Cyberataki: po co hakować, skoro dane logowania podane są na tacy
2024-03-15 09:49
Po co hakować – wystarczy ukraść login i hasło © Gerd Altmann z Pixabay
Działalność cyberprzestępcza kojarzy się najczęściej ze skomplikowanymi operacjami. Tymczasem praktyka pokazuje, że dziś atakujący nie muszą już w zasadzie niczego hakować - narzędzia do ataku są im bowiem podawane na tacy. Mowa tu o niedostatecznie zabezpieczonych loginach i hasłach. Statystyki zespołu Cisco Talos Incident Response pokazują, że w minionym roku co 4. jego interwencja dotyczyła właśnie incydentów, w których wykorzystywano przejęte konta użytkowników.
Przeczytaj także: Jak cyberprzestępcy łamią nasze hasła?
Z tego tekstu dowiesz się m.in.:
- Jakie podłoże mają cyberataki bazujące na skradzionych danych uwierzytelniających?
- Skąd cyberprzestępcy wykradają loginy i hasła?
- Jakie działania podjąć, aby zwiększyć poziom bezpieczeństwa i odporność cyberataki z wykorzystaniem danych uwierzytelniających?
Nielegalne pozyskanie danych logowania do kont użytkowników pozwala atakującym uzyskać dostęp do systemu, pozostawać tam w ukryciu i wykradać dane, jak również rozszerzać zakres posiadanych uprawnień i infiltrować kolejne obszary firmowej sieci. To druga najczęstsza metoda ataków spośród wszystkich technik cyberprzestępczych wymienionych w ogólnodostępnej bazie wiedzy MITRE ATT&CK, którą eksperci z zespołu Cisco Talos zaobserwowali w gromadzonych przez siebie danych telemetrycznych w 2023 r.
Biorąc pod uwagę tylko statystyki Cisco Talos z ostatniego kwartału ubiegłego roku, napastnicy równie często uzyskiwali nieuprawniony, inicjalny dostęp do zasobów poprzez zastosowanie przejętych loginów i haseł do legalnych kont, jak wykorzystywanie podatności w publicznie dostępnych aplikacjach sieciowych. Co trzecie wykryte narzędzie, jakim posługiwali się cyberprzestępcy, służyło do uzyskiwania dostępu i gromadzenia danych uwierzytelniających.
fot. Gerd Altmann z Pixabay
Po co hakować – wystarczy ukraść login i hasło
W dzisiejszych czasach cyberprzestępcy nie muszą już nikogo i niczego hakować – wystarczy, że zdobędą dane logowania.
Zdaniem specjalistów z Cisco Talos popularność tego typu ataków ma trojakie podłoże:
1. Większość firm uważa, że cyberataki będą pochodzić „z zewnątrz".
Ataki możliwe dzięki przejęciu danych logowania przebiegają niejako „od wewnątrz". Po uzyskaniu początkowego dostępu napastnik pozostaje niewidoczny w sieci i jeżeli nie próbuje przeniknąć do głębszych warstw infrastruktury, ma szansę uniknąć wykrycia – zwłaszcza jeżeli w danej organizacji nie ma segmentacji sieci. Wykorzystanie luki w zabezpieczeniach może zapewnić atakującemu dostęp, ale dalsze funkcjonowanie „poza zasięgiem radaru” umożliwiają autoryzowane dane uwierzytelniające.
2. Skradzione dane uwierzytelniające są przedmiotem handlu w sieci dark web.
Niektórzy uczestnicy cyberprzestępczego podziemia wykradają dane uwierzytelniające tylko po to, aby sprzedać je oferentowi, który zaproponuje najwyższą cenę. Nabywcy mogą następnie wykorzystywać je do prowadzenia ukierunkowanych kampanii ransomware albo w celach szpiegowskich. Im szersze uprawnienia konta (na przykład pracowników działów finansów lub mających dostęp do urządzeń sieciowych), tym wyższa cena.
3. Atakujący wykorzystują współczesne trendy.
Rośnie popularność rozwiązań chmurowych, z coraz większą liczbą usług i aplikacji łączymy się zdalnie, a dostęp do zasobów firmowych uzyskujemy również za pośrednictwem urządzeń prywatnych (tylko w obrębie Cisco odnotowuje się obecnie 1,5 mld żądań uwierzytelniania wieloskładnikowego miesięcznie za pośrednictwem usługi Cisco Duo). W tych warunkach uzyskanie dostępu do sieci poprzez włamanie siłowe jest z perspektywy atakującego nieoptymalne – łatwiej o udany atak tożsamościowy, poprzedzony kradzieżą danych logowania.
