Hvordan beskytte virksomheten din mot kontoovertakelsesangrep
Som bedrift er det fullt mulig å beskytte seg mot den hyppigste formen for svindel, nemlig kontoovertakelsesangrep (ATO), ved å sørge for at noen grunnleggende tiltak er på plass.
Ettermiddagen 30. august 2019 ble en merkelig opplevelse for de som fulgte Jack Dorsey på Twitter (nå X). «Han» hadde tydeligvis et utbrudd som varte i omtrent 20 minutter, der han postet rasistiske og andre fornærmende meldinger.
Hans følgere trodde kanskje det var et uvanlig mentalt sammenbrudd fra toppsjefen i det største mikrobloggnettstedet. Det som egentlig hadde skjedd var at gruppen Chuckling Squad, som sto bak dette «stuntet», hadde lagt ut lenker til deres Discord-kanal i de villedende meldingene som ble lagt ut fra Jacks konto.
Twitter (nå X) bekreftet hendelsen senere.
Det er vi klar over @jack ble kompromittert og undersøkte hva som skjedde.
Dette var et klassisk kontoovertakelsesangrep (ATO), nærmere bestemt et Sim-bytteangrep. I et slikt angrep tar hackere kontroll over offerets telefonnummer og tvitrer fra en tredjeparts tjeneste, i dette tilfellet Cloudhopper.
Hva er sjansen for at en gjennomsnittlig bruker kan bli offer for dette når toppsjefen i et stort teknologiselskap blir det?
La oss se nærmere på de ulike formene for ATO og hvordan du kan beskytte din organisasjon.
Hva er et ATO-angrep?
Et kontoovertakelsesangrep (ATO) innebærer, som navnet antyder, at man bruker ulike metoder (som vi kommer tilbake til) for å overta en brukers nettkonto med et ulovlig formål, som økonomisk svindel, tilgang til konfidensiell informasjon, identitetstyveri og mer.
Hvordan fungerer et ATO-angrep?
Hovedmålet i et ATO-angrep er å stjele kontoinformasjon. Dette kan gjøres på ulike måter:
- Sosial manipulasjon: Dette innebærer at man psykologisk presser eller overtaler en person til å avsløre påloggingsdetaljer. Det kan for eksempel skje ved å utgi seg for å være teknisk støtte eller ved å skape en nødsituasjon som gjør at offeret ikke får tid til å tenke rasjonelt.
- Credential stuffing: Dette er en undergruppe av brute force-angrep der en svindler forsøker å bruke tilfeldige påloggingsdetaljer som ofte er hentet fra datainnbrudd eller kjøpt på det mørke nettet.
- Skadelig programvare: Uønskede programmer kan gjøre mye skade på datamaskinen din, for eksempel stjele kontoinformasjon og sende den til den kriminelle.
- Phishing: Den vanligste formen for nettangrep, phishing, starter som regel med et enkelt klikk. Denne tilsynelatende uskyldige handlingen sender brukeren til en falsk side der offeret skriver inn påloggingsinformasjonen, og dermed legger til rette for et kommende ATO-angrep.
- MITM (Man-in-the-middle): Dette er en situasjon der en erfaren hacker «lytter» til all din innkommende og utgående nettverkstrafikk. Alt, inkludert brukernavn og passord du skriver inn, er synlig for en tredjepart.
Dette er de vanligste metodene nettkriminelle bruker for å skaffe seg ulovlig tilgang til kontolegitimasjon. Deretter følger kontoovertakelse, ulovlig aktivitet og forsøk på å opprettholde tilgangen så lenge som mulig for å kunne fortsette å skade brukeren eller utføre angrep på andre.
Svindlerne forsøker ofte å låse brukeren ute permanent eller å installere bakdører for fremtidige angrep.
Ingen ønsker å oppleve dette (det gjorde heller ikke Jack!), men det hjelper mye om vi kan være føre var for å unngå skade.
Oppdage et ATO-angrep
Som bedriftseier finnes det flere måter å oppdage et ATO-angrep på dine brukere eller ansatte.
