Учетные данные стали одним из самых лакомых кусочков для кибермошенников

Учетные данные пользователей — логины и пароли для доступа к различным сервисам — стали одним из наиболее ценных активов для киберпреступников. Согласно отчету Verizon за 2023 год, в 83% случаев утечки происходят по вине третьих лиц. При этом в 49% инцидентов злоумышленники используют именно украденные учетные данные для получения доступа к системам и сетям компаний.

Самым действенным инструментом является фишинг, один из методов социальной инженерии . Обычно жертвам рассылают поддельные письма от имени известных брендов или государственных учреждений, предлагая зарегистрироваться или войти в свой аккаунт на якобы знакомой платформе. Таким образом человек как бы сам сообщает мошенникам свои данные, и никаких других махинаций не требуется.

Для борьбы с фишингом специалисты уже разработали немало средств защиты. Поэтому преступники постоянно дорабатывают и придумывают еще более изощренные схемы.

В одной из новых методик сначала отправляется фишинговое письмо по электронной почте, затем следует звонок или голосовое оповещение от банка или другой организации. Это делается, чтобы втереться к жертве в доверие. Также активно используются приложения для смартфонов и технологии искусственного интеллекта для персонализации атак.

Более опытные фишеры предлагают свои инструменты и отработанные методики на черном рынке. Такая модель получила название «фишинг как услуга» (phishing-as-a-service, PhaaS).

Один из известных инструментов — панель W3LL от одноименной группы, которая даже имеет свой собственный теневой рынок — W3LL Store. Платформа предназначена для взлома корпоративной почты Microsoft 365. Она позволяет обходить многофакторную аутентификацию и является одной из самых продвинутых технологий для фишинга, распространяющихся в даркнете.

По данным исследователей, с октября 2022 года по июль 2023 года с помощью этого инструмента были взломаны по меньшей мере 8 000 из 56 000 аккаунтов Microsoft 365.

Помимо инструмента для взлома почтовых ящиков, разработчики W3LL продают и другие ценные активы, в том числе:

• Списки скомпрометированных электронных адресов
• Данные для доступа ко взломанным учетным записям электронной почты
• Данные для доступа к скомпрометированным VPN-соединениям
• Доступ к взломанным веб-сайтам и онлайн-сервисам
• Готовые шаблоны и сценарии для организации фишинговых рассылок

Еще один похожий инструмент — Greatness, который так же используется для обхода многофакторной аутентификации (MFA) и нацелен на пользователей Microsoft 365.

Атака начинается с фишингового электронного письма, которое перенаправляет сотрудника на поддельную страницу входа в Microsoft 365. В форме адрес электронной почты уже предварительно заполнен, для убедительности. Как только человек вводит свой пароль, Greatness устанавливает соединение с сервисом и обходит MFA, предлагая жертве ввести код на фальшивой странице. Затем этот код пересылается в специальный Telegram-канал, что позволяет хакерам использовать его для доступа к настоящему аккаунту. Для развертывания и настройки набора Greatness необходим API-ключ.

В 2022 году в даркнете на продажу было выставлено более 24 миллиардов скомпрометированных учетных записей. Цена варьируется от нескольких долларов за обычные аккаунты до тысяч долларов за доступ к банковским счетам.

Для покупки данных требуется получить доступ к конкретным теневым форумам. Иногда для этого нужно приглашение от действующего участника. Приобретенную информацию используют для кражи денег, распространения вредоносного ПО, мошенничества и других преступных целей.

Огромную опасность представляет повторное использование учетных данных — когда пользователи применяют одни и те же логины и пароли на разных сайтах. Даже если системы компании защищены очень надежно, скомпрометированный аккаунт сотрудника на другом ресурсе может открыть злоумышленникам путь к корпоративной сети.

По статистике, более 80% людей используют один и тот же пароль для входа в разные системы. Этим и пользуются кибермошенники.

Чтобы снизить риски, компаниям советуют использовать специальные решения для блокировки известных скомпрометированных паролей.

Например, сервис Specops Password Policy позволяет заблокировать более 4 миллиардов учетных данных из базы Active Directory. При попытке установить такой пароль система предложит сотруднику создать новый, более надежный.

Таким образом, используя комплексный подход и современные технологии, можно существенно повысить защиту корпоративных и личных аккаунтов. А значит, затруднить задачу кибермошенникам и обезопасить бизнес от финансовых потерь.