Kao preduzeće, lako možete se zaštititi od uobičajenih prevara, konkretno od napada preuzimanja naloga (ATO), uz nekoliko ključnih mera.
Popodne 30. avgusta 2019. godine bilo je iznenađujuće za pratioce Džeka Dorsija na Tviteru (sada X). On je bio u neobuzdanoj akciji, koja je trajala oko 20 minuta, objavljujući rasne uvrede i druge neprimerene poruke.
Njegovi fanovi su to mogli protumačiti kao neobičan mentalni slom direktora najveće platforme za mikroblogovanje. Međutim, grupa koja stoji iza ovog napada, poznata kao Chuckling Squad, ostavila je linkove ka svom Discord kanalu u obmanjujućim tvitovima sa Džekovog naloga.
Kasnije je Tviter (sada X) potvrdio ovaj incident.
Svesni smo da je @jack kompromitovan i istražujemo šta se dogodilo.
— Twitter Comms (@TwitterComms) 30. avgusta 2019.
Ovo je bio klasičan napad preuzimanja naloga (ATO), posebno SIM swap napad, u kojem su hakeri daljinski preuzeli kontrolu nad Džekovim telefonskim brojem i tvitovali preko aplikacije treće strane, Cloudhopper.
Koje su šanse prosečnog korisnika ako čak i direktor tehnološke kompanije najvišeg nivoa može postati žrtva?
Zato, pridružite mi se da razmotrimo različite oblike ATO napada i kako da zaštitite svoju organizaciju.
Šta je ATO napad?
Napad preuzimanja naloga (ATO), kao što i samo ime govori, koristi različite metode (o kojima će biti reči kasnije) za preuzimanje kontrole nad online nalogom žrtve. Ciljevi su razni, poput finansijske prevare, pristupa osetljivim informacijama, varanja drugih i slično.
Kako ATO funkcioniše?
Suština ATO napada je krađa kredencijala naloga. Napadači to rade na razne načine, na primer:
- Društveni inženjering: To je psihološko manipulisanje ili ubeđivanje osobe da otkrije svoje podatke za prijavu. Ovo se može postići lažiranjem tehničke podrške ili izmišljanjem hitne situacije, dajući žrtvi malo vremena za razmišljanje.
- Popunjavanje kredencijala: Ovo je podgrupa napada grubom silom. Podrazumeva da napadač isprobava nasumične podatke za prijavu, često dobijene iz curenja podataka ili kupljene na dark webu.
- Malver: Opasni, neželjeni programi mogu izazvati mnogo problema vašem računaru. Jedan primer je krađa podataka za prijavu i slanje tih informacija sajber kriminalcu.
- Pecanje: Najčešći oblik sajber napada, phishing, obično počinje klikom. Ova naizgled bezazlena radnja vodi korisnika na lažnu stranicu gde žrtva unosi podatke za prijavu, otvarajući put ATO napadu.
- MITM: Napad „čoveka u sredini“ podrazumeva situaciju u kojoj vešt haker „prati“ vaš mrežni saobraćaj. Sve, uključujući korisnička imena i lozinke koje unesete, vidljivo je zlonamernom trećem licu.
Ovo su standardni načini na koje sajber kriminalci dolaze do kredencijala za prijavu. Nakon toga sledi preuzimanje naloga, nelegalna aktivnost i pokušaj da se pristup zadrži što duže kako bi se korisnik dodatno oštetio ili nastavili napadi na druge.
Često, napadači pokušavaju da zaključaju korisnika na neodređeno vreme ili postave „zadnja vrata“ za buduće napade.
Iako niko ne želi da prolazi kroz ovo (ni Džek!), mnogo bi nam pomoglo ako bismo mogli da otkrijemo napad unapred kako bismo izbegli štetu.
Otkrivanje ATO napada
Kao vlasnik preduzeća, imate nekoliko načina da uočite ATO napad na svoje korisnike ili zaposlene.
#1. Neuobičajena prijava
Ovo mogu biti ponovljeni pokušaji prijave sa različitih IP adresa, posebno sa geografski udaljenih lokacija. Takođe, moguće su prijave sa više uređaja ili pretraživača.
