Учетные данные учетной записи, популярный способ начального доступа, стали ценным товаром в сфере киберпреступности. В результате один набор украденных учетных данных может подвергнуть риску всю сеть вашей организации.
Согласно отчету Verizon о расследовании утечек данных за 2023 год, внешние стороны были ответственны за 83 процента утечек, произошедших в период с ноября 2021 по октябрь 2022 года. Сорок девять процентов этих взломов связаны с кражей учетных данных.
Как субъекты угроз компрометируют учетные данные? Социальная инженерия входит в пятерку крупнейших угроз кибербезопасности в 2023 году. Фишинг, на долю которого приходится % попыток социальной инженерии, является распространенным методом кражи учетных данных. Это относительно дешевая тактика, которая дает результаты.
Поскольку методы фишинга и социальной инженерии становятся все более изощренными, а инструменты - все более доступными, кража учетных данных должна стать главной проблемой безопасности для всех организаций, если это уже не так.
PhaaS работает как законный бизнес SaaS. На выбор предлагаются модели подписки, и для работы наборов требуется покупка лицензии.
В период с октября 2022 по июль 2023 года инструмент использовался для успешного проникновения по меньшей мере в 8 000 из 56 000 корпоративных учетных записей электронной почты Microsoft 365 business, которые были нацелены. W3LL также продает другие активы, включая списки электронных писем жертв, скомпрометированные учетные записи электронной почты, VPN-аккаунты, скомпрометированные веб-сайты и сервисы, а также индивидуальные фишинговые приманки. По оценкам, выручка магазина W3LL за последние 10 месяцев составила целых 500 000 долларов.
Первоначальный контакт осуществляется с помощью фишингового электронного письма, которое перенаправляет жертву на поддельную страницу входа в Microsoft 365, где предварительно указан адрес электронной почты жертвы. Когда жертва вводит свой пароль, Greatness подключается к Microsoft 365 и обходит MFA, предлагая жертве ввести код MFA на странице приманки. Затем этот код пересылается на канал Telegram, чтобы субъект угрозы мог использовать его и получить доступ к аутентичной учетной записи. Набор для фишинга Greatness можно развернуть и настроить только с помощью ключа API.
Доступ к этим подпольным форумам может быть затруднен из-за того, что некоторые операции требуют верификации или членского взноса. В некоторых случаях, например, в магазине W3LL, новые участники допускаются только по рекомендации существующих участников.
Независимо от того, насколько надежной может быть безопасность вашей организации, предотвратить повторное использование действительных учетных данных, украденных из другой учетной записи, может быть сложно.
Финансовая выгода остается основной причиной 95% взломов. Злоумышленники продают учетные данные, украденные ими на подпольных форумах, с целью получения прибыли другим злоумышленникам, которые будут использовать их неделями или месяцами позже. Это означает, что украденные учетные данные будут движущей силой подпольных рынков в будущем. Какие шаги вы предпринимаете для защиты учетных данных пользователей в вашей организации?
Вы можете укрепить свою инфраструктуру паролей, используя функцию пользовательского словаря, которая позволяет блокировать слова, общие для вашей организации, а также слабые и предсказуемые шаблоны. Внедрите более надежную политику паролей, соответствующую современным требованиям соответствия политике паролей Specops. Попробуйте бесплатно здесь.
Согласно отчету Verizon о расследовании утечек данных за 2023 год, внешние стороны были ответственны за 83 процента утечек, произошедших в период с ноября 2021 по октябрь 2022 года. Сорок девять процентов этих взломов связаны с кражей учетных данных.
Как субъекты угроз компрометируют учетные данные? Социальная инженерия входит в пятерку крупнейших угроз кибербезопасности в 2023 году. Фишинг, на долю которого приходится % попыток социальной инженерии, является распространенным методом кражи учетных данных. Это относительно дешевая тактика, которая дает результаты.
Поскольку методы фишинга и социальной инженерии становятся все более изощренными, а инструменты - все более доступными, кража учетных данных должна стать главной проблемой безопасности для всех организаций, если это уже не так.
Фишинг эволюционировал
С фишингом и социальной инженерией в целом участники угроз выходят за рамки использования только электронных писем:- Фишинговые кампании теперь представляют собой многоканальные атаки, состоящие из нескольких этапов. В дополнение к электронным письмам злоумышленники используют текстовые сообщения и голосовую почту, чтобы направлять жертв на вредоносные веб-сайты, а затем используют повторный телефонный звонок для продолжения уловки.
- Злоумышленники активно нацелены на мобильные устройства. Учетные данные могут быть скомпрометированы, поскольку пользователей можно обмануть с помощью тактики социальной инженерии в различных приложениях. Половина всех персональных устройств подвергалась фишинговой атаке каждый квартал 2022 года.
- Искусственный интеллект стал важным фактором. Искусственный интеллект используется для повышения доверия к фишинговому контенту и расширения масштабов атак. Используя данные исследований жертв, искусственный интеллект может создавать личные фишинговые сообщения, а затем уточнять эти сообщения, придавая им видимость легитимности для получения лучших результатов.
