SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Риски взлома аккаунтов и как им противостоять

Риски взлома аккаунтов и как им противостоять
04.11.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Цифровое общение всё больше замещает взаимодействие в реальном мире, а распространение цифровизации, удаленной работы и различных интернет-сервисов для коммуникации способствует этой тенденции. В результате, при переписке по электронной почте, в мессенджерах и в соцсетях мы вынуждены доверять цифровому профилю нашего собеседника - друга, коллеги, руководителя. Разумеется, некоторые характерные черты живого общения переносятся и в цифровую среду (манера и стиль общения, используемые обороты), однако при переписке подтвердить личность собеседника нетехническими методами довольно сложно. Более того, даже при голосовых и видео-звонках подобная верификация может быть осложнена за счет широкого использования дипфейк-технологий злоумышленниками. Сегодня в статье обсудим, какие существуют риски взлома аккаунтов, каковы могут быть последствия, расскажем о методах выявления и противодействия компрометации учетных записей.

 

Под аккаунтом (учетной записью) будем понимать набор данных, который необходим для проверки подлинности пользователя на сайте, в каком-либо интернет-сервисе или в мобильном приложении: логин (адрес электронной почты или номер телефона), пароль, ответ на секретный вопрос, кодовое слово, закрытый криптографический ключ (при входе по сертификатам), отпечаток пальца или изображение лица (при входе по биометрии), PIN-код, код из СМС или из push-уведомления. Такие данные называются учетными данными, а сам процесс проверки подлинности учетных записей называется аутентификацией. Одной из важных задач обеспечения кибербезопасности является сохранение конфиденциальности (неизвестности посторонним) учетных данных, и это же является одним из главных принципов личной кибергигиены.

 

Основные личные учетные записи (аккаунты) в целях соблюдения кибергигиены целесообразно разделить на несколько групп по уровню критичности:


1. Наиболее критичные аккаунты:


1.1. Учетная запись электронной почты, которая используется для доступа к государственным сайтам (например, для Госуслуг), к финансовым сервисам (например, к сайтам банков и финтех-сервисов) или к сайтам, на которых обрабатывается большое количество личной информации, реальных персональных данных и платежная информация (например, соцсети, мессенджеры, сервисы страховых и медицинских компаний, приложения для заказа такси, сервисы доставки, игровые платформы, стриминговые сервисы, онлайн-кинотеатры). Обладая учетными данными для такой основной электронной почты, злоумышленник сможет получить доступ к критичному сервису через функционал восстановления пароля, поскольку ссылка для восстановления доступа и установки нового пароля приходит, как правило, именно на электронную почту, использовавшуюся при регистрации. Кроме того, на основной электронной почте может хранится и множество личной информации, включая фотографии, документы, переписку, что может в дальнейшем использоваться для шантажа, продажи полученной информации на черном рынке данных или организации продуманных фишинговых атак на лиц из круга общения первоначальной жертвы. Потеря доступа к основному email-аккаунту может привести и к краже «цифровой личности», т.е. к получению полного набора данных, необходимого для регистрации в любом сервисе без личного присутствия. Например, злоумышленники могут переоформить на себя сим-карту (найдя в архиве почты старую доверенность, паспортные данные или образец подписи), получить доступ к Госуслугам, даже если включена двухфакторная аутентификация по коду из СМС, оформить кредит или подписку на сервис каршеринга.


1.2. Учетные записи для доступа к критичным сайтам и веб-сервисам, перечисленным выше - государственным, финансовым, медицинским сервисам, соцсетям, мессенджерам. Получив доступ к учетным данным, атакующие смогут вывести доступные денежные средства (включая криптовалюту и квази-валюты, например, бонусные баллы), оформить кредиты, воспользоваться преимуществами программ лояльности атакованного пользователя, получить персональные данные, включая медицинские записи, для шантажа или продажи полученной информации на черном рынке данных.


1.3. Учетная запись для доступа к телеком-услугам (мобильная связь, интернет). Несанкционированный доступ к личному кабинету пользователя телекоммуникационных услуг может привести к компрометации других сервисов - например, через «личный кабинет» оператора сотовой связи может быть подан запрос на перевыпуск сим-карты или настроена переадресация входящих звонков (несколько последних цифр номера при входящем звонке могут использоваться в качестве второго фактора).

