帐户接管 101

帐户接管101 它是什么，你能做些什么来防止它？ Introduction什么是账户接管？帐户接管时间线账户接管的后果增加ATO风险的坏习惯防止帐户接管神话-破坏您的ATO预防策略Conclusion Introduction 作为罪犯 网络犯罪中的赌注战争，这对所有人都至关重要 网络犯罪最令人震惊的趋势之一是帐户的压倒性激增接管（ATO）攻击。虽然犯罪分子多年来一直从事非常有利可图的业务将被盗帐户中的数据出售给欺诈者，而欺诈者则使用它来进行针对金融、零售和其他数字服务的犯罪，ATO的威胁并不为人所知在安全圈之外。 我们的理解这些攻击是如何工作和你可以做防止你的企业，和你自己，从成为受害者 COVID - 19大流行的到来彻底改变了这一点。在短时间内，我们的文化戏剧性地改变了它对数字世界的看法。从网上银行的增长到我们为流媒体和食品配送服务创建的账户激增到我们必要的“在家工作”的工具，拥抱所有的东西-数字允许我们保持一些外表normalcy and keep many businesses afloat. It also greitly expanded the attack surface. this global事件，结合自动化技术、资源紧张的安全部门和在不知情的情况下，脆弱的消费者为ATO创造了一个虚拟的游乐场。 即使你熟悉ATO并认为你已经准备好了，事实是ATO是一个永无止境的whac - a - mole游戏；一旦您的安全程序中有一个漏洞插入，另一个由于人为错误或犯罪独创性而出现。 SpyCloud一直处于应对众多挑战的最前沿，企业和消费者面临着争先恐后地应对不断升级的ATO威胁，同时确保无缝的客户体验，不会引入不必要的摩擦。作为犯罪分子在网络犯罪战争中的赌注，这不仅对企业，而且对我们所有人都至关重要，了解这些攻击是如何工作的，以及您可以做些什么来阻止您的企业，以及你自己，从成为受害者。 帐户接管：它是什么？ 如果陌生人要求您向他们提供您的用户名和密码在线账户——无论是公司的还是个人的——它肯定会发出危险信号，对吗？人们越来越意识到保留其登录详细信息，数据和文件的重要性机密。但是，这些情况很少会那么简单。网络攻击者不会请求访问您的数字帐户;他们把他们,随着你的钱和个人数据，尽一切可能。 在帐户接管攻击中，犯罪分子使用他人的登录名凭据，通常通过利用重复使用的或类似的密码以前入侵的网站，以访问现有帐户。一旦进入，他们进行未经授权的交易，虹吸资金，窃取公司数据或个人身份信息(PII)用于其他目的，或简单地卖给暗网上的其他攻击者. ATO是一种可怕而危险的威胁，有可能对企业和个人造成重大的财务伤害。许多进入基于云的系统和网络的入口点，ATO给我们的数字世界带来了最大的风险之一。罪犯不需要使用复杂的技术来破坏防火墙或其他旨在保护企业的安全措施。他们只需要你的密码。 即使企业采取了所有安全措施来防止这些攻击，但针头却朝着错误的方向发展。2019年，ATO是最大的欺诈手段，仅金融账户就同比增长72%。2020年，COVID - 19破坏我们的世界，同比增长惊人-超过300％。 帐户接管时间线 第一阶段：突破 犯罪分子的第一步是发现并利用网站和应用程序中的漏洞来访问其用户数据库。一次入侵可能会影响成千上万的用户，不仅会暴露他们的密码，还会暴露更多的敏感信息例如帐户问题/答案，出生日期和可以在后续攻击中使用的电话号码。 第二阶段：目标ATO攻击 在此期间，被盗的数据是高价值资产。犯罪分子尚未转向暗网出售它们；相反他们将被盗的信息保存在他们可信赖的网络中，直到他们将其完全货币化，这可以长达24个月。攻击者可能会聘请受信任的顾问来帮助他们解析数据并破解密码。他们可能针对他们有特定兴趣的组织，并识别具有高级别的系统访问权限的VIP，或非常富有或引人注目的受害者，他们应该受到与其他人不同的对待，并在瞄准目标方面发挥创造性他们手动接管帐户。