帐户接管101 它是什么,你能做些什么来防止它? Introduction 什么是账户接管? 帐户接管时间线 账户接管的后果 增加ATO风险的坏习惯 防止帐户接管 神话-破坏您的ATO预防策略 Conclusion 作为罪犯 网络犯罪中的赌注 战争,这对所有人都至关重要 我们的理解 这些攻击是如何工作和你 可以做防止 你的企业,和你自己,从 成为受害者 Introduction 网络犯罪最令人震惊的趋势之一是帐户的压倒性激增 接管(ATO)攻击。虽然犯罪分子多年来一直从事非常有利可图的业务将被盗帐户中的数据出售给欺诈者,而欺诈者则使用它来进行 针对金融、零售和其他数字服务的犯罪,ATO的威胁并不为人所知在安全圈之外。 COVID-19大流行的到来彻底改变了这一点。在短时间内,我们的文化戏剧性地改变了它对数字世界的看法。从网上银行的增长到 我们为流媒体和食品配送服务创建的账户激增到我们必要的 “在家工作”的工具,拥抱所有的东西-数字允许我们保持一些外表 normalcyandkeepmanybusinessesafloat.Italsogreitlyexpandedtheattacksurface.thisglobal 事件,结合自动化技术、资源紧张的安全部门和 在不知情的情况下,脆弱的消费者为ATO创造了一个虚拟的游乐场。 即使你熟悉ATO并认为你已经准备好了,事实是ATO是一个 永无止境的whac-a-mole游戏;一旦您的安全程序中有一个漏洞插入,另一个由于人为错误或犯罪独创性而出现。 SpyCloud一直处于应对众多挑战的最前沿,企业和 消费者面临着争先恐后地应对不断升级的ATO威胁,同时确保无缝的客户体验,不会引入不必要的摩擦。作为 犯罪分子在网络犯罪战争中的赌注,这不仅对企业,而且对我们所有人都至关重要,了解这些攻击是如何工作的,以及您可以做些什么来阻止您的企业,以及 你自己,从成为受害者。 帐户接管:它是什么? 如果陌生人要求您向他们提供您的用户名和密码 在线账户——无论是公司的还是个人的——它肯定会发出危险信号,对吗?人们越来越意识到保留其登录详细信息,数据和文件的重要性 机密。但是,这些情况很少会那么简单。网络攻击者不会请求访问您的数字帐户;他们把他们,随着你的钱和个人 数据,尽一切可能。 在帐户接管攻击中,犯罪分子使用他人的登录名凭据,通常通过利用重复使用的或类似的密码以前入侵的网站,以访问现有帐户。一旦进入, 他们进行未经授权的交易,虹吸资金,窃取公司数据或个人身份信息(PII)用于其他目的,或简单地 卖给暗网上的其他攻击者. ATO是一种可怕而危险的威胁,有可能对企业和个人造成重大的财务伤害。 许多进入基于云的系统和网络的入口点,ATO给我们的数字世界带来了最大的风险之一。罪犯不需要使用复杂的技术来破坏防火墙或其他旨在保护企业的安全措施。他们 只需要你的密码。 即使企业采取了所有安全措施来防止这些攻击,但针头却朝着错误的方向发展。 2019年,ATO是最大的欺诈手段,仅金融账户就同比增长72%。2020年,COVID-19 破坏我们的世界,同比增长惊人-超过300%。 帐户接管时间线 初次突破 发现站点漏洞 和剥削。 瞄准攻击 犯罪分子针对高价值受害者同时包含对数据的访问。 自动攻击 凭据泄漏到暗网,并且打包用于大量攻击。 第0天 第5天 第500天 ATO攻击的生命周期有3个主要阶段。您可能很清楚初始阶段-数据泄露是 促使被盗数据落入犯罪分子手中的动力。您可能不知道的是,入侵可能会发生数月甚至数年在他们发布新闻之前。那段时间发生了什么? 第一阶段:突破 犯罪分子的第一步是发现并利用网站和应用程序中的漏洞来访问其用户数据库。 一次入侵可能会影响成千上万的用户,不仅会暴露他们的密码,还会暴露更多的敏感信息例如帐户问题/答案,出生日期和可以在后续攻击中使用的电话号码。 第二阶段:目标ATO攻击 在此期间,被盗的数据是高价值资产。