Запобігання атакам типу ATO. Частина 3: протидія фішингу
Запобігання атакам типу ATO. Частина 3: протидія фішингу
Мегатрейд пропонує третю статтю на тему протидії атакам типу АТО, у якій розкривається тема фішингу — однієї з найпоширеніших і найнебезпечніших кіберзагроз. Про етапи, типи, методи виявлення АТО-атак читайте в частині 1. Про багатофакторну автентифікацію — в частині 2. Про обмеження швидкості — в частині 4.
18.08.2023
За матеріалами Спирос Псарріс (Spiros Psarris), reblaze.com/blog
Захоплення облікових записів (Account Takeover, ATO) — це форма кібератаки, коли хакери здобувають контроль над наявними обліковими записами користувачів. Якщо акаунти клієнтів будуть скомпрометовані зловмисниками, це може завдати шкоди репутації компанії.Доступ до торгового рахунку (мерчант-акаунту) буде заблокований. Та як результат — стандарти безпеки не будуть дотримані. Крім того, це може призвести до зламу системи, викрадання даних і встановлення програм-вимагачів.
У цій серії статей обговорюється, як захиститися від атак захоплення облікового запису. В 1-й частині ми надали огляд типів атак АТО, у 2-й частині детально розглянули технологію MFA (багатофакторну автентифікацію), яка захищає облікові записи завдяки додатковим засобам безпеки, наприклад, одноразовим паролям.
Сьогодні ми обговоримо заходи протидії одному з найнебезпечніших векторів атак АТО — фішингу.
Загалом фішинг є однією з найпоширеніших і найнебезпечніших кіберзагроз. У звіті SlashNext за 2022 рік повідомляється про понад 255 мільйонів спроб таких атак упродовж шестимісячного періоду. Дослідження Управління національної статистики Великобританії свідчить, що користувачі віком від 25 до 44 років отримують найбільше фішингових повідомлень, а особи віком від 35 до 44 найімовірніше натискають на шкідливі посилання в них.
Фішинг може мати різні форми. Деякі атаки націлені на конкретних осіб, тоді як інші надсилають зловмисні листи якомога більшій кількості користувачів. Відповідно до звіту Verizon про розслідування витоку даних за 2022 рік, 96% фішингових атак починаються з електронної пошти. Проте використовуються і інші канали, зокрема, телефон, SMS і схожі домени вебсайтів.
Ці атаки бувають дуже складними і здатні ввести в оману навіть досвідчених користувачів. Фішинг є причиною деяких відомих кібератак, що призвели до захоплення облікових записів. Як приклад можна згадати злам Sony Pictures у 2014 році: тоді зловмисники надсилали фішингові електронні листи, нібито від Apple, топменеджерам Sony, спрямовуючи їх на фіктивний сайт для входу, через який захоплювали їхні облікові дані.
За останні кілька років телекомунікаційні компанії розширили свої можливості з нейтралізації шкідливих повідомлень. Це сталося внаслідок скарг споживачів. У багатьох країнах телеком-провайдери блокують або позначають велику кількість автоматизованих дзвінків або масових текстових кампаній.
Щодо електронної пошти, то тут також ситуація покращується. Багато email-сервісів корпоративного рівня, як от розширене автоматичне сканування Gmail, здатні ідентифікувати підозрілий вміст до того, як він буде доставлений користувачеві. Далі такі повідомлення можуть бути поставлені в карантин, переміщені в спам або виділені як ненадійні в теці «Вхідні».
Якщо ваша організація зараз не користується такими можливостями, то даремно. Автоматичне виявлення та блокування фішингу — це ефективний спосіб, що дає змогу з низьким ризиком значно підвищити рівень безпеки.
Навчання користувачів
Автоматична фільтрація блокуватиме прості фішингові атаки, але не завжди виявлятиме складніші методи. Саме тут навчання користувачів має вирішальне значення.
Співробітники компаній, підрядники та інші користувачі мають проходити регулярні тренінги з правил безпечного користування електронною поштою, з виявлення методів маніпулювання людьми тощо. Хоча деякі сучасні спроби фішингу помітити доволі важко, усе ж є певні ознаки, які допоможуть виявити наявність автентичності електронного листа або брак її. Помилки, нечіткі вказівки та нерозпізнані адреси «відправника» часто є ознаками того, що повідомлення несправжнє.
Досвід багатьох керівників свідчить про те, що складно розробити ефективну навчальну програму боротьби з фішингом, бо люди на зовнішні подразники реагують по-різному та виконують інструкції з безпеки з різним рівнем старанності. Такі організації, як CISA (Агентство з кібербезпеки та безпеки інфраструктури США), надають навчальні матеріали, що можуть бути корисними. Ще один корисний ресурс — phishing.org.
