Hur man upptäcker, förhindrar och mildrar en kontoövertagandeattack (ATO)

Som företag kan du enkelt försvara dig mot den vanligaste typen av bedrägeri, en Account Takeover Attack (ATO), med några grunder gjorda på rätt sätt.

Eftermiddagen den 30 augusti 2019 var bisarr för Jack Dorseys Twitter (nu X) följare. ”Han” var på en hänsynslös spree, som varade i cirka 20 minuter, med att twittra rasistiska förtal och andra stötande meddelanden.

Hans fans kan ha tagit det som ett ovanligt mentalt sammanbrott från VD:n för den största mikrobloggwebbplatsen. Men Chuckling Squad, gruppen bakom detta ”äventyr”, hade lämnat länkar till sin discord-kanal i de vilseledande tweetarna från Jacks konto.

Senare bekräftade Twitter (numera X) händelsen.

Det är vi medvetna om @jack komprometterades och undersökte vad som hände.

— Twitter Comms (@TwitterComms) 30 augusti 2019

Detta var en klassisk Account Takeover (ATO) Attack, en Sim Swapping en i synnerhet, där hackarna tog kontroll över Jacks telefonnummer på distans och twittrade från en tredjeparts tweetingtjänst, Cloudhopper.

Vilka är oddsen för en genomsnittlig användare om VD:n för ett tekniskt företag på toppnivå kan bli ett offer?

Så gå med mig för att prata om de olika formerna av ATO och hur du kan hålla din organisation säker.

Vad är en ATO-attack?

En kontoövertagande (ATO) attack, som antyds av dess namn, använder olika tekniker (diskuteras senare) för att kapa ett offers onlinekonto för många olagliga syften, såsom ekonomiska bedrägerier, åtkomst till känslig information, lura andra och mer.

Hur fungerar ATO?

Kärnan i en ATO-attack är att stjäla kontouppgifter. Dåliga skådespelare gör detta på olika sätt, som:

  • Social Engineering: Det är att psykologiskt tvinga eller övertala en person att avslöja sina inloggningsuppgifter. Detta kan göras under förevändning av teknisk support eller att tillverka en nödsituation, vilket ger offret lite tid att tänka rationellt.
  • Credential Stuffing: En delmängd av brute force, credential stuffing betyder att en bedragare försöker få slumpmässiga inloggningsuppgifter att fungera, ofta hämtade från ett dataintrång eller köpt från den mörka webben.
  • Skadlig programvara: Farliga, oönskade program kan göra många saker med din dator. Ett sådant fall är att stjäla de inloggade kontona och skicka uppgifterna till cyberbrottslingen.
  • Nätfiske: Den vanligaste formen av cyberattack, nätfiske, börjar normalt med ett enkelt klick. Denna till synes ofarliga åtgärd tar användaren till en förfalskning där det blivande offret anger inloggningsuppgifter, vilket banar väg för en kommande ATO-attack.
  • MITM: Man-in-the-middle-attack representerar en situation där en skicklig hackare ”lyssnar” på din inkommande och utgående nätverkstrafik. Allt, inklusive användarnamn och lösenord du anger, är synligt för en skadlig tredje part.
  • Dessa var standardsätten som cybertjuvar använder för att kriminellt skaffa inloggningsuppgifter. Vad som följer är kontoövertagande, olaglig aktivitet och ett försök att hålla åtkomsten ”live” så länge som möjligt för att ytterligare göra användaren till offer eller attackera andra.

    Oftare än inte försöker skurkarna låsa ut användaren på obestämd tid eller sätta upp bakdörrar för en framtida attack.

    Även om ingen vill gå igenom det här (det gjorde inte Jack heller!), så hjälper det massor om vi kan fånga det i förväg för att undvika skador.

    Upptäcker en ATO-attack

    Som företagsägare finns det några sätt att upptäcka en ATO-attack på dina användare eller anställda.

    #1. Ovanlig inloggning

    Dessa kan vara upprepade inloggningsförsök från olika IP-adresser, särskilt från geografiskt avlägsna platser. På samma sätt kan det finnas inloggningar från flera enheter eller webbläsaragenter.