#1. Uvanlig pålogging
Dette kan være gjentatte påloggingsforsøk fra ulike IP-adresser, spesielt fra steder som er geografisk langt unna. Det kan også være pålogginger fra flere enheter eller nettleseragenter.
I tillegg kan påloggingsaktivitet utenfor de vanlige arbeidstidene være et tegn på et mulig ATO-angrep.
#2. 2FA-feil
Gjentatte feil ved tofaktorautentisering eller multifaktorautentisering signaliserer også mistenkelig aktivitet. Ofte skyldes dette at noen prøver å logge seg på med et stjålet eller lekket brukernavn og passord.
#3. Unormal aktivitet
Noen ganger trenger man ikke være ekspert for å legge merke til noe unormalt. Alt som er langt utenfor det normale brukeratferden kan være et tegn på en kontoovertakelse.
Dette kan være så enkelt som et upassende profilbilde eller en rekke spam-meldinger til kundene dine.
Det er ikke enkelt å oppdage slike angrep manuelt, og verktøy som Sucuri eller Acronis kan bidra til å automatisere prosessen.
La oss nå se på hvordan du kan unngå slike angrep.
Forhindre et ATO-angrep
I tillegg til å bruke sikkerhetsverktøy finnes det flere beste praksiser som du kan ta i bruk:
#1. Sterke passord
Ingen liker sterke passord, men de er helt nødvendig i dagens trusselbilde. La derfor ikke brukerne slippe unna med enkle passord, og sett minimumskrav til kompleksitet ved kontoregistrering.
Spesielt for organisasjoner er 1Password Business et godt valg for en passordbehandler som kan gjøre jobben enklere for teamet ditt. I tillegg til å lagre passord, skanner slike verktøy også det mørke nettet og varsler deg hvis kontoinformasjon lekkes. Det hjelper deg med å sende forespørsler om tilbakestilling av passord til de berørte brukerne eller ansatte.
#2. Multifaktorautentisering (MFA)
For de som ikke er kjent med det, innebærer multifaktorautentisering at nettsiden krever en ekstra kode (sendt til brukerens e-post eller telefonnummer) i tillegg til brukernavn og passord.
Dette er en svært effektiv metode for å unngå uautorisert tilgang. Svindlere kan imidlertid omgå MFA ved hjelp av sosial manipulasjon eller MITM-angrep. Selv om dette er et utmerket første (eller andre) forsvarstiltak, er det ikke hele løsningen.
#3. Implementer CAPTCHA
De fleste ATO-angrep starter med at roboter prøver ut tilfeldig påloggingsinformasjon. Derfor er det en fordel å ha en innloggingsutfordring som CAPTCHA.
Selv om du skulle tro at dette er den ultimate løsningen, finnes det tjenester som omgår CAPTCHA som kriminelle kan bruke. Likevel er CAPTCHA et godt verktøy som kan beskytte mot ATO-angrep i mange tilfeller.
#4. Øktadministrasjon
Automatisk utlogging for inaktive økter kan være svært nyttig for å forhindre kontoovertakelser, da noen brukere logger på fra flere enheter og glemmer å logge seg ut fra de forrige.
I tillegg kan det være lurt å bare tillate én aktiv økt per bruker.
Det er også en fordel om brukerne kan logge ut fra aktive enheter eksternt, og det bør finnes alternativer for øktadministrasjon i selve brukergrensesnittet.
#5. Overvåkingssystemer
Det er ikke enkelt for en ny eller mellomstor virksomhet å dekke alle mulige angrepsvektorer, spesielt hvis du ikke har en egen avdeling for cybersikkerhet.
Her kan tredjepartsløsninger som Cloudflare og Imperva, i tillegg til de nevnte Acronis og Sucuri, være til hjelp. Disse cybersikkerhetsselskapene er blant de beste på å håndtere slike problemer og kan forhindre eller redusere ATO-angrep.
#6. Geofencing
Geofencing bruker stedsbaserte tilgangspolicyer for nettsiden din. For eksempel har et selskap som opererer i USA liten grunn til å tillate brukere fra Kina. Selv om dette ikke er en idiotsikker løsning, bidrar det til den generelle sikkerheten.
