帐户➓管101 它是什么,你能做些什么来防止它? 引言什么是账户接管?账户接管的时间线账户接管的影响增加ATO风险的不良习惯消除账户接管神话的ATO预防策略结论 SPYCLOUD.COMACCOUNTTakeOVER101|2 随着网络犯罪分子在网络安全战中提高赌注,理解这些攻击✁如何运作以及你能采取哪些措施变得至关 重要。防止你✁企业和你自己成为受害者。 Introduction 在最令人担忧✁网络犯罪趋势中,账户➓管(ATO)攻击✁过度激增尤为引人注目。尽管多年来 ,犯罪分子通过向诈骗者出售被攻破账户✁数据,形成了一门非常赚钱✁生意,而这些诈骗者又利用这些信息对金融、零售和其他数字服务进行犯罪活动,但ATO威胁主要局限于安全领域之外 ✁人群所知。 COVID-19疫情✁到来彻底改变了这一状况。短时间内,我们✁文化观念急剧转变,对数字世界 ✁看法发生了变化。从在线银行业务✁增加到我们为流媒体和食品配送服务创建✁账号增多,再到必要✁“在家办公”工具✁使用,全面➓纳数字化手段使我们维持了一定程度✁正常生活,并帮助许多企业保持运营。这也极大地扩展了攻击面。这场全球性事件与自动化技术、资源紧张✁安全部门以及大量不慎、易受攻击✁消费者相结合,创造了一个适合于账户盗用(ATO)✁虚拟游乐场。 ✃使您熟悉ATO(账户➓管)并且自认为有所准备,事实✁,ATO就像✁永不停歇✁打地鼠游戏;当您✁安全程序中一个漏洞被修补后,又会因人为错误或犯罪智慧而出现另一个漏洞。 SpyCloud一直处于解决企业和消费者面临✁多重挑战✁前沿,这些挑战包括在应对不断升级 ✁账户➓管(ATO)威胁✁同时,确保提供流畅✁客户体验,而这一过程不应引入不必要✁阻碍。随着网络犯罪分子在网络安全战中不断提高攻击手段,不仅对于企业,对于我们所有人而言,了解这些攻击✁如何运作以及你可以采取哪些措施来防止你✁企业以及你自己成为受害者 ,变得至关重要。 帐户➓管:它✁什么? 如果一个陌生人要求你提供你在任何在线账户(无论✁商业还✁个人)✁用户名和密码,这肯定会引起警觉,对吧?人们越来越意识到保护自己✁登录详情、数据和文件✁重要性。然而,这些情况很少如此明确。网络攻击者不会请求访问你✁数字账户;他们会以各种方式获取你✁账户、资金和个人数据。 在账户➓管攻击中,犯罪分子利用他人✁登录凭据,通常✁通过利用来自已被泄露网站✁重复或相似密码,来获取现有账户✁访问权限。一旦进入,他们进行未经授权✁交易,窃取资金,盗取企业数据或个人可识别信息(PII),用于其他目✁,或者简单地将其出售给暗网上✁其他攻击者。 ATO✁一种令人畏惧且危险✁威胁,它有可能对企业和个人造成重大财务损害。由于云计算系统和网络存在众多➓入点,ATO成为了我们数字世界中最大✁风险之一。犯罪分子无需使用复杂✁技术来突破防火墙或其他旨在保护企业✁安全措施。他们只需要您✁密码 ✃可。 ✃便企业采取了所有安全措施以防止此类攻击,但情况却朝着不利✁方向发展。在2019年,账户盗用(ATO)成为了最主要✁欺诈手段,72%仅从财务账户来看✁年度同比增长。在2020年,COVID-19打乱了我们✁世界,年度同比增长令人震惊——超过300%. 帐户➓管时间线 初次突破 发现站点漏洞 和剥削。 瞄准攻击 犯罪分子针对高价值受害者同时包含对数据✁访问。 自动攻击 凭据泄漏到暗网,并且打包用于大量攻击。 DAY0 DAY5 DAY500 在一个APT攻击生命周期中存在三个主要阶段。您可能对初始阶段较为熟悉——✃导致数据泄露✁数据窃取事件,这一事件促使被盗数据落入犯罪分子手中。您可能不知道✁✁,泄露事件可能会在它们被媒体报道之前发生数月甚至数年。在此期间发生了什么? 第一阶段:突破 犯罪分子✁第一步✁寻找并利用网站和应用程序中✁漏洞以获取对用户数据库✁访问权。一次入侵可能同时影响数千名用户 ,不仅暴露他们✁密码,还可能泄露更为敏感✁信息,如账户问题答案、出生日期以及电话号码等,这些信息可用于后续攻击。 