Az adathalász támadások során kompromittált fiókokhoz a bűnözők már a felhasználónév és jelszó kiszivárogtatását követő 12 órán belül, manuálisan hozzáférnek, a lehető leggyorsabban felhasználva az ellopott hitelesítő adatokat – állatják az email-biztonsági megoldásokat fejleszztő Agari kiberbiztonsági kutatói. A cég szakembereiegy nagy csomó olyan azonosítót szórtak el a lopott adatok közzétételére használt, összesen több mint 8 ezer darab webhelyen és fórumon, amelyek látszólag valódi felhasználókhoz és közismert cloud szolgáltatókhoz kapcsolódtak, de valójában a kutatók ellenőrzése alatt álltak.
A hat hónapon keresztül zajló megfigyelés eredményeiből kiderült, hogy a szóban forgó profilokba általában már néhány órával azután be is lépnek, hogy az azonosítók megjelennek a neten. A ZDNet ezzel kapcsolatban az Agari fenyegetettségek kutatásáért felelős vezetőjét is idézi, aki szerint a fiókok körülbelül felét 12 órán belül elérték, sőt 20 százalékukra 1 órán belül, 40 százalékukra pedig 6 órán belül beléptek ahhoz képest, hogy a csalikat elhelyezték az adathalász csatornákon.
Az Agari Cyber Intelligence Division kutatása arról is beszámol, hogy majdnem minden esetben manuális hozzáférésről volt szó, ami nyilván elég hétköznapi megoldásnak tűnik, de egyben azt is bizonyítja, hogy a bűnözők szeretnek személyesen meggyőződni róla, mennyire működőképesek a belépési kulcsok. Vagyis akármilyen unalmas a folyamat, a végén így szűrhetők ki a jó minőségű eszközök, amivel később a fiókokat különféle módon alkalmazhatják a rosszindulatú tevékenységek egyes típusaihoz.
Ennél többet is tehetnénk ellene
Ez alapesetben a megtámadott postafiókokban heverő, bizalmas információ felkutatása is lehet, amelynek révén akár a felhős tárolók tartalmát is kipucolhatják, vagy amit felhasználhatnak további támadásokhoz, és esetleg el is adhatnak az említett webhelyeken. A támadók magukat a fiókokat is felhasználhatják más támadásokhoz és kampányokhoz, így adathalászathoz (phishing) vagy az üzleti emailekhez kapcsolódó visszaélésekhez (business email compromise, BEC).
A ZDNet szerint ez utóbbira konkrét kísérlet is történt, ami persze nem járt eredménnyel, mivel az ellenőrzött fiiókok alól kiküldött levelek nem jutottak el a címzettekhez. Az Agari kísérlete ugyanakkor tökéletesen szemlélteti, hogy az internetes bűnözők milyen gyorsan lecsapnak a kiszivárgó hitelesítési adatokra, és milyen gyorsan megpróbálják kihasználni a lehetőségeket a további fiókokbaz való behatolásra. A kompromittált fiókokból indított kampányok ugynais további kompromittált fiókokat eredményeznek, amelyekből újabb akciók indulnak, és így tovább.
Érdekesség, hogy a kutatás szerint a bűnözők nem csak a felhasználónevek és jelszavak alkalmazásával sietnek, de legtöbbször nagyjából egy hét múlva el is dobják azokat – feltehetően azért, mert addigra más profilokba költöznek át, és nincs már szükségük az ugródeszkának tekinthető előző fiókokra. A szervezetek mindez ellen természetesen megtehetik a hagyományos óvintézkedéseket, és bevezethetik a több faktoros hitelesítést is: ez utóbbi nem csak a támadók dolgát nehezíti meg, de az áldozatokat is nagyobb eséllyel figyelmezteti, ha valami nem kerek a fiókjával kapcsolatban.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak