Η πρόσφατη έρευνα της Abnormal Security ανάγει τις επιθέσεις τύπου account takeover (ΑΤΟ) ως την κύρια απειλή που αντιμετωπίζουν σήμερα οι οργανισμοί.
Σύμφωνα με τα στοιχεία της έρευνας το 83% των οργανισμών είχε τουλάχιστον από ένα συμβάν account takeover τον τελευταίο χρόνο. Στην έρευνα αυτή έλαβαν μέρος πάνω από 300 επαγγελματίες ασφάλειας από διάφορετικά είδη επιχειρήσεων και οργανισμών παγκοσμίως με το 77% των security leaders να τοποθετούν τις επιθέσεις τύπου Account Takeover μέσα στις top τέσσερις απειλές κυβερνοασφάλειας.
Αυτό τοποθετεί τις Account Takeover υψηλότερα στην κλίμακα επικινδυνότητας από τις ransomware και spear phishing επιθέσεις. Αξιοσημείωτο είναι ότι σχεδόν οι μισοί από τους οργανισμούς που συμμετείχαν στην έρευνα αντιμετώπισαν αυτές τις επιθέσεις περισσότερες από πέντε φορές το περασμένο έτος και σχεδόν το 20% αντιμετώπισε πάνω από δέκα σημαντικά περιστατικά.
Η έκθεση υπογραμμίζει επίσης ότι υπάρχει ιδιαίτερη ανησυχία για το compromise υπηρεσιών αποθήκευσης και κοινής χρήσης αρχείων όπως το Dropbox, cloud υποδομών όπως AWS, Microsoft Azure, Google Cloud Platform καθώς και των business email accounts όπως Microsoft Outlook και Gmail.Επιπλέον υπηρεσίες όπως το DocuSign εγκυμονούν επίσης σημαντικούς κινδύνους.
Παρ όλες τις ανησυχίες, οι περισσότεροι επαγγελματίες ασφάλειας αισθάνονται απροετοίμαστοι να αντιμετωπίσουν αποτελεσματικά τις ΑΤΟ επιθέσεις. Το 63% των ερωτηθέντων αμφιβάλλουν για την αποτελεσματικότητα των γνωστών πρακτικών όπως το multi-factor authentication (MFA) και το 65% αντιμετωπίζει με σκεπτικισμό τις single sign-on (SSO) λύσεις .
Αλλα μέτρα όπως identity and access management (IAM), cloud access security brokers (CASB) και web application firewalls (WAF), αναφέρθηκαν ως αντίμετρα χωρίς όμως κάποιο από αυτά να έχει σχεδιαστεί ειδικά για την αντιμετώπιση τέτοιου είδους απειλών.
Η έρευνα περαιτέρω έδειξε ότι το 87% των συμμετεχόντων ανάμεναν ότι οι πάροχοι cloud υπηρεσιών θα ενσωμάτωναν λύσεις προστασίας απέναντι στις account takeover επιθέσεις. Παρόλα αυτά όμως οι περισσότεροι από αυτούς εστιάζουν στην διασφάλιση ενός σωστού configuration παρά στην προστασία σε πραγματικό χρόνο έναντι στις ΑΤΟ επιθέσεις.
Κατά συνέπεια υπάρχει προφανής ζήτηση για λύσεις που μπορούν να εντοπίσουν και να αποκαταστήσουν αυτόματα παραβιασμένου λογαριασμούς σε cloud υπηρεσίες με την πλειοψηφία των
ερωτηθέντων κατά 99% να πιστεύει ότι μια τέτοια λύση θα ενίσχυε σημαντικά την ασφαλείας τους.
Σύμφωνα με τον Evan Reiser, CEO of Abnormal Security “Είναι σαφές ότι υπάρχει ανάγκη για μια νέα προσέγγιση όχι μόνο για τον εντοπισμό των account takeovers, αλλά και για την αυτόματη επανόρθωση τους προτού οι εισβολείς έχουν την ευκαιρία να διεισδύσουν σε ευαίσθητα δεδομένα ή σε συνδεδεμένες εφαρμογές”
Πάμε να δούμε περιληπτικά τι είναι οι Account Takeover επιθέσεις, πως μπορούν να συμβούν, τις επιπτώσεις τους και κάποιους τρόπους πρόληψης και αντιμετώπισης.
