Hvordan oppdage, forhindre og redusere et kontoovertakelsesangrep (ATO)

Som bedrift kan du enkelt forsvare deg mot den vanligste typen svindel, et kontoovertakelsesangrep (ATO), med noen få grunnleggende ting gjort riktig.

Ettermiddagen 30. august 2019 var bisarr for Jack Dorseys Twitter-følgere (nå X). «Han» var på en hensynsløs spree, som varte i omtrent 20 minutter, med tweeting av rasebeskjeder og andre støtende meldinger.

Fansen hans kan ha tatt det som et uvanlig mentalt sammenbrudd fra administrerende direktør for det største mikrobloggnettstedet. Chuckling Squad, gruppen bak dette «eventyret», hadde imidlertid lagt igjen linker til discord-kanalen deres i de villedende tweetene fra Jacks konto.

Senere bekreftet Twitter (nå X) hendelsen.

Det er vi klar over @jack ble kompromittert og undersøkte hva som skjedde.

— Twitter Comms (@TwitterComms) 30. august 2019

Dette var et klassisk Account Takeover (ATO)-angrep, spesielt et Sim Swapping-angrep, der hackerne tok kontroll over Jacks telefonnummer og tvitret fra en tredjeparts tweeting-tjeneste, Cloudhopper.

Hva er oddsen for en gjennomsnittlig bruker hvis administrerende direktør i et teknologiselskap på toppnivå kan bli et offer?

Så bli med meg for å snakke om de ulike formene for ATO og hvordan du kan holde organisasjonen din trygg.

Hva er et ATO-angrep?

Et kontoovertakelsesangrep (ATO), som antydet av navnet, bruker forskjellige teknikker (diskutert senere) for å kapre et offers nettkonto for en rekke ulovlige formål, for eksempel økonomisk svindel, tilgang til sensitiv informasjon, bedrageri av andre og mer.

Hvordan fungerer ATO?

Kjernen i et ATO-angrep er å stjele kontolegitimasjon. Dårlige skuespillere gjør dette på forskjellige måter, for eksempel:

  • Sosialteknikk: Det er å psykologisk tvinge eller overtale en person til å avsløre påloggingsdetaljer. Dette kan gjøres under påskudd av teknisk støtte eller å lage en nødsituasjon, noe som gir offeret lite tid til å tenke rasjonelt.
  • Credential Stuffing: En undergruppe av brute force, credential stuffing betyr at en svindler prøver å få tilfeldige påloggingsdetaljer til å fungere, ofte hentet fra et datainnbrudd eller kjøpt fra det mørke nettet.
  • Skadelig programvare: Farlige, uønskede programmer kan gjøre mange ting med datamaskinen din. Et slikt tilfelle er å stjele de påloggede kontoene og sende detaljene til den nettkriminelle.
  • Phishing: Den vanligste formen for nettangrep, phishing, starter normalt med et enkelt klikk. Denne tilsynelatende harmløse handlingen tar brukeren til en forfalskning der det kommende offeret skriver inn påloggingsinformasjon, og baner vei for et kommende ATO-angrep.
  • MITM: Man-in-the-middle-angrep representerer en situasjon der en dyktig hacker «lytter» til din innkommende og utgående nettverkstrafikk. Alt, inkludert brukernavn og passord du skriver inn, er synlig for en ondsinnet tredjepart.
  • Dette var standardmåtene netttyver bruker for å skaffe seg påloggingslegitimasjon kriminelt. Det som følger er kontoovertakelse, ulovlig aktivitet og et forsøk på å holde tilgangen «live» så lenge som mulig for ytterligere å ofre brukeren eller utføre angrep på andre.

    Oftere enn ikke prøver skurkene å låse brukeren ute på ubestemt tid eller sette opp bakdører for et fremtidig angrep.

    Selv om ingen ønsker å gå gjennom dette (det gjorde heller ikke Jack!), hjelper det massevis hvis vi kan ta det foran for å unngå skade.

    Oppdager et ATO-angrep

    Som bedriftseier er det noen få måter å oppdage et ATO-angrep på brukerne eller ansatte.

    #1. Uvanlig pålogging

    Dette kan være gjentatte påloggingsforsøk fra forskjellige IP-adresser, spesielt fra geografisk fjerne steder. På samme måte kan det være pålogginger fra flere enheter eller nettleseragenter.

