Поиск по сайту:

Что вызывает всплеск атак с захватом аккаунтов в розничной торговле?

Атаки Account Take Over захватывают учетные записи пользователей в целях преступников. Все учетные записи находятся под угрозой, но в последнее время участились атаки на розничные учетные записи. Что стоит за этим выборочным таргетингом?

Розничная торговля под атакой

В отчете Akamai за 2020 год, поставщика сети доставки контента и кибербезопасности, говорится, что число атак с захватом учетной записи (ATO) в розничном секторе увеличилось более чем на 40 процентов. Они говорят, что 60 процентов атак с подменой учетных данных за последние 24 месяца были направлены на розничную торговлю, гостиничный бизнес и туристический бизнес. С огромным отрывом — поразительные 90 процентов этих атак — розничная торговля несет основную тяжесть этого кибернаступления.

Эти цифры коррелируют с выводами компании Ravelin, занимающейся прогнозированием и обнаружением мошенничества и проявляющей большой интерес к розничной торговле. В 2020 году Равелин выпустил отчет, посвященный онлайн-торговцам и электронной коммерции. В отчете показано, что 45% интернет-магазинов стали свидетелями более частых атак ATO и что этот вид мошенничества в настоящее время является для них самым большим риском мошенничества.

Глобальная пандемия COVID-19 сыграла свою роль в этом нежелательном внимании со стороны киберпреступников. Периоды самоизоляции и работы на дому привели к увеличению онлайн-покупок. Это был единственный способ купить большинство предметов, особенно все, что относилось к категории некритических. Для некоторых потребителей это был их первый опыт онлайн-покупок. Устоявшиеся онлайн-покупатели совершали большее количество покупок, часто у поставщиков, которых они ранее не использовали. Фактически, в 2020 году наблюдался рекордный уровень онлайн-торговли.

Жертвы собственного успеха

Более 50 процентов респондентов в отчете Равелина испытали положительное или очень положительное влияние на продажи из-за пандемии. Больше клиентов и больше пользователей — это, конечно, хорошо, но у этого есть некоторый багаж. Новые пользователи, впервые погружающиеся в электронную коммерцию, и давно зарекомендовавшие себя пользователи с большим количеством учетных записей, как правило, используют слабые пароли.

Слабые пароли легко взламываются все более интеллектуальным программным обеспечением для атак методом грубой силы. Эти пакеты больше не ограничены прохождением длинного списка словарных слов и использованием их одного за другим в качестве паролей. Они могут сочетать слова с числами и датами, и они понимают все распространенные замены чисел и букв.

Они также могут использовать списки взломанных паролей с других сайтов. Если пароль, который вы используете, окажется в этом списке — независимо от того, был ли он получен от одной из ваших учетных записей или от чьей-либо учетной записи, которая использовала тот же пароль, — программное обеспечение для заполнения учетных данных может войти в систему, как если бы это были вы.

Учетные данные для входа также могут быть получены с помощью фишинговых атак или других методов, основанных на социальной инженерии, которые новые пользователи с большей вероятностью примут за подлинные и на которые попадутся. Таким образом, чем больше у вас пользователей, тем больше вероятность того, что некоторые из них станут жертвами фишинговой атаки.

Как монетизируются взломанные аккаунты

Киберпреступники редко делают то, что они делают, для развлечения. Как и все преступники, они стремятся получить прибыль от своей деятельности. Им нужно монетизировать атаки, чтобы зарабатывать на них деньги. Скомпрометированная учетная запись дает им много возможностей. Скомпрометированная корпоративная учетная запись может быть использована для организации фишинговых кампаний, кражи частной или конфиденциальной информации компании или использования связанной служебной электронной почты для совершения различных видов мошенничества.

Скомпрометированная учетная запись пользователя на розничной платформе — это совсем другое, но у злоумышленника все еще есть много способов получить прибыль.

  • Продажа учетных данных: они могут продавать данные взломанной учетной записи в даркнете. Они будут продавать его как подтвержденный аккаунт. Это означает, что у них есть доказательство (обычно снимок экрана), показывающее, что они смогли войти в эту учетную запись, используя учетные данные, которые они продают.
  • Размещать мошеннические заказы. Они могут размещать заказы на товары, используя сохраненные данные кредитной карты, бонусные баллы или кредитные линии, которые могли быть предоставлены этому аккаунту.
  • Продавать личные данные: они могут извлекать всю информацию, содержащуюся в профиле пользователя — адрес, контактные данные и данные платежной карты — и продавать эту информацию в даркнете. ли>
  • Использовать данные украденной карты. Прикрепление данных украденной кредитной карты к скомпрометированному аккаунту позволяет киберпреступнику использовать карту для покупок под видом подлинного аккаунта пользователя.
  • Клонировать учетную запись. Злоумышленник может удалить скомпрометированную учетную запись и создать новую, используя данные, извлеченные из исходной. Это дает им полный контроль над новой учетной записью. Новая учетная запись будет иметь другой идентификатор пользователя и учетную запись, из-за чего подлинному пользователю и службе технической поддержки продавца будет сложно найти и заблокировать клонированную учетную запись.

