CarderPlanet
Professional
Возможно, вы слышали о новой тактике мошенничества под названием ‘предварительный захват учетной записи’. Но что это на самом деле? И как вы можете это предотвратить? Давайте разберем это.
Мошенничество с захватом учетной записи постоянно растет. В 2018 году глобальные убытки из-за захвата учетной записи составили 4 миллиарда долларов. В 2021 году это число выросло более чем на 200% и превысило 12 миллиардов долларов. И расходы только растут. Каким образом угроза сохраняется год за годом?
Хакеры, занимающиеся захватом учетной записи, всегда придумывают хитроумные обходные пути для вашей защиты от мошенничества. Чтобы обойти двухфакторную аутентификацию, мошенники перешли к фишингу в контакт-центре, захвату цифровых кошельков и мошенничеству с BNPL (и это лишь некоторые из них).
Теперь хакеры нашли новый способ сделать шаг вперед: они могут завладеть учетной записью вашего клиента еще до того, как она была создана. Этот новый метод называется предварительным захватом учетной записи. Недавно об этом заговорили после публикации новаторского исследования 2022 года. Но циркулирующая информация довольно техническая и запутанная.
Давайте проясним путаницу и упростим ситуацию. Вот простое описание методов предварительного захвата учетной записи и способов защиты вашего бизнеса.
Почти 50% самых посещаемых сайтов в мире уязвимы для этого нового типа атак. К ним относятся Zoom, Instagram, Dropbox и LinkedIn. Может ли ваш бизнес стать целью?
Хакер может знать, что [email protected] это подлинный адрес электронной почты. Они могут выяснить это, сверив адрес с бесплатной онлайн-службой проверки, проверив учетные записи в социальных сетях или просмотрев дампы учетных данных в Интернете. Но при проверке адреса на популярном сайте они обнаруживают, что он еще не зарегистрирован для учетной записи. Это идеальная цель для предварительного захвата.
Проверка этих учетных записей вручную заняла бы слишком много времени, а мошенники нетерпеливы. Поэтому они часто массово создают новые учетные записи. Они будут нацелены на самые популярные сайты, поэтому вполне вероятно, что настоящий клиент вскоре захочет создать учетную запись.
Классическая атака федеративного слияния
На многих сайтах клиенты могут зарегистрироваться, используя либо классические, либо федеративные удостоверения. Классический относится к стандартному способу ‘введите свой адрес электронной почты, создайте пароль’. Федеративный означает использование веб-сайтов или приложений, таких как Gmail или Yahoo, для единого входа.
Но некоторые продавцы объединяют эти идентификаторы. Таким образом, хакер, использующий адрес gmail, и подлинный клиент, использующий федеративный маршрут, могут иметь доступ к одной учетной записи. И оба могут использовать разные регистрационные данные. Это хитроумная лазейка.
Атака с использованием идентификатора неиспользованного сеанса
Эта атака довольно проста. Хакер создает учетную запись, используя адрес электронной почты жертвы, а затем поддерживает длительный активный сеанс. Другими словами, они остаются в системе. Затем, когда владелец создаст учетную запись, ему будет сообщено, что она уже существует, и у него будет возможность сбросить свой пароль. Если они это сделают, у обоих будет доступ к учетной записи, поскольку вредоносный сеанс все еще продолжается.
Атака с использованием троянского идентификатора
Злоумышленник настраивает опцию восстановления учетной записи, используя различные данные, такие как свой собственный адрес электронной почты или номер телефона. Таким образом, когда жертва создает учетную запись и сбрасывает свой пароль, хакер также получит уведомление о сбросе пароля. Таким образом, хакер сбрасывает ее, восстанавливает учетную запись и получает в свои руки подлинную информацию клиента.
Атака на изменение электронной почты после истечения срока действия
Хакер создает учетную запись, используя электронную почту жертвы. Но затем он попросит изменить электронную почту учетной записи на свой собственный адрес, чтобы получить электронное письмо с подтверждением. Вместо того, чтобы переходить по ссылке, они сохранят электронное письмо с подтверждением на потом. Таким образом, после того, как подлинный клиент создаст учетную запись и сбросит свой пароль, хакер завершит процесс проверки и получит доступ!