Pored toga, aktivnost prijavljivanja izvan uobičajenih radnih sati može ukazivati na mogući ATO napad.
#2. Neuspesi 2FA
Ponovljeni neuspesi dvofaktorske ili višefaktorske autentifikacije takođe ukazuju na problem. U većini slučajeva, radi se o napadaču koji pokušava da se prijavi nakon što je došao do procurelog ili ukradenog korisničkog imena i lozinke.
#3. Abnormalna aktivnost
Ponekad nije potreban stručnjak da bi se primetila anomalija. Sve što je značajno izvan uobičajenog ponašanja korisnika može biti znak preuzimanja naloga.
To može biti jednostavna stvar kao što je neprimerena profilna slika ili niz neželjenih imejlova upućenih vašim klijentima.
Na kraju krajeva, nije lako otkriti takve napade ručno, a alati poput Sucuri ili Acronis mogu pomoći u automatizaciji procesa.
Nastavimo dalje i pogledajmo kako uopšte izbeći takve napade.
Sprečavanje ATO napada
Pored pretplate na alate za sajber bezbednost, postoji nekoliko najboljih praksi koje možete primeniti.
#1. Jaka lozinka
Niko ne voli jake lozinke, ali su one neophodne u današnjem okruženju pretnji. Zato ne dozvolite svojim korisnicima ili zaposlenima da koriste jednostavne lozinke i postavite neke minimalne zahteve za složenost prilikom registracije naloga.
Posebno za organizacije, 1Password Business je odličan izbor za menadžera lozinki koji može da preuzme taj teret na sebe za vaš tim. Pored čuvanja lozinki, napredni alati takođe skeniraju dark web i upozoravaju vas ako neki kredencijal procuri. Ovo vam pomaže da pošaljete zahteve za resetovanje lozinki pogođenim korisnicima ili zaposlenima.
#2. Višefaktorska autentifikacija (MFA)
Za one koji ne znaju, višefaktorska autentifikacija znači da će veb sajt zahtevati dodatni kod (poslat na imejl ili telefon korisnika) pored kombinacije korisničkog imena i lozinke za prijavu.
Ovo je uglavnom pouzdan metod za izbegavanje neovlašćenog pristupa. Međutim, prevaranti mogu brzo da zaobiđu MFA putem društvenog inženjeringa ili MITM napada. Dakle, iako je ovo sjajna prva (ili druga) linija odbrane, priča je mnogo složenija.
#3. Implementirajte CAPTCHA
Većina ATO napada počinje tako što botovi isprobavaju nasumične kredencijale za prijavu. Zato bi bilo mnogo bolje postaviti izazov za prijavu kao što je CAPTCHA.
Ali ako mislite da je ovo nepobedivo oružje, razmislite ponovo jer postoje servisi za rešavanje CAPTCHA koje napadači mogu koristiti. Ipak, u mnogim slučajevima je dobro imati CAPTCHA da biste se zaštitili od ATO-a.
#4. Upravljanje sesijama
Automatsko odjavljivanje za neaktivne sesije može biti spas za sprečavanje preuzimanja naloga. Neki korisnici se prijavljuju sa više uređaja i prelaze na druge bez odjavljivanja sa prethodnih.
Pored toga, omogućavanje samo jedne aktivne sesije po korisniku takođe može biti od pomoći.
Konačno, najbolje bi bilo da korisnici mogu da se odjave sa aktivnih uređaja na daljinu i da postoje opcije za upravljanje sesijom u samom korisničkom interfejsu.
#5. Sistemi za praćenje
Pokrivanje svih vektora napada nije jednostavno za start-up ili organizaciju srednje veličine, posebno ako nemate specijalizovano odeljenje za sajber bezbednost.
Ovde možete se osloniti na rešenja treće strane kao što su Cloudflare i Imperva, pored već pomenutih Acronis i Sucuri. Ove kompanije za sajber bezbednost su među najboljima za rešavanje ovih problema i mogu efikasno sprečiti ili ublažiti ATO napade.
#6. Geofencing
Geofencing primenjuje pravila za pristup na osnovu lokacije za vaš veb projekat. Na primer, 100% preduzeća sa sedištem u SAD nema razloga da dozvoli pristup korisnicima iz Kine. Iako ovo nije sigurno rešenje za sprečavanje ATO napada, doprinosi opštoj bezbednosti.
