contact us

Важливість захисту від крадіжок облікових даних від зловмисників із національних держав

11/26/2021

У період з 2017 по 2020 рр. активність національних атак була підвищена. У 2019 р. кількість кібератак зросла на 42% і були віднесені до зловмисників в іноземних країнах. Майже 25% кібер-зломів було пов'язано зі шпигунством, а ще 24% припадало на програму-вимагання. Кіберзлочинці націлювалися на облікові дані для входу, орієнтуючись на хмарні облікові записи електронної пошти. І так, найбільш уразливі рахунки належали керівникам організацій рівня C.

Мета недержавних суб’єктів

Загроза з боку недержавних суб’єктів та зв’язок зі шпигунством підкреслили картину загроз у зв’язку зі зломом конфіденційних даних.

Підхід зловмисників розвивається з кожним днем. Звичайне хакерство та фішинг, а також програми-вимагачі з метою отримання грошових прибутків широко поширені публічно, і організації вжили заходів для захисту своїх систем. Зараз організації стають мішенню для крадіжок іншого роду. Таємні крадіжки, у тому числі інтелектуальні, зараз переслідують кіберзлочинці. Суб’єкти національних держав приділяють більше уваги крадіжці облікових даних, ніж грошей. Вони використовують облікові дані та через деякий час таємно отримують доступ.    

Що таке крадіжка облікових даних?

Це одна з форм кіберзлочинності, яку зловмисники використовують для крадіжки особистих даних жертви. Після того, як зловмисник успішно викрадає облікові дані, він отримує ті самі привілеї, що і жертва, для доступу до системи. Це перший етап довгострокового планування атаки на основі акредитації.

Зловмисники справляються з крадіжками облікових даних двома способами. Один із них — скинути пароль, заблокувати жертву з облікового запису, завантажити особисті дані жертви, стерти дані та резервну копію жертви та отримати доступ до інших систем у мережі. Інший тип атаки — таємно отримати віддалений доступ до системи за допомогою законного пароля. Це робиться шляхом входу в сторонні служби, такі як Microsoft 365, Dropbox тощо, які використовуються для регулярних бізнес-операцій.

Спосіб дії крадіжки облікових даних

Зловмисники зазвичай займаються фішингом, щоб отримати паролі від жертв. Це недорогий спосіб викрадення паролів, оскільки користувачі часто бувають необережними і, таким чином, уразливі для зловмисників, які використовують багато методів, таких як витік облікових даних, груба сила або вгадування. Облікові дані витягуються у вигляді простого тексту або хешів, або квитків. На відміну від зловмисного програмного забезпечення, яке порушує захист системи організації, фішинг більше базується на взаємодії людей.

Зловмисники також шукають на сайтах соціальних мереж користувачів, чия критична інформація може допомогти їм атакувати корпоративні облікові дані. Зловмисники створюють підроблені електронні листи та веб-сайти, які виглядають як офіційне повідомлення, і надсилають їх користувачам, які потрапляють у пастку, натискаючи на ці запрошення.

Кіберзлочинці зазвичай продають вкрадені облікові дані в темній мережі зловмисникам із національних держав, які шукають нескладний і швидкий спосіб отримати інформацію. Темна мережа зашифрована, і її неможливо легко отримати в Інтернеті, оскільки її не можна знайти в індексованих пошукових системах. Зловмисник, який використовує зловмисне програмне забезпечення, зазвичай купує вкрадені облікові дані та тихо атакує систему. Це має перевагу в тому, що створює менше шуму, який спочатку не буде виявлено.

Зловмисники, які планують операції з крадіжки на великі гроші, як-от програми-вимагачі, часто використовують цей метод. Це схоже на грабіжника, який вважає за краще мати дублікати ключів від будинку або код доступу до сигналізації, яка не видає жодного шуму при проникненні в будинок. Кіберзлочинці, які є окремими особами, групами, які беруть участь у атаці на національну державу, купують облікові дані, щоб отримати безшумний доступ і чекати, поки викуп буде успішно завершено.

Хоча кібератаки відбуваються виключно для фінансової вигоди, коли зловмисники вважають за краще отримувати великі прибутки за одну швидку операцію, триваліша гра в крадіжку облікових даних полягає в тому, щоб заробити безпечні гроші, продаючи облікові дані в темній мережі і залишаючись неушкодженими. Іншим мотивом таких атак є націлювання на освітні та дослідницькі організації, де метою кіберзлочинців національної станції є заволодіти даними, веб-додатками, ланцюгом постачання програмного забезпечення, електронною поштою та інтелектуальною власністю (IВ) про будь-що конфіденційне, що має значення для країни. Після Covid-19 багато країн намагаються отримати інформацію про інтелектуальну власність вакцини від інших країн, які її розробили.

Захист від крадіжки облікових даних

Незалежно від того, чи є вони малі чи великі, приватні чи державні, усі організації повинні мати пріоритетну політику щодо усунення підозрілих логінів. Останнім часом деякі з найбільших кіберзломів включали викрадення облікових даних та порушення роботи ланцюжка поставок на кілька днів, що призвело до значних операційних та фінансових втрат. Також підтвердження від організацій-жертв, що зловмисникам був виплачений викуп, щоб знову відкрити систему.

Способи захисту від кібератак

Існує багато способів убезпечити систему організації, наприклад

  • Навчання співробітників створювати надійні паролі, постійно змінювати їх і бути напоготові від будь-якого фішингу.

  • ІТ-відділи повинні забезпечити обов’язкову двофакторну аутентифікацію (2FA)  оскільки будь-які підозрілі логіни будуть виявлені в режимі реального часу.

  • Реалізація керування доступом до ідентифікаційної інформації та передача його стороннім службам для постійного моніторингу та керування системами керування паролями та блокування доступу користувачів до невідомих веб-сайтів і програм.

  • Керівництво повинно мати політику ієрархії щодо того, хто може отримати доступ до корпоративних облікових даних із затверджених програм.

  • Регулярне оновлення операційних систем та пристроїв.

  • Регулярна оцінка загроз чи вразливості системи та повідомлення керівництву про потенційні недоліки в системі.

  • Використання інструментив для моніторингу трафіку, особливо оскільки мережа є хмарною і піддається шифруванню.

  • Інструменти підписки, які перевіряють, чи зламано адресу електронної пошти та пароль. Сьогодні на ринку доступно багато інструментів, які використовуються командами   ІТ-безпеки організацій і зовнішніми службами кібербезпеки. Навіть окремі особи можуть використовувати цей інструмент, щоб дізнатися, чи були їхні облікові дані в Інтернеті вкрадені чи ні. Служби, крім перевірки електронної пошти, також надають послуги сповіщення та захисту.

Висновки 

Зловмисники з національних держав все частіше використовують складні та різні методи для крадіжки облікових даних для входу. Вони збирають вкрадені облікові дані і чекають слушного моменту для удару. Згідно з доповідями Microsoft, викрадення облікових даних зараз є одним з найпопулярніших методів атаки, які використовували кібер-зловмисники з національних держав за останній рік. Єдиний спосіб захиститися від кібер-зловмисників — скористатися деякими з порад, згаданих вище, і переконатися, що служби безпеки успішно сповільнюють атаки крадіжки облікових даних на критичну інфраструктуру та запобігають блокуванням важливих систем.