Атака без подтверждения IDP
Эта атака затрагивает только приложения и сайты, которые не проверяют адреса электронной почты. Если хакер обнаружит, что вы не проверяете электронную почту, вы станете горячей мишенью. Все, что нужно сделать хакеру, это создать учетную запись, а затем, когда подлинный клиент пытается зарегистрироваться, доступ получают оба.
Мошенничество с захватом учетной записи постоянно растет. В 2018 году глобальные убытки из-за захвата учетной записи составили 4 миллиарда долларов. В 2021 году это число выросло более чем на 200% и превысило 12 миллиардов долларов. И расходы только растут. Каким образом угроза сохраняется год за годом?
Хакеры, занимающиеся захватом учетной записи, всегда придумывают хитроумные обходные пути для вашей защиты от мошенничества. Чтобы обойти двухфакторную аутентификацию, мошенники перешли к фишингу в контакт-центре, захвату цифровых кошельков и мошенничеству с BNPL (и это лишь некоторые из них).
Теперь хакеры нашли новый способ сделать шаг вперед: они могут завладеть учетной записью вашего клиента еще до того, как она была создана. Этот новый метод называется предварительным захватом учетной записи. Недавно об этом заговорили после публикации новаторского исследования 2022 года. Но циркулирующая информация довольно техническая и запутанная.
Давайте проясним путаницу и упростим ситуацию. Вот простое описание методов предварительного захвата учетной записи и способов защиты вашего бизнеса.
Что такое предварительный захват учетной записи?
Предварительный захват учетной записи происходит, когда хакер получает доступ к учетной записи клиента еще до того, как тот это сделал. Они предотвращают создание учетной записи на популярных сайтах и находят хитроумные способы сбора данных вашего клиента.Почти 50% самых посещаемых сайтов в мире уязвимы для этого нового типа атак. К ним относятся Zoom, Instagram, Dropbox и LinkedIn. Может ли ваш бизнес стать целью?
Как это происходит?
Давайте разберем это на этапы…Шаг 1: Найдите идеальную жертву
Хакер создает учетную запись, используя подлинный адрес электронной почты, на платформе, на которую клиент еще не зарегистрировался.Хакер может знать, что [email protected] это подлинный адрес электронной почты. Они могут выяснить это, сверив адрес с бесплатной онлайн-службой проверки, проверив учетные записи в социальных сетях или просмотрев дампы учетных данных в Интернете. Но при проверке адреса на популярном сайте они обнаруживают, что он еще не зарегистрирован для учетной записи. Это идеальная цель для предварительного захвата.
Проверка этих учетных записей вручную заняла бы слишком много времени, а мошенники нетерпеливы. Поэтому они часто массово создают новые учетные записи. Они будут нацелены на самые популярные сайты, поэтому вполне вероятно, что настоящий клиент вскоре захочет создать учетную запись.
Шаг 2: Подождите
Учетная запись становится ценной только тогда, когда подлинный клиент пытается создать учетную запись, входит в систему и добавляет информацию, например, свои платежные реквизиты. Именно на этом этапе хакер использует различные методы для сбора данных.Шаг 3: атака
Следующий шаг хакера? У них есть пять вариантов. Имейте в виду, названия этих тактик не очень запоминающиеся…Классическая атака федеративного слияния
На многих сайтах клиенты могут зарегистрироваться, используя либо классические, либо федеративные удостоверения. Классический относится к стандартному способу ‘введите свой адрес электронной почты, создайте пароль’. Федеративный означает использование веб-сайтов или приложений, таких как Gmail или Yahoo, для единого входа.
Но некоторые продавцы объединяют эти идентификаторы. Таким образом, хакер, использующий адрес gmail, и подлинный клиент, использующий федеративный маршрут, могут иметь доступ к одной учетной записи. И оба могут использовать разные регистрационные данные. Это хитроумная лазейка.
Атака с использованием идентификатора неиспользованного сеанса
Эта атака довольно проста. Хакер создает учетную запись, используя адрес электронной почты жертвы, а затем поддерживает длительный активный сеанс. Другими словами, они остаются в системе. Затем, когда владелец создаст учетную запись, ему будет сообщено, что она уже существует, и у него будет возможность сбросить свой пароль. Если они это сделают, у обоих будет доступ к учетной записи, поскольку вредоносный сеанс все еще продолжается.