Još jedan korak dalje, online poslovanje se može konfigurisati da dozvoljava pristup samo određenim IP adresama koje su dodeljene zaposlenima.
Drugim rečima, možete koristiti poslovni VPN da biste prekinuli napade preuzimanja naloga. Pored toga, VPN će takođe šifrovati dolazni i odlazni saobraćaj, štiteći vaše poslovne resurse od MITM napada.
#7. Ažuriranja
Kao preduzeće koje posluje na internetu, verovatno koristite veliki broj softverskih aplikacija, kao što su operativni sistemi, pretraživači, dodaci itd. Sve ovo treba ažurirati radi optimalne bezbednosti. Iako ovo nije direktno povezano sa ATO napadima, zastareli kod može omogućiti sajber kriminalcu lak pristup kako bi izazvao haos u vašem poslovanju.
Zaključak: instalirajte redovna bezbednosna ažuriranja na poslovnim uređajima. Takođe, edukacija korisnika da ažuriraju svoje aplikacije je dobar korak.
Posle svega ovoga, nijedan bezbednosni stručnjak ne može garantovati 100% sigurnost. Stoga, trebalo bi da imate dobar plan delovanja u slučaju napada.
Borba protiv ATO napada
Najbolje je imati stručnjaka za sajber bezbednost, jer je svaki slučaj jedinstven. Ipak, evo nekoliko koraka koji će vam pomoći u uobičajenom scenariju napada nakon ATO-a.
Zaustavljanje napada
Nakon što otkrijete ATO napad na neke naloge, prva stvar koju treba da uradite je da privremeno onemogućite pogođene profile. Zatim, slanje zahteva za resetovanje lozinke i MFA na sve naloge može pomoći u ograničavanju štete.
Obavestite
Obavestite korisnike koji su pogođeni o incidentu i zlonamernoj aktivnosti na nalogu. Zatim ih obavestite o trenutnom ograničenju i koracima za vraćanje naloga radi sigurnog pristupa.
Istražite
Ovaj proces najbolje obavlja iskusan stručnjak ili tim profesionalaca za sajber bezbednost. Cilj je da se identifikuju pogođeni nalozi i da se proveri da napadač više nije aktivan, uz pomoć mehanizama koji koriste veštačku inteligenciju, kao što je analiza ponašanja.
Pored toga, treba utvrditi obim povrede podataka, ako je do nje došlo.
Oporavak
Skeniranje celog sistema na malver bi trebalo da bude prvi korak u detaljnom planu oporavka, jer kriminalci često postavljaju rutkite kako bi zarazili sistem ili zadržali pristup za buduće napade.
U ovoj fazi, može se tražiti biometrijska autentifikacija, ako je dostupna, ili MFA, ako već nije primenjena.
Prijavite
U zavisnosti od lokalnih zakona, možda ćete morati da prijavite incident nadležnim organima. Ovo će vam pomoći da ostanete u skladu sa propisima i da pokrenete tužbu protiv napadača, ako je potrebno.
Planirajte
Sada znate za neke propuste koji su postojali bez vašeg znanja. Vreme je da se pozabavite njima u budućem bezbednosnom planu.
Pored toga, iskoristite ovu priliku da informišete korisnike o ovom incidentu i zahtevate da praktikuju zdravu internet higijenu kako biste izbegli probleme u budućnosti.
U budućnost
Sajber bezbednost je oblast koja se stalno razvija. Ono što se smatralo sigurnim pre deset godina, danas može biti prilika za prevarante. Zato je najbolje da pratite razvoj događaja i redovno unapređujete svoje poslovne bezbednosne protokole.
Ako ste zainteresovani, bezbednosna sekcija na našem sajtu je riznica članaka namenjenih početnicima i malim i srednjim preduzećima, koju redovno ažuriramo. Pratite je i siguran sam da ćete moći da odradite deo bezbednosnog planiranja koji se odnosi na „praćenje najnovijih trendova“.
Budite oprezni i ne dozvolite da vam preuzmu naloge.