IT Partner

Золотой партнер Microsoft с 2006 года

Защита учетных данных от социальной инженерии: серия кибератак

 ,

Наша история начинается с клиента, чья служба поддержки невольно помогла злоумышленнику, выдававшему себя за сертифицированного сотрудника. В этом четвертом отчете из нашей продолжающейся серии статей о кибератаках мы рассмотрим шаги, предпринятые для обнаружения, понимания и реагирования на кибератаки с использованием фишинга учетных данных и смишинга (текстового фишинга), нацеленные на законного пользователя с высокими привилегиями с помощью социальной инженерии, что позволяет киберзлоумышленник выдает себя за жертву и использует службу поддержки, чтобы удалить ее устройство с многофакторной аутентификацией и зарегистрировать свое собственное.

Высокопривилегированные пользователи в опасности

Кибератаки на основе учетных данных часто начинаются с того, что злоумышленники нацеливаются на людей, которые, по их мнению, связаны с людьми, имеющими необходимые им учетные данные. Затем они проводят разведку в социальных сетях и даркнете, чтобы найти и проложить путь к высокопривилегированным пользователям и получить достаточно информации, чтобы выдать себя за них. В прошлом известно, что субъекты киберугроз даже выдавали себя за сотрудников и маскировались под них, включая руководителей служб информационной безопасности (CISO) и других фирм, занимающихся реагированием на инциденты. Киберпреступники используют доверие, контекст и эмоции, чтобы обмануть людей с помощью привлекательных ссылок. На этом этапе им не нужно взламывать, они просто входят в систему. Многие атаки смишинга и социальной инженерии используют поток push-уведомлений, которые могут ошеломить или сбить с толку цель, вызывая усталость от многофакторной аутентификации. Исследователи полагают, что натиск уведомлений заставляет нас быстрее уставать и терять концентрацию, что делает нас особенно склонными к отвлечению в течение дня. Все пинги, щелчки, пролистывания, звонки, текстовые сообщения и касания могут оказать давление на цель, заставляя ее поверить в то, что попытка доступа является законной. И участники киберугроз не сдаются. К концу июня 2023 года мы наблюдали около 6000 усталостных попыток многофакторной аутентификации в день.

Распутывание щупалец кибератаки

В случае со злоумышленником Octo Tempest, как только они получили доступ, они начали обхватывать ценные активы и собирать дополнительные учетные данные, используя сторонние инструменты сбора учетных данных для облачных и локальных ресурсов. Они провели поиск конфиденциальной информации об ИТ-процессах и архитектуре VPN в системе SharePoint и электронной почты клиента. Затем они изменили обычный процесс аутентификации, который позволил им аутентифицироваться как любой пользователь в организации, не требуя его учетных данных.

В этом отчете мы рассматриваем факторы, способствовавшие первоначальному вторжению злоумышленника, и выясняем, что могло бы произойти без оперативных тактических мер по смягчению последствий. Мы шаг за шагом реализуем меры по смягчению последствий. Затем мы изучаем тактику, методы и процедуры Octo Tempest (TTP), чтобы понять степень компрометации и то, как мы смогли помочь клиенту полностью выселить злоумышленника. Мы также рассмотрим, как организации могут обучать сотрудников, чтобы снизить вероятность атак с помощью социальной инженерии, и поделимся пятью упреждающими элементами подхода «нулевого доверия» , которые могут защитить от высокомотивированных и упорных киберугроз, таких как Окто Темпест.

Предотвращение кибератак

Многие кибератаки можно предотвратить или, по крайней мере, затруднить их выполнение, путем внедрения и поддержания базовых мер безопасности. Организации могут усилить свою защиту от кибератак и лучше защититься от кибератак, если глубже поймут последствия такого масштабного нарушения учетных данных, как это. Microsoft Incident Response может предоставить клиентам экспертные рекомендации, когда атака становится слишком сложной и трудной для предотвращения в одиночку (и до того, как атака произойдет), чтобы разработать комплексный план реагирования на инциденты и обеспечить подготовку персонала службы безопасности к распознаванию атак социальной инженерии и реагированию на них. Благодаря аналитическому реагированию на инциденты Microsoft клиенты могут получить доступ к необходимой им помощи в глобальном масштабе с глобальным реагированием на инциденты круглосуточно, каждый день — как на месте, так и удаленно. Службы превентивного и реактивного реагирования на инциденты позволяют клиентам воспользоваться глубиной и широтой Microsoft Threat Intelligence и получить уникальный доступ к разработке продуктов. Это также означает, что клиенты могут извлечь выгоду из многолетнего партнерства Microsoft с государственными учреждениями и глобальными организациями безопасности для получения новейших и наиболее полных доступных аналитических данных. Прочтите отчет , чтобы узнать больше о кибератаке, в том числе о мерах реагирования, а также об уроках, которые другие организации могут извлечь, чтобы не попасть в щупальца компрометации с помощью социальной инженерии.

Что такое серия «Кибератака»?

В этой серии Cyberattack клиенты узнают, как специалисты Microsoft по реагированию на инциденты расследуют уникальные и заметные эксплойты. По каждой истории кибератак мы поделимся:

  • Как произошла кибератака.
  • Как была обнаружена утечка.
  • Расследование Microsoft и выселение злоумышленника.
  • Стратегии предотвращения подобных кибератак.

Прочтите первый блог из серии «Кибератаки», посвященной решению одной из самых новых атак NOBELIUM.

Узнать больше

Чтобы узнать больше о реагировании на инциденты Microsoft, посетите наш веб-сайт или обратитесь к своему менеджеру по работе с клиентами Microsoft или контактному лицу Premier Support. Добавьте блог о безопасности в закладки , чтобы быть в курсе наших экспертных статей по вопросам безопасности. Также подписывайтесь на нас в LinkedIn ( Microsoft Security ) и Twitter ( @MSFTSecurity ), чтобы быть в курсе последних новостей и обновлений в области кибербезопасности.