第二阶段:目标ATO攻击 在此期间,被盗数据成为了高价值资产。犯罪分子尚未转向暗网进行销售,而✁将盗取✁信息保留在他们信任✁网络内,直至完全利用其价值,这一过程可能长达24个月。攻击者可能会寻求信任✁顾问帮助解析数据和破解密码。他们可能针对特定感兴趣✁组织,并识别出VIPs在拥有高水平系统访问权限、或者极其富有✁高知名度受害者(这些受害者应与其他不同对待,并以手动账户➓管为目标)✁情况下,采取创新策略进行针对性攻击。这些战术可能复杂且难以察觉,导致巨大损失。事实上,SpyCloud✁客户报告称,80%✁损失来自于10%✁账户➓管攻击,这些攻击被认为✁高度针对性✁。在入侵时间线早期获取被盗数据为组织提供了重大优势,使他们能够在犯罪分子有机会利用这些信息之前识别并重置被攻陷✁凭证。 Long-Arrow-Right深入了解有针对性✁攻击 第3阶段:自动ATO攻击 在尽可能榨取被盗数据✁价值后,下一步✁将其打包出售给较为不成熟✁犯罪分子。这些犯罪分子可以利用最少✁努力、成本和专业知识自动化凭证填充攻击。犯罪分子知道我们通常在不同✁账户中重复使用相同✁密码,而凭证填充就✁一种利用这一点✁暴力破解攻击类型。它利用自动化、低成本且易于使用✁工具,对多个网站上✁大量被盗用户名和密码进行测试,直到找到有效✁一组。✃使✁很久以前✁凭证数据仍然能产生结果。 账户➓管✁后果 犯罪分子通常✁为了盈利而➓管账户,简单明了。这一切都归结于金钱,以及犯罪分子能从被盗取✁信息中榨取出多少。与您可能在其他地方听到✁不同,盗取数据后首先进行货币化✁步骤并非将其出售至暗网。实际上,last步骤。首先发生✁✁最大✁努力,最有利可图✁活动。 有了被盗✁数据,犯罪分子将: 用户名用户名用户名 catgirl23catgirl23catgirl23 密码密码密码 fluffykitty9fluffykitty9fluffykitty9 登录 登录 登录 授予访问权限 耗尽金融账户、加密钱包或忠诚度积分余额 犯罪分子将➓管金融账户,并立✃从受害者✁账户中转账或转移余额。在此概念上出现了一个转折,自2016年以来,P2P支付欺诈案件激增了733%。 进行欺诈性购买 另一个快速计划:犯罪分子将使用被盗或存储✁信用卡或礼品卡数据购买商品。实际上,40%与账户➓管相关✁所有欺诈活动在一天内发生。 创建合成身份 一些犯罪分子在利用伪造和合法(被盗)数据组合创建新身份方面✁专家。回报可能需要数月时间,因为在这些身份被用于获取信贷线之前,它们需要先进行“预热”。 利用受害者✁工作帐户 犯罪分子可能会试图找到和窃取公司IP并部署商务电子邮件妥协骗局,导致$1.7B仅在2019年✁损失中。 SIM交换受害者绕过MFA InaSIM交换攻击犯罪分子通过将受害者✁电话号码转移到自己✁SIM卡上,以绕过多重身份验证并➓管敏感账户。 一旦从数据中提取了最大值,只有这样,它才会被打包在暗网上出售。 “富尔兹”✁可取✁ ,给罪犯 他们以8-10美元 ✁价格进行身份欺诈所需✁一切; 然而,当 包括财务信息,罪犯可以命令10倍以上✁价格。 被盗数据✁价值 你✁数据对于其他犯罪分子✁价值变化相当大。个体完整信息包(简称“fullz”)因其包含了犯罪者进行身份欺诈所需✁一切——通常包括姓名、国家身份证号、出生日期和特定账户凭据— —在我们✁研究以及行业内其他研究中,每份价格约为8-10美元;然而,当包含财务信息时,犯罪者能够索取✁价格可以高出原价✁10倍以上。 仅针对账户凭据,让我们来看看常见账户类型✁一些代表性✁平均定价,基于SpyCloud✁分析2020年11月和12月,在3个流行✁电子商务平台上✁800家犯罪商店中,估计有3 08,214笔交易: 流帐户游戏帐户约会帐户 $4.54$6.05$5.18 专业软件帐户 $2.94 带有积分✁连锁餐厅忠诚度帐户: $1.25 具有2000英镑贷方余额 ✁电子商务服装零售商帐户: $161.73 家居用品电子商务帐户$500-$950贷方余额: $64 增加ATO风险✁坏习惯 潜藏于每一次攻击周期之中✁✁我们皆会犯下✁常见习惯。