• Что такое сбор учетных данных? Риски и советы по предотвращению

Что такое сбор учетных данных? Риски и советы по предотвращению

Блог, Кибербезопасность

Милена Багдасарян

Последнее обновление:
Время чтения: 8 мин
Что такое сбор учетных данных? Риски и советы по предотвращению
Оглавление-

Ключевые выводы

  1. Сбор учетных данных - это сбор имен пользователей, паролей и маркеров безопасности с помощью фишинга, вредоносных программ и поддельных страниц входа в систему.
  2. Одна взломанная учетная запись может привести к утечке данных, финансовым потерям и долгосрочному репутационному ущербу.
  3. Организациям необходимо внедрить протоколы аутентификации электронной почты, MFA, обучение безопасности и проактивный мониторинг.
  4. Люди должны использовать уникальные пароли, использовать многофакторную аутентификацию и тщательно проверять все цифровые сообщения.

Один украденный пароль может привести к краху всей организации. Сайт взлом компании 2024 Change Healthcare доказала это наглядно: злоумышленники получили доступ через одну учетную запись службы поддержки низкого уровня, используя фишинговую схему сбора учетных данных, что вызвало цепную реакцию, которая нарушила работу всей системы здравоохранения США и раскрыла персональные данные 192,7 миллиона человек.

Что делает сбор учетных данных таким опасным, так это то, как обманчиво просто он может начаться, но его последствия могут привести к разрушению критически важной инфраструктуры, многомиллиардным убыткам и подрыву доверия в огромных масштабах.

Что такое сбор данных?

Сбор учетных данных - это метод кибератаки, при котором злоумышленники похищают данные аутентификации, такие как имена пользователей, пароли, токены многофакторной аутентификации (MFA) и сессионные файлы cookie. С помощью этих украденных учетных данных злоумышленники могут выдавать себя за законных пользователей, проникать в учетные записи и сети или продавать данные на подпольных рынках для дальнейшего использования.

В отличие от атак методом грубой силы, которые основаны на угадывании паролей, сбор учетных данных основан на обмане. Жертв обманом заставляют передать свои данные для входа в систему, часто с помощью поддельных страниц входа или вредоносного программного обеспечения, которое незаметно перехватывает вводимые данные. Поскольку учетные данные настоящие, злоумышленники могут обойти многие средства контроля безопасности и работать незамеченными в среде организации. После взлома действующей учетной записи киберпреступники получают мощный плацдарм для кражи конфиденциальных данных, мошенничества, внедрения программ-вымогателей или дальнейших атак на партнеров и клиентов.

Среди наиболее часто встречающихся целей -:

  • Корпоративные учетные записи электронной почты и облачные платформы
  • Финансовые порталы и платежные системы
  • Социальные сети и личные электронные почтовые ящики
  • VPN и логины удаленного доступа
  • Учетные записи административных или привилегированных пользователей

Как работают атаки на сбор учетных данных

Киберпреступники используют множество сложных методов для кражи учетных данных. Понимание этих методов - первый шаг к созданию эффективной защиты. К числу наиболее распространенных методов, используемых для такого рода атак, относятся:

Фишинг

Злоумышленники рассылают мошеннические электронные письма или сообщения, которые выглядят так, будто они исходят от надежных источников, таких как банки, ИТ-отделы или популярные сервисы. Эти сообщения создают впечатление срочности и направляют жертв на поддельные страницы входа в систему, на которых фиксируются введенные учетные данные. Фишинговые письма часто используют тактику социальной инженерии, чтобы обойти скептическое отношение пользователя.

Вредоносные программы

Вредоносные программы, такие как кейлоггеры, похитители информации и трояны, тайно устанавливаются на устройства через зараженные почтовые вложения, взломанные веб-сайты или уязвимости в программном обеспечении. Став активным, это вредоносное ПО перехватывает каждое нажатие клавиш, включая пароли, и передает их злоумышленникам. Различные типы вредоносных программ служат разным целям в операциях по краже учетных данных.

Поддельные веб-сайты

Злоумышленники создают практически идентичные копии легитимных страниц входа в систему с URL-адресами, отличающимися всего на один-два символа. Ничего не подозревающие пользователи вводят свои учетные данные, которые тут же перехватываются и сохраняются злоумышленником, а чтобы не вызывать подозрений, их часто пересылают на настоящий сайт.

