Cách phát hiện, ngăn chặn và giảm thiểu cuộc tấn công chiếm đoạt tài khoản (ATO)

Với tư cách là một doanh nghiệp, bạn có thể dễ dàng chống lại loại lừa đảo phổ biến nhất, Tấn công chiếm đoạt tài khoản (ATO), chỉ cần thực hiện đúng một số điều cơ bản.

Chiều ngày 30/8/2019 thật kỳ lạ đối với những người theo dõi Twitter (nay là X) của Jack Dorsey. “Anh ấy” đang thực hiện một hành vi liều lĩnh, kéo dài khoảng 20 phút, đăng tweet những lời miệt thị chủng tộc và các tin nhắn xúc phạm khác.

Người hâm mộ của anh ấy có thể coi đó là một sự suy sụp tinh thần bất thường từ CEO của trang blog blog lớn nhất. Tuy nhiên, Chuckling Squad, nhóm đứng sau “cuộc phiêu lưu” này, đã để lại liên kết đến kênh bất hòa của họ trong các dòng tweet gây hiểu lầm từ tài khoản của Jack.

Sau đó, Twitter (nay là X) đã xác nhận vụ việc.

Chúng tôi biết rằng @jack đã bị xâm phạm và đang điều tra chuyện gì đã xảy ra.

– Cộng tác trên Twitter (@TwitterComms) Ngày 30 tháng 8 năm 2019

Đây là một cuộc tấn công chiếm đoạt tài khoản (ATO) cổ điển, đặc biệt là một cuộc tấn công Hoán đổi Sim, trong đó tin tặc chiếm quyền kiểm soát từ xa số điện thoại của Jack và tweet từ dịch vụ tweet của bên thứ ba, Cloudhopper.

Tỷ lệ ủng hộ người dùng trung bình là bao nhiêu nếu CEO của một công ty công nghệ hàng đầu có thể là nạn nhân?

Vì vậy, hãy cùng tôi nói về các hình thức ATO khác nhau và cách giữ an toàn cho tổ chức của bạn.

Tấn công ATO là gì?

Một cuộc tấn công chiếm đoạt tài khoản (ATO), như tên của nó gợi ý, sử dụng nhiều kỹ thuật khác nhau (sẽ thảo luận sau) để chiếm đoạt tài khoản trực tuyến của nạn nhân cho nhiều mục đích bất hợp pháp, chẳng hạn như lừa đảo tài chính, truy cập thông tin nhạy cảm, lừa gạt người khác, v.v.

ATO hoạt động như thế nào?

Điểm mấu chốt của cuộc tấn công ATO là đánh cắp thông tin đăng nhập tài khoản. Những kẻ xấu thực hiện việc này bằng nhiều cách khác nhau, chẳng hạn như:

Kỹ thuật xã hội: Đó là ép buộc hoặc thuyết phục một người về mặt tâm lý tiết lộ thông tin đăng nhập của họ. Điều này có thể được thực hiện với lý do hỗ trợ kỹ thuật hoặc bịa đặt một tình huống khẩn cấp, khiến nạn nhân có ít thời gian để suy nghĩ hợp lý.

Nhồi thông tin xác thực: Một tập hợp con của hành vi vũ phu, nhồi thông tin xác thực có nghĩa là kẻ lừa đảo cố gắng làm cho các chi tiết đăng nhập ngẫu nhiên hoạt động, thường thu được từ vi phạm dữ liệu hoặc mua từ web đen.

Phần mềm độc hại: Các chương trình nguy hiểm, không mong muốn có thể gây ra nhiều tác hại cho máy tính của bạn. Một trường hợp như vậy là đánh cắp tài khoản đã đăng nhập và gửi thông tin chi tiết cho tội phạm mạng.

Lừa đảo: Hình thức tấn công mạng phổ biến nhất, lừa đảo, thường bắt đầu bằng một cú nhấp chuột đơn giản. Hành động tưởng chừng như vô hại này sẽ đưa người dùng đến một trang giả mạo, trong đó nạn nhân sẽ nhập thông tin đăng nhập, mở đường cho một cuộc tấn công ATO sắp tới.

