Tom radi za uglednu finansijsku instituciju. Ima dugu, složenu lozinku koju bi bilo gotovo nemoguće pogoditi. Pamtio ga je napamet, pa ga je počeo koristiti za svoje račune na društvenim mrežama i na svojim ličnim uređajima. Tom, bez znanja, hakeri su kompromitovali bazu podataka jedne od ovih stranica i stavili je na prodaju na dark webu. Sada hakeri naporno rade na povezivanju ovih procurjelih akreditiva sa stvarnim pojedincima i njihovim radnim mjestima. Uskoro će hakeri koristiti Tomov legitimni nalog e-pošte da pošalje vezu za krađu identiteta svom CEO.
Ovo je uobičajen scenario preuzimanja naloga u kojem zlonamjerni hakeri dobijaju neovlašteni pristup sistemima organizacije, dovodeći kritične informacije i operacije u opasnost. Obično počinje s ugroženim krendecijalima. Proći ćemo kroz zašto je preuzimanje računa tako teško zaustaviti nakon što počne i zašto je jaka sigurnost lozinke najbolja zaštita.
Zašto su napadi preuzimanja računa tako opasni?
Dobijanje pristupa Active Directory nalogu unutar organizacije je scenario iz snova za hakera. Oni mogu pokrenuti napade društvenog inženjeringa sa legitimnog povezanog naloga e-pošte ili usluge instant poruka, komunicirajući s drugim zaposlenima s računa od povjerenja koji neće biti označen internom sigurnošću. Ako su phishing poruke pažljivo izrađene, možda će proći neko vrijeme prije nego što se lažno predstavljanje otkrije.
Napadači mogu preuzeti račun s postojećim privilegijama ili kompromitirati zastarjeli ili neaktivan račun i pokušati podići svoje privilegije odatle. To im može dati ključeve za sve vrste osjetljivih informacija koje se dijele unutar organizacije, kao što su povjerljivi poslovni planovi, finansijski podaci, intelektualna svojina ili informacije koje mogu lično identifikovati (PII) zaposlenih ili kupaca. Legitimnost kompromitovanog naloga povećava šanse za uspeh u ovim lažnim aktivnostima.
Budući da ovi napadi uključuju korištenje legitimnih korisničkih akreditiva, teško je razlikovati ovlašteni i neovlašteni pristup. Napadači često oponašaju ponašanje legitimnih korisnika, što otežava prepoznavanje sumnjivih aktivnosti ili anomalija. Korisnici možda nisu svjesni da su njihovi računi kompromitovani, posebno ako napadači održavaju pristup bez izazivanja sumnje. Ovo kašnjenje u otkrivanju omogućava napadačima da nastave sa svojim zlonamjernim aktivnostima, povećavajući potencijalnu štetu i čineći sanaciju još izazovnijom.
Zanima vas koliko je zastarjelih i neaktivnih naloga u vašem Active Directory okruženju zajedno sa drugim ranjivostima lozinki? Pokrenite ovu free read-only password audit.
Primjer iz stvarnog života: U.S. State Government breach
Nedavni sigurnosni incident u neimenovanoj U.S. State Government organizationnaglasio je opasnosti preuzimanja računa. Haker uspješno se autentifikovao u internal virtual private network(VPN) koristeći procurile krendencijale bivšeg zaposlenika. Jednom u mreži, napadač je pristupio virtuelnoj mašini i uklopio se sa legitimnim saobraćajem kako bi izbegao otkrivanje. Kompromitovana virtuelna mašina je omogućavala napadaču pristup drugom skupu akreditiva sa administrativnim privilegijama i za lokalnu mrežu i za Azure Active Directory.
Sa ovim akreditivima,haker je istražio žrtvino okruženje, izvršio mejlove lightweight directory access protocol (LDAP) protiv kontrolera domena i dobio pristup informacijama o hostu i korisniku. Napadači su potom probijenu informaciju objavili na dark webu, sa namjerom da je prodaju radi finansijske dobiti.
Kako slabe i ugrožene lozinke dovode do preuzimanja računa
Loše sigurnosne prakse lozinke mogu značajno povećati rizik od preuzimanja računa. Korišćenje slabih lozinki koje je lako pogoditi ili provaliti čini napadačima veoma jednostavnim kompromitovanje naloga. Krajnji korisnici biraju uobičajene korijenske fraze, a zatim dodaju posebne znakove s jednostavnim strukturama kako bi ispunili zahtjeve složenosti kao što je “password123!”. Ovo će se brzo pogoditi pomoću automatizovanih tehnika grube sile koje koriste hakeri.
Zabrinjavajući broj organizacija još uvijek ima politike lozinki koje dozvoljavaju slabe lozinke koje su širom otvorene za preuzimanje naloga. Međutim, važno je zapamtiti da jake lozinke takođe mogu biti ugrožene.
Ponovno korištenje lozinke se često zanemaruje, ali je jedno od najrizičnijih ponašanja krajnjeg korisnika. Kada ljudi ponovo koriste istu lozinku (čak i ako je jaka) na više naloga, kršenje jedne usluge može otkriti njihove krendencijale, olakšavajući napadačima pristup drugim nalozima. Ako cyber kriminalac dobije korisničku lozinku sa kompromitirane web stranice, može je pokušati iskoristiti za neovlašteni pristup svojim radnim računima
Ojačajte sigurnost lozinkom kako biste spriječili preuzimanje naloga
Jača sigurnost lozinke igra ključnu ulogu u sprečavanju napada preuzimanja naloga. Implementacija MFA dodaje dodatni sloj sigurnosti zahtijevajući od korisnika da, pored svoje lozinke, pruže dodatne faktore verifikacije, kao što su jednokratna lozinka, biometrijski podaci ili fizički token. Međutim, MFA nije nepogrešiv i može se zaobići. Slabe i ugrožene lozinke su još uvijek gotovo uvijek polazna tačka za preuzimanje naloga.
Provođenje složenih zahtjeva za lozinkom, kao što je minimalna dužina od 15 znakova, kombinacija velikih i malih slova, brojeva i specijalnih znakova, otežava napadačima da pogode ili provale lozinke putem grube sile ili napada iz rječnika.
Međutim, vašoj organizaciji je takođe potreban način da otkrije lozinke koje su mogle biti ugrožene rizičnim ponašanjem kao što je ponovna upotreba lozinke. Alat kao što je Specops Password Policy kontinuirano skenira vaše okruženje Active Directory u odnosu na stalno rastuću listu od preko 4 milijarde kompromitovanih lozinki. Ako se utvrdi da krajnji korisnik koristi probijenu lozinku, primoran je da je promijeni i zatvori potencijalnu rutu preuzimanja napada.
Izvor:The Hacker News