Cum să detectați, să preveniți și să atenuați un atac de preluare a contului (ATO)

de
Tweet
Share
Share
Pin

Ca afacere, vă puteți apăra cu ușurință împotriva celui mai comun tip de escrocherie, un atac de preluare a contului (ATO), cu câteva elemente de bază făcute corect.

După-amiaza zilei de 30 august 2019 a fost bizară pentru adepții lui Jack Dorsey pe Twitter (acum X). „El” a fost într-o sifonie nesăbuită, care a durat aproximativ 20 de minute, de a trimite pe Twitter insulte rasiale și alte mesaje ofensatoare.

Fanii săi ar fi putut să o fi considerat o cădere mentală neobișnuită de la CEO-ul celui mai mare site de microblogging. Cu toate acestea, Chuckling Squad, grupul din spatele acestei „aventure”, a lăsat link-uri către canalul lor de discordie în tweet-urile înșelătoare din contul lui Jack.

Mai târziu, Twitter (acum X) a confirmat incidentul.

Suntem conștienți de asta @jack a fost compromisă și a investigat ce s-a întâmplat.

— Twitter Comms (@TwitterComms) 30 august 2019

Acesta a fost un atac clasic de preluare a contului (ATO), unul de schimb de sim în special, în care hackerii au preluat de la distanță controlul asupra numărului de telefon al lui Jack și au trimis pe Twitter de la un serviciu de tweeting terță parte, Cloudhopper.

Care sunt șansele să favorizeze un utilizator obișnuit dacă CEO-ul unei companii de tehnologie de nivel superior poate fi o victimă?

Așadar, alăturați-vă mie pentru a vorbi despre diferitele forme de ATO și despre cum să vă păstrați organizația în siguranță.

Ce este un atac ATO?

Un atac de preluare a contului (ATO), așa cum sugerează numele său, folosește diverse tehnici (discutate mai târziu) pentru a deturna contul online al unei victime în numeroase scopuri ilicite, cum ar fi escrocherii financiare, accesarea informațiilor sensibile, fraudarea altora și multe altele.

Cum funcționează ATO?

Cheia unui atac ATO este furtul acreditărilor contului. Actorii răi fac acest lucru prin diferite mijloace, cum ar fi:

  • Inginerie socială: este pentru a forța sau a convinge din punct de vedere psihologic o persoană să-și dezvăluie detaliile de conectare. Acest lucru se poate face sub pretextul asistenței tehnice sau al fabricării unei situații de urgență, oferindu-i puțin timp victimei pentru a gândi rațional.
  • Credential Stuffing: Un subset de forță brută, credential stuffing înseamnă un escroc care încearcă să facă funcționarea detaliilor de conectare aleatorii, adesea obținute dintr-o încălcare a datelor sau achiziționate de pe dark web.
  • Programe malware: programele periculoase, nedorite pot face multe lucruri pe computer. Un astfel de exemplu este să furați conturile autentificate și să trimiteți detaliile criminalului cibernetic.
  • Phishing: cea mai comună formă de atac cibernetic, phishingul, începe în mod normal cu un simplu clic. Această acțiune aparent inofensivă duce utilizatorul la o contrafacere în care viitoarea victimă introduce datele de conectare, deschizând calea pentru un viitor atac ATO.
  • MITM: Atacul Man-in-the-middle reprezintă o situație în care un hacker calificat „ascultă” traficul de rețea de intrare și de ieșire. Totul, inclusiv numele de utilizator și parolele pe care le introduceți, sunt vizibile unei terțe părți rău intenționate.
    •   4 motive pentru care podcasterii ar trebui să aleagă podcasting video

    Acestea au fost modalitățile standard prin care hoții cibernetici le folosesc pentru a obține în mod criminal acreditările de conectare. Ceea ce urmează este preluarea contului, activitatea ilegală și încercarea de a menține accesul „activ” cât mai mult posibil pentru a victimiza și mai mult utilizatorul sau pentru a continua atacuri asupra altora.

    De cele mai multe ori, băieții răi încearcă să blocheze utilizatorul pe termen nelimitat sau să creeze uși din spate pentru un atac viitor.

    Deși nimeni nu vrea să treacă prin asta (nici Jack!), ne ajută foarte mult dacă îl putem prinde din față pentru a evita daune.

    Detectarea unui atac ATO

    În calitate de proprietar de afaceri, există câteva modalități de a detecta un atac ATO asupra utilizatorilor sau angajaților tăi.

