Як YubiKey допомагає запобігти захопленню облікових записів
Захоплення облікового запису — один із найпотужніших і проблемних кіберзлочинів, що частішає з кожним роком. І оскільки акаунти часто містять конфіденційну інформацію або мають певні привілеї, власникам бізнесу дуже важливо хоча б побіжно ознайомитися із заходами захисту акаунтів, щоб зуміти протистояти захопленню даних.
У цій статті ми розглянемо основні способи захоплення облікових записів хакерами, дізнаємося, як виявити захоплення і які методи протидії захопленню існують, у тому числі за допомогою ключів безпеки YubiKey виробництва Швеції та США.
Ключі безпеки YubiKey — це портативні пристрої для надійної двофакторної та багатофакторної автентифікації. Завдяки застосуванню сучасних криптографічних алгоритмів та захищених електронних компонентів, а також підтримці багатьох стандартів автентифікації, YubiKey стали світовим лідером серед апаратних ключів безпеки.
Що таке захоплення акаунта
Зазвичай терміни «крадіжка облікових даних», «злам облікового запису» і «захоплення облікового запису» використовуються як взаємозамінні. Але на відміну від крадіжки паролів або зламів акаунтів, захоплення облікового запису — це отримання шахраями повного контролю над чужим акаунтом з метою використання всіх його можливостей та привілеїв по максимуму, а не лише задля одноразової вигоди, такої як крадіжка грошей. Це може бути маніпулювання оточенням, стеження, спостереження за жертвою до отримання якихось ймовірних значних вигод у майбутньому (крадіжка унікального проєкту відразу після його завершення, наприклад). Як правило, захоплення акаунта використовується для запуску відкладених та ретельно розроблених потужних кібератак. Такі атаки здійснюються на підприємства, держустанови, навчальні та наукові центри, IT-компанії, банки тощо.
Цілями хакерів можуть бути всі типи облікових записів, наприклад, облікові записи:
- користувачів операційних систем;
- власників електронних поштових скриньок;
- клієнтів банківських онлайн-кабінетів;
- покупців інтернет-магазинів;
- користувачів соціальних мереж;
- корпоративні облікові записи співробітників тощо.
Захопивши акаунт, шахраї одержують:
- доступи до списків ресурсів, якими користується жертва (банки, соцмережі, інтернет-магазини тощо);
- дані кредитних карток;
- можливість здійснювати покупки або переказувати гроші на інші рахунки;
- доступи до контактних даних друзів чи співробітників;
- доступи до документації та особистої інформації;
- нарешті, доступи до авторських програм та різноманітної інтелектуальної власності.
Як виявити захоплення облікових записів
Захоплення акаунта тим і небезпечне, що його складніше виявити, якщо воно здійснене з метою стеження за жертвою. Проте існують методи, що допомагають його визначити:
- Повідомлення в журналі входу до облікового запису про вхід з невідомих IP-адрес та пристроїв.
- Незвичайні дії в акаунтах співробітників (сумнівні угоди, листування від їхнього імені) можуть говорити про захоплення декількох облікових записів.
- Повідомлення про невдалі спроби входу можуть говорити про спроби зламу.
- Оповіщення про нещодавні зміни пароля – тривожна ознака, звичайно, якщо ви в цих операціях не брали участі.
- Зміна інформації в обліковому записі, наприклад, спосіб виведення коштів із системи.
- Раптова зміна рейтингу, статистики, кількості балів тощо можуть говорити про те, що хтось робив якісь дії в акаунті.
- Будь-яка транзакція, в якій ви або ваші співробітники не брали участі, може говорити про можливе захоплення облікового запису.
Способи захоплення акаунтів
Спочатку шахраям потрібні первинні дані користувачів (логін і пароль), які вони можуть одержати такими способами:
- придбання інформації про користувачів на чорному ринку;
- запуск ботів та скриптів, відправлених раніше користувачам разом із безкоштовними додатками;
- використання атак грубої сили (програмний підбір паролів).
Більш детально та розгорнуто ми розповідали про ці способи у статті «Як захистити пароль від крадіжки».
Зверніть увагу! Постачальники послуг, які встановлюють на своїх майданчиках однофакторну автентифікацію, на жаль, не в змозі відрізнити справжнього власника від шахрая, який вкрав дані для входу.
Якщо акаунти захищені другим фактором і просте проникнення не вдається, шахраї активно підключають соціальну інженерію:
-
- фішинг та шпигунство;
- перехоплення SMS-паролей за допомогою підробленої SIM-картки;
- дзвінки безпосередньо (шахрай, який представився кимось іншим, дзвонить з проханням надати персональні дані для входу або відкрити дані банківських карток).
Як боротися із захопленням облікових записів
Загальні рекомендації для адміністраторів та співробітників
- Захищайте облікові дані за допомогою багатофакторної автентифікації, щоб ускладнити зловмисникам проникнення.
- Не забувайте вмикати та оновлювати антивірусний захист на персональних пристроях, щоб запобігти впровадженню програм-шпигунів, троянських програм та іншого шкідливого ПЗ.
- Вчасно перевіряйте програмне забезпечення на вразливості, щоб захистити свої майданчики від зламу.