MITM: Cuộc tấn công trung gian thể hiện tình huống trong đó một hacker lành nghề “lắng nghe” lưu lượng truy cập mạng đến và đi của bạn. Mọi thứ, bao gồm tên người dùng và mật khẩu bạn nhập, đều hiển thị với bên thứ ba độc hại.

Đây là những cách tiêu chuẩn mà kẻ trộm mạng sử dụng để lấy thông tin đăng nhập một cách tội phạm. Những gì tiếp theo là chiếm đoạt tài khoản, hoạt động bất hợp pháp và cố gắng giữ quyền truy cập “hoạt động” càng lâu càng tốt để tiếp tục trở thành nạn nhân của người dùng hoặc tiếp tục tấn công người khác.

Thông thường, kẻ xấu cố gắng khóa người dùng vô thời hạn hoặc thiết lập các cửa sau để tấn công trong tương lai.

Mặc dù không ai muốn trải qua điều này (Jack cũng vậy!), nhưng sẽ rất hữu ích nếu chúng ta có thể bắt kịp nó trước để tránh thiệt hại.

Phát hiện cuộc tấn công ATO

Với tư cách là chủ doanh nghiệp, có một số cách để phát hiện cuộc tấn công ATO nhằm vào người dùng hoặc nhân viên của bạn.

#1. Đăng nhập bất thường

Đây có thể là những lần đăng nhập lặp lại từ các địa chỉ IP khác nhau, đặc biệt là từ các vị trí xa về mặt địa lý. Tương tự, có thể có thông tin đăng nhập từ nhiều thiết bị hoặc tác nhân trình duyệt.

Ngoài ra, hoạt động đăng nhập ngoài giờ hoạt động bình thường có thể phản ánh một cuộc tấn công ATO có thể xảy ra.

#2. Lỗi 2FA

Lỗi xác thực hai yếu tố hoặc xác thực đa yếu tố lặp đi lặp lại cũng báo hiệu hành vi sai trái. Trong hầu hết trường hợp, kẻ xấu cố gắng đăng nhập sau khi lấy được tên người dùng và mật khẩu bị rò rỉ hoặc bị đánh cắp.

#3. Hoạt động bất thường

Đôi khi, không cần phải có chuyên gia mới ghi nhận được sự bất thường. Bất cứ điều gì khác xa với hành vi thông thường của người dùng đều có thể bị gắn cờ để chiếm đoạt tài khoản.

Nó có thể đơn giản như một bức ảnh hồ sơ không phù hợp hoặc một loạt email spam gửi đến khách hàng của bạn.

Cuối cùng, không dễ để phát hiện các cuộc tấn công như vậy một cách thủ công và các công cụ như Sucuri hoặc Acronis có thể giúp tự động hóa quá trình này.

Tiếp tục, hãy xem cách tránh các cuộc tấn công như vậy ngay từ đầu.

Ngăn chặn cuộc tấn công ATO

Ngoài việc đăng ký các công cụ an ninh mạng, có một số phương pháp hay nhất mà bạn có thể lưu ý.

#1. Mật khẩu mạnh

Không ai thích mật khẩu mạnh, nhưng chúng thực sự cần thiết trong bối cảnh mối đe dọa hiện nay. Do đó, đừng để người dùng hoặc nhân viên của bạn sử dụng những mật khẩu đơn giản và đặt ra một số yêu cầu phức tạp tối thiểu để đăng ký tài khoản.

Đặc biệt đối với các tổ chức, 1Kinh doanh mật khẩu là một lựa chọn mạnh mẽ cho một trình quản lý mật khẩu có thể thực hiện công việc khó khăn cho nhóm của bạn. Ngoài vai trò là người giữ mật khẩu, các công cụ hàng đầu còn quét web đen và cảnh báo bạn trong trường hợp bất kỳ thông tin xác thực nào bị rò rỉ. Nó giúp bạn gửi yêu cầu đặt lại mật khẩu cho người dùng hoặc nhân viên bị ảnh hưởng.

