有针对性的与自动账户接管攻击

有针对性与自动化帐户接管攻击 概述阶段 1：确定目标阶段 2：获取数据阶段 3：获得访问权限与规避检测阶段 4：升级攻击阶段 5：利用被盗账户 独特之处：SpyCloud 来自只是10%OF ATTACKSSpyCloud 客户说80%OF losses 目标帐户与自动帐户接管 账户接管（ATO）是指犯罪分子利用被盗取的身份凭证未经授权访问用户账户的情况，通常是为了进行欺诈性购买、窃取敏感数据，或在目标组织内部横向移动。 大多数账户接管尝试都是自动化的。然而，SpyCloud的客户报告称，80%的损失来自于仅占尝试总数10%的高度针对性且难以检测的账户接管尝试。SpyCloud通过在数据泄露时间线早期恢复被盗数据，帮助保护组织免受定向和自动化账户接管的影响，使组织能够在犯罪分子有机会利用这些信息之前重置被攻陷的凭据。 在违反生命周期的每个阶段保护您的企业免受账户接管 一旦发生泄露事件，犯罪分子通常会将窃取的数据限制在一个紧密的关联圈内，以便于确定如何最有效地利用这些数据进行牟利。由于很少有人能接触到这些数据，被盗取的凭证便成为了有价值的资产。正是在这个时候，未察觉的组织和个人面临着最大的针对性攻击风险，也是SpyCloud研究人员获取泄露数据的时候。 攻击者及其关联方在大约18至24个月的时间内系统地将盗取的数据转化为收益。在此期间，他们会逐步允许凭证泄露到深网和暗网中更公开的位置。一旦这些凭证对广泛受众（包括深网抓取和扫描工具）开放，它们就会成为价值较低的商品。在这个阶段，密码已被破解，明文凭证被打包成“组合列表”，这些列表格式化用于自动化账号检查工具，使得不成熟的犯罪分子能够轻松且方便地使用凭证填充技术。 一旦发生漏洞，犯罪分子通常会将被盗数据限制在其紧密关联的小圈子内，以便确定如何最有效地从中获利。 目标帐户接管攻击 安全团队面临的挑战 ：简单的犯罪分子容易发动大量攻击 安全团队面临的挑战 ：高效、难以察觉、潜在损失巨大 罪犯面临的挑战 ：耗时 ， 不可扩展 罪犯面临的挑战 ：易于检测和预防 第 1 阶段 ： 确定目标 目标广泛的公司 ， 而不是特定的个人 专注于特定的公司或个人 实施自动化凭据填充攻击的犯罪分子将针对任何具有活跃在线账户的公司进行攻击，这些账户可以尝试接管、转售、交易或以其他方式获利。受影响的行业可能包括： 在数据泄露之后，犯罪分子及其同伙评估获取的信息，并将某些高价值的个人和组织列为针对性、手动攻击的目标。他们可能采取的措施包括： - **优先级排序**：根据信息的价值和潜在的影响，犯罪分子会优先考虑那些能够带来更大利益或造成更大破坏的目标。- **针对性攻击**：与自动化攻击不同，这些攻击通常是由人工操作的，旨在针对特定目标进行深入、精确的攻击，以获取敏感信息、控制关键系统或实施勒索等。◎ 对富裕或高知名度个人进行画像 ◎确定拥有内部访问权限以获取宝贵企业资产的C级高管或开发者 ◎ 对特定目标组织进行“指纹识别”，以确定防御阈值并优化攻击策略 娱乐与多媒体服务食品配送电子商务与零售旅游与住宿业教育专业软件医疗健康 - **利用漏洞**：犯罪分子可能会利用已知或未知的安全漏洞，结合从数据泄露中获取的信息，来执行更复杂的攻击策略。这可能包括使用被盗的凭证、利用系统的弱点，或者发动社会工程攻击来欺骗受害者透露更多信息。 第二阶段 ： Aquire 数据 目标帐户接管攻击 购买、交易或刮削组合商罪犯获得凭据和凭据填充工具 ： 在 2020 年的所有数据泄露中 ， 无论攻击类型如何， 涉及使用被盗凭证。