如何检测、预防和缓解帐户接管攻击 (ATO)

作者
Tweet
Share
Share
Pin
0 Shares

企业如何防御账户接管攻击 (ATO)

作为一家企业,只需掌握一些基本知识,您就可以轻松防御最常见的诈骗类型,即账户接管攻击(ATO)。

2019年8月30日下午,对于杰克·多西(Jack Dorsey)的Twitter(现为X)粉丝来说,发生了一件非常奇怪的事情。“他”在推特上肆无忌惮地发布种族诽谤和其他攻击性信息,持续了大约20分钟。

他的粉丝们可能会认为这是这家大型微博网站首席执行官的一次精神失常。然而,这次“冒险”背后的组织“窃笑小队”在杰克账户的误导性推文中留下了他们不和谐频道的链接。

随后,Twitter(现为X)证实了这一事件。

我们知道@杰克的账户受到了损害,我们正在调查发生了什么。

— Twitter 通讯 (@TwitterComms) 2019年8月30日

这是一种典型的账户接管(ATO)攻击,特别是SIM卡交换攻击,其中黑客远程控制了杰克的电话号码,并通过第三方推文服务Cloudhopper发送了推文。

如果一家顶级科技公司的首席执行官都成为了受害者,那么普通用户的胜算又有多大?

接下来,让我们一起探讨ATO的各种形式以及如何确保您的组织安全。

什么是ATO攻击?

顾名思义,账户接管(ATO)攻击利用各种技术(稍后讨论)劫持受害者的在线账户,用于多种非法目的,例如金融诈骗、访问敏感信息、欺骗他人等。

ATO如何运作?

ATO攻击的关键在于窃取账户凭据。不法分子通过多种方式来实现这一目标,例如:

  • 社会工程:通过心理手段迫使或说服某人透露其登录信息。这可以通过伪装成技术支持或制造紧急情况来完成,从而使受害者没有时间进行理性思考。
  • 凭据填充:凭据填充是暴力破解的一种变体,指的是诈骗者尝试使用随机的登录信息,这些信息通常是从数据泄露中获得或从暗网购买的。
  • 恶意软件:危险且不需要的程序可以在您的计算机上执行多种操作。其中一种操作是窃取登录信息并将详细信息发送给网络犯罪分子。
  • 网络钓鱼:最常见的网络攻击形式是网络钓鱼,通常从一个简单的点击开始。这种看似无害的操作会将用户带到一个虚假网站,诱使潜在的受害者输入登录凭据,从而为即将到来的ATO攻击铺平道路。
  • 中间人攻击(MITM):中间人攻击是指熟练的黑客“监听”您的传入和传出网络流量的情况。恶意第三方可以看到所有内容,包括您输入的用户名和密码。

这些是网络窃贼用来非法获取登录信息的常用方法。接下来是账户接管、非法活动,以及试图尽可能长时间地保持访问“活跃”,以便进一步伤害用户或对他人进行攻击。

通常,不法分子会尝试无限期地锁定用户或为未来的攻击设置后门。

虽然没有人希望经历这些(杰克也不希望!),但如果我们能够提前发现并避免损害,那将非常有帮助。

检测ATO攻击

作为企业主,有多种方法可以发现针对用户或员工的ATO攻击。

#1. 异常登录

这可能表现为来自不同IP地址的重复登录尝试,尤其是来自地理位置较远的地方。同样,登录可能来自多个设备或浏览器代理。

此外,在正常活动时间之外发生的登录活动也可能预示着潜在的ATO攻击。

#2. 双重验证(2FA)失败

重复的双重身份验证或多因素身份验证失败也表明存在异常行为。大多数情况下,这是由于不法分子在获得泄露或被盗的用户名和密码后尝试登录。

#3. 异常活动

有时,无需专家也能注意到异常情况。任何与正常用户行为明显不同的行为都可能被视为账户接管。

这可以简单到不合适的个人资料图片,或者向客户发送的一系列垃圾邮件。

最后,手动检测此类攻击并非易事,而像SucuriAcronis 这样的工具可以帮助自动化此过程。

接下来,让我们先看看如何避免此类攻击。

防止ATO攻击

除了订阅网络安全工具外,您还可以注意一些最佳实践。

#1. 强密码

虽然没人喜欢强密码,但在当前的威胁形势下,它们是绝对必要的。 因此,不要让您的用户或员工使用简单的密码,并为账户注册设置一些最低复杂性要求。

特别是对于组织而言,1Password Business 是一个不错的选择,它可以作为密码管理器,为您的团队完成繁琐的工作。 除了密码管理器之外,一流的工具还可以扫描暗网,并在任何凭据泄露时向您发出警报。 它可以帮助您向受影响的用户或员工发送密码重置请求。