Вброс учетных данных

Киберпреступники используют автоматические боты для проверки больших баз данных ранее украденных комбинаций имени пользователя и пароля на сотнях веб-сайтов. Поскольку многие пользователи используют один и тот же пароль на нескольких платформах, злоумышленники часто могут получить доступ к нескольким учетным записям, используя учетные данные, украденные в результате одного взлома.

Атаки типа "человек посередине" (MITM)

На сайте MITM-атакизлоумышленники располагаются между пользователем и веб-сайтом, перехватывая все передаваемые между ними данные, включая учетные данные. Эта техника особенно эффективна в незащищенных публичных сетях Wi-Fi, где злоумышленники могут легко отслеживать незашифрованный трафик.

Эксплуатация общественного Wi-Fi

Использование незащищенных публичных сетей Wi-Fi делает пользователей очень уязвимыми для атак перехвата. Киберпреступники, находящиеся в той же сети, могут использовать инструменты для перехвата пакетов, чтобы перехватить учетные данные, токены сеансов и другие конфиденциальные данные, передаваемые без надлежащего шифрования.

Риски, связанные со сбором учетных данных

Последствия кражи учетных данных редко останавливаются на первой скомпрометированной учетной записи. То, что начинается с одного имени пользователя и пароля, может быстро перерасти в масштабные утечки, финансовые потери и репутационный ущерб, от которого организации могут пытаться оправиться годами.

Когда злоумышленники получают доступ к корпоративным учетным записям, последствия могут быть самыми разнообразными и чрезвычайно дорогостоящими. Как правило, последствия включают в себя:

  • Утечки данных: Украденные учетные данные дают злоумышленникам законный доступ к системам, что позволяет им извлекать данные о клиентах, интеллектуальную собственность, финансовые документы и конфиденциальные сообщения.
  • Финансовые потери: Прямые кражи, мошеннические операции, выкупы, расходы на ликвидацию последствий инцидента, судебные издержки и штрафы могут исчисляться миллионами.
  • Нарушение операционной деятельности: Скомпрометированные системы могут быть отключены от сети для проведения расследования и устранения последствий, что приведет к остановке бизнес-операций и снижению производительности.
  • Репутационный ущерб: Потеря доверия клиентов, негативное освещение в средствах массовой информации и невыгодное положение в конкурентной борьбе могут иметь долгосрочные последствия для стоимости бренда и удержания клиентов
  • Нарушение нормативных требований: Неспособность защитить учетные данные может привести к нарушению GDPR, HIPAA, PCI DSS и других нормативных документов, что повлечет за собой значительные штрафы.

На личном уровне украденные учетные данные могут открыть двери для:

  • Кража личных данных: Злоумышленники могут использовать украденные учетные данные для открытия мошеннических счетов, получения кредитов или совершения преступлений от вашего имени.
  • Несанкционированные финансовые операции: Доступ к банковским и платежным счетам позволяет напрямую похищать средства
  • Блокировка учетных записей: Злоумышленники часто меняют пароли сразу после получения доступа, блокируя законным пользователям доступ к своим аккаунтам.
  • Нарушение конфиденциальности: Личные сообщения, фотографии и конфиденциальные документы могут быть доступны, утечка информации или использование для шантажа
  • Каскадные компромиссы: Украденные учетные данные одной учетной записи используются для доступа к другим, особенно при повторном использовании паролей

Признаки атаки с целью сбора учетных данных

Обнаружение сбора учетных данных на ранней стадии часто является разницей между незначительным испугом и полномасштабным взломом. Поскольку злоумышленники используют обман, чтобы скрыться от обычных коммуникаций, знание предупреждающих признаков очень важно для того, чтобы остановить их до того, как они получат доступ к важным системам или личным аккаунтам.

