Som företag kan man relativt enkelt skydda sig mot den vanligaste formen av bedrägeri, nämligen en så kallad ”Account Takeover Attack” (ATO), genom att implementera några grundläggande säkerhetsåtgärder på ett korrekt sätt.
Den 30 augusti 2019 upplevde Jack Dorseys följare på Twitter (numera X) en märklig eftermiddag. ”Han” hade plötsligt inlett en serie omdömeslösa inlägg som varade i ungefär 20 minuter, där han spred rasistiska förtal och andra kränkande meddelanden.
Hans beundrare tolkade det kanske som ett ovanligt mentalt sammanbrott från VD:n för den största mikrobloggplattformen. Men ”Chuckling Squad”, gruppen som låg bakom detta ”äventyr”, hade lagt in länkar till sin Discord-kanal i de vilseledande inläggen från Jacks konto.
Händelsen bekräftades senare av Twitter (nu X).
Vi är medvetna om att @jack har blivit komprometterad och utreder nu vad som har hänt.
— Twitter Comms (@TwitterComms) 30 augusti 2019
Detta var en typisk Account Takeover (ATO)-attack, specifikt en ”Sim Swapping”-attack. Hackarna lyckades fjärrstyra Jacks telefonnummer och skicka ut inläggen via en tredjepartstjänst, Cloudhopper.
Om en VD för ett ledande teknikföretag kan falla offer, vilka chanser har då en genomsnittlig användare?
Låt oss tillsammans utforska de olika formerna av ATO och hur du kan skydda din organisation.
Vad är en ATO-attack?
En kontoövertagandeattack (ATO) går, som namnet antyder, ut på att med olika metoder (vilka vi kommer att diskutera senare) kapa ett offers onlinekonto. Syftet kan vara många olagliga saker, såsom ekonomiskt bedrägeri, att komma åt känslig information, att lura andra och mycket mer.
Hur fungerar ATO?
Grundläggande för en ATO-attack är att stjäla kontouppgifter. Kriminella gör detta på olika sätt, som exempelvis:
- Social Manipulation: Det handlar om att psykologiskt tvinga eller övertala någon att avslöja sina inloggningsuppgifter. Det kan ske genom att utge sig för att vara teknisk support eller genom att skapa en nödsituation, vilket ger offret lite tid att tänka rationellt.
- Credential Stuffing: En underkategori av ”brute force”. Här försöker bedragaren testa slumpmässiga inloggningsuppgifter, ofta hämtade från dataintrång eller köpta på darknet.
- Skadlig Programvara: Oönskade program kan utföra många skadliga handlingar på din dator. Ett av dem är att stjäla inloggade konton och skicka dessa uppgifter till cyberkriminella.
- Nätfiske: Den vanligaste formen av cyberattack. Nätfiske börjar ofta med ett enkelt klick. Denna till synes oskyldiga åtgärd leder användaren till en falsk webbsida, där offret sedan matar in sina inloggningsuppgifter. Därmed skapas förutsättningar för en kommande ATO-attack.
- MITM: En ”Man-in-the-Middle”-attack innebär att en skicklig hackare ”lyssnar” på din inkommande och utgående nätverkstrafik. Allt, inklusive användarnamn och lösenord som du anger, är synligt för en obehörig tredje part.
Detta är de vanliga metoderna som cyberbrottslingar använder för att olagligt skaffa inloggningsuppgifter. Efter detta följer kontoövertagandet, den olagliga aktiviteten och ett försök att hålla åtkomsten ”aktiv” så länge som möjligt för att ytterligare utnyttja offret eller attackera andra.
Ofta försöker brottslingarna låsa ut den rättmätige användaren permanent eller skapa bakdörrar för framtida attacker.
Ingen vill uppleva detta (det ville inte Jack heller!). Därför är det viktigt att vi kan upptäcka det i förväg för att undvika skador.
Upptäcka en ATO-attack
Som företagsägare finns det flera sätt att identifiera en ATO-attack mot dina användare eller anställda.
