帐户接管 101

帐户接管 101 它是什么 ， 你能做些什么来防止它 ？ 引言 什么是账户接管？ 账户接管的时间线 账户接管的影响 增加ATO风险的不良习惯 消除账户接管神话 的 ATO 预防策略 结论 随着网络犯罪分子在网络安全战中提高赌注，理解这些攻击是如何运作以及你能采取哪些措施变得至关重要。防止你的企业和你自己成为受害者。 在最令人担忧的网络犯罪趋势中，账户接管（ATO）攻击的过度激增尤为引人注目。尽管多年来，犯罪分子通过向诈骗者出售被攻破账户的数据，形成了一门非常赚钱的生意，而这些诈骗者又利用这些信息对金融、零售和其他数字服务进行犯罪活动，但ATO威胁主要局限于安全领域之外的人群所知。 COVID-19疫情的到来彻底改变了这一状况。短时间内，我们的文化观念急剧转变，对数字世界的看法发生了变化。从在线银行业务的增加到我们为流媒体和食品配送服务创建的账号增多，再到必要的“在家办公”工具的使用，全面接纳数字化手段使我们维持了一定程度的正常生活，并帮助许多企业保持运营。这也极大地扩展了攻击面。这场全球性事件与自动化技术、资源紧张的安全部门以及大量不慎、易受攻击的消费者相结合，创造了一个适合于账户盗用（ATO）的虚拟游乐场。 即使您熟悉ATO（账户接管）并且自认为有所准备，事实是，ATO就像是永不停歇的打地鼠游戏；当您的安全程序中一个漏洞被修补后，又会因人为错误或犯罪智慧而出现另一个漏洞。 SpyCloud一直处于解决企业和消费者面临的多重挑战的前沿，这些挑战包括在应对不断升级的账户接管（ATO）威胁的同时，确保提供流畅的客户体验，而这一过程不应引入不必要的阻碍。随着网络犯罪分子在网络安全战中不断提高攻击手段，不仅对于企业，对于我们所有人而言，了解这些攻击是如何运作以及你可以采取哪些措施来防止你的企业以及你自己成为受害者，变得至关重要。 帐户接管 ： 它是什么 ？ 如果一个陌生人要求你提供你在任何在线账户（无论是商业还是个人）的用户名和密码，这肯定会引起警觉，对吧？人们越来越意识到保护自己的登录详情、数据和文件的重要性。然而，这些情况很少如此明确。网络攻击者不会请求访问你的数字账户；他们会以各种方式获取你的账户、资金和个人数据。 在账户接管攻击中，犯罪分子利用他人的登录凭据，通常是通过利用来自已被泄露网站的重复或相似密码，来获取现有账户的访问权限。一旦进入，他们进行未经授权的交易，窃取资金，盗取企业数据或个人可识别信息（PII），用于其他目的，或者简单地将其出售给暗网上的其他攻击者。 ATO是一种令人畏惧且危险的威胁，它有可能对企业和个人造成重大财务损害。由于云计算系统和网络存在众多接入点，ATO成为了我们数字世界中最大的风险之一。犯罪分子无需使用复杂的技术来突破防火墙或其他旨在保护企业的安全措施。他们只需要您的密码即可。 即便企业采取了所有安全措施以防止此类攻击，但情况却朝着不利的方向发展。在2019年，账户盗用（ATO）成为了最主要的欺诈手段，72%仅从财务账户来看的年度同比增长。在2020年，COVID-19打乱了我们的世界，年度同比增长令人震惊——超过300%. 帐户接管时间线 在一个APT攻击生命周期中存在三个主要阶段。您可能对初始阶段较为熟悉——即导致数据泄露的数据窃取事件，这一事件促使被盗数据落入犯罪分子手中。您可能不知道的是，泄露事件可能会在它们被媒体报道之前发生数月甚至数年。在此期间发生了什么？ 第一阶段 ： 突破 犯罪分子的第一步是寻找并利用网站和应用程序中的漏洞以获取对用户数据库的访问权。一次入侵可能同时影响数千名用户，不仅暴露他们的密码，还可能泄露更为敏感的信息，如账户问题答案、出生日期以及电话号码等，这些信息可用于后续攻击。 第二阶段 ： 目标 ATO 攻击 在此期间，被盗数据成为了高价值资产。犯罪分子尚未转向暗网进行销售，而是将盗取的信息保留在他们信任的网络内，直至完全利用其价值，这一过程可能长达24个月。