Сучасні кіберзагрози: як захистити облікові записи працівників

Актуальний ландшафт кіберзагроз в Україні вимагає не лише застосування технічно інноваційних продуктів для захисту критичної інфраструктури, а й розуміння того, що ключовим елементом у будь-якому процесі є людина. Людський фактор – це та складова, яку не завжди можна контролювати так ефективно, як політики безпеки, що визначають конкретні правила.

Отримуючи прямий доступ до облікових записів працівників, зловмисники отримують змогу маневрувати ними найрізноманітнішими способами та ескалювати свої привілеї в системі.

Експерти від FS Group підготували збірку найпоширеніших методів, які використовуються для незаконного отримання доступу до облікових записів, а також описали ефективні стратегії протидії цьому.

Інфостилери

Інфостилер (від англ. infostealer) – це зловмисне програмне забезпечення, яке, потрапляючи на девайси жертви, викрадає дані про систему, користувача, кредитні картки, облікові записи (логіни та паролі) та cookie сесії з браузерів передаючи все це на сервер зловмисника з метою подальшого продажу викрадених даних або компрометації жертви. Інфостилери можуть потрапити на девайс через зламане, неліцензійне програмне забезпечення та фішингові електронні листи.

Пропозиції щодо купівлі інфостилерів часто поширюються через тіньові форуми або канали в Telegram. Крім того, дуже популярною є послуга продажу вже готових викрадених даних за підпискою.

Щодня зразки з викраденими даними викладають у вільний доступ для підігрівання інтересу в потенційних покупців до отримання більших обсягів даних, які продаватимуть ексклюзивно в одні руки.

Коли дані стають доступними для широкого загалу, важливо негайно реагувати, змінивши всі паролі та доступи. Окрім цього необхідно провести повну перевірку пристрою та видалити зловмисне ПЗ.

Команда експертів FS Group побудувала процес, спрямований на вилучення викрадених облікових записів із різних джерел та інформування клієнтів про будь-які порушення. У рамках цього проєкту клієнти також отримують можливість ознайомитися з детальною аналітикою щодо найбільш активних інфостилерів для оцінки ризиків, які вони несуть для конкретних компаній.

Графік 1 – десятка скомпрометованих доменів облікових записів, які належать користувачам з України.

Методи соціальної інженерії

Фаза соціальної інженерії 2023-го зазнала змін. Очікується, що в 2024 році протидія соціальній інженерії стане одним із головних пріоритетів компаній і сектору кібербезпеки через стрімкий розвиток штучного інтелекту, поширення діпфейків та застосування найновіших технологій для побудови більш досконалого процесу комунікації зловмисників із жертвами.

Соціальна інженерія включає:

• Фішинг

Використання електронної пошти, текстових повідомлень та інших засобів комунікації з метою обману людей і отримання конфіденційної інформації.

• Scareware

Техніка вимагання грошей шляхом залякування користувачів.

• Watering hole атаки

Тип кібератаки, в якій хакери заражають шкідливим програмним забезпеченням вебсайт, який часто відвідують їхні цільові жертви.

• Spear фішинг

Тип фішингу, в якому зловмисники цілеспрямовано атакують конкретних людей або організації.

• Cache poisoning

Атака на систему доменних імен (DNS), яка використовується для перенаправлення трафіку на вебсайт зловмисника.

• SEO poisoning

Підвищення рейтингу зловмисних вебсайтів у пошукових системах, що збільшує ймовірність інтерактиву з жертвою.

Варто також узяти до уваги, що методи соціальної інженерії – це не лише про дистанційну взаємодію та електронні листи, адже збір інформації для подальшої компрометації може здійснюватись внаслідок фізичної присутності зловмисника в будівлі компанії, телефонних дзвінків та шпигунства. Саме тому при побудові механізмів захисту від атак із застосуванням соціальної інженерії не варто нехтувати політиками фізичної безпеки.

Для зменшення ризику фішингу та інших атак соціальної інженерії пам’ятайте про кілька основних заходів безпеки:

• утримуйте себе від натискання на невідомі посилання чи відкривання вкладень у сумнівних повідомленнях;
• організовуйте для персоналу тренінги з соціальної інженерії та застосовуйте імітацію фішингових атак з метою оцінки резистентності співробітників до подібних загроз;
• зберігайте контроль над особистою інформацією у соціальних мережах та регулярно переглядайте налаштування конфіденційності;
• уникайте поширення конфіденційної інформації через телефонні дзвінки, електронні листи або текстові повідомлення, які виглядають підозріло.

Брутфорс-атака

Загалом метод брутфорсу є ефективним способом зламати обліковий запис за умови, що пароль короткий і простий, а зловмисник має доступ до додаткової інформації про користувача. Однак якщо пароль складний та відповідає політикам безпеки, а система блокує обліковий запис після певної кількості невдалих спроб, то успішна атака методом брутфорсу стає менш імовірною.

Про сліди брутфорсу в логах можуть свідчити такі основні індикатори:

• Часті невдалі спроби входу з різних IP-адрес.
• Спроби входу у неробочі години доби.
• Спроби входу з використанням неординарних пристроїв.
• Невдалі спроби входу з однієї IP-адреси в різні акаунти.

Існує безліч способів зниження ймовірності успішної брутфорс-атаки, серед найефективніших із них – створення надійних паролів, які відповідають вимогам безпеки, використання двофакторної автентифікації та обмеження кількості невдалих спроб входу.

Витік даних компанії через навмисні та ненавмисні дії співробітників

Ситуація витоку даних у компанії виникає, коли конфіденційна інформація, така як фінансові дані, особисті дані клієнтів чи співробітників, або комерційна інформація, стає доступною особам, для яких вона не призначена. Такі витоки стаються як через навмисні та усвідомлені дії співробітників, так і через випадкові помилки працівників.

Навмисні дії працівників включають в себе зловживання своїми професійними можливостями задля реалізації запитів третьої сторони або ж задля власних інтересів.

Ненавмисні дії співробітників є наслідком випадкових порушень політик безпеки та неправильних конфігурацій системи, які в майбутньому призводять до витоку.

Для того щоб уникнути ризиків інсайдерських загроз, необхідно застосовувати принцип найменших привілеїв та регулярно перевіряти права доступу, аби вони відповідали поточним обов’язкам. Варто регулярно проводити тренінги з кібербезпеки, здійснювати аудити з безпеки та користуватися послугами моніторингу згадок про свою компанію на тіньових форумах.