Cum reușesc atacatorii să intre pe ușa din față a companiilor? Cu cheia potrivită. Iată ce puteți face ca ușa dvs. digitală să rămână mereu închisă.

De ce să spargi o ușă și să declanșezi alarma casei, când ai o cheie și un cod cu care poți intra în liniște? Este logica din spatele unei tendințe tot mai vizibile în domeniul securității cibernetice – atacatori care caută să sustragă parole, dar și token-uri de autentificare sau cookie-uri de sesiune, pentru a ocoli codurile MFA și a accesa rețelele pretinzând că sunt utilizatori legitimi.

Potrivit Verizon, „utilizarea datelor de autentificare furate” a fost una dintre cele mai populare metode de obținere a accesului inițial în ultimii ani. Raportul companiei arată că, anul trecut, folosirea acestora a apărut într-o treime (32%) dintre breșele de date. Deși există mai multe moduri prin care atacatorii cibernetici pot obține datele de autentificare, există și numeroase oportunități de a-i opri.

De ce atacurile cibernetice vizează în primul rând datele de autentificare

Se estimează că, în 2024, au fost furate peste 3,2 miliarde de date de autentificare la nivel global, cu o creștere de 33% față de anul anterior. Odată ce au acces la conturile companiilor, atacatorii pot plănui următorul pas fără a fi detectați. Acesta poate fi un atac cibernetic mai complex, de exemplu:
– Conducting network reconnaissance: looking for data, assets and user permissions to go after next
– Escalating privileges, e.g. via vulnerability exploitation, in order to move laterally to reach those high-value data stores/systems
– Covertly establishing communications with a command-and-control (C2) server, to download additional malware from and exfiltrate data
– Operațiuni de recunoaștere în rețea: Căutarea de date, resurse și permisiuni de utilizator pentru a identifica următoarele ținte.
– Escaladarea privilegiilor: De exemplu, prin exploatarea vulnerabilităților pentru a se deplasa lateral în rețea și a ajunge la sistemele sau la bazele de date cu valoare mare.
– Stabilirea de comunicații ascunse cu un server de comandă și control (C2), pentru a descărca malware suplimentar și a extrage date.

Parcurgând aceste etape, un atacator poate derula cu succes atacuri ransomware și alte campanii.

Cum intră în posesia parolelor

Infractorii cibernetici au dezvoltat diverse metode prin care pot compromite datele de autentificare de la conturile corporate ale angajaților sau, în unele cazuri, chiar codurile de autentificare multi-factor (MFA). Aceste metode includ:
– Phishing: Mesaje (e-mailuri sau SMS-uri) falsificate pentru a părea că provin dintr-o sursă oficială (de exemplu, departamentul IT sau un furnizor de servicii). Utilizatorul este încurajat să acceseze un link malițios care-l direcționează către o pagină falsă de conectare (de exemplu, una care imită site-ul Microsoft).–
– Vishing (Phishing Vocal): O variantă a phishing-ului, în care victima este sunată direct de un atacator. Acesta pretinde a fi angajat la departamentul de IT și îi cere victimei să-i comunice o parolă sau să înscrie un nou dispozitiv pentru autentificarea multi-factor (MFA), sub un pretext fals. De asemenea, atacatorul poate suna direct la departamentul IT, pretinzând că este un director sau un angajat care are nevoie urgentă de resetarea parolei pentru a-și face treaba.
– Infostealers (Programe pentru furt de informații): Malware creat special pentru a sustrage date de autentificare și cookie-uri de sesiune din computerul sau de pe dispozitivul victimei. Poate ajunge pe dispozitiv printr-un link/fișier malițios anexat, un site web compromis, o aplicație mobilă capcană, o înșelătorie pe rețelele sociale sau chiar un „mod” (modificare) de joc neoficial. Se estimează că infostealerele au fost responsabile pentru 75% dintre datele de autentificare compromise anul trecut.
– Atacuri de tip Brute-Force: Includ credential stuffing, prin care atacatorii încearcă combinații de nume de utilizator și parole furate anterior, pe site-uri și aplicații corporate. Password spraying folosește parole comune pe mai multe site-uri. Atacatorii se folosesc de programe automate (boți) pentru a încerca aceste combinații la scară largă, până când una funcționează.
– Compromiteri ale terților: Atacatorii compromit un furnizor sau un partener (cum ar fi un furnizor de servicii IT sau o companie SaaS) care stochează datele de autentificare ale clienților săi. O altă metodă este să cumpere pachete mari de date de autentificare deja furate, pentru a le folosi în atacuri ulterioare.
– Ocolirea autentificării multi-factor (MFA): Tehnicile includ SIM swapping (clonarea cartelei SIM), MFA prompt bombing care copleșește utilizatorul cu notificări push, pentru a-l face să aprobe o solicitare din greșeală, și atacurile de tip Adversary-in-the-Middle (AitM), în care atacatorii se interpun între utilizator și un serviciu de autentificare legitim, pentru a intercepta token-uri de sesiune MFA.