攻击者可能会寻求信任的顾问帮助解析数据和破解密码。他们可能针对特定感兴趣的组织，并识别出VIPs在拥有高水平系统访问权限、或者极其富有的高知名度受害者（这些受害者应与其他不同对待，并以手动账户接管为目标）的情况下，采取创新策略进行针对性攻击。这些战术可能复杂且难以察觉，导致巨大损失。事实上，SpyCloud的客户报告称，80%的损失来自于10%的账户接管攻击，这些攻击被认为是高度针对性的。在入侵时间线早期获取被盗数据为组织提供了重大优势，使他们能够在犯罪分子有机会利用这些信息之前识别并重置被攻陷的凭证。 第 3 阶段 ： 自动 ATO 攻击 在尽可能榨取被盗数据的价值后，下一步是将其打包出售给较为不成熟的犯罪分子。这些犯罪分子可以利用最少的努力、成本和专业知识自动化凭证填充攻击。犯罪分子知道我们通常在不同的账户中重复使用相同的密码，而凭证填充就是一种利用这一点的暴力破解攻击类型。它利用自动化、低成本且易于使用的工具，对多个网站上的大量被盗用户名和密码进行测试，直到找到有效的一组。即使是很久以前的凭证数据仍然能产生结果。 犯罪分子通常是为了盈利而接管账户，简单明了。这一切都归结于金钱，以及犯罪分子能从被盗取的信息中榨取出多少。与您可能在其他地方听到的不同，盗取数据后首先进行货币化的步骤并非将其出售至暗网。实际上，last步骤。首先发生的是最大的努力 ， 最有利可图的活动。 耗尽金融账户、加密钱包或忠诚度积分余额 犯罪分子将接管金融账户，并立即从受害者的账户中转账或转移余额。在此概念上出现了一个转折，自2016年以来，P2P支付欺诈案件激增了733%。 进行欺诈性购买 另一个快速计划 ： 犯罪分子将使用被盗或存储的信用卡或礼品卡数据购买商品。实际上 ，40%与账户接管相关的所有欺诈活动在一天内发生。 一些犯罪分子在利用伪造和合法（被盗）数据组合创建新身份方面是专家。回报可能需要数月时间，因为在这些身份被用于获取信贷线之前，它们需要先进行“预热”。 利用受害者的工作帐户 犯罪分子可能会试图找到和窃取公司 IP 并部署商务电子邮件妥协骗局 ，导致$1.7B仅在 2019 年的损失中。 SIM 交换受害者绕过 MFA In aSIM 交换攻击犯罪分子通过将受害者的电话号码转移到自己的SIM卡上，以绕过多重身份验证并接管敏感账户。 一旦从数据中提取了最大值 ， 只有这样 ， 它才会被打包在暗网上出售。 “富尔兹 ” 是可取的， 给罪犯 你的数据对于其他犯罪分子的价值变化相当大。个体完整信息包（简称“fullz”）因其包含了犯罪者进行身份欺诈所需的一切——通常包括姓名、国家身份证号、出生日期和特定账户凭据——在我们的研究以及行业内其他研究中，每份价格约为8-10美元；然而，当包含财务信息时，犯罪者能够索取的价格可以高出原价的10倍以上。 他们以 8 - 10 美元的价格进行身份欺诈所需的一切 ； 然而 ， 当包括财务信息 ， 罪犯可以命令 10 倍以上的价格。 仅针对账户凭据，让我们来看看常见账户类型的一些代表性的平均定价，基于SpyCloud 的分析2020 年 11 月和 12 月 ， 在 3 个流行的电子商务平台上的 800 家犯罪商店中 ， 估计有 308, 214 笔交易 ： $5.18约会帐户 $6.05游戏帐户 $4.54流帐户 带有积分的连锁餐厅忠诚度帐户 ：$1.25 家居用品电子商务帐户 $500 - $950 贷方余额 ：$64 $2.94 具有 2000 英镑贷方余额的电子商务服装零售商帐户 ：$161.73 增加 ATO 风险的坏习惯 潜藏于每一次攻击周期之中的是我们皆会犯下的常见习惯。对犯罪者而言，这些习惯如同将备用钥匙放在门前垫脚石下一般显而易见：完全一目了然。换句话说，我们的在线习惯使我们成为非常容易的目标。同样地，针对每一个常见的不良习惯，犯罪者会利用他们自己的常见策略和工具来达到自身目的。 