Τι είναι οι Account Takeover επιθέσεις
Ο μέσος χρήστης έχει δεκάδες online λογαριασμούς για την πρόσβαση του σε προσωπικά-επαγγελματικά websites, εφαρμογές και συστήματα. Στις επιθέσεις ΑΤΟ στόχος είναι η αποκτήση πρόσβασης σε αυτούς τους λογαριασμούς έτσι ώστε ο επιτιθέμενος να υποκλέψει δεδομένα, να διανείμει malware ή να κάνει χρήση της νόμιμης πρόσβασης για άλλους κακόβουλους σκοπούς.
Πως μπορεί να προκύψει.
Για να συμβεί μια επίθεση τύπου account takeover ο επιτιθέμενος χρειάζεται να αποκτήσει πρόσβαση στις πληροφορίες αυθεντικοποιήσης (authentication) του χρήστη. Αυτό μπορεί να συμβεί με διάφορους τρόπους συμπεριλαμβανομένων των παρακάτω:
Credential stuffing: Στην περίπτωση αυτή γίνονται αυτοματοποιημένες προσπάθειες με την χρήση bots χρησιμοποιώντας common ή breached κωδικούς. Η δυνατότητα αυτή υπάρχει κατά κύριο λόγο γιατί αρκετοί χρήστες χρησιμοποιούν αδύναμους κωδικούς.
Phishing: Με την χρήση συνήθως κακόβουλων links προσπαθούν να κατευθύνουν τον χρήστη σε μια πλαστή login σελίδα έτσι ώστε να αποσπάσουν τα credentials του.
Malware: Η μόλυνση με κάποιο malware μπορεί να οδηγήσει στην κλοπή των κωδικών με διάφορους τρόπους με τους πιο σύνηθεις να είναι οι αποθηκευμένοι κωδικοί του browser, από την cache του συστήματος ή καταγράφοντας την πληκτρολόγηση του χρήστη κατά την διάρκεια που πραγματοποιεί είσοδο σε κάποιο λογαριασμό.
Application vulnerabilities: Πολλές φορές οι εφαρμογές χρησιμοποιούν λογαριασμούς τους οποίους ο επιτιθέμενος μπορεί να εκμεταλλευτεί για να αποκτήσει πρόσβαση.
Stolen cookies: Τα cookies που αποθηκεύονται σε έναν υπολογιστή μπορούν να αποθηκεύσουν κωδικούς με το login session έτσι ώστε η πρόσβαση σε κάποιο λογαριασμό να γίνει χωρίς κωδικούς.
Hardcoded passwords: Οι εφαρμογές συνήθως χρειάζονται πρόσβαση σε online λογαριασμούς για να επιτελέσουν το έργο τους. Οι κωδικοί αυτοί είναι αποθηκευμένοι είτε στον κώδικα είτε σε
κάποιο configuration τα οποία μπορούν να γίνουν leaked.
Compromised API keys: API keys και άλλα authentication tokens έχουν σχεδιαστεί για να επιτρέπουν σε εφαρμογές να έχουν πρόσβαση σε online λογαριασμούς και υπηρεσίες μέσω ΑΡΙ. Αν αυτά
τα κλειδιά διαρρεύσουν οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση σε έναν εταιρικό λογαριασμό.
Network traffic sniffing: Παρόλο που η δικτυακή κυκλοφορία είναι ως επι το πλείστον κρυπτογραφημένη και ασφαλής αν γίνεται χρήση μη ασφαλών πρωτοκόλλων όπως το Telnet μπορεί να οδηγήσει σε απώλεια διαπιστευτηρίων.
Επιπτώσεις
Οι επιπτώσεις τώρα μιας account takeover επίθεσης δίνουν την δυνατότητα στον επιτιθέμενο να αποκτήσει κανονική πρόσβαση και δικαιώματα στον λογαριασμό του νόμιμου κατόχου.
Με την απόκτηση αυτής της πρόσβασης ο επιτιθέμενος έχει την δυνατότητα να προβεί σε πλήθος ενεργειών όπως Κλοπή Δεδομένων, διανομή malware ,επακόλουθες επιθέσεις, περαιτέρω πρόσβαση σε ένα κατά τα άλλα ασφαλές δίκτυο και οικονομικό όφελος πουλώντας τα δεδομένα στο dark web.
Πρόληψη
Στο στάδιο της πρόληψης για τέτοιου είδους επιθέσεις απαιτείται μια ολιστική αντιμετώπιση καθότι στην εξάπλωση τους συμβάλλει κυρίως η έλλειψη επαρκών πρακτικών ασφαλείας όπως πολιτικές ισχυρών κωδικών, Phishing προστασίας, Multi-factor authentication (MFA) και security testing στις εφαρμογές και ΑΡΙ.