În ultimii ani, au existat numeroase exemple reale de incidente majore de securitate cauzate de compromiterea parolelor. Iată câteva dintre ele:

– Change Healthcare: In one of the most significant cyberattacks of 2024, the ransomware group ALPHV (BlackCat) crippled Change Healthcare, a major U.S. healthcare technology provider. The gang leveraged a set of stolen credentials to remotely access a server that did not have multifactor authentication (MFA) turned on. They then escalate their privileges and moved laterally within the systems and deployed ransomware, which ultimately led to an unprecedented disruption of the healthcare system and the theft of sensitive data on millions of Americans.
– Snowflake: Un grup de atacatori, UNC5537, a obținut acces la bazele de date ale mai multor clienți ai companiei Snowflake. Sute de milioane de clienți finali au fost afectați de această campanie masivă de furt de date, în urma căreia atacatorii au cerut recompense. Se presupune că atacatorii au accesat sistemele prin intermediul unor date de autentificare furate anterior cu ajutorul unui malware de tip infostealer.

Rămâneți vigilent

Toate aceste riscuri subliniază importanța protejării parolelor angajaților, a securizării autentificărilor și a monitorizării atente a sistemelor IT, pentru a identifica la timp semnele unui atac cibernetic.

Toate aceste măsuri pot fi implementate urmând principiul Zero Trust: să nu aveți încredere niciodată, verificați întotdeauna. Asta înseamnă să folosiți o metodă de autentificare bazată pe risc, atât la „perimetrul” rețelei, cât și în interiorul acesteia. Utilizatorii și dispozitivele ar trebui evaluate în funcție de profilul lor de risc, calculat pe baza orei și locației de conectare, a tipului de dispozitiv și a comportamentului din timpul sesiunii. Pentru a consolida protecția companiei dvs. împotriva accesului neautorizat și pentru a respecta reglementările, este esențială și o autentificare multi-factor (MFA) solidă, o linie de apărare obligatorie.

Pe lângă toate acestea, este esențial să completați strategia cu programe de training și de conștientizare pentru angajați. Ar trebui să includă simulări care recreează tehnicile actuale de inginerie socială. De asemenea, este important să implementați politici stricte și instrumente care să blocheze accesul angajaților la site-uri periculoase (potențial infectate cu malware de tip infostealer). Nu uitați de instalarea unui software de securitate pe toate serverele și dispozitivele. O altă soluție cheie este monitorizarea continuă pentru a depista comportamentele suspecte, ajutându-vă să detectați atacatorii care au reușit să se infiltreze în rețea cu ajutorul unor date de autentificare compromise. Pentru a limita daunele pe care le poate provoca un cont nesigur, este vital să aplicați principiul celui mai mic privilegiu. Nu în ultimul rând, puteți folosi un serviciu de monitorizare a dark web-ului pentru a verifica dacă datele companiei dvs. sunt puse în vânzare. Dacă nu dispuneți de resursele necesare, luați în considerare colaborarea cu un specialist extern, printr-un serviciu MDR (Managed Detection and Response). Dincolo de un cost total mai mic, un furnizor MDR reputabil vă pune la dispoziție expertiză, monitorizare 24/7, căutare proactivă de amenințări și acces la analiști specializați, care pot gestiona rapid un incident dacă un cont este atacat.