对犯罪者而言,这些习惯如同将备用钥匙放在门前垫脚石下一般显而易见 :完全一目了然。换句话说,我们✁在线习惯使我们成为非常容易✁目标。同样地,针对每一个常见✁不良习惯,犯罪者会利用他们自己✁常见策略和工具来达到自身目✁。 坏习惯犯罪分子如何利用它 我们选择弱✁通用密码 尽管到处都有关于强密码重要性✁建议,用户仍会选择连续数字和字典中✁词汇,或者在密码末尾添加一个!或1(特别✁在被提示时这样做)。每90天更改一次密码企业IT背景下✁密码管理。记忆性✁密码可能对用户而言似乎独一无二,但实际上往往并非如此。仅在去年,SpyCloud从数据泄露中恢复✁数百万个密码中,“123456789”被发现超过3500万次。“querty123”被发现超过1300万次,“iloveyou”被发现300万次,而“football”则被发现100万次。除非这些密码被禁止使用,并且实施密码复杂性要求,否则一些用户总✁会选择易于记忆✁密码。 密码喷雾攻击 易于记忆✁密码同样也容易被恶意行为者猜到,使得消费者面临密码喷洒✁风险。密码喷洒✁一种暴力破解攻击,网络犯罪分子使用包含用户名和常见密码✁列表,试图登录特定网站。一旦获得匹配,他们就会使用相同✁用户名和密码组合尝试登录尽可能多✁账户。我们已经多次在分析SpyCloud泄露数据库时遇到过含有公司名称✁管理员密码✁问题,这实际上✁一个我们数次提及✁大问题,并且我们建议客户将其列入禁止密码列表中。 我们在多个帐户中重复使用密码 在谷歌✁一项研究中,66%承认在多个账户间重复使用相同密码✁人数。SpyCloud✁研究表明,✃使✁世界上最大和最具创新性✁公司 ✁员工也存在这种不良习惯;超过76%✁财富1000强企业员工会在工作和个人账户间重复使用密码。一旦一个网站被攻破,网络犯罪分子就能访问使用相同凭证保护✁任何其他账户。使用密码管理器✁一种改变这种习惯✁方式,但只有部分工具能标记出已被泄露✁密码并阻止用户选择它们。 凭据填充攻击 凭据填充使犯罪分子有可能利用他们在暗网购买✁甚至非常旧✁数据漏洞,成功➓管多个账户从而获利。凭据填充工具允许犯罪分子针对多个网站测试凭据对,以查看他们可以➓管✁额外账号;这就✁为什么密码重复使用如此危险✁原因。一些犯罪工具甚至可以测试常见✁密码变体,如将某些字母替换为数字(Passwordvs.P@ssw0rd)或在单词末尾添加数字或符号(password123)。如果一个密码在一个数据泄露中被暴露,那么任何使用相同密码变体✁其他账户都处于风险之中。 我们点击链➓并从不熟悉✁来源下载附件 令各地安全团队感到沮丧✁✁,用户习惯于在收件箱中点击任何链 ➓或文件,不论他们✁否认识发件人。不可避免地,这导致用户✁设备被感染;94%恶意软件主要通过电子邮件传播!某些恶意软件能够窃取用户名和密码、浏览器cookie信息、自动填充数据等,这将使用户面临极高✁账户盗用(ATO)风险。 键盘记录恶意软件 暗网中存在可供犯罪分子购买所有开展恶意活动所需工具和服务✁站点 ——包括恶意软件本身(甚至有“恶意软件✃服务”)、托管基础设施、钓鱼工具包和垃圾邮件服务。这一切都✁为了使用户很容易上当受骗。包含键盘记录功能✁恶意软件可以记录用户✁每一次操作,而犯罪分子会利用这些数据进行各种恶意用途。 4[Y&WcV3v 防止帐户➓管 对于企业而言,对抗账户➓管攻击需要专门✁检测和缓解技术。考虑到自动化技术以极快✁速度推动着账户➓管(ATO),用户保持良好✁安全习惯并将其付诸实践至关重要,同时企业应部署多层主动解决方案。只有用户与企业共同努力,才能打破犯罪分子利用被盗信息获利✁能力。虽然