Hvis vi tar dette et steg videre, kan en nettbasert bedrift konfigureres til å bare tillate visse IP-adresser som er tildelt de ansatte.
Med andre ord kan du bruke en bedrifts-VPN for å unngå kontoovertakelsesangrep. I tillegg vil en VPN kryptere innkommende og utgående trafikk, og beskytte bedriftens ressurser mot MITM-angrep.
#7. Oppdateringer
Som en internettbasert virksomhet bruker du sannsynligvis mange ulike programvareapplikasjoner, som operativsystemer, nettlesere, programtillegg osv. Disse blir utdaterte over tid og må oppdateres jevnlig for å opprettholde best mulig sikkerhet. Selv om dette ikke er direkte relatert til ATO-angrep, kan utdatert kode gi nettkriminelle en enkel inngang til å skade virksomheten din.
Det er viktig å jevnlig gjennomføre sikkerhetsoppdateringer på alle enheter i bedriften. Det kan også være en god idé å oppfordre brukerne til å holde programvaren sin oppdatert.
Selv om du gjør alt dette, finnes det ingen sikkerhetsekspert som kan garantere 100 % sikkerhet. Derfor bør du ha en solid plan for hvordan du skal håndtere et angrep.
Bekjempe ATO-angrep
Det beste er å ha en nettsikkerhetsekspert, siden hver sak er unik. Likevel har vi listet opp noen trinn for å veilede deg i et vanlig post-ATO-angrepsscenario.
Begrens
Når du oppdager et ATO-angrep, må du først deaktivere de berørte kontoene. Deretter kan det være nyttig å sende en forespørsel om tilbakestilling av passord og MFA til alle kontoene for å begrense skaden.
Informer
Kommuniser med de berørte brukerne om hendelsen og den uautoriserte aktiviteten. Informer dem om trinnene for midlertidig utestengelse og kontogjenoppretting for trygg tilgang.
Undersøk
Denne prosessen bør helst utføres av en erfaren ekspert eller et team av cybersikkerhetseksperter. Målet er å identifisere de berørte kontoene og sørge for at angriperen ikke lenger har tilgang ved hjelp av AI-drevne mekanismer som atferdsanalyse.
I tillegg bør omfanget av et eventuelt datainnbrudd kartlegges.
Gjenopprett
En skanning etter skadelig programvare i hele systemet bør være det første trinnet i en detaljert gjenopprettingsplan, da kriminelle ofte installerer rootkits for å infisere systemet eller for å opprettholde tilgangen for fremtidige angrep.
I dette stadiet kan du vurdere å ta i bruk biometrisk autentisering (hvis mulig) eller MFA (hvis det ikke allerede er i bruk).
Rapporter
Avhengig av lokale lover kan det hende du må rapportere hendelsen til offentlige myndigheter. Dette hjelper deg å overholde lover og eventuelt forfølge et søksmål mot angriperne.
Planlegg
Nå kjenner du til noen av sårbarhetene som har eksistert uten at du har vært klar over dem. Det er på tide å ta tak i disse i den fremtidige sikkerhetsplanen.
I tillegg kan du benytte anledningen til å informere brukerne om hendelsen og be dem om å praktisere god netthygiene for å unngå fremtidige problemer.
Inn i fremtiden
Cybersikkerhet er et område som stadig utvikler seg. Det som ble ansett som trygt for ti år siden, kan være en åpen invitasjon for kriminelle i dag. Derfor er det viktig å holde seg oppdatert på utviklingen og oppgradere bedriftens sikkerhetsprotokoller jevnlig.
Hvis du er interessert, er sikkerhetsseksjonen på tipsbilk.net et godt sted å finne artikler rettet mot nyetablerte bedrifter og SMB-er som vi skriver og oppdaterer jevnlig. Her finner du mye nyttig informasjon og kan sjekke av «hold deg oppdatert»-delen av sikkerhetsplanen.
Ta vare på dere selv og ikke la de overta kontoene deres.