Нейтралізація шкідливих дій від ошуканих користувачів
Фільтрування не обов’язково блокуватиме всі фішингові повідомлення, а навчання користувачів також, на жаль, не завжди захищає їх від обману. Тому важливо передбачити шкідливі дії користувачів.
Наприклад, керівники компаній мають вимагати від працівників використовувати під час роботи менеджери паролів., У момент відвідування фішингового сайту не спрацює функція автозаповнення пароля, за яку і відповідає менеджер паролів. Це має бути сигналом, що сайт неправильний.
Загалом ваша організація мусить визначити чітку внутрішню політику, яка запобігає розголошенню інформації. Наприклад, користувачам треба заборонити передавати облікові дані електронною поштою. Для підтвердження важливих запитів, наприклад, схвалення платежів, люди мають зв’язуватися один з одним особисто телефоном. (Це може допомогти в нейтралізації розповсюдженіших фішингових атак, таких, як шахрайство з генеральним директором. Ці атаки ґрунтуються на маніпуляції психологічними чинниками, такими як тиск та переконливість, щоб змусити користувача розкрити свої конфіденційні дані.
Рекомендований план дій для захисту
CISA пропонує підхід до впровадження технологічної системи протидії фішингу в чотири етапи:
Організації мусять передбачити таку можливість і підготуватися до неї. В ідеалі варто реалізувати в усіх системах модель безпеки з нульовою довірою. Це непросто зробити, але однаково це має бути метою.
Також важливо дотримуватися принципу найменших привілеїв, оскільки це дасть змогу обмежити потенційну шкоду, яку може завдати зламаний обліковий запис.
Якщо зловмисник перехопив обліковий запис одного з ваших замовників, то вам буде важко розпізнати цю атаку, оскільки хакер може майстерно маскуватися під легітимного користувача. Тому важливо мати рішення вебзахисту, яке включає модуль UEBA (аналітика поведінки користувачів і суб’єктів), що може розпізнавати та позначати аномальну поведінку.
У поточному середовищі загроз організаціям треба більше, ніж просто WAF (брандмауер вебзастосунків) наступного покоління, захист від DDoS-атак і керування ворожими ботами.Їм також потрібний специфічний багаторівневий захист від АТО. Тому в наступній статті цієї серії ми обговоримо ще одну важливу, але часто недооцінену технологію протидії ATO: обмеження швидкості.
Попри складну загрозу, що становить ATO, можна успішно відбити атаку, використовуючи надійну систему безпеки. Зокрема, рішення, розроблене компанією Reblaze, забезпечує надійний захист облікових записів користувачів та клієнтів і є важливою складовою комплексного програмного забезпечення для веббезпеки. Цей продукт ефективно блокує несанкціоновані спроби використання або доступу до облікових даних, захищає облікові записи користувачів від атак типу ATO.
Фахівці Мегатрейд, що є офіційним дистриб’ютором Reblaze в Україні, проконсультують та допоможуть ознайомитися із демонстраційною версією Reblaze — рішенням із вебзахисту нового покоління. Надішліть запит (soft@megatrade.ua) та отримайте консультацію!
Захоплення облікових записів (Account Takeover, ATO) — це форма кібератаки, коли хакери здобувають контроль над наявними обліковими записами користувачів. Якщо акаунти клієнтів будуть скомпрометовані зловмисниками, це може завдати шкоди репутації компанії.Доступ до торгового рахунку (мерчант-акаунту) буде заблокований. Та як результат — стандарти безпеки не будуть дотримані. Крім того, це може призвести до зламу системи, викрадання даних і встановлення програм-вимагачів.
У цій серії статей обговорюється, як захиститися від атак захоплення облікового запису. В 1-й частині ми надали огляд типів атак АТО, у 2-й частині детально розглянули технологію MFA (багатофакторну автентифікацію), яка захищає облікові записи завдяки додатковим засобам безпеки, наприклад, одноразовим паролям.
Сьогодні ми обговоримо заходи протидії одному з найнебезпечніших векторів атак АТО — фішингу.
