Как защититься от кражи учетных записей: советы экспертов

Как защититься от кражи учетных записей: советы экспертов

На этой неделе интернет-общественность горячо обсуждала скандальную атаку , организованную, как предполагается, хакерами из России. Исследователи безопасности из Hold Security сообщили, что киберпреступники, располагавшиеся на территории России, Казахстана и Монголии, осуществили целый ряд атак на 420 тысяч веб-ресурсов. Список жертв атаки неизвестен, однако сообщается, что среди них многие крупные компании, входящие в список Fortune 500.

В результате нападения злоумышленники получили доступ более чем к 1,2 млрд учетных записей!

Хакеры использовали взломанные учетные записи для рассылки спама, однако существует вероятность, что с помощью полученной информации они попытаются осуществлять кражу персональной информации пользователей и мошенничество с использованием данных банковских карт (многие пользователи задают одинаковые пароли на различных ресурсах, что может позволить злоумышленникам получить доступ и к банковским счетам жертв).

Как защититься

Эксперты Hold Security, обнаружившие следы атаки, рекомендуют компаниям проверить свои веб-ресурсы на наличие уязвимости типа «Внедрение операторов SQL» (SQL injection). Данная ошибка в разработке приложения может позволить хакерам получить контроль над уязвимым сервером и проникнуть во внутреннюю сеть организации с целью кражи конфиденциальных данных. Подобные атаки могут быть выявлены средствами обнаружения и предотвращения вторжений, однако если первый этап взлома (атака на приложение) прошел незамеченным, то дальнейшие действия злоумышленника обнаружить, как правило, очень сложно: атакующий использует полученные права легитимного пользователя или приложения.

Исследование уязвимостей веб-приложений, проведенное компанией Positive Technologies, свидетельствует, что среди жертв атаки могли оказаться и многие российские компании: в 2013 году уязвимость «Внедрение операторов SQL» была самым распространенным недостатком высокой степени риска и встречалась в 43% протестированных веб-приложений.

Стоит обратить внимание на еще одну серьезную уязвимость — «Внедрение внешних сущностей XML» (в прошлом году 20% систем имели этот недостаток). Эксплуатация данной уязвимости может привести к получению доступа к ресурсам внутренней сети, чтению файлов на сервере, а также к полному отказу в обслуживании веб-приложения. В целом, согласно отчету Positive Technologies, 62% исследованных в 2013 году систем содержат уязвимости высокой степени риска: этот показатель существенно выше, чем в 2012 году (45%).

«Массовость атаки косвенно свидетельствует о том, что эксплуатируемые уязвимости скорее всего присутствуют в какой-то распространенной системе (например, в CMS), — отмечает руководитель аналитической группы отдела анализа защищенности Positive Technologies Евгения Поцелуевская. — В таких случаях, как правило, компании рассматривают приложение как черный ящик, а в вопросах безопасности полагаются на вендоров и не проводят анализ защищенности, сфокусировавшись на приложениях индивидуальной разработки. Чтобы избежать подобных инцидентов, нужно уделять внимание безопасности приложений вне зависимости от разработчика, внедрять процессы безопасности в разработке, инструменты статического и динамического анализа безопасности приложений (SAST и DAST), а также использовать превентивные средства защиты, такие как Web Application Firewall».

Специалисты Positive Technologies обращают внимание всех владельцев веб-ресурсов: эксплуатация уязвимости «Внедрение операторов SQL» — далеко не единственный распространенный способ совершения атак. Именно поэтому необходимо проводить аудит безопасности информационных систем не только после сообщений в прессе о массовых атаках, но и регулярно — с использованием современных методов и инструментов.

Пользователям мы настоятельно советуем не использовать одинаковые пароли на различных ресурсах, и поскорее их поменять (в первую очередь от основной электронной почты и кошельков) — особенно, если такие же пароли они использовали на небольших «самописных» веб-сайтах и форумах, защищённость которых, скорее всего, в наибольшей степени отстает от современных стандартов.

Ознакомиться с последними исследованиями экспертов Positive Technologies можно на официальном сайте компании.  


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!