Если злоумышленник собирается совершить мошеннические покупки, он, скорее всего, изменит пароль, чтобы заблокировать подлинного пользователя. Это не позволяет им точно видеть, что происходит в их учетной записи, и требует часто длительного процесса проверки с технической поддержкой продавца, чтобы сбросить пароль.

Если субъекты угрозы собираются продать данные для входа в учетную запись или личную информацию пользователя, они не будут размещать заказы или вносить изменения в данные учетной записи. Они не хотят предупреждать пользователя о том, что его учетная запись была скомпрометирована.

Иногда преступники меняют только адрес доставки и контактный номер мобильного телефона. Это связано с тем, что они не хотят, чтобы товары отправлялись на адрес реального владельца счета, а также потому, что номер мобильного телефона часто сообщается водителю службы доставки. Водитель будет использовать его, чтобы спросить дорогу, если он не может найти адрес, а система розничной торговли будет отправлять текстовые SMS-оповещения на телефон по мере прохождения заказа через систему.

Что могут сделать ритейлеры

Эти шаги помогут защитить вас от атак ATO.

  • Перечисление типов аккаунтов. Всегда начинайте с количественной оценки того, что вам нужно защитить. Все типы аккаунтов, которые вы предоставляете, должны быть идентифицированы и классифицированы. Риски, связанные с различными типами учетных записей, могут различаться в зависимости от учетной записи. Должны быть созданы планы и меры реагирования, которые могут снизить риск. Зафиксируйте отделы и команды, а также других заинтересованных лиц, которые инвестируют в различные типы аккаунтов.
  • Распознавание возможных индикаторов атаки: для этого требуется совместное мышление со стороны заинтересованных сторон, а также может потребоваться дополнительное обучение технического персонала. Например, много попыток входа в учетную запись могут указывать на то, что учетная запись подвергается нападению. Возможно, пользователь забыл свой пароль, но это может быть и настоящая атака. В зависимости от типа учетной записи и выявленного риска, связанного с скомпрометированной учетной записью этого типа, должны быть приняты соответствующие меры. Это может быть так же просто, как заблокировать аккаунт и связаться с владельцем аккаунта.
  • Установить ограничения на количество попыток входа. Ограничьте количество неудачных попыток входа, которые могут быть предприняты до того, как учетная запись будет заблокирована и появится предупреждение.
  • Внедрение технических решений. Рассмотрите такие системы, как системы обнаружения вторжений, которые могут автоматизировать обнаружение индикаторов атак, выполнять действия по устранению недостатков и отправлять оповещения вашей команде по безопасности или борьбе с мошенничеством.
  • Двухфакторная аутентификация. Двухфакторная аутентификация (2FA) — это надежный способ защиты учетных записей. Для этого пользователю необходимо знать свой идентификатор и пароль, а также иметь какой-либо другой предмет, обычно это приложение для аутентификации на смартфоне. По возможности следует использовать двухфакторную аутентификацию.
  • Обучение пользователей. Создавайте и отправляйте информативные электронные письма пользователям. Осветите такие темы, как текущие угрозы, последние тенденции мошенничества и порядок действий, который им следует предпринять, если они считают, что их учетная запись скомпрометирована или подверглась атаке. Вы также можете использовать эти служебные электронные письма, чтобы попытаться избежать кибертрений — реакции, которую вы получаете, когда улучшение безопасности изменяет рабочий процесс или вводит дополнительный шаг. Например, двухфакторная аутентификация. Вам нужно спланировать, как вы собираетесь продвигать новое требование безопасности, чтобы оно было понято и принято вашей пользовательской базой. Если пользователи не принимают и не используют его, вы можете не предоставлять его.
  • Установите программное обеспечение для предотвращения мошенничества: доступны программные средства защиты, которые могут распознавать подозрительные модели поведения и блокировать учетные записи до того, как злоумышленник сможет причинить какой-либо вред.

Не забывайте об основах. Следует продолжать ежегодные аудиты безопасности, обзоры и обзоры политик, репетиции плана инцидентов, тесты на проникновение и обучение персонала.