#2. 多因素身份验证(MFA)

对于那些不熟悉的人来说,多因素身份验证意味着除了用户名和密码组合之外,网站还会要求提供额外的代码(发送到用户的电子邮件或手机号码)。

这通常是避免未经授权访问的可靠方法。然而,诈骗者可以通过社会工程或MITM攻击来快速利用MFA。因此,虽然它是第一道(或第二道)出色的防线,但这背后的故事还有更多内容。

#3. 实施验证码

大多数ATO攻击都是从机器人尝试随机登录凭据开始的。 因此,设置类似验证码的登录挑战会更好。

但如果您认为这是终极武器,请三思而后行,因为不法分子可以部署验证码解决服务。 尽管如此,在许多情况下,拥有验证码仍然很好,可以防止ATO攻击。

#4. 会话管理

通常,非活动会话的自动注销可以成为防止账户接管的有力措施,因为有些用户从多个设备登录,并在不同设备之间切换,而没有从之前的设备上注销。

此外,仅允许每个用户一个活动会话也很有帮助。

最后,如果用户可以远程从活动设备注销,并且用户界面本身具有会话管理选项,那将是最好的。

#5. 监控系统

作为一家初创企业或中型组织,覆盖所有攻击媒介并非易事,特别是如果您没有专门的网络安全部门。

在这里,除了已经提到的Acronis和Sucuri之外,您还可以依赖Cloudflare和Imperva等第三方解决方案。 这些网络安全公司是处理此类问题的最佳选择之一,可以有效防止或减轻ATO攻击。

#6. 地理围栏

地理围栏是指为您的网络项目应用基于位置的访问策略。 例如,一家100%总部位于美国的企业几乎没有理由允许来自中国的用户访问。 虽然这不是防止ATO攻击的万无一失的解决方案,但它提高了整体安全性。

更进一步,可以将在线企业配置为仅允许为其员工分配的某些IP地址。

换句话说,您可以使用企业VPN来杜绝账户接管攻击。 此外,VPN还会对传入和传出流量进行加密,保护您的业务资源免受中间人攻击。

#7. 更新

作为一家基于互联网的企业,您可能会处理许多软件应用程序,例如操作系统、浏览器、插件等。所有这些都有过时的版本,需要更新才能获得最佳的安全性。 尽管这与ATO攻击没有直接关系,但过时的代码可能会成为网络犯罪分子对您的企业造成严重破坏的便捷入口。

底线:定期向业务设备推送安全更新。 对于用户来说,尝试教育他们保持应用程序为最新版本可能是一个积极的措施。

毕竟,没有安全专家可以保证100%的安全。 因此,您应该为不可避免的情况制定一个强有力的补救计划。

对抗ATO攻击

最好的办法是聘请一名网络安全专家,因为每个案例都是独一无二的。 但是,这里有一些步骤可以指导您应对常见的ATO攻击后场景。

包含

在检测到某个账户受到ATO攻击后,首先要做的是暂时禁用受影响的账户。 接下来,向所有账户发送密码和MFA重置请求有助于限制损失。

通知

与受影响的用户沟通事件和恶意账户活动。 接下来,告知他们临时禁用和账户恢复步骤,以确保安全访问。

调查

这个过程最好由经验丰富的专家或网络安全专业团队来完成。 目标是识别受影响的账户,并确保攻击者在人工智能驱动的机制(例如行为分析)的帮助下不再采取行动。

此外,如果存在数据泄露,则应了解数据泄露的程度。

恢复

全系统恶意软件扫描应该是详细恢复计划的第一步,因为犯罪分子通常会植入Rootkit来感染系统或维护未来攻击的访问权限。

在此阶段,可以推广生物识别身份验证(如果可用)或MFA(如果尚未采用)。

报告

根据当地法律,您可能需要向政府部门报告。这将有助于您保持合规,并在必要时对攻击者提起诉讼。

计划

到目前为止,您已经了解到了一些您之前不知道的漏洞。 现在是时候在未来的安全计划中解决这些问题了。

此外,请借此机会教育用户了解此事件,并要求他们保持健康的互联网习惯,以避免将来出现问题。

走向未来

网络安全是一个不断发展的领域。 十年前被认为安全的事情现在可能已成为欺诈者的公开邀请。 因此,及时了解最新情况并定期升级您的业务安全协议是最好的方法。

如果您感兴趣,techblik.com的安全部分是一个值得收藏的文章库,我们定期编写和更新这些针对初创企业和中小企业的文章。请继续查看,我相信您可以将安全计划的“保持同步”部分勾选。

确保安全,不要让他们接管您的账户。