Захист організації від фішингу
Фішинг — це форма психологічного маніпулювання, яка змушує користувачів виконувати шкідливі дії. Цілі зловмисників можуть бути різними, наприклад, змусити користувачів розкрити конфіденційну інформацію чи встановити зловмисне програмне забезпечення. У цій статті ми зосередимося на фішингових атаках, мета яких — перехопити обліковий запис.Загалом фішинг є однією з найпоширеніших і найнебезпечніших кіберзагроз. У звіті SlashNext за 2022 рік повідомляється про понад 255 мільйонів спроб таких атак упродовж шестимісячного періоду. Дослідження Управління національної статистики Великобританії свідчить, що користувачі віком від 25 до 44 років отримують найбільше фішингових повідомлень, а особи віком від 35 до 44 найімовірніше натискають на шкідливі посилання в них.
Фішинг може мати різні форми. Деякі атаки націлені на конкретних осіб, тоді як інші надсилають зловмисні листи якомога більшій кількості користувачів. Відповідно до звіту Verizon про розслідування витоку даних за 2022 рік, 96% фішингових атак починаються з електронної пошти. Проте використовуються і інші канали, зокрема, телефон, SMS і схожі домени вебсайтів.
Ці атаки бувають дуже складними і здатні ввести в оману навіть досвідчених користувачів. Фішинг є причиною деяких відомих кібератак, що призвели до захоплення облікових записів. Як приклад можна згадати злам Sony Pictures у 2014 році: тоді зловмисники надсилали фішингові електронні листи, нібито від Apple, топменеджерам Sony, спрямовуючи їх на фіктивний сайт для входу, через який захоплювали їхні облікові дані.
Чотири рівні захисту від фішингу
Заходи проти фішингу можна поділити на чотири категорії:- фільтрування фішингових повідомлень, щоб вони не дійшли до одержувачів;
- навчання користувачів, щоб вони не були введені в оману повідомленнями, які обійшли фільтрування;
- блокування спроб вчинити шкідливі дії ошуканими користувачами;
- зменшення шкоди, якщо вищевказані три кроки не спрацювали.
За останні кілька років телекомунікаційні компанії розширили свої можливості з нейтралізації шкідливих повідомлень. Це сталося внаслідок скарг споживачів. У багатьох країнах телеком-провайдери блокують або позначають велику кількість автоматизованих дзвінків або масових текстових кампаній.
Щодо електронної пошти, то тут також ситуація покращується. Багато email-сервісів корпоративного рівня, як от розширене автоматичне сканування Gmail, здатні ідентифікувати підозрілий вміст до того, як він буде доставлений користувачеві. Далі такі повідомлення можуть бути поставлені в карантин, переміщені в спам або виділені як ненадійні в теці «Вхідні».
Якщо ваша організація зараз не користується такими можливостями, то даремно. Автоматичне виявлення та блокування фішингу — це ефективний спосіб, що дає змогу з низьким ризиком значно підвищити рівень безпеки.
Навчання користувачів
Автоматична фільтрація блокуватиме прості фішингові атаки, але не завжди виявлятиме складніші методи. Саме тут навчання користувачів має вирішальне значення.
Співробітники компаній, підрядники та інші користувачі мають проходити регулярні тренінги з правил безпечного користування електронною поштою, з виявлення методів маніпулювання людьми тощо. Хоча деякі сучасні спроби фішингу помітити доволі важко, усе ж є певні ознаки, які допоможуть виявити наявність автентичності електронного листа або брак її. Помилки, нечіткі вказівки та нерозпізнані адреси «відправника» часто є ознаками того, що повідомлення несправжнє.
Досвід багатьох керівників свідчить про те, що складно розробити ефективну навчальну програму боротьби з фішингом, бо люди на зовнішні подразники реагують по-різному та виконують інструкції з безпеки з різним рівнем старанності. Такі організації, як CISA (Агентство з кібербезпеки та безпеки інфраструктури США), надають навчальні матеріали, що можуть бути корисними. Ще один корисний ресурс — phishing.org.
Нейтралізація шкідливих дій від ошуканих користувачів
Фільтрування не обов’язково блокуватиме всі фішингові повідомлення, а навчання користувачів також, на жаль, не завжди захищає їх від обману. Тому важливо передбачити шкідливі дії користувачів.
Наприклад, керівники компаній мають вимагати від працівників використовувати під час роботи менеджери паролів., У момент відвідування фішингового сайту не спрацює функція автозаповнення пароля, за яку і відповідає менеджер паролів. Це має бути сигналом, що сайт неправильний.
Загалом ваша організація мусить визначити чітку внутрішню політику, яка запобігає розголошенню інформації. Наприклад, користувачам треба заборонити передавати облікові дані електронною поштою. Для підтвердження важливих запитів, наприклад, схвалення платежів, люди мають зв’язуватися один з одним особисто телефоном. (Це може допомогти в нейтралізації розповсюдженіших фішингових атак, таких, як шахрайство з генеральним директором. Ці атаки ґрунтуються на маніпуляції психологічними чинниками, такими як тиск та переконливість, щоб змусити користувача розкрити свої конфіденційні дані.