Атака с использованием троянского идентификатора
Злоумышленник настраивает опцию восстановления учетной записи, используя различные данные, такие как свой собственный адрес электронной почты или номер телефона. Таким образом, когда жертва создает учетную запись и сбрасывает свой пароль, хакер также получит уведомление о сбросе пароля. Таким образом, хакер сбрасывает ее, восстанавливает учетную запись и получает в свои руки подлинную информацию клиента.
Атака на изменение электронной почты после истечения срока действия
Хакер создает учетную запись, используя электронную почту жертвы. Но затем он попросит изменить электронную почту учетной записи на свой собственный адрес, чтобы получить электронное письмо с подтверждением. Вместо того, чтобы переходить по ссылке, они сохранят электронное письмо с подтверждением на потом. Таким образом, после того, как подлинный клиент создаст учетную запись и сбросит свой пароль, хакер завершит процесс проверки и получит доступ!
Атака без подтверждения IDP
Эта атака затрагивает только приложения и сайты, которые не проверяют адреса электронной почты. Если хакер обнаружит, что вы не проверяете электронную почту, вы станете горячей мишенью. Все, что нужно сделать хакеру, это создать учетную запись, а затем, когда подлинный клиент пытается зарегистрироваться, доступ получают оба.
Что делают хакеры, когда они получают учетную запись вашего клиента?
После того, как хакеры получили учетную запись вашего клиента, они могут совершать множество действий. Они могут заказывать товары или услуги для использования или перепродажи, продавать по реквизитам учетной записи или использовать ваучеры или накопленный кредит.Как это может повлиять на ваш бизнес?
Последствия такие же, как и при любом другом захвате учетной записи - они могут быть чрезвычайно разрушительными. На кону репутация вашего бизнеса, и вы, вероятно, потеряете некоторых клиентов. Это означает потерю будущих доходов. И вы потенциально несете расходы на украденные товары, услуги и время вашей команды.Почему это проблема?
Это трудно определить, потому что это долгая игра. Кажущийся подлинным клиент (хакер) может создать учетную запись и замолчать на несколько месяцев. Тогда, если они попытаются войти в систему снова по прошествии времени, логично предположить, что они, возможно, забыли свой пароль. Таким образом, трудно отличить злоумышленника от настоящего нового клиента. Вы не можете полагаться на некоторые из обычных сигналов мошенничества.Как вы можете это предотвратить?
Это достаточно легко предотвратить, если у вас есть правильные инструменты и процессы:- Следите за своими регистрациями! Сюда входят неудачные регистрации. Если вы заметили наплыв созданий учетных записей или изменения адресов электронной почты или сведений о восстановлении, это может указывать на атаку, предшествующую захвату. Следите за новыми данными учетной записи - скорее всего, вы заметите закономерность.
- Проверяйте адреса электронной почты при создании учетной записи. Легко.
- Свяжитесь со службой поддержки клиентов. Попросите свою команду по работе с клиентами отметить, указывает ли клиент на то, что учетная запись уже существует в его электронной почте!
- Не объединяйте никакие учетные записи. Не объединяйте маршрут единого входа с вашими стандартными логинами. Или получите одобрение от обоих владельцев учетных записей, прежде чем делать это.
- Истекает срок действия сеансов и пароль сбрасывается! Завершайте сеансы для учетных записей, которые предоставляют общие данные. И текстовые сообщения или электронные письма с истекшим сроком действия для сброса пароля через пару часов после их отправки. Настоящие клиенты захотят немедленно сбросить свой пароль!
- Целевая двухфакторная аутентификация. Эти атаки будут в значительной степени остановлены путем внедрения аутентификации. Но вы хотите использовать целевой подход. Если вы примените общую двухфакторную аутентификацию для всех, ваша конверсия может пострадать.
- Принудительный выход из системы. Вам просто нужно принудительно завершить все сеансы, которые были запущены до принудительной аутентификации, чтобы избавиться от любых затянувшихся настроек предварительного захвата.