PhaaS - это путь к украденным учетным данным
Тем не менее, на самом деле не так уж много нужно, чтобы начать кражу учетных данных. Фишинг стал выгодным бизнесом, поскольку субъекты угроз полностью используют модель "фишинг как услуга" (PhaaS) для передачи своих знаний на аутсорсинг другим. С помощью фишинговых наборов, которые продаются на подпольных форумах, даже новички, не имеющие навыков самостоятельного проникновения в ИТ-системы, могут начать атаку.PhaaS работает как законный бизнес SaaS. На выбор предлагаются модели подписки, и для работы наборов требуется покупка лицензии.
Продвинутые фишинговые инструменты, используемые для взлома учетных записей Microsoft 365
Фишинговая экосистема BEC от W3LL раскрыта
В течение последних шести лет threat actor W3LL предлагал свой специализированный фишинговый набор, панель W3LL, на своем подпольном рынке, W3LL Store. Набор W3LL был создан для обхода многофакторной аутентификации (MFA) и является одним из наиболее продвинутых фишинговых инструментов на подпольном рынке.В период с октября 2022 по июль 2023 года инструмент использовался для успешного проникновения по меньшей мере в 8 000 из 56 000 корпоративных учетных записей электронной почты Microsoft 365 business, которые были нацелены. W3LL также продает другие активы, включая списки электронных писем жертв, скомпрометированные учетные записи электронной почты, VPN-аккаунты, скомпрометированные веб-сайты и сервисы, а также индивидуальные фишинговые приманки. По оценкам, выручка магазина W3LL за последние 10 месяцев составила целых 500 000 долларов.
Набор для фишинга Greatness упрощает поиск
С ноября 2022 года "Величие" достигло пика с резкими скачками активности в декабре 2022 года и снова в марте 2023 года. В дополнение к интеграции с Telegram-ботом и фильтрации IP-адресов, Greatness включает в себя возможность обхода многофакторной аутентификации, такую как панель W3LL.Первоначальный контакт осуществляется с помощью фишингового электронного письма, которое перенаправляет жертву на поддельную страницу входа в Microsoft 365, где предварительно указан адрес электронной почты жертвы. Когда жертва вводит свой пароль, Greatness подключается к Microsoft 365 и обходит MFA, предлагая жертве ввести код MFA на странице приманки. Затем этот код пересылается на канал Telegram, чтобы субъект угрозы мог использовать его и получить доступ к аутентичной учетной записи. Набор для фишинга Greatness можно развернуть и настроить только с помощью ключа API.
Подпольный рынок украденных учетных данных
В 2022 году в Темной Сети было выставлено на продажу более 24 миллиардов учетных данных, что больше, чем в 2020 году. Цена за украденные учетные данные варьируется в зависимости от типа учетной записи. Например, украденные учетные данные из облака стоят примерно столько же, сколько дюжина пончиков, в то время как новые учетные данные для входа в банковский счет продаются за 4255 долларов.Доступ к этим подпольным форумам может быть затруднен из-за того, что некоторые операции требуют верификации или членского взноса. В некоторых случаях, например, в магазине W3LL, новые участники допускаются только по рекомендации существующих участников.
Опасность использования конечными пользователями украденных учетных данных
Риски кражи учетных данных усугубляются, если конечные пользователи повторно используют пароли для нескольких учетных записей. Злоумышленники платят за украденные учетные данные, потому что они знают, что многие люди, более того, используют один и тот же пароль в нескольких учетных записях и веб-сервисах как в личных, так и в деловых целях.Независимо от того, насколько надежной может быть безопасность вашей организации, предотвратить повторное использование действительных учетных данных, украденных из другой учетной записи, может быть сложно.
Мотивацией кражи учетных данных является финансовая выгода
После кражи учетных данных злоумышленники могут распространять вредоносное ПО, красть данные, выдавать себя за владельца учетной записи и совершать другие вредоносные действия с использованием взломанной учетной записи электронной почты. Однако злоумышленники, которые крадут учетные данные, часто не те, кто будет использовать эту информацию.Финансовая выгода остается основной причиной 95% взломов. Злоумышленники продают учетные данные, украденные ими на подпольных форумах, с целью получения прибыли другим злоумышленникам, которые будут использовать их неделями или месяцами позже. Это означает, что украденные учетные данные будут движущей силой подпольных рынков в будущем. Какие шаги вы предпринимаете для защиты учетных данных пользователей в вашей организации?
Блокируйте скомпрометированные пароли
Устраните риски безопасности, связанные со скомпрометированными паролями, с помощью политики паролей Specops с защитой взломанным паролем, которая позволяет блокировать более 4 миллиардов известных скомпрометированных паролей из вашего Active Directory. Всем пользователям будет запрещено использовать известные скомпрометированные пароли, и их направят на создание другого пароля, соответствующего вашей политике. Кроме того, если активировано непрерывное сканирование, пользователи будут предупреждены по SMS или электронной почте, как только будет обнаружено, что их пароль взломан.Вы можете укрепить свою инфраструктуру паролей, используя функцию пользовательского словаря, которая позволяет блокировать слова, общие для вашей организации, а также слабые и предсказуемые шаблоны. Внедрите более надежную политику паролей, соответствующую современным требованиям соответствия политике паролей Specops. Попробуйте бесплатно здесь.
