Киберпреступники часто приобретают список учетных данных через darknet (скрытая сеть, соединения которой устанавливаются только между доверенными пирами), обычно получаемый с помощью социальной инженерии, утечки данных и фишинговых атак. Злоумышленники используют захваченные учетные данные для развертывания ботов, которые автоматически получают доступ к сайтам, таким как сайты розничной торговли, финансов, электронной коммерции и социальных сетей, для проверки комбинаций пароля и имени пользователя и попыток входа в систему.

Киберпреступники также могут взламывать страницы проверки входа на мобильных сайтах, веб-сайтах и собственных API-интерфейсах мобильных приложений. Злоумышленники могут использовать ботов для подстановки учетных данных и атак методом перебора, перебирая множество комбинаций паролей и имен пользователей для захвата учетной записи.

В конечном итоге злоумышленники получают список проверенных учетных данных и получают прибыль, продавая эти учетные данные другим людям или злоупотребляя учетной записью. Атаки, связанные с захватом учетных записей, вызывают своего рода кражу личных данных.

Работу злоумышленникам подчас облегчает то, что многие пользователи не меняют пароли регулярно и подчас используют для входа на разных сайтах одни и те же пароли.

Исторически сложилось так, что финансовые учреждения больше всего были обеспокоены мошенническим доступом к учетным записям пользователей. Сегодня атаки ATO могут повлиять на все организации, в которых есть онлайн-вход для пользователей сервисов.

Наиболее распространенной мотивацией киберпреступников является финансовая: киберпреступники обычно ищут самые быстрые и простые способы получения финансовой выгоды. Сегодня это включает в себя кражу криптовалюты, продажу личной информации или обман жертв, приводящей к установке программы-вымогателя.

Личные данные могут использоваться в спам- и фишинговых кампаниях, чтобы придать мошенническим сообщениям более реалистичный вид и помочь киберпреступникам добраться до своих жертв. Эти формы атак обычно нацелены на государственный сектор, здравоохранение и т.п. учреждения.

Атаки ATO также затрагивают сайты электронной коммерции. Киберпреступники могут завладеть существующей учетной записью и использовать её для покупки товаров от имени пользователя. Например, после захвата учетной записи злоумышленники войдут в систему, быстро добавят дорогостоящие товары в корзину и оплатят, используя сохраненные платежные данные пользователя, изменив адрес доставки на свой собственный.

Вот некоторые распространенные векторы атак для захвата учетных записей.

Кража учетных данных для входа в систему через утечку данных

Ежегодно в результате утечки данных по всему миру злоумышленники получают доступ к миллиардам документов, касающихся персональных данных. Утечка имен пользователей и паролей — это, как правило, то, что требуется киберпреступникам для захвата учетной записи. Учитывая, что многие люди используют одинаковые данные для входа на несколько веб-сайтов или сервисов, киберпреступники будут пытаться получить доступ к различным онлайн-сервисам, используя утекшие имена пользователей и пароли.

Взлом учетных данных методом грубой силы

Киберпреступники могут получить доступ к вашим личным данным, пробуя различные пароли, чтобы определить, какой из них правильный. Чтобы ускорить процесс, они используют ботов, которые могут проверять большое количество комбинаций паролей. Используя современные инструменты, доступные хакерам, 8-значные пароли можно взломать за час или даже меньше, особенно если такой пароль представляет из себя просто имя пользователя и несколько цифр в конце.

Фишинг информации для входа в систему

Киберпреступники также могут попросить жертв предоставить им свои данные для входа. Это достигается с помощью фишинговых атак (обман доверия), в ходе которых жертв обманом заставляют предоставить свои данные. Попытки фишинга могут осуществляться с помощью SMS, электронной почты, мошеннических веб-сайтов, разговоров в чатах, вредоносных телефонных приложений, телефонных звонков и т. д.

Кража данных с помощью вирусов и вредоносных программ

Вирусы и вредоносные программы могут выполнять множество функций. Они обычно крадут информацию с устройства жертвы. Многие вирусы могут отслеживать нажатия клавиш при вводе паролей, а другие могут похитить банковские данные, шпионя за вашим браузером.

Атаки «Человек-посредник» (Man in the Middle, MitM)

Ваш интернет-трафик проходит через множество серверов, прежде чем попасть на веб-сайт. Если кто-то перехватит ваш трафик, пока он находится в пути, и он не зашифрован, он сможет просмотреть все ваши перемещения в Интернете, включая ваши логины и пароли. Как правило, эти атаки «человек-посредник» осуществляются через домашние интернет-маршрутизаторы или общедоступные сети Wi-Fi. Защитить себя от таких атак можно с помощью надежного программного обеспечения VPN.

В финансовых учреждениях АТО носит более серьезный характер, поскольку может напрямую привести к краже и компрометации финансовых счетов отдельных лиц. Постоянный мониторинг дает организациям возможность увидеть признаки мошеннического поведения, представляющего собой захват учетной записи, прежде чем он произойдет.

Хорошая система обнаружения мошенничества предоставит финансовым учреждениям полную прозрачность действий пользователя на протяжении всего процесса транзакции. Наиболее эффективной защитой является система, которая проверяет все действия на банковском счете: прежде чем киберпреступник сможет забрать деньги, он должен сначала предпринять другие действия, подтверждающие его лояльность.

Отслеживая каждое действие в учетной записи, можно выявить модели поведения, указывающие на вероятность мошенничества с захватом учетной записи. Киберпреступникам приходится совершать различные действия, прежде чем перевести деньги со счета, поэтому процесс обнаружения мошенничества, который постоянно отслеживает поведение, может выявить улики и закономерности, чтобы определить, подвергается ли клиент атаке.

Этот вид процесса обнаружения мошенничества также может отслеживать риски на основе дополнительной информации, включая местоположение. Например, если клиент сначала получает доступ к своей учетной записи из Москвы, а затем через 20 минут из Нидерландов, это будет подозрительным и может указывать на то, что два разных человека используют одну и ту же учетную запись.

Вот несколько способов защитить свою организацию от ATO.

Система отслеживания аккаунта

Если учетная запись скомпрометирована, в системе должен иметься процесс, который остановит дальнейшие атаки. Поместив в «песочницу» учетную запись, которая считается подозрительной, можно проверить все действия, связанные с этой учетной записью, и при необходимости заблокировать её.

Обнаружение на основе искусственного интеллекта

Процессы защиты и обнаружения ATO на основе искусственного интеллекта могут обнаружить более сложные попытки захвата учетных записей и атаки ботов. Попытки АТО часто включают использование ботов четвертого поколения, которые способны имитировать поведение людей, и поэтому их труднее распознать. Передовая технология на основе искусственного интеллекта необходима для выявления сложных попыток АТО и успешного мониторинга сайта на предмет подозрительного поведения.

Брандмауэр веб-приложений

Брандмауэр веб-приложений (Web Application Firewall, WAF) защищает веб-приложения путем фильтрации HTTP-трафика. WAF могут идентифицировать вредоносный трафик и блокировать его. WAF могут помочь смягчить атаки ATO одним или несколькими из следующих методов:

• Выявление и блокировка запросов от известных злоумышленников.
• Обнаружение подозрительных ботов, используемых злоумышленниками в рамках атак ATO.
• Выявление вброса учетных данных на порталах входа в систему.
• Обнаружение и блокировка атаки грубой силы, определяя сеансы, передающие необычное количество учетных данных.
• Включение многофакторной аутентификации (MFA) или аутентификации через сторонних поставщиков удостоверений, таких как Google.
• Сканирование трафика на наличие «отпечатков пальцев», указывающих на инструменты для вброса учетных данных.