犯罪分子尚未转向暗网出售它们;相反 他们将被盗的信息保存在他们可信赖的网络中,直到他们将其完全货币化,这可以长达24个月。攻击者可能会聘请受信任的顾问来帮助他们解析数据并破解密码。 他们可能针对他们有特定兴趣的组织,并识别具有高级别的系统访问权限的VIP,或 非常富有或引人注目的受害者,他们应该受到与其他人不同的对待,并在瞄准目标方面发挥创造性他们手动接管帐户。这些策略可能很复杂,很难发现,并导致巨大的损失。事实上, SpyCloud客户报告说,80%的损失来自10%的ATO攻击,这些攻击被认为是高度针对性的。有在违规时间表的早期访问被盗数据为组织提供了一个主要优势,使他们能够识别和 在犯罪分子有机会使用它们之前重置受损的凭据。深入了解针对性攻击 第3阶段:自动ATO攻击 从被盗数据中提取出尽可能多的价值,下一步是将其打包出售 复杂的罪犯,他们可以以最少的努力,费用或专业知识自动进行凭据填充攻击。罪犯知道我们通常在不同的帐户中重复使用相同的密码,并且凭据填充是一种蛮力 利用这一点的攻击。它利用自动化、廉价且易于使用的工具来测试大量被盗用户名 和多个站点的密码,直到一个站点起作用。即使非常旧的凭据数据仍然可以产生结果。 账户接管的后果 犯罪分子通常会接管纯粹而简单的利润帐户。这一切都归结于金钱,以及罪犯可以赚多少钱 从他们偷来的东西中提取出来。与您可能在其他地方听到的相反,将被盗数据货币化的第一步不是在暗网上卖。这实际上是最后一个步骤。首先发生的是最大的努力,最有利可图的活动。 有了被盗的数据,犯罪分子将: 授予访问权限 耗尽财务帐户,加密钱包或忠诚度积分余额犯罪分子将控制财务账户并立即电汇或 从受害者的账户中转移余额。在这个概念上, 点对点支付欺诈的大幅上升,自2016年以来上升了733%。 进行欺诈性购买 另一个快速计划:犯罪分子将使用被盗或存储购买商品信用卡或礼品卡数据。实际上,所有欺诈活动的40%账户接管发生在一天内。 用户名 catgirl23 用户名 catgirl23 用户名 catgirl23 密码 密码 fluffykitty9 密码 fluffykitty9 fluffykitty9 登录 登录 登录 创建合成身份 当涉及到创建新身份时,一些罪犯是专家 伪造和合法(被盗)数据的组合。回报可能不会来了几个月,因为这些身份需要在他们之前“热身”用于获得信用额度。 利用受害者的工作帐户 犯罪分子可能会尝试查找和窃取公司IP并部署商业电子邮件妥协骗局,仅在2019年就造成了17亿美元的亏损。 SIM交换受害者绕过MFA 在SIM卡交换攻击中,犯罪分子将受害者的电话号码转移到他们的拥有SIM卡,以绕过多因素身份验证和接管 敏感账户。 一旦从数据中提取了最大值,只有这样,它才会被打包在暗网上出售。 “富尔茨”是可取的,给罪犯 他们需要的一切提交身份 欺诈8-10美元;然而,当 fi财务信息 包括, 罪犯可以命令10x+ 更高的价格。 被盗数据的价值 您的数据对其他罪犯的价值相差很大。完整的包 关于个人的信息(被称为“fullz”)是可取的,给罪犯一切 他们需要进行身份欺诈-通常是姓名、国民身份证号码、出生日期和根据我们自己的研究和其他人的研究,8-10美元的特定账户凭证在我们的空间;然而,当包括金融信息时,罪犯可以命令 10x+更高的价格。 仅对于帐户凭据,让我们来看看一些具有代表性的平均定价 对于常见的帐户类型,基于SpyCloud对估计的308,214的分析11月,在3个流行的电子商务平台上,800家犯罪商店的交易&2020年12月: 流帐户 游戏帐户 约会帐户 $4.54 $6.05 $5.18 专业软件帐户 $2.94 连锁餐厅忠诚度带点数的帐户: $1.25 家居用品电子商务帐户$500-$950贷方余额: $64 电子商务服装零售商帐户 £2000贷方余额: $161.73 增加ATO风险的坏习惯 埋在攻击周期的每个阶段都是我们都有罪的常见习惯。