuit?
Să explorăm diferitele forme de atacuri ATO și cum să vă mențineți organizația în siguranță.
Ce este un atac ATO?
Un atac de preluare a contului (ATO) implică deturnarea contului online al unei persoane prin diverse metode, cu scopul de a comite fraude financiare, a obține informații confidențiale sau a induce în eroare alte persoane.
Cum funcționează ATO?
Atacurile ATO se bazează pe furtul datelor de autentificare. Infractorii folosesc diverse metode, cum ar fi:
- Ingineria socială: Manipularea psihologică a unei persoane pentru a o convinge să dezvăluie datele sale de autentificare, folosind pretexte precum asistența tehnică sau urgențe false.
- Credential Stuffing: Utilizarea unor date de autentificare obținute din surse ilegale (încălcări de date, dark web) pentru a accesa conturi.
- Software malițios: Programe dăunătoare care fură datele de autentificare de pe computerele utilizatorilor.
- Phishing: Cea mai răspândită metodă de atac cibernetic, care implică direcționarea utilizatorului către pagini web false, unde introduce datele sale de conectare.
- MITM (Atac Man-in-the-Middle): Interceptarea traficului de rețea de către un atacator, care obține acces la datele, inclusiv numele de utilizator și parolele introduse.
Acestea sunt metodele uzuale prin care infractorii cibernetici obțin datele de autentificare, preluând apoi conturile, efectuând activități ilegale și încercând să mențină accesul cât mai mult timp posibil pentru a-și victimiza victimele sau pentru a efectua alte atacuri.
De obicei, infractorii încearcă să blocheze utilizatorul sau să creeze uși din spate pentru atacuri viitoare.
Deși nimeni nu dorește să fie victimă, detectarea timpurie a atacurilor este esențială pentru a evita daunele.
Detectarea unui atac ATO
În calitate de proprietar de afacere, există mai multe modalități de a detecta un atac ATO asupra utilizatorilor sau angajaților:
#1. Conectare neobișnuită
Atacurile pot fi semnalate de încercări repetate de conectare de la diferite adrese IP, în special din locații geografice îndepărtate, sau conectări de pe mai multe dispozitive sau browsere.
De asemenea, conectările în afara orelor obișnuite de lucru pot indica un posibil atac ATO.
#2. Eșecuri 2FA
Eșecurile repetate de autentificare cu doi factori (2FA) sau autentificarea multi-factor (MFA) indică, de asemenea, o activitate suspectă. De cele mai multe ori, aceasta provine de la un atacator care încearcă să se autentifice cu un nume de utilizator și o parolă compromise.
#3. Activitate anormală
Modificări neobișnuite ale comportamentului obișnuit al unui utilizator pot indica un atac ATO, cum ar fi o imagine de profil neadecvată sau trimiterea de e-mailuri spam către clienți.
Detectarea manuală a acestor atacuri poate fi dificilă; instrumente precum Sucuri sau Acronis pot automatiza procesul.
În continuare, să vedem cum putem preveni aceste atacuri.
Prevenirea unui atac ATO
Pe lângă utilizarea instrumentelor de securitate cibernetică, există câteva practici bune pe care le puteți adopta:
#1. Parole puternice
Deși parolele puternice nu sunt întotdeauna preferate, ele sunt esențiale în contextul actual al amenințărilor. Stabiliți cerințe minime de complexitate a parolelor pentru utilizatori și angajați.
Pentru organizații, 1 Password Business este un manager de parole excelent, care poate ajuta echipa. Acesta scanează dark web-ul și trimite alerte în cazul scurgerii de date, ajutându-vă să solicitați resetarea parolelor pentru utilizatorii afectați.
#2. Autentificare multi-factor (MFA)
Autentificarea multi-factor (MFA) presupune utilizarea unui cod suplimentar (trimis prin e-mail sau SMS) pe lângă numele de utilizator și parolă pentru autentificare. Aceasta este o metodă robustă de a preveni accesul neautorizat, dar este posibil să fie ocolită prin inginerie socială sau atacuri MITM.