 


2. Аккаунты среднего уровня критичности:


2.1. Учетная запись электронной почты, которая используется для регистрации на сервисах средней значимости, например, на сайтах и в приложениях магазинов, туроператоров, скидочных и купонных сервисов и т.д. Такие сервисы, возможно, изначально воспринимаются как не содержащие важную информацию – например, приложение установили, чтобы попробовать его функционал, но регистрация оказалась обязательной. В итоге, может сложиться ситуация, когда приложение или сервис понравился, в нём постепенно накапливается всё более важная информация, но учетная запись зарегистрирована на второстепенный (не основной) адрес электронной почты, который невозможно сменить в приложении. Таким образом, второстепенный email-адрес может постепенно и незаметно для пользователя перейти из категории малозначимого в "основные", что повышает требования к защите, а его компрометация позволит атакующим получить доступ (методом восстановления пароля) к сервисам, которые стали важны.


2.2. Учетные записи для доступа к некритичным сайтам и веб-сервисам. Аналогично ситуации с второстепенным email-адресом, учетную запись для некоторого первоначально незначимого сервиса могли создать в спешке, пароль был выбран недостаточно сложным, а второй фактор не был подключен. Постепенно сервисом пользуются всё чаще, в нем аккумулируется важная информация, но про дополнительные настройки безопасности не вспоминают. Соответственно, негативные последствия компрометации учетной записи для такого сервиса со временем увеличиваются.


2.3. Учетные записи для доступа к форумам, игровым платформам, сервисам размещения объявлений, сайтам знакомств и новым соцсетям, которые пока набирают популярность. Создав аккаунт на таких ресурсах для какой-то разовой операции, в дальнейшем пользователь может начать активно ими пользоваться, накапливая большое количество чувствительной информации, бонусных баллов или квази-валюты. Например, в сервисах размещения объявлений могут быть опубликованы данные, которые говорят о благосостоянии человека или его интересах, на игровых платформах может постепенно накапливаться внутриигровая валюта, которую можно конвертировать в настоящие деньги, а на сайтах знакомств могут передаваться персональные данные или личная информация, которую злоумышленники могут использовать для шантажа. На форумах и различных сайтах для тематического общения во время дискуссии пользователь может случайно сообщить чувствительную личную информацию или выложить свою фотографию, что также может быть использовано мошенниками и шантажистами.

 

3. Наименее критичные аккаунты:


3.1. Учетная запись для временной почты, которая используется для регистрации на малозначимом сайте или сервисе. Подобные email-адреса используются для выполнения однократных действий (например, просмотреть информацию, скачать файл) на сайтах, использование которых в дальнейшем не предполагается.


3.2. Учетные записи для однократного доступа к некритичным сайтам и веб-сервисам. Если пользователь с высокой долей уверенности считает, что в дальнейшем не будет использовать определенный веб-ресурс, то аккаунт для входа на него можно считать некритичным.


3.3. Временные аккаунты без создания полноценной учетной записи. Некоторые сайты позволяют воспользоваться функционалом входа через одноразовый СМС-код без создания пароля и указания дополнительной информации о пользователе в профиле. На подобных ресурсах целесообразно применять дополнительный (резервный) номер телефона, который не используется для аутентификации на критичных сайтах.

 

Итак, скомпрометированные учетные записи могут использоваться для хищения денег, оформления кредитов, кражи информации в целях шантажа или продажи её в Darknet, создания продуманных фишинговых сообщений и дипфейков для введения в заблуждение друзей и выманивания у них денег, кражи их аккаунтов или распространения вирусов. «Заброшенные» учетные записи, которыми давно не пользуются, также представляют определенный интерес для злоумышленников: во-первых, пароли для таких аккаунтов могут встретиться в различных старых утечках данных, что упрощает атаку; во-вторых, даже в старых профилях может хранится много ценной информации или накопленных за длительное время бонусных баллов; в-третьих, подобные аккаунты можно использовать для различных фишинговых атак, распространения дезинформации или вредоносного ПО без риска того, что владелец получит оповещение о подозрительной активности его учетной записи. Внимательно следует относиться и к неиспользуемым сим-картам: следует проверить, какие сервисы привязаны к старому номеру телефона и при необходимости указать новый номер в сервисах, поскольку по истечению определенного периода бездействия сим-карты номер может быть передан другому абоненту, который может попытаться войти с ним на различные сайты под аккаунтом старого владельца.

 

Для того, чтобы эффективно противостоять взломам аккаунтов, следует разобраться, как учетные данные попадают в руки злоумышленников. Основных путей несколько:


1. Фишинговые атаки: пользователи сами вводят логин и пароль на поддельной веб-странице или сообщают данные злоумышленникам по телефону или в мессенджерах.


2. Утечки данных: одной из целей хакеров является получение учетных данных пользователей атакуемого сервиса. Некоторые сервисы хранят у себя логины и пароли в небезопасном открытом виде, что позволяет атакующим сразу же начать их применять, но в большинстве случаев учетные данные хранятся в хешированном виде, поэтому злоумышленникам потребуется больше времени для их получения.