Рекомендований план дій для захисту
CISA пропонує підхід до впровадження технологічної системи протидії фішингу в чотири етапи:
- Використовуйте постачальника послуг електронної пошти та клієнтські програми для фільтрації та сканування вхідних електронних листів у реальному часі. Налаштуйте списки авторизованих відправників. Перепишіть гіперпосилання у вигляді звичайного тексту (щоб користувачі могли легко бачити їх призначення). Забороніть використання потенційно проблемних розширень файлів: exe,.com,.bat,.js,.cmd,.msi тощо та стиснені архіви.
- Використовуйте системи вебзахисту вихідних повідомлень, щоб запобігти доступу користувачів до шкідливих сайтів. Інтегруйте ці фільтри на рівні мережі за допомогою правил DNS. Це дає змогу уникнути з’єднання з відомими шкідливими сайтами, доменами з поганою репутацією або такими тривожними ознаками, як схожість домену з основним ресурсом (наприклад, micro-soft.com замість microsoft.com).
- Посильте користувацьке програмне забезпечення обов’язковим використанням авторизованих браузерів, програм електронної пошти та операційних систем. Це не дасть змоги хакерам застосувати відомі вразливості старих платформ.
- Забезпечте захист пристроїв користувача на рівні хоста. Встановіть та оновіть рішення для виявлення шкідливих програм на основі сигнатур і поведінки, які здатні виявляти аномальну активність у режимі реального часу. Переконайтеся, що вбудовані у ваші платформи рішення безпеки, наприклад, Windows Defender, працюють постійно.
Зменшення шкоди в разі успішних фішингових атак
Зазначені вище заходи здебільшого заблокують спроби фішингу. Проте ретельно підготовлена та цілеспрямована атака може бути успішною.Організації мусять передбачити таку можливість і підготуватися до неї. В ідеалі варто реалізувати в усіх системах модель безпеки з нульовою довірою. Це непросто зробити, але однаково це має бути метою.
Також важливо дотримуватися принципу найменших привілеїв, оскільки це дасть змогу обмежити потенційну шкоду, яку може завдати зламаний обліковий запис.
Якщо зловмисник перехопив обліковий запис одного з ваших замовників, то вам буде важко розпізнати цю атаку, оскільки хакер може майстерно маскуватися під легітимного користувача. Тому важливо мати рішення вебзахисту, яке включає модуль UEBA (аналітика поведінки користувачів і суб’єктів), що може розпізнавати та позначати аномальну поведінку.
Резюме
Згідно зі звітом британської компанії GIACT, що займається боротьбою із шахрайством, число атак типу ATO зростає. З 2019 до 2021 ріку приблизно 38% споживачів у США визнали, що постраждали від них. Кіберзлочинців приваблює цей різновид атаки, оскільки його порівняно легко здійснити, викрасти з його допомогою інформацію, перервати діяльність компанії, а також дістати довгостроковий доступ до привілейованих можливостей.У поточному середовищі загроз організаціям треба більше, ніж просто WAF (брандмауер вебзастосунків) наступного покоління, захист від DDoS-атак і керування ворожими ботами.Їм також потрібний специфічний багаторівневий захист від АТО. Тому в наступній статті цієї серії ми обговоримо ще одну важливу, але часто недооцінену технологію протидії ATO: обмеження швидкості.
Попри складну загрозу, що становить ATO, можна успішно відбити атаку, використовуючи надійну систему безпеки. Зокрема, рішення, розроблене компанією Reblaze, забезпечує надійний захист облікових записів користувачів та клієнтів і є важливою складовою комплексного програмного забезпечення для веббезпеки. Цей продукт ефективно блокує несанкціоновані спроби використання або доступу до облікових даних, захищає облікові записи користувачів від атак типу ATO.
Фахівці Мегатрейд, що є офіційним дистриб’ютором Reblaze в Україні, проконсультують та допоможуть ознайомитися із демонстраційною версією Reblaze — рішенням із вебзахисту нового покоління. Надішліть запит (soft@megatrade.ua) та отримайте консультацію!
Запобігання атакам типу ATO. Частина 1: етапи, типи, методи виявлення
Запобігання атакам типу ATO. Частина 2: багатофакторна автентифікація
Запобігання атакам типу ATO. Частина 4: обмеження швидкості
Reblaze — кіберзахист нового покоління для сайтів, вебзастосунків, сервісів та API
Cloudflare VS Reblaze: порівняння платформ