    Dessutom kan inloggningsaktivitet utanför de normala aktiva timmarna återspegla en möjlig ATO-attack.

    #2. 2FA-fel

    Upprepade tvåfaktorsautentiserings- eller multifaktorautentiseringsfel signalerar också felaktigt uppförande. För det mesta är det en dålig skådespelare som försöker logga in efter att ha fått tag i det läckta eller stulna användarnamnet och lösenordet.

    #3. Onormal aktivitet

    Ibland krävs det ingen expert för att notera en anomali. Allt som ligger utanför det normala användarbeteendet kan flaggas för kontoövertagande.

    Det kan vara så enkelt som en olämplig profilbild eller en serie skräppostmeddelanden till dina kunder.

    I slutändan är det inte lätt att upptäcka sådana attacker manuellt, och verktyg som Sucuri eller Acronis kan hjälpa till att automatisera processen.

    Gå vidare, låt oss kolla in hur man undviker sådana attacker i första hand.

    Förhindrar en ATO-attack

    Förutom att prenumerera på cybersäkerhetsverktyg finns det några bästa praxis du kan ta del av.

    #1. Starka lösenord

    Ingen gillar starka lösenord, men de är en absolut nödvändighet i det nuvarande hotbilden. Låt därför inte dina användare eller anställda komma undan med enkla lösenord, och ställ upp några minimikrav på komplexitet för kontoregistrering.

    Speciellt för organisationer, 1Password business är ett starkt val för en lösenordshanterare som kan göra det hårda arbetet för ditt team. Förutom att vara en lösenordsskyddare, skannas förstklassiga verktyg också av den mörka webben och varnar dig om eventuella referenser läcker. Det hjälper dig att skicka förfrågningar om lösenordsåterställning till berörda användare eller anställda.

    #2. Multifaktorautentisering (MFA)

    För de som inte vet betyder multifaktorautentisering att webbplatsen kommer att be om en extra kod (levereras till användarens e-post eller telefonnummer) förutom kombinationen av användarnamn och lösenord för att komma in.

    Detta är i allmänhet en robust metod för att undvika obehörig åtkomst. Bedragare kan dock göra ett snabbt arbete med MFA via social ingenjörskonst eller MITM-attacker. Så även om det är en utmärkt första (eller andra) försvarslinje, finns det mer i den här historien.

    #3. Implementera CAPTCHA

    De flesta ATO-attacker börjar med bots som försöker slumpmässiga inloggningsuppgifter. Därför kommer det att vara mycket bättre att ha en inloggningsutmaning som CAPTCHA på plats.

    Men om du tror att detta är det ultimata vapnet, tänk om för det finns CAPTCHA-lösningstjänster där ute som en dålig skådespelare kan använda. Ändå är CAPTCHA bra att ha och skyddar mot ATO i många fall.

    #4. Sessionshantering

    Automatisk utloggning för inaktiva sessioner kan vara en livräddare för kontoövertaganden i allmänhet eftersom vissa användare loggar in från flera enheter och går vidare till andra utan att logga ut från de tidigare.

    Dessutom kan det vara användbart att bara tillåta en aktiv session per användare.

    Slutligen är det bäst om användare kan logga ut från aktiva enheter på distans och det finns alternativ för sessionshantering i själva gränssnittet.

    #5. Övervakningssystem

    Att täcka alla attackvektorer som en nystartad eller medelstor organisation är inte så lätt, särskilt om du inte har en dedikerad cybersäkerhetsavdelning.

    Här kan du lita på tredjepartslösningar som Cloudflare och Imperva, förutom de redan angivna Acronis och Sucuri. Dessa cybersäkerhetsföretag är några av de bästa för att hantera sådana problem och kan effektivt förhindra eller mildra ATO-attacker.

    #6. Geofencing

    Geofencing tillämpar platsbaserade åtkomstpolicyer för ditt webbprojekt. Till exempel har ett 100 % USA-baserat företag liten eller ingen anledning att tillåta kinesiska användare. Även om detta inte är en idiotsäker lösning för att förhindra ATO-attacker, bidrar det till den övergripande säkerheten.

