Атака с использованием подстановки учётных данных остаётся одной из самых постоянных и опасных угроз кибербезопасности, с которыми сталкиваются сегодня множество организации. С миллиардами украденных учёток, циркулирующих в даркнете, злоумышленники могут легко запускать крупномасштабные автоматизированные попытки входа, которые подвергают риску корпоративные системы, данные клиентов и репутацию самих компаний.
Этот тип несанкционированного вторжения в значительной степени опирается на ненадлежащее использование данных, полученных в результате предыдущих нарушений безопасности. Эти нарушения часто раскрывают большие объёмы логинов пользователей и паролей, которые злоумышленники повторно используют для попытки несанкционированного доступа под чужими аккаунтами пользователей на различных платформах. Атака особенно эффективна из-за обычного человеческого поведения, повторного использования одного и того же пароля в нескольких сервисах. Без ведома или разрешения вовлечённых лиц или компаний преступники часто собирают, компилируют и продают огромные объёмы такой ворованной информации — скрытую, но мощную силу в цифровой экономике. Целые группировки хакеров используют общедоступные записи, историю покупок, онлайн-активность, поведение в социальных сетях и цифровые следы на корпоративном уровне. Для брендов объем собираемой ими информации особенно тревожен: конфиденциальная информация сотрудников, адреса корпоративной электронной почты, особенности ИТ-инфраструктуры, использование программного обеспечения, отношения с поставщиками и даже неконтролируемые теневые ИТ-системы. Этот массовый сбор создаёт подробные профили сотрудников, которые можно легко использовать не по назначению.
Когда злоумышленники запускают скрипты автоматизированных ботов для ввода этих украденных учёток на входах в интернет-порталы, соцсети, системах удалённого администрирования серверов, установленных в дата-центрах, они могут успешно получить доступ к конфиденциальным записям, особенно в случаях, когда пользователи не изменили свои учётные данные после нарушения или не используют надёжные методы двухфакторной аутентификации. Оказавшись внутри системы, «цифровые взломщики» могут выполнять ряд вредоносных действий, таких как кража личных данных, мошеннические покупки или даже продажа доступа к взломанным аккаунтам на торговых площадках даркнета. Простота и автоматизация подстановки логинов и паролей делают эту незатейливую операцию постоянной и масштабируемой угрозой в цифровом ландшафте.
Выполнение вторжения начинается с получения (покупки) объёмных баз данных, сформированных хакерами в результате краж или утечек. Часто их количество превышает несколько миллионов за раз — такие объёмы постоянно незаконно продаются на подпольных форумах даркнета. Затем злоумышленники используют эту информацию, подставляя её на различных сайтах с помощью автоматизированных инструментов (ботнетах). Таким образом они систематически пытаются войти в различные онлайн-сервисы. Эти боты могут имитировать человеческую деятельность и менять свои IP-адреса, чтобы избежать обнаружения базовыми мерами безопасности. После того, как будет установлена действующая пара «логин-пароль», злоумышленник может получает доступ к аккаунту жертвы. А далее уже по обстоятельствам – он может использовать такое скрытое вторжение для получения денежной выгоды, извлечения конфиденциальных данных или последующих атак на другие сервисы. Этот метод коварен, поскольку он исключает догадки и проверяет существующие учётные данные в массовом порядке. Скорость и эффективность этих атак, в сочетании с распространённостью повторного использования одинаковых паролей, делают такие цифровые угрозы одной из самых успешных форм проникновения в мире киберпреступлений.
Хотя подстановка методом подбора имеют одну и ту же цель, их методологии принципиально различаются. При атаке методом подбора злоумышленник создаёт и проверяет все потенциальные комбинации паролей для определения подходящего пароля к логину пользователя, пока одна из них не окажется успешной. Этот процесс занимает много времени и обычно вызывает срабатывание систем мониторинга сети из-за своей повторяющейся природы. А вот подстановка использует уже известные, действительные учётки, которые были ранее уже скомпрометированы. Это делает такую методику гораздо более эффективной и сложной для обнаружения. Поскольку эта информация является реальной, многие системы не помечают действия автоматических ботов, как подозрительное, если только не приняты усиленные меры безопасности. Расширенные системы автоматизации и боты, которые имитируют поведение, подобное человеческому, чтобы обойти базовые средства защиты, также позволяют осуществлять подстановку. С другой стороны, методы подбора более просты и обычно их легче блокировать с помощью обычных решений по ограничению скорости или внедрению на сайт каптчи. Реализация подходящих механизмов защиты зависит от понимания различий между этими двумя подходами.
Предотвращение требует многоуровневых систем защиты и упреждающего мониторинга. В первую очередь необходимо установить наблюдение в реальном времени за схемами входа и поведением пользователей. Оповещение групп безопасности об увеличении числа неудачных попыток входа, входов из странных географических областей или аномалий в активности сеанса, которые могут указывать на продолжающуюся атаку, поможет им подготовиться. Использование таких технологий, как многофакторная аутентификация (MFA), значительно снижает вероятность незаконного доступа, даже при использовании подлинной информации для доступа в систему. Использование ограничения скорости и регулирования IP-адресов также может замедлить автоматизированные атаки и дать системам время для выявления или блокировки вредоносной активности. Механизмы CAPTCHA также помогают сдерживать ботов, требуя человеческого участия. Не менее важно информировать пользователей о важности уникальных, надёжных паролей для каждой платформы. Обучение по повышению осведомлённости о безопасности должно постоянно подчёркивать риски повторного использования паролей и преимущества менеджеров паролей. Вместе эти тактики создают устойчивую защиту от высокоавтоматизированной и масштабируемой природы атак подстановки.
Организации, которым нужна сильная и долговременная защита, должны выйти за рамки простой защиты периметра интернет-системы и внедрить комплексную защиту с многоуровневым подходом, строгими требованиями, постоянными обновлениями программного обеспечения. Необходимой мерой можно считать внедрение систем поведенческой аналитики для выявления отклонений в активности пользователей. Кроме того, всплески трафика могут указывать на разрабатываемую автоматизированную атаку. Эти значительно снижается вероятность нежелательного доступа, используя модель нулевого доверия, в которой каждая попытка входа в систему тщательно проверяется из любой точки мира. Обучение сотрудников имеет решающее значение — вся компания становится более устойчивой, когда сотрудники узнают о социальной инженерии, гигиене паролей и механике атак в интернете. Более того, компании должны рассмотреть возможность использования передовых систем безопасности с функциями машинного обучения для раннего обнаружения и пресечения сомнительной деятельности. Следовательно, защита должна быть адаптивной и постоянно меняться вместе с методами хакеров. Благодаря постоянным инвестициям в инфраструктуру безопасности, обучению персонала и формированию культуры осведомлённости компании могут эффективно смягчить угрозу, как в краткосрочной, так и в долгосрочной перспективе.