我们选择弱的通用密码 密码喷雾攻击 尽管到处都有关于强密码重要性的建议，用户仍会选择连续数字和字典中的词汇，或者在密码末尾添加一个!或1（特别是在被提示时这样做）。每 90 天更改一次密码企业IT背景下的密码管理。记忆性的密码可能对用户而言似乎独一无二，但实际上往往并非如此。仅在去年，SpyCloud从数据泄露中恢复的数百万个密码中，“123456789”被发现超过3500万次。“querty123”被发现超过1300万次，“iloveyou”被发现300万次，而“football”则被发现100万次。除非这些密码被禁止使用，并且实施密码复杂性要求，否则一些用户总是会选择易于记忆的密码。 易于记忆的密码同样也容易被恶意行为者猜到，使得消费者面临密码喷洒的风险。密码喷洒是一种暴力破解攻击，网络犯罪分子使用包含用户名和常见密码的列表，试图登录特定网站。一旦获得匹配，他们就会使用相同的用户名和密码组合尝试登录尽可能多的账户。我们已经多次在分析SpyCloud泄露数据库时遇到过含有公司名称的管理员密码的问题，这实际上是一个我们数次提及的大问题，并且我们建议客户将其列入禁止密码列表中。 我们在多个帐户中重复使用密码 凭据填充使犯罪分子有可能利用他们在暗网购买的甚至非常旧的数据漏洞，成功接管多个账户从而获利。凭据填充工具允许犯罪分子针对多个网站测试凭据对，以查看他们可以接管的额外账号；这就是为什么密码重复使用如此危险的原因。一些犯罪工具甚至可以测试常见的密码变体，如将某些字母替换为数字（Password vs. P@ssw0rd）或在单词末尾添加数字或符号（password123）。如果一个密码在一个数据泄露中被暴露，那么任何使用相同密码变体的其他账户都处于风险之中。 在谷歌的一项研究中 ，66%承认在多个账户间重复使用相同密码的人数。SpyCloud的研究表明，即使是世界上最大和最具创新性的公司的员工也存在这种不良习惯；超过76%的财富1000强企业员工会在工作和个人账户间重复使用密码。一旦一个网站被攻破，网络犯罪分子就能访问使用相同凭证保护的任何其他账户。使用密码管理器是一种改变这种习惯的方式，但只有部分工具能标记出已被泄露的密码并阻止用户选择它们。 键盘记录恶意软件 我们点击链接并从不熟悉的来源下载附件 暗网中存在可供犯罪分子购买所有开展恶意活动所需工具和服务的站点——包括恶意软件本身（甚至有“恶意软件即服务”）、托管基础设施、钓鱼工具包和垃圾邮件服务。这一切都是为了使用户很容易上当受骗。包含键盘记录功能的恶意软件可以记录用户的每一次操作，而犯罪分子会利用这些数据进行各种恶意用途。 令各地安全团队感到沮丧的是，用户习惯于在收件箱中点击任何链接或文件，不论他们是否认识发件人。不可避免地，这导致用户的设备被感染；94%恶意软件主要通过电子邮件传播！某些恶意软件能够窃取用户名和密码、浏览器cookie信息、自动填充数据等，这将使用户面临极高的账户盗用（ATO）风险。 防止帐户接管 对于企业而言，对抗账户接管攻击需要专门的检测和缓解技术。考虑到自动化技术以极快的速度推动着账户接管（ATO），用户保持良好的安全习惯并将其付诸实践至关重要，同时企业应部署多层主动解决方案。只有用户与企业共同努力，才能打破犯罪分子利用被盗信息获利的能力。虽然组织可能无法阻止每一起泄露或每一次账户接管，但它们对这些威胁的响应方式和时机将决定其可能损失的大小。即便组织无法防止所有入侵或账户接管事件，它们对此类威胁的应对策略将决定其可能的损失程度。 早期检测和快速修复 这一点的重要性不容忽视。对于安全团队而言，防止账户盗用的关键在于尽早识别被攻陷的账号，确保在犯罪分子有时间利用这些账号之前就进行干预。唯一可行的方法是获取一个全面、持续更新、实时更新的漏洞数据数据库。没有单一的安全团队能够以必要的速度验证和修复被攻陷的情况，从而将暴露窗口缩小到几天内（而非数月或数年，这是被盗数据最终泄露至暗网并广泛供人寻找的时间）