#2. Xác thực đa yếu tố (MFA)

Dành cho những ai chưa biết, Xác thực đa yếu tố có nghĩa là trang web sẽ yêu cầu thêm một mã (được gửi đến email hoặc số điện thoại của người dùng) bên cạnh tổ hợp tên người dùng và mật khẩu để đăng nhập.

Đây thường là một phương pháp mạnh mẽ để tránh truy cập trái phép. Tuy nhiên, những kẻ lừa đảo có thể thực hiện nhanh chóng MFA thông qua các cuộc tấn công kỹ thuật xã hội hoặc MITM. Vì vậy, mặc dù đây là tuyến phòng thủ đầu tiên (hoặc thứ hai) xuất sắc, nhưng câu chuyện này còn nhiều điều hơn thế.

#3. Triển khai CAPTCHA

Hầu hết các cuộc tấn công ATO đều bắt đầu bằng việc bot thử thông tin đăng nhập ngẫu nhiên. Do đó, sẽ tốt hơn rất nhiều nếu có thử thách đăng nhập như CAPTCHA.

Nhưng nếu bạn cho rằng đây là vũ khí tối thượng thì hãy suy nghĩ lại vì có những dịch vụ giải CAPTCHA mà kẻ xấu có thể triển khai. Tuy nhiên, CAPTCHA vẫn nên có và bảo vệ khỏi ATO trong nhiều trường hợp.

#4. Quản lý phiên

Tự động đăng xuất cho các phiên không hoạt động có thể là cứu cánh cho việc chiếm đoạt tài khoản nói chung vì một số người dùng đăng nhập từ nhiều thiết bị và chuyển sang những thiết bị khác mà không cần đăng xuất khỏi những thiết bị trước đó.

Ngoài ra, chỉ cho phép một phiên hoạt động cho mỗi người dùng cũng có thể hữu ích.

Cuối cùng, sẽ tốt nhất nếu người dùng có thể đăng xuất khỏi các thiết bị đang hoạt động từ xa và có các tùy chọn quản lý phiên trong chính giao diện người dùng.

#5. Hệ thống giám sát

Việc ngăn chặn tất cả các hướng tấn công với tư cách là một tổ chức mới thành lập hoặc cấp trung không phải là điều dễ dàng, đặc biệt nếu bạn không có bộ phận an toàn mạng chuyên trách.

Tại đây, bạn có thể dựa vào các giải pháp của bên thứ 3 như Cloudflare và Imperva, bên cạnh Acronis và Sucuri đã nêu. Các công ty an ninh mạng này là một trong những công ty giải quyết tốt nhất những vấn đề như vậy và có thể ngăn chặn hoặc giảm thiểu các cuộc tấn công ATO một cách hiệu quả.

#6. Hàng rào địa lý

Geofencing đang áp dụng các chính sách truy cập dựa trên vị trí cho dự án web của bạn. Ví dụ: một doanh nghiệp 100% có trụ sở tại Hoa Kỳ có rất ít hoặc không có lý do gì để cho phép người dùng Trung Quốc. Mặc dù đây không phải là giải pháp hoàn hảo để ngăn chặn các cuộc tấn công ATO nhưng nó giúp tăng cường bảo mật tổng thể.

Nâng cao hơn nữa điều này, một doanh nghiệp trực tuyến có thể được cấu hình để chỉ cho phép một số địa chỉ IP nhất định được phân bổ cho nhân viên của mình.

Nói cách khác, bạn có thể sử dụng VPN doanh nghiệp để chấm dứt các cuộc tấn công chiếm đoạt tài khoản. Ngoài ra, VPN cũng sẽ mã hóa lưu lượng đến và đi, bảo vệ tài nguyên doanh nghiệp của bạn khỏi các cuộc tấn công trung gian.

#7. Cập nhật

Là một doanh nghiệp dựa trên internet, bạn có thể xử lý rất nhiều ứng dụng phần mềm, chẳng hạn như hệ điều hành, trình duyệt, plugin, v.v. Tất cả những ứng dụng này đã lỗi thời và cần được cập nhật để có được mức bảo mật tốt nhất có thể. Mặc dù điều này không liên quan trực tiếp đến các cuộc tấn công ATO, nhưng một đoạn mã lỗi thời có thể là cửa ngõ dễ dàng để tội phạm mạng tàn phá doanh nghiệp của bạn.

