Захват аккаунта: что это такое и как с этим бороться

Атаки с захватом учётных записей (ATO) могут нанести серьёзный ущерб как отдельным лицам, так и организациям, от персональных профилей до корпоративных систем. Финансовые последствия сами по себе огромны: например, в 2023 году глобальные потери от мошенничества с ATO превысили 13 миллиардов долларов.

Однако ущерб этим не ограничивается. Помимо денежных потерь, организации сталкиваются с серьёзными сбоями в работе и долгосрочным ущербом репутации, который зачастую обходится гораздо дороже, чем прямое хищение. По оценкам, число случаев ATO ежегодно увеличивается на 354%, и эта форма мошенничества распространяется с тревожной скоростью.

В этом руководстве рассматриваются реальные риски захвата учетных записей, наиболее распространенные стратегии атак и защитные меры, которые могут помочь защитить ваши системы навсегда.

Захват учётной записи — это киберпреступление, при котором неавторизованный злоумышленник получает полный или частичный контроль над учётной записью законного пользователя. В отличие от взломов методом подбора пароля, ATO в значительной степени опирается на обман и использование уязвимостей систем и поведения пользователей, чтобы оставаться незамеченным.

Легко игнорировать ATO как узкую проблему кибербезопасности, но она имеет далеко идущие последствия по многим направлениям.

1. Одно нарушение влечет за собой другое

Злоумышленники редко останавливаются, взломав одну учётную запись. Доступ к одному логину, например, электронной почте, может раскрыть конфиденциальную информацию, открывающую доступ к более широким внутренним системам.

2. Украденные аккаунты — это товар

Скомпрометированные учетные данные часто продаются на подпольных рынках, подпитывая целую экосистему финансового мошенничества, отмывания денег и мошеннических действий, осуществляемых под видом законных счетов.

3. Инструмент для более крупных преступлений

ATO часто участвует в более масштабных киберпреступлениях, таких как программы-вымогатели, шпионаж или кампании по дезинформации. Например, если аккаунт руководителя высшего звена взломан, он может быть использован для распространения фишинговых писем или утечки конфиденциальных данных.

4. Потеря доверия

Репутация зарабатывается тяжким трудом и её легко повредить. Каждая успешная попытка взлома аккаунта подрывает доверие пользователей и партнёров к вашим системам, и на его восстановление могут уйти годы.

Некоторые отрасли и типы счетов привлекают злоумышленников больше, чем другие. Киберпреступники, как правило, выбирают цели, сочетающие высокую потенциальную прибыль с относительно слабой защитой.

Банки, торговые платформы и финтех-сервисы являются очевидными целями из-за того, что они предоставляют прямой доступ к средствам.

• Криптовалютные биржи: необратимость транзакций и непоследовательное регулирование делают их особенно уязвимыми.
• Услуги «Купи сейчас, плати потом»: эти быстрорастущие платформы часто имеют менее развитые системы обнаружения мошенничества.

Интернет-магазины хранят огромное количество учётных записей пользователей, связанных с сохранёнными платёжными данными. Злоумышленники используют их для совершения поддельных покупок, обмена баллов лояльности или перепродажи украденных подарочных карт.

• Сезонные всплески: Активность атак обычно возрастает во время праздников и крупных распродаж.
• Риски многоканальной работы: интеграция нескольких систем (веб-сайт, приложение, POS-терминал) может привести к появлению новых уязвимостей.

Данные пациентов, такие как номера социального страхования и сведения о страховании, представляют особую ценность в даркнете.

• Порталы пациентов: обычно становятся мишенью для мошенничества с персональными данными или страховыми выплатами.
• Внедрение программ-вымогателей: украденные учетные данные могут быть использованы для запуска атак программ-вымогателей, которые нарушают уход за пациентами.

Технологические компании, особенно поставщики SaaS , получают прибыль, поскольку одно нарушение может поставить под угрозу несколько сред клиентов.

• Слабая защита API: API, связывающие различные сервисы, могут служить точками входа.
• Учетные записи администраторов: их повышенные привилегии делают их особенно уязвимыми целями.