2020 年 Verizon 数据泄露调查报告 罪犯通过以下方法获得证书和 PII ： 购买或获取一个有效用于一个或多个网站的账号检查工具购买、抓取或其他方式获取组合列表，这是一种包含大量用户名、电子邮件和密码的大型列表，可以被加载到账号检查工具中较少情况下，攻击者可能会在暗网租用C2/僵尸网络基础设施，通常为24-72小时，并获取账号填充器和破解工具以安装在每个僵尸程序上（稍微复杂一些，因为它需要付费） 在暗网购买认证信息社会工程学攻击在网络上查找开源信息实施钓鱼欺诈利用恶意软件记录目标计算机上的按键操作使用破解工具进行手动暴力攻击 阶段 3 ： 获取访问和规避检测 目标帐户接管攻击 2020 年与黑客相关的漏洞 犯罪分子利用其账户检查工具对一个或多个目标组织的众多账户发起凭据填充攻击。 罪犯使用各种策略 ， 工具和程序来回避安全措施和访问帐户 ： 杠杆弱或密码被盗. 若利用僵尸网络基础设施，攻击者将从C2服务器发出指令，大规模发起凭据填充攻击。 2020 年 Verizon 数据泄露调查报告 第四阶段 ： 升级攻击 目标帐户接管攻击 自动凭据填充攻击 升级是罕见的 升级是常见的 在来自 2.7 亿用户的 90 亿凭证中 ， SpyCloud发现28% 的用户至少回收了一个密码。- 2020 年 SpyCloud 凭证 攻击升级较少发生在犯罪分子利用自动化攻击的情况下，特别是因为他们旨在自行利用这些账户或转售这些账户。 获取账户访问权限后，犯罪者可能会提升权限等级或利用一个已被攻破的账号来瞄准更多的目标。策略可能包括： - 横向移动（Lateral Movement）：在同一个网络环境中移动，以访问其他系统或资源。- 提升权限（Privilege Escalation）：通过执行某些操作或利用已知漏洞来获得更高的系统权限。- 使用被攻破的账号（Compromised Account Usage）：利用已经获取的账号进行进一步的攻击活动，如发送恶意邮件、下载敏感信息等。- 社会工程学攻击（Social Engineering）：利用欺骗、欺诈或其他非技术手段来获取敏感信息或诱使受害者执行恶意操作。- 持续监控和调整策略（Continuous Monitoring and Strategy Adjustment）：根据目标系统的防御措施和安全更新不断调整攻击策略。在寻找折衷的电子邮件和存储账户时，搜索用于其他提供商身份验证的TOTP种子备份或用于认证的照片。◎ 利用勒索、勒索和社会工程来获得额外的访问或控制通过逐步更改联系信息和其他个人身份信息（PII），巩固其对账户的所有权，最终将受害者排除在账户之外。◎ 使用受害者的被盗帐户对朋友 ，同事或客户进行有针对性的攻击 暴露报告 这些策略旨在最大化攻击的有效性和隐蔽性，使得安全团队难以察觉并及时响应。 授予访问权限 授予访问权限 在有针对性的攻击中 ， 犯罪分子使用各种战术 ， 阶段 5 ： 利用被盗账户 目标帐户接管攻击 访问帐户。措施和工具和程序回避安全 罪犯使用各种策略 ， 工具和程序来回避安全措施和访问帐户 ： 通过访问被盗帐户 ， 罪犯可以 ： SpyCloud 的差异 如果没有 SpyCloud 数据 ， 我们将面临我们从未见过的攻击的持续风险- 十大旅游预订网站 当前 ， 相关 ， 真正可行的数据 账户接管对企业和其客户构成了重大威胁。遗憾的是，并非所有账户接管预防解决方案都同等有效。许多产品，如僵尸网络防火墙和依赖于商品数据的解决方案，对于抵御最具破坏性的账户接管攻击提供的保护不足。通过在漏洞时间线早期获取数据，SpyCloud帮助企业在网络犯罪分子面前保持领先一步，从而防范针对性和自动化的账户接管尝试。 利用人类智能，SpyCloud比其他任何网络安全公司都能深入网络，提取出其他公司无法检测到的数据。我们的数据库包含了最大的泄露凭证和PII信息，不仅在行业中规模最大，还提供了最及时、相关性最高的且真正可操作的数据，以保护用户免受账号接管的威胁。 亲自体验我们数据的力量。访问spycloud. com了解 SpyCloud 如何帮助您的企业对抗有针对性和手动帐户接管攻击。 使用 SpyCloud 保护用户免受帐户接管在 spycloud. com 请求演示