Raport Cisco Talos Incident Response Quarterly Trends podaje, że brak uwierzytelniania wieloskładnikowego lub jego niewłaściwa implementacja jest najważniejszą słabością systemów bezpieczeństwa. Według danych firmy Oort, którą Cisco przejęło w 2023 r., 40 proc. jej korporacyjnych klientów nie ma wdrożonego MFA lub używa niewydolnego systemu autoryzacji, na przykład wiadomości SMS.
Różne metody – jeden cel
Atakujący skutecznie uzyskują dostęp do systemów przy użyciu ważnych danych uwierzytelniających, korzystając z różnych taktyk. W ramach czynności podejmowanych w reakcji na incydenty eksperci z zespołu Cisco Talos spotykają się z następującymi praktykami:
Poświadczenia skradzione z magazynów haseł
Dane skradzione z magazynów haseł zajęły 4. miejsce na liście 20 najpopularniejszych technik MITRE ATT&CK, które Talos zaobserwował w 2023 roku. Dzieje się tak, gdy użytkownicy przechowują hasła w aplikacjach lub przeglądarkach internetowych. Technika ta jest wykorzystywana przez podmioty stanowiące zagrożenie od wielu lat, ale tempo, w jakim to się dziś odbywa, podkreśla potrzebę korzystania przez organizacje i użytkowników prywatnych z zewnętrznych menedżerów haseł, a nie tych wbudowanych w przeglądarki internetowe.
Poświadczenia skradzione z fałszywych stron logowania w wyniku ataków phishingowych
Atakujący często replikują strony logowania popularnych usług, takich jak Microsoft Office 365, wysyłając użytkownikom e-maile z prośbą o zalogowanie się na przykład z powodu problemu z kontem. Za fałszywą kopią strony kryje się złośliwe oprogramowanie stworzone do przechwytywania danych konta.
Przechwytywanie wprowadzanych danych
Najbardziej rozpowszechnionym rodzajem przechwytywania danych wprowadzanych przez użytkownika jest tzw. logowanie klawiszy – rejestrowanie naciśnięć klawiszy przez użytkownika w celu przechwycenia danych uwierzytelniających, gdy ofiara je wpisuje.
Kradzież lub fałszowanie biletów Kerberos
Kerberos to protokół autoryzacji sieciowej, który uwierzytelnia żądania usług i przyznaje bilet na bezpieczne połączenie. Napastnicy próbują wykraść te bilety (lub je sfałszować), aby zapewnić sobie nieautoryzowany dostęp.
Cyberataki na nieaktywne konta
Według danych Oort z 2022 r., w przeciętnym przedsiębiorstwie nieaktywne konta stanowią prawie 25 proc. wolumenu wszystkich kont. Konta te są regularnie celem ataków (średnio ponad 500 razy miesięcznie). Atakujący będą szukać kont, które nie są regularnie używane, ale nadal mają dostęp do sieci (na przykład konto pracownika, który opuścił firmę, ale jego dostęp nigdy nie został usunięty).
Złośliwe oprogramowanie wykradające informacje
Tzw. infostealery mogą być wykorzystywane do uzyskiwania dostępu do wszelkiego rodzaju poufnych informacji, w tym danych finansowych i również własności intelektualnej – jak również do uzyskiwania dostępu i gromadzenia danych uwierzytelniających użytkowników.
Cyberataki siłowe
Jeśli atakujący ma część danych logowania, może spróbować techniki brute force – wielokrotnie ponawianych prób odgadnięcia hasła.
„Rozpylanie” haseł
Szczególny typ ataku siłowego, gdzie zamiast wymuszania hasła w systemie atakujący używają haseł z uzyskanych w wyniku wcześniejszych wycieków informacji. Wypróbowują je w popularnych usługach internetowych w nadziei, że użytkownicy ponownie użyją swoich haseł. Zmniejsza to szansę na wykrycie i zablokowanie hasła.
Wyłudzanie danych za pomocą kodów QR
Skanowanie kodów QR zaszytych w mailach cyberprzestępców może zwiększać ryzyko utraty danych logowania – urządzenia mobilne, zwykle służące do skanowania kodów, są słabiej zabezpieczone przed cyberatakami.
Cyberataki insiderów
Nadal spotykamy się z przypadkami tradycyjnych zagrożeń wewnętrznych, tj. pracowników, którzy celowo chcą wyrządzić szkody w sieci swojej organizacji – dla korzyści finansowych albo z powodu frustracji związanej z samą organizacją. Coraz częściej można też spotkać się z inną kategorią ataków wewnętrznych – „nieświadome zasoby”. W tych wypadkach napastnicy wykorzystują inżynierię społeczną, aby wykorzystać użytkownika do działania w ich imieniu, zazwyczaj poprzez pewną formę manipulacji.
