К половине учетных записей, скомпрометированных в результате фишинговых атак, доступ осуществляется вручную в течение 12 часов после утечки имени пользователя и пароля, поскольку киберпреступники стремятся как можно быстрее использовать украденные учетные данные.
Исследователи кибербезопасности из Agari поместили тысячи учетных данных, которые выглядели так, как будто они принадлежали реальным пользователям, но фактически находились под контролем исследователей, на веб-сайтах и форумах, популярных для сбрасывания украденных имен пользователей и паролей .
Фальшивые учетные данные, засеянные в течение шести месяцев, были разработаны так, чтобы выглядеть как взломанные учетные записи для известных облачных программных приложений.
SEE: Политика сетевой безопасности (TechRepublic Premium)
Исследователи обнаружили, что доступ к учетным записям осуществляется в течение нескольких часов после учетные данные, размещаемые в Интернете на фишинговых сайтах и форумах.
«Около половины учетных записей были доступны в течение 12 часов после того, как мы фактически загрузили сайты. Доступ к 20% осуществляется в течение часа, а к 40% — в течение шести часов. Это действительно показывает вам, насколько быстро скомпрометированная учетная запись ", — сказал ZDNet Крейн Хассолд, старший директор по исследованию угроз Agari.
Доступ почти ко всем учетным записям осуществлялся вручную. Это может быть приземленной задачей, но в конечном итоге она оказывается полезной для киберпреступников, поскольку они могут точно проверить, действительно ли учетные данные работают.
«Я уверен, что с их стороны это довольно утомительный процесс, но они получают от него много полезной информации и используют учетные записи различными способами для различных типов вредоносных программ. активности ", — сказал Хассольд.
Например, получив доступ к учетной записи, злоумышленник может попытаться найти конфиденциальную информацию в почтовых ящиках людей или даже в их программном облачном хранилище, которое может быть украдено и либо использовано для помощи в дальнейших атаках, либо продано.
Также существует вероятность того, что злоумышленники могут использовать скомпрометированные учетные записи для проведения других атак, таких как фишинг или атаки компрометации деловой электронной почты (BEC), используя скомпрометированную учетную запись для запуска дальнейших кампаний.
Один злоумышленник попытался использовать взломанную учетную запись для проведения атак BEC против сектора недвижимости, отправив электронные письма, которые пытались перенаправить жертв на веб-сайт для кражи данных для входа в компании, занимающиеся недвижимостью. Однако в этом случае, поскольку фальшивые учетные данные контролировались исследователями, ни одно из отправленных электронных писем фактически не пришло по назначению.
ZDNet рекомендует
Лучший менеджер паролей
Каждому нужен менеджер паролей. Это единственный способ сохранить уникальные, трудно угадываемые учетные данные для каждого защищенного сайта, к которому вы и ваша команда ежедневно получаете доступ.
Читать далее
Однако он демонстрирует, как киберпреступники берут скомпрометированные учетные данные и пытаются использовать их, чтобы получить доступ к дополнительным учетным записям.
«Фишинг с учетными данными ведет к взлому учетной записи, что ведет к увеличению количества фишинговых кампаний с учетными данными, что приводит к увеличению количества скомпрометированных учетных записей и так далее, — сказал Хассолд.
Хотя доступ к скомпрометированным учетным записям осуществляется быстро, исследование показало, что они часто забрасываются примерно через неделю — хотя к этому времени, вероятно, это связано с тем, что злоумышленники перешли на другие учетные записи, возможно, после того, как использовали исходную учетную запись в качестве ступенька, чтобы попасть туда.
СМОТРИ: GDPR: штрафы увеличились на 40% в прошлом году, и они скоро станут намного больше
Организации могут принять меры предосторожности для защиты своих пользователей, облачных приложений и всей сети от фишинга и других атак. Один из них — наличие соответствующих средств защиты, таких как антивирусное программное обеспечение или фильтр спама.
Между тем, использование многофакторной аутентификации может помочь предотвратить использование взломанных учетных записей, поскольку это значительно усложняет использование злоумышленником, а также предупреждает жертву о том, что что-то не так.