这些策略可能很复杂，很难发现，并导致巨大的损失。事实上，SpyCloud客户报告说，80%的损失来自10%的ATO攻击，这些攻击被认为是高度针对性的。有在违规时间表的早期访问被盗数据为组织提供了一个主要优势，使他们能够识别和在犯罪分子有机会使用它们之前重置受损的凭据。深入了解针对性攻击L 第3阶段：自动ATO攻击 从被盗数据中提取出尽可能多的价值，下一步是将其打包出售复杂的罪犯，他们可以以最少的努力，费用或专业知识自动进行凭据填充攻击。罪犯知道我们通常在不同的帐户中重复使用相同的密码，并且凭据填充是一种蛮力利用这一点的攻击。它利用自动化、廉价且易于使用的工具来测试大量被盗用户名和多个站点的密码，直到一个站点起作用。即使非常旧的凭据数据仍然可以产生结果。 账户接管的后果 犯罪分子通常会接管纯粹而简单的利润帐户。这一切都归结于金钱，以及罪犯可以赚多少钱从他们偷来的东西中提取出来。与您可能在其他地方听到的相反，将被盗数据货币化的第一步不是在暗网上卖。这实际上是最后一个步骤。首先发生的是最大的努力，最有利可图的活动。 有了被盗的数据，犯罪分子将： ›耗尽财务帐户，加密钱包或忠诚度积分余额犯罪分子将控制财务账户并立即电汇或从受害者的账户中转移余额。在这个概念上，点对点支付欺诈的大幅上升，自2016年以来上升了733%。 ›进行欺诈性购买 另一个快速计划：犯罪分子将使用被盗或存储购买商品信用卡或礼品卡数据。实际上，所有欺诈活动的40％账户接管发生在一天内。 ›创建合成身份 当涉及到创建新身份时，一些罪犯是专家伪造和合法（被盗）数据的组合。回报可能不会来了几个月，因为这些身份需要在他们之前“热身”用于获得信用额度。 ›利用受害者的工作帐户 犯罪分子可能会尝试查找和窃取公司IP并部署商业电子邮件妥协骗局，仅在2019年就造成了17亿美元的亏损。 ›SIM交换受害者绕过MFA 在SIM卡交换攻击中，犯罪分子将受害者的电话号码转移到他们的拥有SIM卡，以绕过多因素身份验证和接管敏感账户。 一旦从数据中提取了最大值，只有这样，它才会被打包在暗网上出售。 被盗数据的价值 “富尔茨”是可取的， 给罪犯他们需要的一切提交身份欺诈8 - 10美元；然而，当fi财务信息包括，罪犯可以命令10x +更高的价格。 您的数据对其他罪犯的价值相差很大。完整的包关于个人的信息(被称为“fullz”)是可取的，给罪犯一切他们需要进行身份欺诈-通常是姓名、国民身份证号码、出生日期和根据我们自己的研究和其他人的研究，8 - 10美元的特定账户凭证在我们的空间；然而，当包括金融信息时，罪犯可以命令10x +更高的价格。 仅对于帐户凭据，让我们来看看一些具有代表性的平均定价对于常见的帐户类型，基于SpyCloud对估计的308, 214的分析11月，在3个流行的电子商务平台上，800家犯罪商店的交易& 2020年12月： 游戏帐户$6.05 约会帐户$5.18 流帐户$4.54 连锁餐厅忠诚度带点数的帐户：$1.25 专业软件帐户$2.94 家居用品电子商务帐户$500 - $950贷方余额:$64 电子商务服装零售商帐户£2000贷方余额：$161.73 增加ATO风险的坏习惯 埋在攻击周期的每个阶段都是我们都有罪的常见习惯。对罪犯来说，这些习惯类似于离开你的在您的前门垫下备用房屋钥匙：完全明显。换句话说，我们的在线习惯使我们非常容易标记。同样，对于每个常见的坏习惯，犯罪分子都会使用自己的共同策略和工具来发挥自己的优势。 坏习惯 犯罪分子如何利用它 密码喷雾攻击 我们选择弱的通用密码 容易记住的密码也很容易被坏人猜到，使消费者容易受到密码喷洒的影响。密码喷雾是一种暴力攻击，网络罪犯使用列表用户名和常用密码，以尝试访问特定站点。一旦他们得到匹配，他们将测试相同的用户名和密码组合对尽可能多的帐户。有很多关于管理员密码的新闻报道包含公司名称。