Zalecenia
Obrona przed atakami związanymi z tożsamością jest trudna, gdyż mamy do czynienia z wykorzystaniem rzeczywistych danych wykorzystywanych do logowania. Eksperci Cisco zalecają więc szereg praktyk, które mogą zwiększyć poziom bezpieczeństwa i odporność na tego rodzaju ataki:
- Ograniczenie uprawnień dostępowych użytkowników do zakresu niezbędnego do wykonywania przez nich obowiązków. Warto rozważyć podejście oparte na architekturze Zero Trust, która weryfikuje połączenie użytkownika z każdym urządzeniem i każdą aplikacją.
- Ograniczenie liczby możliwych kolejnych nieudanych prób logowania celem zapobiegnięcia atakom siłowym (brute force).
- Wdrożenie uwierzytelniania wieloskładnikowego w obrębie całej sieci.
- W wypadku administratorów IT – przeprowadzanie „poziomej” inspekcji sieci, a nie tylko kontroli ruchu przychodzącego i wychodzącego.
- Przyjęcie podejścia typu „obrona w głąb", aby w przypadku awarii części zabezpieczeń inne zabezpieczenia mogły wykrywać anomalie i włamania.
- Przeprowadzanie rutynowych audytów i usuwanie nieaktywnych kont – w szczególności kont roboczych, zakładanych i konfigurowanych na potrzeby testów nowych rozwiązań. Warto wdrożyć procedury automatycznego wyłączania kont testowych po zakończeniu projektu.
- Wyłączanie kont osób, które opuściły organizację i usuwanie uprawnień zdalnego dostępu (np. przez VPN).
- Wdrożenie systemu kontroli do obsługi transakcji finansowych, aby żadna osoba nie mogła zainicjować i wykonać przelewu bez dodatkowej zgody. Może to pomóc w ograniczeniu ataków socjotechnicznych na użytkowników zajmujących się płatnościami.
- Polityka aktywnego wyszukiwania włamań. Oprócz znalezienia możliwych naruszeń można w ten sposób identyfikować obszary, w których można poprawić ogólne bezpieczeństwo sieci.
Przeczytaj także:
![Bezpieczne hasło to podstawa. 1/4 Polaków nie stosuje żadnego]( "Bezpieczne hasło to podstawa. 1/4 Polaków nie stosuje żadnego [© pixabay.com]")
Bezpieczne hasło to podstawa. 1/4 Polaków nie stosuje żadnego
Bezpieczne hasło to podstawa. 1/4 Polaków nie stosuje żadnego
oprac. : eGospodarka.pl
Więcej na ten temat:
hasła, hasło, bezpieczne hasło, silne hasło, dobre hasło, cyberzagrożenia, cyberataki, cyberprzestępcy, hakerzy, dane uwierzytelniające, kradzież danych
Przeczytaj także
-
![Zmiana hasła - jak często?]( "Zmiana hasła - jak często? [© Gerd Altmann z Pixabay]")
Zmiana hasła - jak często?
-
![Hasło uwierzytelniające trudno zastąpić. Jakie są alternatywy?]( "Hasło uwierzytelniające trudno zastąpić. Jakie są alternatywy?")
Hasło uwierzytelniające trudno zastąpić. Jakie są alternatywy?
-
![Cyberbezpieczeństwo: jak pracować z menedżerem haseł?]( "Cyberbezpieczeństwo: jak pracować z menedżerem haseł?")
Cyberbezpieczeństwo: jak pracować z menedżerem haseł?
-
![Silne hasło, czyli jakie?]( "Silne hasło, czyli jakie?")
Silne hasło, czyli jakie?
-
![Menedżer haseł = oszczędność czasu]( "Menedżer haseł = oszczędność czasu [© Gajus - Fotolia]")
Menedżer haseł = oszczędność czasu
-
![Pretexting - jak cyberprzestępcy zdobywają zaufanie ofiar?]( "Pretexting - jak cyberprzestępcy zdobywają zaufanie ofiar?")
Pretexting - jak cyberprzestępcy zdobywają zaufanie ofiar?
-
![Poważne ataki na cyberbezpieczeństwo. Jak się chronić?]( "Poważne ataki na cyberbezpieczeństwo. Jak się chronić? [© Andrey Burmakin - Fotolia.com.jpg]")
Poważne ataki na cyberbezpieczeństwo. Jak się chronić?
-
![Wizerunek TVP i programu i9:30 wykorzystany przez cyberprzestępców]( "Wizerunek TVP i programu i9:30 wykorzystany przez cyberprzestępców")
Wizerunek TVP i programu i9:30 wykorzystany przez cyberprzestępców
-
![Cyberbezpieczeństwo 2023. Co o mijającym roku mówią eksperci?]( "Cyberbezpieczeństwo 2023. Co o mijającym roku mówią eksperci? [© pixabay.com]")
Cyberbezpieczeństwo 2023. Co o mijającym roku mówią eksperci?
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
Rusza budowa osiedla Craft Zabłocie w Krakowie
