Malo preko polovine 2023. godine, krađa akreditiva je još uvijek veliki trn u oku IT timova. Srž problema je vrijednost podataka za kibernetičke kriminalce i evolucija tehnika koje koriste da dođu do njih. Izveštaj Verizon Data Breach Investigations (DBIR) za 2023. otkrio je da 83% kršenja uključuje vanjske hakere, pri čemu su gotovo svi napadi financijski motivisani. Od ovih kršenja od strane vanjskih hakera, 49% je uključivalo korištenje ukradenih akreditiva.
Istražit ćemo zašto je krađa akreditiva još uvijek tako atraktivan (i uspješan) put za napad i pogledati kako timovi za IT sigurnost mogu uzvratiti u drugoj polovini 2023. i dalje.
Korisnici su i dalje često slaba karika
Obilježja mnogih uspješnih sajber napada su odlučnost, inventivnost i strpljenje koje hakeri pokazuju. Iako korisnik može uočiti neke napade kroz obuku o sigurnosti i svijesti, potreban je samo jedan dobro osmišljen napad da ih uhvati. Ponekad sve što je potrebno je da korisnik žuri ili da je pod stresom. Hakeri prave lažne stranice za prijavu, falsifikovane fakture (kao što su napadi kompromitacije poslovne e-pošte ) i preusmjeravaju razmjenu e-pošte kako bi prevarili krajnjeg korisnika da preda kredencijale ili sredstva.
Verizonov DBIR je naveo da 74% kršenja uključuje ljudski element, bilo kroz ljudsku grešku, zloupotrebu privilegija, društveni inženjering ili ukradene kredencijale. Jedna zanimljiva tačka podataka je da je 50% svih napada socijalnog inženjeringa u 2022. godini koristilo tehniku zvanu ‘pretekstiranje’ – izmišljeni scenario koji obmanjuje korisnika da preda svoje kredencijale ili izvrši drugu korisnu radnju za hakera. To pokazuje da hakeri znaju da su korisnici često slaba karika i da su posvećeni korištenju društvenog inženjeringa kako bi se dočepali kredencijala. Često je to lakši put ulaska u organizaciju nego hakovanje tehničkog elementa IT sistema.
Probijanje sistema kroz ukradene akreditive
Velike organizacije s velikim sigurnosnim budžetima nisu imune na kibernetičke napade – čak i one koje rade u industriji kibernetičke sigurnosti. Norton Lifelock Password Manager nudi nedavnu studiju slučaja o tome na šta su sve hakeri spremni da bi došli do lozinki. Kako je primijetio državni tužilac države Maine, Norton je početkom 2023. obavijestio skoro 6.500 kupaca da su njihovi podaci možda kompromitovani. Napadom grube sile koristeći ukradene kredencijale, hakeri su na kraju pronašli ispravne lozinke i brzo su se prijavili na korisničke naloge, potencijalno pristupajući pohranjenim tajnama korisnika.
Uprkos tome što je Norton IT upozorio na veliki broj neuspjelih prijava i preduzeo brzu akciju, korisnici Norton Lifelock Password Manager-a su i dalje bili ugroženi. Ovo naglašava prijetnju koju ukradeni akreditivi igraju u napadima. Bez obzira na snagu sigurnosti kompanije, lozinku ukradenu od druge manje zaštićene organizacije teško je spriječiti od ponovne upotrebe.
Kao što je pokazao izvještaj Verizona, skoro polovina (49%) prošlogodišnjih kršenja proističe iz ukradenih akreditiva. Dakle, gdje hakeri kupuju ove probijene kredencijale? I kako možete znati da li i vaši korisnici imaju kompromitovane lozinke?
Pronalaženje ukradenih tajni na crnim tržištima
Poput evoluiranog starog crnog tržišta, internetska crna tržišta koja prodaju ukradene akreditive sve su češća. Ogromni skupovi podataka koji se sastoje od stotina hiljada ukradenih akreditiva dostupni su za prodaju dok koštaju praktično ništa pored moguće isplate koju bi uspješan ransomware ili BEC napad mogao imati. Ove liste su posebno vrijedne za netehničke hakere koji nemaju vještine da sami hakuju IT sisteme.
Nedavno uklanjanje Genesis Marketa pokazalo je kako se ova tržišta razvijaju. Nudeći “digitalne otiske prstiju” na prodaju, umjesto samo kompromitovanog korisničkog imena i lozinke, stalno ažurirani identiteti bili su dostupni za pretplatu. Više od pukog ukradenog skupa akreditiva, ovi otisci prstiju upareni sa blisko lociranim VPN pristupom koji je omogućio hakeru daleko veći pristup nego što sami ukradeni akreditivi mogu ponuditi.
Sumnjiva podzemna priroda ovih tržišta čini ih teškim za otkrivanje i uklanjanje. Jedan se može ukloniti, ali će se drugi pojaviti samo nekoliko dana kasnije. S obzirom da se srednji trošak kompromisnog napada poslovne e-pošte popeo na 50.000 dolara samo u 2023. godini, kupovina ukradenih akreditiva je sve privlačnija za hakere.
Zaštitite svoje poslovanje od ukradenih akreditiva
Uz punih 49% propusta koji uključuju ukradene kredencijale i evoluirajuća digitalna crna tržišta, kao što je Genesis, alati posvećeni otkrivanju kompromitovanih lozinki su od vitalnog značaja za preopterećene IT odjele. Specops Password Policy with Breached Password Protection pomaže korisnicima da kreiraju jače lozinke u Active Directory sa dinamičkim, informativnim povratnim informacijama klijenata i blokira upotrebu preko 3 milijarde jedinstvenih kompromitovanih lozinki.
Ovo uključuje liste pronađene na dark web stranicama kao što je Genesis i lozinke koje se trenutno koriste u napadima na Specops honeypot račune. IT timovi uživaju u čvrstoj AD integraciji i interfejsima krajnjih korisnika koji su laki za korištenje za usklađivanje sa složenim politikama lozinki i sprečavanje upotrebe slabih i kompromitovanih akreditiva.
Izvor: The Hacker News