Красные флажки в электронной почте и сообщениях

Подозрительные электронные письма и текстовые сообщения остаются самым распространенным средством кражи учетных данных. Будьте бдительны:

  • Срочные формулировки, требующие немедленных действий ("Ваш аккаунт будет приостановлен через 24 часа!")
  • Общие приветствия ("Уважаемый клиент" вместо вашего имени)
  • Грамматические ошибки и неловкое построение фраз
  • Адреса отправителей, которые не соответствуют заявленной организации
  • Запросы на получение учетных данных, платежной информации или персональных данных по электронной почте
  • Неожиданные запросы на сброс пароля или коды многофакторной аутентификации, которые вы не инициировали

Индикаторы URL и веб-сайтов

Фальшивые страницы входа в систему часто тщательно разработаны, чтобы имитировать легитимные сайты, но они оставляют за собой едва заметные признаки. Предупреждающие знаки включают:

  • Неправильно написанные доменные имена или необычные расширения (.co вместо .com)
  • Отсутствует шифрование HTTPS (нет значка замка в адресной строке браузера).
  • Визуальные несоответствия по сравнению с легитимным веб-сайтом
  • Неожиданное появление всплывающих окон для входа в систему
  • Предупреждения браузера о небезопасных или подозрительных сайтах

Предупреждения об активности на счете

Если учетные данные были украдены, первым признаком часто становится необычное поведение аккаунта. Следите за:

  • Оповещения о входе в систему с незнакомых мест или устройств
  • Письма о сбросе пароля, которые вы не запрашивали
  • Уведомления об изменениях в учетной записи, которые вы не делали
  • Неожиданные неудачные попытки входа в систему
  • Странная активность в папке "Отправленные" или истории сообщений
  • Пропавшие электронные письма или необычное поведение аккаунта

Если вы заметили хотя бы один из этих признаков, действуйте немедленно: смените пароли, включите многофакторную аутентификацию, если она еще не действует, и сообщите об инциденте в службу информационной безопасности или поставщику услуг. Быстрые действия могут предотвратить утечку данных от разрастания угрозы.

Как предотвратить сбор учетных данных

Предотвращение сбора учетных данных требует многоуровневого подхода к кибербезопасности, сочетающего технологии, процессы и осведомленность людей. Для организаций и частных лиц применяются разные стратегии, но все они крайне важны.

Для организаций

Эффективная защита организации начинается с осознания того, что защита учетных данных - это общая ответственность команд безопасности, ИТ-инфраструктуры и каждого сотрудника. Следующие стратегии создают перекрывающиеся уровни защиты, которые значительно усложняют задачу по сбору учетных данных.

Обучение по вопросам безопасности

Регулярное обучение помогает сотрудникам распознавать и сообщать об атаках социальной инженерии и фишинга до того, как они увенчаются успехом. Организациям следует проводить симуляции фишинга, чтобы проверить готовность сотрудников, и подкреплять обучение реальными примерами.

Строгие политики паролей

Обеспечьте соблюдение корпоративных политик в отношении паролей, которые предписывают сложность (минимальная длина, разнообразие символов), запрещают повторное использование паролей и требуют их регулярной смены. Внедрите менеджеры паролей на уровне организации, чтобы помочь сотрудникам генерировать и хранить уникальные, сложные пароли для каждой системы.

Многофакторная аутентификация (MFA)

Требуйте MFA во всех системах - особенно для электронной почты, VPN, административных учетных записей и финансовых приложений. Даже если учетные данные будут украдены, MFA обеспечит критически важный второй уровень защиты, который предотвратит несанкционированный доступ.

Проактивный мониторинг

Разверните системы управления информацией и событиями безопасности (SIEM) и системы обнаружения вторжений (IDS) для мониторинга сетевых журналов и поведения пользователей. Ищите аномалии, такие как вход в систему из необычных мест, попытки доступа в нерабочее время или быстрые последовательные сбои при входе в систему для нескольких учетных записей.

Принцип наименьших привилегий

Предоставляйте сотрудникам только минимальные уровни доступа, необходимые для выполнения их должностных обязанностей. Эта концепция безопасности ограничивает потенциальный ущерб от одной скомпрометированной учетной записи, ограничивая возможности злоумышленника по доступу или изменению.

Передовые решения для защиты электронной почты

Разверните специальные платформы для защиты электронной почты, предназначенные для автоматического обнаружения и блокирования вредоносных писем, вложений и ссылок до того, как они попадут к сотрудникам. Протоколы проверки подлинности электронной почты, такие как DMARC не позволяют злоумышленникам подменять ваш домен и выдавать себя за вашу организацию в фишинговых кампаниях. PowerDMARC DMARC Record Checker поможет вам проверить конфигурацию аутентификации электронной почты и выявить уязвимости.

Для физических лиц

Индивидуальные пользователи часто являются первой, а иногда и единственной линией защиты от сбора учетных данных. Эти проактивные привычки значительно снижают ваши личные риски.