对罪犯来说,这些习惯类似于离开你的 在您的前门垫下备用房屋钥匙:完全明显。换句话说,我们的在线习惯使我们非常容易标记。同样,对于每个常见的坏习惯,犯罪分子都会使用自己的共同策略和工具来发挥自己的优势。 坏习惯犯罪分子如何利用它 我们选择弱的通用密码密码喷雾攻击 不管外面有什么关于坚强的重要性的建议密码,用户将选择序列号和字典 或在其密码末尾添加一个!或1(尤其是当提示公司IT每90天更改一次密码)。 令人难忘的密码对用户来说似乎是独一无二的-但它们通常不是。在SpyCloud从中恢复的数百万密码中 仅去年一年,“123456789”就被发现超过3500万 times。“querty123”被发现超过1300万次,“iloveyou”3 百万次,“足球”100万次。除非这些密码被禁止,密码复杂性要求到位, 一些用户总是会选择易于记住的密码。 容易记住的密码也很容易被坏人猜到,使消费者容易受到密码喷洒的影响。密码喷雾是一种暴力攻击,网络罪犯使用列表用户名和常用密码,以尝试访问 特定站点。一旦他们得到匹配,他们将测试相同的用户名和密码组合对尽可能多的帐户。 有很多关于管理员密码的新闻报道包含 公司名称。我们来了实际上是一个巨大的问题在分析SpyCloud漏洞时,次数太多了 数据库,以及我们建议客户在其禁止的密码列表。 我们在多个帐户中重复使用密码 在Google的一项研究中,66%的人承认重复使用相同的密码跨一个或多个帐户。SpyCloud自己的研究 表明,即使是世界上一些最大和最 创新公司也有这种坏习惯;超过76%的财富1000名员工在工作和个人之间重复使用密码 帐户。当一个网站被入侵时,网络犯罪分子可以访问任何受相同凭据保护的其他帐户。使用 密码管理器是一种消除这种习惯的方法,但只有一些标志泄露密码并阻止用户选择它们。 凭据填充攻击 凭证填充使犯罪分子甚至可以从中获利 他们在暗网上购买的非常古老的违规数据,并成功接管多个帐户。凭据填充工具让罪犯测试 针对多个网站的凭据对,以查看哪些其他 他们可以接管的帐户;因此为什么密码重用是如此危险。一些犯罪工具甚至可以测试通用密码 变化,如将某些字母更改为数字(密码与P@ssw0rd)或在单词末尾添加数字或符号 (password123)。如果在一次数据泄露中暴露了密码,具有相同密码变体的任何其他帐户都存在风险。 我们点击链接并从下载附件不熟悉的来源 令各地安全团队感到沮丧的是,用户习惯性地点击 任何链接或文件落在他们的收件箱,无论他们是否识别发件人与否。不可避免地,这导致用户的机器成为 受感染;94%的恶意软件是通过电子邮件发送的!某些恶意软件可以收获用户名和密码,浏览器cookie,自动填充数据, 更重要的是-将这些用户置于极高的ATO风险中。 键盘记录恶意软件 在暗网上有网站可以购买所有的工具和服务犯罪分子需要发起恶意活动- 恶意软件本身(是的,现在甚至有“恶意软件即服务”),托管基础设施、网络钓鱼工具包和垃圾邮件服务。这一切都是针对 使用户很容易陷入这些方案。恶意软件与 keylogging组件可以记录用户的一举一动,犯罪分子将数据用于各种恶意目的。 防止帐户接管 对于企业来说,打击账户接管攻击需要专门的检测和 4[Y&WcV3v 缓解技术。考虑到自动化技术的超高速 为ATO加油,用户必须继续接受良好的安全卫生教育,并把 他们将学习的信息付诸实践,而企业则将多层主动解决方案落实到位。用户和企业合作是破坏罪犯获利能力的唯一途径 从被盗的信息。虽然组织可能无法防止每一次违规或每一次 ATO,他们何时以及如何应对这些威胁将决定他们可能会损失多少。 早期检测和快速修复 这个怎么强调都不为过,对于安全团队来说,预防ATO的关键是识别在犯罪分子有时间利用它们之前,尽早损害帐户。唯一的方法 那就是访问一个全面的,不断更