#3. Implementați CAPTCHA
Multe atacuri ATO încep cu roboți care încearcă diferite combinații de date de conectare. Un CAPTCHA poate fi util pentru a preveni aceste atacuri.
Serviciile de rezolvare a CAPTCHA există, dar implementarea CAPTCHA-urilor este o măsură de protecție importantă împotriva atacurilor ATO.
#4. Managementul sesiunii
Deconectarea automată a sesiunilor inactive poate proteja împotriva atacurilor ATO, deoarece unii utilizatori se conectează de pe mai multe dispozitive și uită să se deconecteze.
Permiterea unei singure sesiuni active per utilizator poate fi utilă, alături de posibilitatea de a deconecta utilizatorii de la distanță.
#5. Sisteme de monitorizare
Organizațiile mici și mijlocii pot apela la soluții terțe precum Cloudflare și Imperva, pe lângă Acronis și Sucuri, pentru a acoperi toate aspectele legate de securitate cibernetică. Aceste companii sunt specializate în prevenirea și atenuarea atacurilor ATO.
#6. Geofencing
Geofencing-ul permite aplicarea politicilor de acces bazate pe locație. De exemplu, o afacere din SUA poate bloca accesul utilizatorilor din China. Deși nu oferă protecție totală împotriva atacurilor ATO, mărește securitatea generală.
Companiile pot configura, de asemenea, accesul la anumite adrese IP alocate angajaților, sau pot utiliza un VPN pentru a cripta traficul de rețea și a preveni atacurile man-in-the-middle.
#7. Actualizări
Asigurați-vă că toate software-urile (sisteme de operare, browsere, plugin-uri etc.) sunt actualizate, deoarece versiunile învechite pot fi vulnerabile la atacuri cibernetice.
Trimiteți actualizări regulate de securitate pe dispozitivele afacerii și educați utilizatorii să își mențină aplicațiile actualizate.
Chiar și cu aceste măsuri, niciun expert în securitate nu poate garanta siguranța 100%. De aceea, este esențial să aveți un plan de recuperare bine pus la punct.
Lupta împotriva atacului ATO
Cea mai bună opțiune este să apelați la un expert în securitate cibernetică, dar iată câțiva pași care vă pot ghida într-un scenariu post-atac ATO:
Conține
Dezactivați temporar conturile afectate și trimiteți o cerere de resetare a parolei și a autentificării MFA.
Informa
Comunicați utilizatorilor afectați despre incident și activitatea contului suspect, anunțându-i despre interdicția temporară și pașii de restabilire a accesului.
Investiga
Un expert sau o echipă de profesioniști în securitate cibernetică trebuie să identifice conturile afectate și să se asigure că atacatorul nu mai este activ, utilizând metode bazate pe inteligență artificială, cum ar fi analiza comportamentală. Evaluați amploarea unei eventuale încălcări de date.
Recupera
Începeți cu o scanare completă a programelor malware, deoarece atacatorii instalează adesea rootkit-uri pentru a menține accesul. Activați autentificarea biometrică (dacă este disponibilă) sau MFA.
Raport
Raportați incidentul autorităților guvernamentale, conform legilor locale, pentru a rămâne conform și a putea demara un proces împotriva atacatorilor.
Plan
Corectați deficiențele de securitate și educați utilizatorii despre incident, solicitându-le să practice o igienă bună pe internet pentru a evita probleme viitoare.
În viitor
Securitatea cibernetică este un domeniu în continuă evoluție, deci este esențial să vă actualizați periodic protocoalele de securitate ale afacerii. Secțiunea de securitate de pe tipstrick.ro oferă articole utile pentru start-up-uri și IMM-uri, actualizate în mod regulat.
Mențineți-vă în siguranță și nu permiteți preluarea conturilor.