我们来了实际上是一个巨大的问题在分析SpyCloud漏洞时，次数太多了数据库，以及我们建议客户在其禁止的密码列表。 不管外面有什么关于坚强的重要性的建议密码，用户将选择序列号和字典或在其密码末尾添加一个!或1 (尤其是当提示公司IT每90天更改一次密码)。令人难忘的密码对用户来说似乎是独一无二的-但它们通常不是。在SpyCloud从中恢复的数百万密码中仅去年一年，“123456789”就被发现超过3500万times。“querty123”被发现超过1300万次，“iloveyou”3百万次，“足球”100万次。除非这些密码被禁止，密码复杂性要求到位，一些用户总是会选择易于记住的密码。 我们在多个帐户中重复使用密码 凭据填充攻击 我们点击链接并从下载附件 在暗网上有网站可以购买所有的工具和服务犯罪分子需要发起恶意活动-恶意软件本身（是的，现在甚至有“恶意软件即服务”），托管基础设施、网络钓鱼工具包和垃圾邮件服务。这一切都是针对使用户很容易陷入这些方案。恶意软件与keylogging组件可以记录用户的一举一动，犯罪分子将数据用于各种恶意目的。 不熟悉的来源 令各地安全团队感到沮丧的是，用户习惯性地点击任何链接或文件落在他们的收件箱，无论他们是否识别发件人与否。不可避免地，这导致用户的机器成为受感染；94%的恶意软件是通过电子邮件发送的！某些恶意软件可以收获用户名和密码，浏览器cookie，自动填充数据，更重要的是-将这些用户置于极高的ATO风险中。 防止帐户接管 对于企业来说，打击账户接管攻击需要专门的检测和缓解技术。考虑到自动化技术的超高速为ATO加油，用户必须继续接受良好的安全卫生教育，并把他们将学习的信息付诸实践，而企业则将多层主动解决方案落实到位。用户和企业合作是破坏罪犯获利能力的唯一途径从被盗的信息。虽然组织可能无法防止每一次违规或每一次ATO，他们何时以及如何应对这些威胁将决定他们可能会损失多少。 早期检测和快速修复 这个怎么强调都不为过,对于安全团队来说,预防ATO的关键是识别在犯罪分子有时间利用它们之前，尽早损害帐户。唯一的方法那就是访问一个全面的，不断更新的，实时的数据库数据。没有单个安全团队可以以必要的速度验证和补救妥协将暴露窗口缩小到几天，而不是几个月或几年(当被盗数据最终泄露到暗网，并广泛提供给那些寻找它的人)。获得的最佳方法未来是与漏洞数据收集领域的专家合作；一个结合具有人类智能的自动化技术，以尽早收集数据在攻击时间表中，并使其对机器友好且可操作。 NIST密码安全合规性 对于组织而言，控制用户的不良密码习惯构成了重大挑战。随着考虑到人为因素，国家标准与技术研究所(NIST)提供了鼓励使用强密码的具体、用户友好的密码准则： ‹以前的违约风险敞口 将企业的密码策略与NIST的最新指南保持一致当然可以有助于鼓励更好的密码习惯并降低ATO的风险。您可以强制执行许多这些准则通过大多数目录服务提供的内置设置，包括Microsoft Active Directory，而对于其他人，分层解决方案可能是必要的。 负责自己的安全卫生 无法使用公司安全可用的高科技监控和检测工具团队，个人通常会对ATO感到毫无防备。不必如此。今天的安全领导者已经加紧对员工进行良好的安全习惯教育，并且这些相同的原则可以应用于个人帐户。使用独特的复杂密码每个帐户至少有16个字符，符号和数字是没有人想要管理（这就是密码管理器存在的原因！）。但是ATO被证明是一个巨大的无限的破坏性力量。你的密码可能几乎不可能记住，但他们也将是几乎不可能的威胁行动者猜测。 此外，如果您不信任来源，请停止单击链接-这适用于移动设备(SpyCloud的一位领导人开玩笑说，他甚至不信任他的妻子给他发短信的链接，但是……他真的没有！）。 神话-破坏您的ATO预防 Strategy 一旦好人认为他们已经弄清楚了，坏人就会尝试新的东西。在其他换句话说，你可能会认为你已经覆盖了你的基地，但大多数罪犯已经一步之遥了在你