    Om man tar detta några steg upp, kan ett onlineföretag konfigureras för att endast tillåta vissa IP-adresser som tilldelas sina anställda.

    Med andra ord kan du använda ett företags-VPN för att sätta stopp för uppköpsattacker. Dessutom kommer en VPN också att kryptera den inkommande och utgående trafiken, vilket skyddar dina företagsresurser från man-in-the-midten-attacker.

    #7. Uppdateringar

    Som en internetbaserad verksamhet hanterar du förmodligen en hel del mjukvaruapplikationer, såsom operativsystem, webbläsare, plugins etc. Alla dessa blir föråldrade och behöver uppdateras för bästa möjliga säkerhet. Även om detta inte är direkt relaterat till ATO-attacker, kan en föråldrad kod vara en enkel inkörsport för en cyberbrottsling att orsaka förödelse för ditt företag.

    Summa summarum: skicka regelbundna säkerhetsuppdateringar till företagsenheter. För användare kan det vara ett bra steg framåt att försöka lära dem att behålla applikationerna till sina senaste versioner.

    Efter allt detta och mer finns det ingen säkerhetsexpert som kan garantera 100 % säkerhet. Följaktligen bör du ha en kraftfull åtgärdsplan på plats för den ödesdigra dagen.

    Slåss mot ATO-attack

    Det bästa är att ha en cybersäkerhetsexpert ombord, eftersom varje fall är unikt. Ändå, här är några steg för att vägleda dig i ett vanligt scenario efter ATO-attack.

    Innehålla

    När du har upptäckt en ATO-attack på vissa konton är det första du ska göra att tillfälligt inaktivera de berörda profilerna. Att skicka ett lösenord och begäran om återställning av MFA till alla konton kan sedan vara till hjälp för att begränsa skadan.

    Underrätta

    Kommunicera med de inriktade användarna om händelsen och den skadliga kontoaktiviteten. Informera dem sedan om det tillfälliga blockerings- och kontoåterställningsstegen för säker åtkomst.

    Undersöka

    Denna process kan bäst utföras av en erfaren expert eller ett team av cybersäkerhetsproffs. Målet kan vara att identifiera de berörda kontona och säkerställa att angriparen inte fortfarande är i aktion med hjälp av AI-drivna mekanismer, såsom beteendeanalys.

    Dessutom bör omfattningen av dataintrånget, om det finns ett, vara känt.

    Ta igen sig

    En skanning av skadlig programvara i hela systemet bör vara det första steget i en detaljerad återhämtningsplan eftersom brottslingar oftare planterar rootkits för att infektera systemet eller för att behålla åtkomst för framtida attacker.

    I detta skede kan man trycka på för biometrisk autentisering, om tillgänglig, eller MFA, om den inte redan är anställd.

    Rapportera

    Baserat på lokala lagar kan du behöva rapportera det till myndigheter. Detta hjälper dig att hålla dig följsam och driva en stämningsansökan mot angriparna om det behövs.

    Planen

    Vid det här laget vet du om några kryphål som fanns utan din vetskap. Det är dags att ta itu med dem i det framtida säkerhetspaketet.

    Ta dessutom tillfället i akt att utbilda användarna om denna incident och begär att få utöva hälsosam internethygien för att undvika framtida problem.

    In i framtiden

    Cybersäkerhet är en domän i utveckling. Saker som ansågs säkra för ett decennium sedan kan vara en öppen inbjudan till bedragare för närvarande. Därför är det bästa sättet att hålla sig à jour med utvecklingen och uppgradera ditt företags säkerhetsprotokoll med jämna mellanrum.

    Om du är intresserad är adminvista.com säkerhetssektion ett bokmärkesvärdigt bibliotek med artiklar riktade till nystartade företag och små och medelstora företag som vi skriver och uppdaterar regelbundet. Fortsätt att kolla in dessa, och jag är säker på att du kan kontrollera ”hålla sig à jour”-delen av säkerhetsplaneringen.

    Var säker och låt dem inte ta över dessa konton.