    I tillegg kan påloggingsaktivitet utenfor de normale aktive timene reflektere et mulig ATO-angrep.

    #2. 2FA-feil

    Gjentatte tofaktorautentiseringsfeil eller multifaktorautentiseringsfeil signaliserer også feil oppførsel. Mesteparten av tiden er det en dårlig skuespiller som prøver å logge på etter å ha fått tak i det lekkede eller stjålne brukernavnet og passordet.

    #3. Unormal aktivitet

    Noen ganger trenger det ikke en ekspert for å legge merke til en anomali. Alt som er mye utenfor normal brukeratferd kan flagges for kontoovertakelse.

    Det kan være så enkelt som et upassende profilbilde eller en rekke søppelposter til kundene dine.

    Til syvende og sist er det ikke lett å oppdage slike angrep manuelt, og verktøy som Sucuri eller Acronis kan hjelpe til med å automatisere prosessen.

    La oss gå videre, la oss sjekke ut hvordan du unngår slike angrep i utgangspunktet.

    Forhindre et ATO-angrep

    I tillegg til å abonnere på cybersikkerhetsverktøy, er det noen få beste fremgangsmåter du kan legge merke til.

    #1. Sterke passord

    Ingen liker sterke passord, men de er en absolutt nødvendighet i dagens trussellandskap. La derfor ikke brukerne eller ansatte slippe unna med enkle passord, og sett noen minimumskrav til kompleksitet for kontoregistrering.

    Spesielt for organisasjoner, 1Passordvirksomhet er et sterkt valg for en passordbehandler som kan gjøre det harde arbeidet for teamet ditt. I tillegg til å være en passordholder, skanner førsteklasses verktøy også det mørke nettet og varsler deg i tilfelle legitimasjon lekkes. Det hjelper deg å sende forespørsler om tilbakestilling av passord til de berørte brukerne eller ansatte.

    #2. Multifaktorautentisering (MFA)

    For de som ikke vet, betyr multifaktorautentisering at nettstedet vil be om en tilleggskode (levert til brukerens e-post eller telefonnummer) i tillegg til brukernavn og passordkombinasjon for å komme inn.

    Dette er generelt en robust metode for å unngå uautorisert tilgang. Svindlere kan imidlertid gjøre raskt arbeid med MFA via sosial teknikk eller MITM-angrep. Så selv om det er en utmerket første (eller andre) forsvarslinje, er det mer i denne historien.

    #3. Implementer CAPTCHA

    De fleste ATO-angrep starter med roboter som prøver tilfeldig påloggingsinformasjon. Derfor vil det være mye bedre å ha en påloggingsutfordring som CAPTCHA på plass.

    Men hvis du tror dette er det ultimate våpenet, tenk om igjen fordi det finnes CAPTCHA-løsningstjenester der ute som en dårlig skuespiller kan distribuere. Likevel er CAPTCHA-er gode å ha og beskytte mot ATO-er i mange tilfeller.

    #4. Sesjonsledelse

    Automatisk utlogging for inaktive økter kan være en livredder for kontoovertakelser generelt siden noen brukere logger på fra flere enheter og går videre til andre uten å logge ut fra de forrige.

    I tillegg kan det være nyttig å bare tillate én aktiv økt per bruker.

    Til slutt vil det være best hvis brukere kan logge ut fra aktive enheter eksternt, og det er alternativer for øktadministrasjon i selve brukergrensesnittet.

    #5. Overvåkingssystemer

    Å dekke alle angrepsvektorene som en oppstarts- eller mellomnivåorganisasjon er ikke så lett, spesielt hvis du ikke har en dedikert cybersikkerhetsavdeling.

    Her kan du stole på tredjepartsløsninger som Cloudflare og Imperva, i tillegg til de allerede oppgitte Acronis og Sucuri. Disse cybersikkerhetsselskapene er noen av de beste til å håndtere slike problemer og kan effektivt forhindre eller redusere ATO-angrep.

    #6. Geofencing

    Geofencing bruker stedsbaserte tilgangspolicyer for nettprosjektet ditt. For eksempel har en 100 % USA-basert virksomhet liten eller ingen grunn til å tillate kinesiske brukere. Selv om dette ikke er en idiotsikker løsning for å forhindre ATO-angrep, bidrar det til den generelle sikkerheten.