- Встановіть оповіщення у випадку підозрілого входу на пристроях (з іншої країни/міста/браузера/операційної системи/IP), щоб мати можливість швидко відреагувати та відновити доступ до акаунта/змінити паролі.
- Ніколи й за жодних обставин не розкривайте дані стороннім особам, щоб не допомагати шахраям. І пам’ятайте, що ні банківські співробітники, ні офіційні представники державних служб не вимагають кодового слова, паролів або даних банківських карток.
- Проводьте регулярний інструктаж серед співробітників, давайте їм посилання на такі статті як ця, щоб запобігти випадковій передачі даних стороннім особам.
- Якщо ви або ваші співробітники випадково скомпрометували дані, рекомендується змінити паролі всій команді, щоб напевно запобігти захопленню акаунтів IT-структури.
- Замініть паролі біометричними даними, або використовуйте їх як один із факторів автентифікації, щоб максимально захистити акаунти.
- Використовуйте для входу в облікові записи ключі безпеки, особливо для співробітників, у тому числі віддалених, щоб закрити будь-яку можливість проникнення в IT-структуру ззовні. Це один із найнадійніших методів протидії хакерам.
Рекомендації для розробників
- Встановіть платформу, яка дозволяє з легкістю керувати ідентифікацією і налаштуйте двофакторну автентифікацію.
- Встановіть обмеження щодо кількості входів у систему – це захистить акаунт від автоматичного захоплення ботами або від атак грубої сили.
- Встановіть відстеження пристроїв, з яких заходять користувачі, щоб мати змогу сповістити їх у випадках спроб входу з інших девайсів.
- Заблокуйте IP, з яких найчастіше заходять боти.
- Встановіть фаєрвол для вебдодатків — деякі з них можуть протидіяти захопленню облікових записів.
Як працює захист YubiKey
Найбільш надійний захист від захоплення акаунтів — багатофакторна автентифікація (MFA), що вимагає двох або більше факторів для входу.
Використовувати ключі безпеки дуже просто:
- За запитом сервера вставте ключ і торкніться його (або введіть PIN-код). Попередньо ключ потрібно зареєструвати в системі, де маєте намір його використовувати.
- За запитом системи піднесіть ключ до пристрою зчитування. Передбачається режим NFC або смарткартка та, звичайно, попередня реєстрація. До речі, серія ключів FIPS дозволяє захищати дані у корпоративному середовищі чи державному секторі; їх можна пронумерувати, роздати співробітникам і відстежувати. А якщо співробітник звільниться, ви зможете перепризначити ключ іншому фахівцю.
Завдяки такому підходу ключі заощаджують багато часу та коштів, адже зазвичай очікування паролів на зовнішніх пристроях, їх введення, помилки та нові запити – є витратою дорогоцінного часу.
Ключі безпеки YubiKey мають унікальне криптографічне шифрування, що демонструє стійкість до квантових обчислень, і надійний захист від читання та копіювання. Це означає, що вони захищають від зламу, фішингу і навіть від атак спеціалістів із соціальної інженерії:
- Без наявності фізичного ключа ніхто, крім їхнього власника, не зможе увійти до системи. Тому навіть якщо шахраї отримають дані для входу, нехай шляхом прямого дзвінка, все одно не зможуть обійти цей фактор автентифікації.
- Ключ безпеки захищає не тільки від зламу, а й від фішингу, оскільки на справжньому сайті сервер зробить відповідний запит на перевірку за допомогою ключа, а на підробленому такого запиту не буде.
- Якщо навіть шахрай отримає ваш пристрій (що малоймовірно), навряд чи зможе його зламати, щоб ним скористатися, особливо при налаштуванні додаткової перевірки ключа за PIN-кодом або використанні серії з біометричним сканером.
Крім того, ключі безпеки YubiKey у більшості серій мають такі функції:
- генерування зашифрованих OTP-паролів, що дозволяє повністю замінити паролі, одержувані в SMS або додатках менеджерів паролів, і повністю запобігти їх перехопленню шахраями, що використовують методи соціальної інженерії;
- режим NFC або смарткартки – дуже зручно для безконтактної авторизації;
- клавіатуру HID — це означає, що для використання ключів YubiKey додаткове програмне забезпечення не потрібне;
- Secure Element — всі дані акаунтів (паролі, PIN-коди, біометричні дані) зберігаються на захищеному чіпі пристрою і не передаються на сервер;
- режим безпарольної автентифікації — завдяки сертифікації FIDO2 та FIDO U2F є можливість використання ключа як в якості одного з факторів автентифікації, так і замість традиційних паролів.
Більше інформації про ключі ви можете знайти у нашій статті «Знайомство з YubiKey…».
Ми як офіційний представник виробника Yubico в Україні можемо надати 3 варіанти співпраці:
- придбання ключів у роздріб для домашнього використання;
- замовлення партії корпоративних ключів для компанії та консультації щодо налаштування пристроїв;
- придбання ключів оптом із метою продажу на сайтах України.
По цим питанням ви можете поспілкуватись за телефоном +38 (044) 35 81 888 з нашими менеджерами або надіслати запит через форму.