Điểm mấu chốt: đẩy các bản cập nhật bảo mật thường xuyên đến các thiết bị kinh doanh. Đối với người dùng, việc cố gắng hướng dẫn họ giữ ứng dụng ở phiên bản mới nhất có thể là một bước tiến tốt.

Sau tất cả những điều này và hơn thế nữa, không có chuyên gia bảo mật nào có thể đảm bảo an toàn 100%. Do đó, bạn nên có sẵn một kế hoạch khắc phục mạnh mẽ cho ngày định mệnh.

Chống lại cuộc tấn công ATO

Điều tốt nhất là có một chuyên gia an ninh mạng tham gia vì mỗi trường hợp là duy nhất. Tuy nhiên, đây là một số bước hướng dẫn bạn trong tình huống tấn công hậu ATO phổ biến.

Bao gồm

Sau khi bạn phát hiện cuộc tấn công ATO vào một số tài khoản, điều đầu tiên cần làm là tạm thời vô hiệu hóa các hồ sơ bị ảnh hưởng. Tiếp theo, việc gửi mật khẩu và yêu cầu đặt lại MFA tới tất cả các tài khoản có thể hữu ích trong việc hạn chế thiệt hại.

Thông báo

Trao đổi với người dùng mục tiêu về sự kiện và hoạt động tài khoản độc hại. Tiếp theo, thông báo cho họ về lệnh cấm tạm thời và các bước khôi phục tài khoản để truy cập an toàn.

Khảo sát

Quá trình này có thể được thực hiện tốt nhất bởi một chuyên gia dày dạn kinh nghiệm hoặc một nhóm chuyên gia an ninh mạng. Mục tiêu có thể là xác định các tài khoản bị ảnh hưởng và đảm bảo kẻ tấn công vẫn không hoạt động với sự trợ giúp của các cơ chế do AI cung cấp, chẳng hạn như phân tích hành vi.

Ngoài ra, mức độ vi phạm dữ liệu, nếu có, cần được biết.

Hồi phục

Quét phần mềm độc hại toàn hệ thống phải là bước đầu tiên trong kế hoạch khôi phục chi tiết vì bọn tội phạm thường cài rootkit để lây nhiễm vào hệ thống hoặc duy trì quyền truy cập cho các cuộc tấn công trong tương lai.

Ở giai đoạn này, người ta có thể thúc đẩy xác thực sinh trắc học, nếu có hoặc MFA, nếu chưa được sử dụng.

Báo cáo

Dựa trên luật pháp địa phương, bạn có thể cần phải báo cáo sự việc đó cho cơ quan chính phủ. Điều này sẽ giúp bạn tuân thủ và theo đuổi vụ kiện chống lại những kẻ tấn công nếu cần.

Kế hoạch

Đến bây giờ, bạn đã biết về một số lỗ hổng tồn tại mà bạn không hề biết. Đã đến lúc giải quyết chúng trong gói bảo mật trong tương lai.

Ngoài ra, hãy tận dụng cơ hội này để giáo dục người dùng về sự cố này và yêu cầu thực hành vệ sinh internet lành mạnh để tránh các vấn đề trong tương lai.

Trong tương lai

An ninh mạng là một lĩnh vực đang phát triển. Những thứ được coi là an toàn cách đây một thập kỷ có thể là lời mời chào cởi mở cho những kẻ lừa đảo ở thời điểm hiện tại. Do đó, theo kịp sự phát triển và nâng cấp các giao thức bảo mật doanh nghiệp của bạn theo định kỳ là cách tốt nhất.

Nếu bạn quan tâm, phần bảo mật của techpoe.com là một thư viện các bài viết đáng đánh dấu dành cho các công ty khởi nghiệp và SMB mà chúng tôi viết và cập nhật thường xuyên. Hãy tiếp tục kiểm tra những điều này và tôi chắc chắn rằng bạn có thể kiểm tra phần “theo sát” trong kế hoạch bảo mật.

Hãy giữ an toàn và đừng để họ chiếm đoạt những tài khoản đó.