    Hvis du tar dette noen hakk opp, kan en nettbedrift konfigureres til å tillate bare visse IP-adresser som er tildelt de ansatte.

    Med andre ord kan du bruke en bedrifts-VPN for å få slutt på kontoovertakelsesangrep. Dessuten vil en VPN også kryptere den innkommende og utgående trafikken, og beskytter virksomhetens ressurser fra mann-i-midten-angrep.

    #7. Oppdateringer

    Som en internettbasert virksomhet arbeider du sannsynligvis med mange programvareapplikasjoner, som operativsystemer, nettlesere, plugins osv. Alle disse blir utdaterte og må oppdateres for best mulig sikkerhet. Selv om dette ikke er direkte relatert til ATO-angrep, kan et foreldet kodestykke være en enkel inngangsport for nettkriminelle til å ødelegge virksomheten din.

    Bunnlinjen: push regelmessige sikkerhetsoppdateringer til forretningsenheter. For brukere kan det være et godt skritt fremover å prøve å lære dem å holde applikasjonene til de nyeste versjonene.

    Etter alt dette og mer, er det ingen sikkerhetsekspert som kan garantere 100 % sikkerhet. Derfor bør du ha en kraftig utbedringsplan på plass for den skjebnesvangre dagen.

    Kjemper ATO-angrep

    Det beste er å ha en nettsikkerhetsekspert ombord, siden hver sak er unik. Likevel, her er noen trinn for å veilede deg i et vanlig post-ATO-angrepsscenario.

    Inneholde

    Etter at du har oppdaget et ATO-angrep på noen kontoer, er det første du må gjøre midlertidig å deaktivere de berørte profilene. Deretter kan det å sende et passord og en MFA-tilbakestillingsforespørsel til alle kontoene være nyttig for å begrense skaden.

    Informere

    Kommuniser med de målrettede brukerne om hendelsen og den ondsinnede kontoaktiviteten. Deretter informerer du dem om trinnene for midlertidig utestengelse og kontogjenoppretting for sikker tilgang.

    Undersøk

    Denne prosessen kan best utføres av en erfaren ekspert eller et team av cybersikkerhetseksperter. Målet kan være å identifisere de berørte kontoene og sikre at angriperen ikke fortsatt er i aksjon ved hjelp av AI-drevne mekanismer, for eksempel atferdsanalyse.

    I tillegg bør omfanget av databruddet, hvis det er et, være kjent.

    Gjenopprette

    En skanning av skadelig programvare i hele systemet bør være det første trinnet i en detaljert gjenopprettingsplan fordi, oftere enn ikke, planter kriminelle rootkits for å infisere systemet eller for å opprettholde tilgang for fremtidige angrep.

    På dette stadiet kan man presse på for biometrisk autentisering, hvis tilgjengelig, eller MFA, hvis den ikke allerede er ansatt.

    Rapportere

    Basert på lokale lover må du kanskje rapportere det til offentlige myndigheter. Dette vil hjelpe deg å holde deg kompatibel og forfølge et søksmål mot angriperne om nødvendig.

    Plan

    Nå vet du om noen smutthull som eksisterte uten at du visste det. Det er på tide å ta tak i dem i den fremtidige sikkerhetspakken.

    I tillegg kan du benytte anledningen til å informere brukerne om denne hendelsen og be om å praktisere sunn internetthygiene for å unngå fremtidige problemer.

    Inn i fremtiden

    Cybersikkerhet er et domene i utvikling. Ting som anses som trygge for et tiår siden kan være en åpen invitasjon til svindlere for øyeblikket. Derfor er det den beste veien videre å holde seg à jour med utviklingen og oppgradere forretningssikkerhetsprotokollene med jevne mellomrom.

    Hvis du er interessert, er tipsbilk.nets sikkerhetsseksjon et bokmerkeverdig bibliotek med artikler rettet mot oppstartsbedrifter og SMB-er som vi skriver og oppdaterer regelmessig. Fortsett å sjekke ut disse, og jeg er sikker på at du kan sjekke «å holde deg à jour»-delen av sikkerhetsplanleggingen.

    Hold deg trygg, og ikke la dem ta over disse kontoene.