Som virksomhed kan du nemt forsvare dig mod den mest almindelige form for fidus, et kontoovertagelsesangreb (ATO), med nogle få grundlæggende ting gjort rigtigt.
Eftermiddagen den 30. august 2019 var bizar for Jack Dorseys Twitter-tilhængere (nu X). “Han” var på en hensynsløs spree, der varede omkring 20 minutter, med tweeting af racemæssige bagtalelser og andre stødende beskeder.
Hans fans kunne have taget det som et usædvanligt mentalt sammenbrud fra administrerende direktør for det største mikroblogging-websted. Chuckling Squad, gruppen bag dette “eventyr”, havde dog efterladt links til deres discord-kanal i de vildledende tweets fra Jacks konto.
Senere bekræftede Twitter (nu X) hændelsen.
Det er vi klar over @jack blev kompromitteret og undersøgte, hvad der skete.
— Twitter Comms (@TwitterComms) 30. august 2019
Dette var et klassisk Account Takeover (ATO)-angreb, især et Sim Swapping-angreb, hvor hackerne på afstand tog kontrol over Jacks telefonnummer og tweetede fra en tredjeparts tweeting-tjeneste, Cloudhopper.
Hvad er oddsene for en gennemsnitlig bruger, hvis administrerende direktør for en teknologivirksomhed på topniveau kan blive et offer?
Så slutt dig til mig for at tale om de forskellige former for ATO og hvordan du holder din organisation sikker.
Indholdsfortegnelse
Hvad er et ATO-angreb?
Et kontoovertagelsesangreb (ATO) anvender, som antydet af dets navn, forskellige teknikker (diskuteret senere) til at kapre et offers onlinekonto til adskillige ulovlige formål, såsom økonomisk svindel, adgang til følsomme oplysninger, bedrageri af andre og mere.
Hvordan virker ATO?
Kernen i et ATO-angreb er at stjæle kontooplysninger. Dårlige skuespillere gør dette på forskellige måder, såsom:
Dette var de standardmåder, cybertyve anvender til kriminelt at erhverve login-legitimationsoplysninger. Det følgende er kontoovertagelse, ulovlig aktivitet og et forsøg på at holde adgangen “live” så længe som muligt for yderligere at ofre brugeren eller udføre angreb på andre.
Oftere end ikke forsøger de onde at låse brugeren ude på ubestemt tid eller sætte bagdøre op til et fremtidigt angreb.
Selvom ingen ønsker at gå igennem dette (det gjorde Jack heller ikke!), hjælper det meget, hvis vi kan fange det foran for at undgå skade.
Registrering af et ATO-angreb
Som virksomhedsejer er der et par måder at få øje på et ATO-angreb på dine brugere eller medarbejdere.
#1. Usædvanligt login
Det kan være gentagne loginforsøg fra forskellige IP-adresser, især fra geografisk fjerne steder. På samme måde kan der være logins fra flere enheder eller browseragenter.
Derudover kan login-aktivitet uden for de normale aktive timer afspejle et muligt ATO-angreb.
#2. 2FA-fejl
Gentagne to-faktor-godkendelses- eller multi-faktor-autentificeringsfejl signalerer også fejl. Det meste af tiden er det en dårlig skuespiller, der forsøger at logge ind efter at have fået fat i det lækkede eller stjålne brugernavn og password.
#3. Unormal aktivitet
Nogle gange kræver det ikke en ekspert for at notere en anomali. Alt, der er vidt ud over den normale brugeradfærd, kan markeres for kontoovertagelse.
Det kan være så simpelt som et upassende profilbillede eller en række spammails til dine kunder.
I sidste ende er det ikke let at opdage sådanne angreb manuelt, og værktøjer som f.eks Sucuri eller Acronis kan hjælpe med at automatisere processen.
Lad os gå videre og se, hvordan man undgår sådanne angreb i første omgang.
Forebyggelse af et ATO-angreb
Ud over at abonnere på cybersikkerhedsværktøjer er der et par bedste praksisser, du kan notere dig.
#1. Stærke adgangskoder
Ingen kan lide stærke adgangskoder, men de er en absolut nødvendighed i det nuværende trusselslandskab. Lad derfor ikke dine brugere eller medarbejdere slippe af sted med simple adgangskoder, og sæt nogle minimumskrav til kompleksitet for kontoregistrering.
Især for organisationer, 1Password forretning er et stærkt valg for en password manager, der kan gøre det hårde arbejde for dit team. Udover at være en adgangskodeholder, scanner topværktøjer også det mørke web og advarer dig, hvis nogen legitimationsoplysninger lækkes. Det hjælper dig med at sende anmodninger om nulstilling af adgangskode til de berørte brugere eller medarbejdere.
#2. Multi-faktor autentificering (MFA)
For dem, der ikke ved det, betyder multifaktorautentificering, at hjemmesiden vil bede om en ekstra kode (leveret til brugerens e-mail eller telefonnummer) udover brugernavn og adgangskodekombination for at komme ind.
Dette er generelt en robust metode til at undgå uautoriseret adgang. Svindlere kan dog hurtigt arbejde med MFA via social engineering eller MITM-angreb. Så selvom det er en fremragende første (eller anden) forsvarslinje, er der mere i denne historie.
#3. Implementer CAPTCHA
De fleste ATO-angreb starter med bots, der prøver tilfældige login-legitimationsoplysninger. Derfor vil det være meget bedre at have en login-udfordring som CAPTCHA på plads.