#1. Ovanlig Inloggning
Detta kan innebära upprepade inloggningsförsök från olika IP-adresser, särskilt geografiskt avlägsna platser. Det kan också finnas inloggningar från flera enheter eller webbläsare.
Ytterligare en indikation är inloggningsaktivitet utanför de normala arbetstiderna.
#2. 2FA-fel
Upprepade misslyckanden med tvåfaktorsautentisering (2FA) eller multifaktorautentisering (MFA) är ytterligare signaler om misstänkt aktivitet. Oftast är det en kriminell som försöker logga in efter att ha kommit över ett läckt eller stulet användarnamn och lösenord.
#3. Onormal Aktivitet
Ibland krävs det ingen expert för att lägga märke till avvikelser. Allt som avviker från ett normalt användarbeteende kan vara en indikation på ett kontoövertagande.
Det kan vara så enkelt som en olämplig profilbild eller att dina kunder får spam-meddelanden.
I slutändan är det inte enkelt att upptäcka sådana attacker manuellt, så verktyg som Sucuri eller Acronis kan hjälpa till att automatisera processen.
Låt oss nu titta på hur man kan undvika sådana attacker överhuvudtaget.
Förebygga en ATO-attack
Förutom att använda cybersäkerhetsverktyg finns det några beprövade metoder att ta till sig.
#1. Starka Lösenord
Ingen gillar starka lösenord, men i dagens hotbild är de absolut nödvändiga. Låt därför inte dina användare eller anställda nöja sig med enkla lösenord. Inför istället minimikrav på komplexitet vid kontoregistrering.
Särskilt för organisationer är 1Password Business ett bra val för en lösenordshanterare som kan förenkla arbetet för ditt team. Förutom att skydda lösenord, skannar premiumverktyg även darknet och varnar för eventuella läckta inloggningsuppgifter. Det hjälper dig sedan att skicka ut begäran om lösenordsåterställning till berörda användare eller anställda.
#2. Multifaktorautentisering (MFA)
För de som inte vet, betyder multifaktorautentisering att webbplatsen kommer att kräva en extra kod (som skickas till användarens e-post eller telefonnummer) utöver kombinationen av användarnamn och lösenord för att logga in.
Detta är generellt en bra metod för att undvika obehörig åtkomst. Bedragare kan dock snabbt ta sig förbi MFA genom social manipulation eller MITM-attacker. Så, även om det är en utmärkt första (eller andra) försvarslinje, finns det mer att göra.
#3. Implementera CAPTCHA
De flesta ATO-attacker inleds av botar som testar slumpmässiga inloggningsuppgifter. Därför är det mycket bättre att ha en inloggningsutmaning som CAPTCHA på plats.
Men om du tror att detta är det ultimata skyddet, tänk om! Det finns nämligen CAPTCHA-lösningstjänster som en bedragare kan använda sig av. Ändå är CAPTCHA bra att ha och skyddar mot ATO i många fall.
#4. Sessionshantering
Automatisk utloggning för inaktiva sessioner kan vara en räddare i nöden mot kontoövertaganden, eftersom vissa användare loggar in från flera enheter och fortsätter att använda andra utan att logga ut från de tidigare.
Dessutom kan det vara bra att bara tillåta en aktiv session per användare.
Slutligen är det idealiskt om användarna kan logga ut från aktiva enheter på distans och att det finns alternativ för sessionshantering i gränssnittet.
#5. Övervakningssystem
Att täcka alla attackvektorer som en nystartad eller medelstor organisation är inte lätt, särskilt om du saknar en dedikerad cybersäkerhetsavdelning.
I det här läget kan du förlita dig på tredjepartslösningar som Cloudflare och Imperva, utöver de tidigare nämnda Acronis och Sucuri. Dessa cybersäkerhetsföretag är några av de bästa när det gäller att hantera den här typen av problem och kan effektivt förhindra eller mildra ATO-attacker.
#6. Geofencing
Geofencing används för att tillämpa platsbaserade åtkomstpolicyer för din webbplats. Till exempel har ett företag med 100 % bas i Sverige inte så stor anledning att tillåta användare från t ex Kina. Även om detta inte är en vattentät lösning för att förhindra ATO-attacker, bidrar det till den totala säkerheten.