Строгая гигиена паролей

Используйте уникальный и сложный пароль для каждой учетной записи в Интернете. Это позволит избежать взлома одной учетной записи, который может скомпрометировать несколько. Менеджеры паролей генерируют и надежно хранят сложные пароли, избавляя вас от необходимости запоминать их и значительно повышая уровень безопасности.

Многофакторная аутентификация (MFA)

Включите MFA везде, где это возможно - особенно для электронной почты, банковских операций, социальных сетей и любых учетных записей, содержащих конфиденциальную информацию. MFA требует второго фактора проверки (обычно кода из приложения-аутентификатора) после ввода пароля, что делает несанкционированный доступ крайне затруднительным даже в случае кражи пароля.

Изучение цифровых коммуникаций

Прежде чем перейти по ссылке или ввести учетные данные, проверьте подлинность отправителя. Наводите курсор на ссылки, чтобы просмотреть фактический URL-адрес, тщательно проверяйте адреса электронной почты отправителей на наличие малозаметных ошибок в написании и скептически относитесь к сообщениям, создающим ложную срочность. Если вы сомневаетесь, переходите на сайт напрямую, набрав URL-адрес, а не переходите по ссылкам, полученным по электронной почте.

Обновления программного обеспечения

Регулярно обновляйте свои устройства, операционные системы, браузеры и приложения. Обновления программного обеспечения часто содержат критические исправления безопасности, которые устраняют известные уязвимости, используемые злоумышленниками для установки вредоносных программ и кражи учетных данных. По возможности включайте автоматические обновления.

Избегайте публичного Wi-Fi при выполнении конфиденциальных действий

Никогда не пользуйтесь банковскими услугами, электронной почтой и другими конфиденциальными учетными записями через незащищенный общественный Wi-Fi. Если вы вынуждены пользоваться публичными сетями, используйте надежную VPN (виртуальную частную сеть) для шифрования трафика и защиты учетных данных от перехвата.

Опережайте сборщиков мандатов

Атаки на сбор учетных данных продолжают развиваться, но основы защиты остаются неизменными: сочетайте технические средства контроля с осведомленностью людей, внедряйте многоуровневую защиту и поддерживайте постоянную бдительность.

Организации должны уделять приоритетное внимание протоколам аутентификации электронной почты, таким как DMARC, внедрять MFA во всех системах и вкладывать средства в постоянное обучение по вопросам безопасности. Отдельные пользователи должны соблюдать строгую гигиену паролей, использовать многофакторную аутентификацию и критически оценивать каждое цифровое сообщение, прежде чем предпринимать какие-либо действия.

Платформа безопасности электронной почты PowerDMARC может стать решающим фактором для организаций, стремящихся предотвратить фишинговые и спуфинг-атаки, позволяющие собирать учетные данные. Не ждите, пока вы станете следующим заголовком. Примите меры уже сегодня, чтобы защитить свои учетные данные, свои данные и свою организацию.

Проверьте конфигурацию DMARC вашего домена прямо сейчас с помощью нашего бесплатного DMARC Record Checker!

Часто задаваемые вопросы

Как хакеры используют набивку учетных данных для взлома систем?

Хакеры используют автоматические боты для проверки миллионов украденных комбинаций имени пользователя и пароля на нескольких веб-сайтах, используя повторное использование паролей для получения несанкционированного доступа к учетным записям, где пользователи не создали уникальные учетные данные.

Как сервисы могут защититься от набивания учетных данных?

Службы могут ограничить количество попыток входа в систему, требовать проверки CAPTCHA, отслеживать необычные шаблоны входа, применять строгие политики паролей и требовать многофакторной аутентификации для блокирования автоматизированных атак на вброс учетных данных.

Есть ли способ сообщить о поддельных учетных данных?

Да! Вы можете сообщать о фишинговых сайтах в Рабочую группу по борьбе с фишингом ([email protected]), использовать встроенные в браузеры функции сообщения о фишинге, напрямую уведомлять организацию, выдающую себя за таковую, а также сообщать о мошеннических письмах в отдел по борьбе со злоупотреблениями вашего поставщика услуг электронной почты.

Последние сообщения Милены Багдасарян (см. все)
Последнее обновление:
Кибермошенничество: Виды, риски и способы их предотвращенияDomainKeys vs. DKIM: в чем разница?