Men hvis du tror, at dette er det ultimative våben, så tro om igen, fordi der er CAPTCHA-løsningstjenester derude, som en dårlig skuespiller kan implementere. Alligevel er CAPTCHA’er gode at have og beskytter mod ATO’er i mange tilfælde.
#4. Sessionsstyring
Automatisk logout for inaktive sessioner kan være en livredder for kontoovertagelser generelt, da nogle brugere logger ind fra flere enheder og går videre til andre uden at logge ud fra de tidligere.
Derudover kan det også være nyttigt at tillade én aktiv session pr. bruger.
Endelig vil det være bedst, hvis brugere kan logge ud fra aktive enheder eksternt, og der er sessionsstyringsmuligheder i selve brugergrænsefladen.
#5. Overvågningssystemer
Det er ikke så let at dække alle angrebsvektorerne som en start-up eller mellemniveau organisation, især hvis du ikke har en dedikeret cybersikkerhedsafdeling.
Her kan du stole på tredjepartsløsninger som Cloudflare og Imperva, foruden de allerede nævnte Acronis og Sucuri. Disse cybersikkerhedsvirksomheder er nogle af de bedste til at håndtere sådanne problemer og kan effektivt forhindre eller afbøde ATO-angreb.
#6. Geofencing
Geofencing anvender lokationsbaserede adgangspolitikker til dit webprojekt. For eksempel har en 100 % USA-baseret virksomhed ringe eller ingen grund til at tillade kinesiske brugere. Selvom dette ikke er en idiotsikker løsning til at forhindre ATO-angreb, tilføjer det den overordnede sikkerhed.
Tager man dette et par hak op, kan en online-virksomhed konfigureres til kun at tillade bestemte IP-adresser, der er tildelt sine medarbejdere.
Med andre ord kan du bruge en virksomheds-VPN til at sætte en stopper for kontoovertagelsesangreb. Derudover vil en VPN også kryptere den indgående og udgående trafik, hvilket beskytter dine forretningsressourcer mod man-in-the-middle-angreb.
#7. Opdateringer
Som internetbaseret virksomhed beskæftiger du dig sikkert med en masse softwareapplikationer, såsom operativsystemer, browsere, plugins osv. Alle disse bliver forældede og skal opdateres for den bedst mulige sikkerhed. Selvom dette ikke er direkte relateret til ATO-angreb, kan et forældet stykke kode være en nem gateway for en cyberkriminel til at skabe kaos på din virksomhed.
Nederste linje: skub regelmæssige sikkerhedsopdateringer til forretningsenheder. For brugere kan det være et godt skridt fremad at prøve at uddanne dem til at holde applikationerne til deres nyeste versioner.
Efter alt dette og mere er der ingen sikkerhedsekspert, der kan garantere 100 % sikkerhed. Derfor bør du have en grundig afhjælpningsplan på plads for den skæbnesvangre dag.
Bekæmper ATO-angreb
Det bedste er at have en cybersikkerhedsekspert ombord, da hver sag er unik. Alligevel er her nogle trin til at guide dig i et almindeligt post-ATO-angrebsscenarie.
Indeholde
Når du har opdaget et ATO-angreb på nogle konti, er den første ting at gøre midlertidigt at deaktivere de berørte profiler. Dernæst kan det være nyttigt at sende en adgangskode og MFA-nulstillingsanmodning til alle konti til at begrænse skaden.
Informere
Kommuniker med de målrettede brugere om begivenheden og den ondsindede kontoaktivitet. Derefter skal du informere dem om de midlertidige forbud og kontogendannelsestrin for sikker adgang.
Undersøge
Denne proces kan bedst udføres af en erfaren ekspert eller et team af cybersikkerhedsprofessionelle. Målet kan være at identificere de berørte konti og sikre, at angriberen ikke stadig er i aktion ved hjælp af AI-drevne mekanismer, såsom adfærdsanalyse.
Derudover bør omfanget af databruddet, hvis der er et sådant, kendes.
Gendanne
En fuld-system malware-scanning bør være det første skridt i en detaljeret genopretningsplan, fordi kriminelle oftest planter rootkits for at inficere systemet eller for at bevare adgangen til fremtidige angreb.
På dette stadium kan man presse på for biometrisk autentificering, hvis den er tilgængelig, eller MFA, hvis den ikke allerede er ansat.
Rapport
Baseret på den lokale lovgivning skal du muligvis rapportere det til de offentlige myndigheder. Dette vil hjælpe dig med at forblive kompatibel og forfølge en retssag mod angriberne, hvis det er nødvendigt.
Plan
Efterhånden ved du om nogle smuthuller, der eksisterede uden din viden. Det er tid til at tage fat på dem i den fremtidige sikkerhedspakke.
Benyt desuden lejligheden til at oplyse brugerne om denne hændelse og anmode om at praktisere sund internethygiejne for at undgå fremtidige problemer.
Ind i fremtiden
Cybersikkerhed er et domæne i udvikling. Ting, der anses for sikre for et årti siden, kan være en åben invitation til svindlere i øjeblikket. Derfor er det den bedste vej frem at holde sig ajour med udviklingen og periodisk opgradere din virksomheds sikkerhedsprotokoller.
Hvis du er interesseret, er toadmin.dk’s sikkerhedssektion et bogmærkeværdigt bibliotek af artikler rettet mod nystartede virksomheder og SMB’er, som vi skriver og opdaterer regelmæssigt. Bliv ved med at tjekke disse ud, og jeg er sikker på, at du kan tjekke “at holde sig ajour”-delen af sikkerhedsplanlægningen.
Vær sikker, og lad dem ikke overtage disse konti.