Om man tar detta ett steg vidare kan en webbverksamhet konfigureras så att endast vissa IP-adresser som tilldelas anställda tillåts.
Med andra ord kan du använda ett företags-VPN för att stoppa kontoövertaganden. Dessutom kommer ett VPN också att kryptera den inkommande och utgående trafiken, vilket skyddar dina företagsresurser från ”Man-in-the-Middle”-attacker.
#7. Uppdateringar
Som en internetbaserad verksamhet hanterar du förmodligen en hel del program, som operativsystem, webbläsare, plugins etc. Alla dessa blir föråldrade och behöver uppdateras för att upprätthålla optimal säkerhet. Även om detta inte är direkt kopplat till ATO-attacker, kan en föråldrad kod utgöra en enkel ingång för en cyberbrottsling att skada ditt företag.
Sammanfattningsvis: skicka ut regelbundna säkerhetsuppdateringar till företagets enheter. För användare kan det vara en bra idé att informera dem om vikten av att uppdatera sina program till de senaste versionerna.
Trots alla dessa åtgärder finns det inga säkerhetsexperter som kan garantera 100 % säkerhet. Därför bör du ha en effektiv åtgärdsplan i beredskap för den olycksaliga dagen.
Bekämpa ATO-attack
Det bästa är att ha en cybersäkerhetsexpert tillhands, eftersom varje fall är unikt. Här är ändå några steg som kan vägleda dig i ett vanligt scenario efter en ATO-attack.
Innehålla
När du har upptäckt en ATO-attack på vissa konton, är det första du bör göra att tillfälligt inaktivera de drabbade profilerna. Därefter kan det vara till hjälp att skicka lösenord och begäran om återställning av MFA till alla konton, för att begränsa skadan.
Informera
Informera de drabbade användarna om händelsen och den skadliga aktiviteten som skett på deras konton. Meddela dem sedan om de tillfälliga spärrarna och stegen för att återställa kontona för säker åtkomst.
Utred
Denna process utförs bäst av en erfaren expert eller ett team av cybersäkerhetsproffs. Målet är att identifiera de berörda kontona och säkerställa att angriparen inte fortfarande är aktiv, med hjälp av AI-drivna mekanismer, såsom beteendeanalys.
Dessutom bör omfattningen av eventuellt dataintrång kartläggas.
Återhämta
En skanning efter skadlig programvara i hela systemet bör vara det första steget i en detaljerad återhämtningsplan, eftersom brottslingar ofta planterar rootkits för att infektera systemet eller behålla åtkomst för framtida attacker.
I detta skede kan man trycka på för biometrisk autentisering, om tillgänglig, eller MFA, om den inte redan används.
Rapportera
Beroende på lokala lagar kan det vara nödvändigt att rapportera incidenten till myndigheterna. Detta hjälper dig att följa lagen och driva en stämningsansökan mot angriparna om det behövs.
Planera
Vid det här laget har du kanske upptäckt några säkerhetsluckor som du inte kände till. Det är dags att åtgärda dessa i det kommande säkerhetspaketet.
Ta dessutom tillfället i akt att utbilda användarna om incidenten och uppmana dem att upprätthålla god internethygien för att undvika framtida problem.
Inför Framtiden
Cybersäkerhet är ett område som ständigt utvecklas. Det som ansågs säkert för ett decennium sedan kan vara en öppen inbjudan för bedragare i dag. Därför är det bästa sättet att hålla sig uppdaterad med den senaste utvecklingen och kontinuerligt uppgradera ditt företags säkerhetsprotokoll.
Om du är intresserad, är adminvista.coms säkerhetssektion ett bibliotek med artiklar som är värda att spara. Där hittar du information riktad mot nystartade och små till medelstora företag som vi skriver och uppdaterar regelbundet. Fortsätt att följa dessa, så kan du enkelt hålla dig uppdaterad om säkerhetsplanering.
Var försiktig och låt dem inte ta över era konton.