    #1. Conectare neobișnuită

    Acestea pot fi încercări repetate de conectare de la diferite adrese IP, în special din locații îndepărtate geografic. În mod similar, pot exista conectări de pe mai multe dispozitive sau agenți de browser.

    În plus, activitatea de conectare în afara orelor normale de lucru poate reflecta un posibil atac ATO.

    #2. Eșecuri 2FA

    Eșecurile repetate ale autentificării cu doi factori sau a autentificării cu mai mulți factori semnalează, de asemenea, o conduită greșită. De cele mai multe ori, este un actor rău care încearcă să se autentifice după ce a pus mâna pe numele de utilizator și parola scurse sau furate.

    #3. Activitate anormală

    Uneori, nu este nevoie de un expert pentru a observa o anomalie. Orice lucru în afara comportamentului normal al utilizatorului poate fi semnalat pentru preluarea contului.

    Poate fi la fel de simplu ca o poză de profil neadecvată sau o serie de e-mailuri spam către clienții tăi.

    În cele din urmă, nu este ușor să detectați manual astfel de atacuri și instrumente precum Sucuri sau Acronis poate ajuta la automatizarea procesului.

    Mergând mai departe, să vedem cum să evităm astfel de atacuri în primul rând.

    Prevenirea unui atac ATO

    Pe lângă abonamentul la instrumente de securitate cibernetică, există câteva bune practici de care puteți lua în considerare.

    #1. Parole puternice

    Nimănui nu-i plac parolele puternice, dar acestea sunt o necesitate absolută în peisajul actual a amenințărilor. Prin urmare, nu lăsați utilizatorii sau angajații dvs. să scape cu parole simple și setați câteva cerințe minime de complexitate pentru înregistrarea contului.

    În special pentru organizații, 1 Afaceri cu parole este o alegere puternică pentru un manager de parole care poate face munca grea pentru echipa ta. Pe lângă faptul că păstrează parolele, instrumentele de top scanează, de asemenea, dark web-ul și vă avertizează în cazul în care se scurg orice acreditări. Vă ajută să trimiteți solicitări de resetare a parolei utilizatorilor sau angajaților afectați.

      Cum să ascundeți mesajele pe iPhone

    #2. Autentificare multifactor (MFA)

    Pentru cei care nu știu, autentificarea multi-factor înseamnă că site-ul web va cere un cod suplimentar (livrat la adresa de e-mail sau la numărul de telefon al utilizatorului) pe lângă combinația de nume de utilizator și parolă pentru a intra.

    Aceasta este, în general, o metodă robustă pentru a evita accesul neautorizat. Cu toate acestea, escrocii pot lucra rapid cu MFA prin inginerie socială sau atacuri MITM. Deci, deși este o primă (sau a doua) linie de apărare excelentă, există mai multe în această poveste.

    #3. Implementați CAPTCHA

    Majoritatea atacurilor ATO încep cu roboții care încearcă acreditări aleatorii de conectare. Prin urmare, va fi mult mai bine să aveți o provocare de conectare precum CAPTCHA.

    Dar dacă credeți că aceasta este arma supremă, gândiți-vă din nou pentru că există servicii de rezolvare a CAPTCHA pe care le poate implementa un actor rău. Cu toate acestea, CAPTCHA-urile sunt bine de a avea și de protejat de ATO în multe cazuri.

    #4. Managementul sesiunii

    Deconectarea automată pentru sesiunile inactive poate fi o salvare pentru preluările de conturi în general, deoarece unii utilizatori se conectează de pe mai multe dispozitive și trec pe altele fără a se deconecta de la cele anterioare.

    În plus, permiterea unei singure sesiuni active per utilizator se poate dovedi utilă.

    În cele din urmă, cel mai bine va fi dacă utilizatorii se pot deconecta de la dispozitivele active de la distanță și există opțiuni de gestionare a sesiunii în interfața de utilizare în sine.

    #5. Sisteme de monitorizare

    Acoperirea tuturor vectorilor de atac ca o organizație start-up sau de nivel mediu nu este atât de ușoară, mai ales dacă nu aveți un departament dedicat de siguranță cibernetică.

    Aici, vă puteți baza pe soluții terțe precum Cloudflare și Imperva, pe lângă Acronis și Sucuri deja menționate. Aceste companii de securitate cibernetică sunt unele dintre cele mai bune pentru a face față unor astfel de probleme și pot preveni sau atenua eficient atacurile ATO.

    #6. Geofencing

    Geofencing aplică politici de acces bazate pe locație pentru proiectul dvs. web. De exemplu, o afacere 100% cu sediul în SUA nu are niciun motiv pentru a permite utilizatorilor chinezi. Deși aceasta nu este o soluție sigură pentru prevenirea atacurilor ATO, se adaugă la securitatea generală.