3. Вредоносное ПО: инфостилеры, программы-шпионы (spyware), кейлоггеры и иные типы вредоносов имеют функционал кражи учетных данных, в том числе сохраненных в браузерах и менеджерах паролей.


4. Метод подбора (брутфорс): данный способ используется всё реже, поскольку большинство современных веб-ресурсов запрещают подбор пароля после нескольких попыток, однако распределенная хакерская инфраструктура в некоторых случаях может помочь атакующим обойти данные ограничения.


5. Сайты утечек данных, даркнет-форумы и брокеры первоначального доступа. Сайты утечек данных (Dedicated Leak Sites) - это площадки в Даркнет, на которых киберпреступные группы распространяют массивы данных, украденных в результате утечек, и в них могут встретиться и валидные аккаунты для различных сервисов. На даркнет-форумах могут продаваться или распространяться логи инфостилеров и фишинговых ресурсов, в которых также могут быть найдены действительные аккаунты. Брокеры первоначального доступа (Initial Access Broker) - это торговые площадки злоумышленников, специализирующихся на краже учетных записей для различных сервисов (в основном, корпоративных) и на дальнейшей их продаже в Даркнете, где покупателями могут выступать другие киберпреступники, например, вымогательские кибергруппировки или кибершпионы, которые затем беспрепятственно получают несанкционированный удаленный доступ к инфраструктуре интересующей их компании.

 

Таким образом, для защиты учетных записей можно порекомендовать следующие меры:


1. Следует внимательно относиться к сайтам, на которых требуется ввести учетные данные: фишинговые ресурсы имитируют настоящие веб-сайты, с точностью до мелочей копируя интерфейс подлинных сервисов. Для надежной защиты учетных данных можно использовать мультифакторную аутентификацию и технологию passkey, а также руководствоваться рядом других наших рекомендаций.


2. Для снижения вероятности использования учетных данных из утечек следует устанавливать сложные и уникальные пароли: если веб-сервис выполняет базовые рекомендации по кибербезопасности, то пароли и другая аутентификационная информация хранятся в хешированном виде, поэтому для получения паролей в чистом виде атакующие будут в первую очередь пробовать простые и часто используемые пароли (например, qwerty или Moscow2024).


3. Для снижения вероятности кражи учетных данных вредоносным ПО не следует пользоваться встроенными в браузеры менеджерами паролей (особенно теми, которые не позволяют установить мастер-пароль). Сторонние менеджеры паролей также не обеспечивают 100% защиту, поэтому критичные сайты следует посещать в режиме «Инкогнито» (этот метод обезопасит и от кражи cookie-файлов), не сохранять пароли для них в браузере или текстовых документах, а вводить их вручную. При этом инфостилеры и другие вредоносы могут не только похищать сохраненные пароли, но и иметь функционал кейлоггера, т.е. записывать все нажатия клавиш, поэтому даже ввод пароля вручную не сможет обезопасить пользователя на зараженном ПК.


4. Для различных веб-ресурсов можно завести разные адреса электронной почты, которые будут использоваться при регистрации. Например, для различных государственных сервисов использовать один email, для финансовых - другой, для соцсетей - третий. Такой подход поможет минимизировать последствия при взломе одного из почтовых аккаунтов. При этом следует внимательно отнестись к функционалу указания резервного адреса электронной почты при создании нового email, поскольку компрометация резервного адреса позволит получить доступ и к создаваемому почтовому ящику.


5. Следует внимательно относиться к функционалу входа или регистрации на сайте через аккаунты Google, VK, Яндекс и т.д.: с одной стороны, это позволяет не создавать новую учетную запись и не придумывать очередной сложный пароль, с другой - компрометация основного аккаунта (Google, VK, Яндекс и т.д.) приведет и к компрометации всех связанных с ним аккаунтов на сторонних сервисах.

ИБ для начинающих Нарушители ИБ Практика ИБ Подкасты ИБ

Похожие статьи

Обзор и карта рынка платформ для защиты ML
Обзор и карта рынка платформ для защиты ML
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Управление ИТ-активами
Управление ИТ-активами
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Разработка без кода
Разработка без кода
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Метрики: их очарование и коварство
Метрики: их очарование и коварство

Похожие статьи

Обзор и карта рынка платформ для защиты ML
Обзор и карта рынка платформ для защиты ML
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Управление ИТ-активами
Управление ИТ-активами
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Разработка без кода
Разработка без кода
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Метрики: их очарование и коварство
Метрики: их очарование и коварство