Университеты и школы хранят обширные персональные, академические и финансовые данные. Злоумышленники используют их, чтобы:

• Выдавать себя за других во время экзаменов
• Доступ к конфиденциальным исследованиям и интеллектуальной собственности
• Манипулировать системами оплаты обучения или начисления заработной платы
• Совершить кражу личных данных, используя информацию о студентах или сотрудниках

Несмотря на отраслевые различия, системы с высоким уровнем риска, как правило, имеют следующие общие черты:

• Большие объемы пользователей
• Высокая ценность счета (финансовая или стратегическая)
• Устаревшие или слабые методы аутентификации
• Взаимосвязанные системы, увеличивающие поверхности атак

Каждый инцидент ATO обычно разворачивается в два этапа: сбор информации и использование доступа.

Злоумышленники собирают персональные данные различными способами:

• Утечки данных: Массовые утечки имён пользователей, паролей и личных данных питают торговые площадки даркнета. Хакеры часто используют перекрёстные ссылки на различные утечки, чтобы составить полные профили пользователей или предсказать шаблоны паролей.
• Социальная инженерия: такие методы, как вишинг (голосовой фишинг), SMiShing (мошенничество с SMS) и предлоги , заставляют жертв раскрывать свои учетные данные.
• Сбор данных: используя разведданные с открытыми источниками ( OSINT ), злоумышленники собирают информацию из общедоступных записей и социальных сетей, чтобы разрабатывать более убедительные схемы фишинга.
• Вредоносное ПО: кейлоггеры, шпионское ПО и инструменты для кражи учетных данных, такие как Emotet или TrickBot, со временем незаметно перехватывают данные входа в систему.

Получив учетные данные, злоумышленники используют несколько методов для взлома учетных записей.

• Подмена учетных данных: автоматизированные инструменты проверяют огромные комбинации имен пользователей и паролей, используя повторно используемые учетные данные.
• Распыление паролей: злоумышленники пытаются использовать один общий пароль для нескольких учетных записей.
• Перехват сеанса: перехватывая активные токены сеанса с помощью атак типа «человек посередине» или вредоносного ПО, преступники получают временный контроль над аккаунтами.
• Подмена SIM-карт: мошенники обманывают операторов связи, заставляя их передавать номер телефона жертвы, что позволяет им перехватывать коды 2FA на основе SMS.

Хотя атаки ATO являются сложными, организации могут значительно снизить риск с помощью многоуровневых механизмов защиты.

MFA , также известная как двухфакторная аутентификация (2FA), добавляет дополнительные уровни проверки помимо паролей. Хотя SMS-коды широко распространены, их легко подменить с помощью SIM-карты. Более безопасные альтернативы включают:

• Аппаратные токены безопасности
• Одноразовые пароли с ограниченным сроком действия (TOTP) из приложений аутентификации
• Контекстная аутентификация, которая оценивает место входа в систему, устройство и поведение, чтобы решить, когда следует применять более строгие проверки.

Поощряйте пользователей создавать уникальные, сложные пароли и регулярно менять их, не следуя предсказуемым шаблонам.

Менеджеры паролей могут помочь генерировать и хранить безопасные учетные данные, а механизмы блокировки учетных записей должны активироваться после многократных неудачных попыток входа в систему.

В рамках модели Zero Trust ни один пользователь или устройство не считаются автоматически доверенными, даже внутренние.

• Применяйте принцип наименьших привилегий для ограничения прав доступа пользователей.
• Используйте микросегментацию сети для изоляции систем и минимизации горизонтальных перемещений.
• Внимательно отслеживайте запросы на мобильный доступ и используйте автоматизированные системы для приостановки подозрительных учетных записей до проверки.

Биометрическая аутентификация подтверждает личность пользователя, сравнивая черты его лица с сохраненными эталонными изображениями.

Такие решения, какRegula Face SDK, используют передовые алгоритмы, способные обрабатывать изменения в освещении и качестве изображения, одновременно выявляя попытки подделки аутентификации с помощью фотографий, видео или масок.

Функция обнаружения «живого» объекта Regula еще больше повышает безопасность, анализируя естественные черты человека, такие как едва заметные рефлексы кожи и микродвижения, чтобы гарантировать присутствие реального человека во время процесса проверки.

Мошенничество со взломом аккаунтов стремительно растёт, преследуя не только финансовую выгоду, но и доверие и репутацию. Для его предотвращения требуется сочетание надёжной аутентификации, современной архитектуры безопасности и передовых инструментов верификации.

Внедряя многофакторную аутентификацию, обеспечивая строгую гигиену паролей, реализуя принципы Zero Trust и интегрируя биометрические технологии, организации могут быть на несколько шагов впереди киберпреступников и защищать как свои системы, так и своих пользователей.