    Luând acest lucru cu câteva crestături, o afacere online poate fi configurată pentru a permite doar anumite adrese IP alocate angajaților săi.

    Cu alte cuvinte, puteți folosi un VPN pentru afaceri pentru a pune capăt atacurilor de preluare a conturilor. În plus, un VPN va cripta, de asemenea, traficul de intrare și de ieșire, ferindu-vă resursele afacerii de atacurile de tip om-in-the-middle.

    #7. Actualizări

    Ca o afacere bazată pe internet, probabil că aveți de-a face cu o mulțime de aplicații software, cum ar fi sisteme de operare, browsere, pluginuri etc. Toate acestea devin depășite și trebuie actualizate pentru cea mai bună securitate posibilă. Deși acest lucru nu este direct legat de atacurile ATO, o bucată de cod învechită poate fi o poartă ușoară pentru ca un criminal cibernetic să facă ravagii în afacerea dvs.

      Pro, Air, Mini sau Regular: ce iPad ar trebui să cumpărați?

    Concluzie: trimiteți actualizări regulate de securitate pe dispozitivele de afaceri. Pentru utilizatori, încercarea de a-i educa să păstreze aplicațiile la cele mai recente versiuni poate fi un bun pas înainte.

    După toate acestea și multe altele, nu există niciun expert în securitate care să poată garanta 100% siguranță. În consecință, ar trebui să aveți un plan de remediere viguros pentru ziua fatidică.

    Luptă împotriva atacului ATO

    Cel mai bun lucru este să aveți un expert în securitate cibernetică la bord, deoarece fiecare caz este unic. Cu toate acestea, iată câțiva pași pentru a vă ghida într-un scenariu comun de atac post-ATO.

    Conține

    După ce detectați un atac ATO asupra unor conturi, primul lucru de făcut este să dezactivați temporar profilurile afectate. În continuare, trimiterea unei parole și a unei solicitări de resetare MFA către toate conturile poate fi utilă în limitarea daunelor.

    Informa

    Comunicați cu utilizatorii vizați despre eveniment și activitatea contului rău intenționat. Apoi, informați-i despre interdicția momentană și pașii de restabilire a contului pentru acces în siguranță.

    Investiga

    Acest proces poate fi realizat cel mai bine de către un expert experimentat sau o echipă de profesioniști în securitate cibernetică. Obiectivul poate fi identificarea conturilor afectate și asigurarea faptului că atacatorul nu este încă în acțiune cu ajutorul mecanismelor bazate pe inteligență artificială, cum ar fi analiza comportamentului.

    În plus, ar trebui să se cunoască amploarea încălcării datelor, dacă există una.

    Recupera

    O scanare completă a programelor malware ar trebui să fie primul pas într-un plan detaliat de recuperare, deoarece, de cele mai multe ori, criminalii plantează rootkit-uri pentru a infecta sistemul sau pentru a menține accesul pentru atacuri viitoare.

    În această etapă, se poate solicita autentificare biometrică, dacă este disponibilă, sau MFA, dacă nu este deja angajat.

    Raport

    Pe baza legilor locale, poate fi necesar să raportați acest lucru autorităților guvernamentale. Acest lucru vă va ajuta să rămâneți conform și să urmăriți un proces împotriva atacatorilor, dacă este necesar.

    Plan

    Până acum, știi despre unele lacune care au existat fără știrea ta. Este timpul să le abordăm în viitorul pachet de securitate.

    În plus, profitați de această ocazie pentru a educa utilizatorii despre acest incident și solicitați să practicați o igienă sănătoasă pe internet pentru a evita problemele viitoare.

    În viitor

    Securitatea cibernetică este un domeniu în evoluție. Lucrurile considerate sigure în urmă cu un deceniu ar putea fi o invitație deschisă pentru escroci în prezent. Prin urmare, să fiți la curent cu evoluțiile și să vă actualizați periodic protocoalele de securitate ale afacerii este cea mai bună cale de urmat.

    Dacă sunteți interesat, secțiunea de securitate a tipstrick.ro este o bibliotecă de articole demnă de marcaj destinate start-up-urilor și IMM-urilor pe care le scriem și le actualizăm în mod regulat. Continuați să verificați acestea și sunt sigur că puteți verifica partea „a rămâne la curent” din planificarea securității.

    Rămâneți în siguranță și nu-i lăsați să preia acele conturi.