Como detectar, prevenir e mitigar um ataque de controle de conta (ATO)

Por
Twittar
Compartilhar
Compartilhar
Pin

Como empresa, você pode se defender facilmente contra o tipo mais comum de golpe, um ataque de controle de conta (ATO), com alguns princípios básicos bem feitos.

A tarde de 30 de agosto de 2019 foi bizarra para os seguidores de Jack Dorsey no Twitter (agora X). “Ele” estava em uma onda imprudente, que durou cerca de 20 minutos, de twittar insultos raciais e outras mensagens ofensivas.

Seus fãs podem ter interpretado isso como um colapso mental incomum do CEO do maior site de microblog. No entanto, Chuckling Squad, o grupo por trás dessa “aventura”, deixou links para seu canal de discórdia nos tweets enganosos da conta de Jack.

Mais tarde, o Twitter (agora X) confirmou o incidente.

Estamos cientes de que @Jack foi comprometido e investigando o que aconteceu.

– Comunicações do Twitter (@TwitterComms) 30 de agosto de 2019

Este foi um clássico ataque de controle de conta (ATO), um ataque de troca de Sim em particular, no qual os hackers assumiram remotamente o controle do número de telefone de Jack e twittaram de um serviço de tweet de terceiros, Cloudhopper.

Quais são as probabilidades de favorecer um usuário médio se o CEO de uma empresa de tecnologia de alto nível puder ser uma vítima?

Então, junte-se a mim para falar sobre as diversas formas de ATO e como manter sua organização segura.

O que é um ataque ATO?

Um ataque de controle de conta (ATO), conforme sugerido pelo nome, emprega várias técnicas (discutidas posteriormente) para sequestrar a conta online de uma vítima para diversos fins ilícitos, como fraudes financeiras, acesso a informações confidenciais, fraude de terceiros e muito mais.

Como funciona o ATO?

O ponto crucial de um ataque ATO é roubar credenciais de contas. Os maus atores fazem isso por vários meios, como:

  • Engenharia Social: É forçar ou persuadir psicologicamente uma pessoa a revelar seus detalhes de login. Isso pode ser feito sob o pretexto de suporte técnico ou inventando uma situação de emergência, dando pouco tempo para a vítima pensar racionalmente.
  • Credential Stuffing: Um subconjunto de força bruta, o credential stuffing significa um golpista tentando fazer com que detalhes de login aleatórios funcionem, geralmente obtidos em uma violação de dados ou adquiridos na dark web.
  • Malware: programas perigosos e indesejados podem fazer muitas coisas no seu computador. Um desses casos é roubar as contas logadas e enviar os detalhes ao cibercriminoso.
  • Phishing: A forma mais comum de ataque cibernético, o phishing, normalmente começa com um simples clique. Essa ação aparentemente inofensiva leva o usuário a uma falsificação, onde a futura vítima insere as credenciais de login, abrindo caminho para um próximo ataque ATO.
  • MITM: O ataque man-in-the-middle representa uma situação em que um hacker qualificado “escuta” o tráfego de entrada e saída da rede. Tudo, incluindo os nomes de usuário e as senhas inseridas, fica visível para terceiros mal-intencionados.
    •   Como redefinir o iPhone X de fábrica

    Essas foram as formas padrão que os ladrões cibernéticos empregaram para adquirir credenciais de login de forma criminosa. O que se segue é o controle de contas, atividades ilegais e uma tentativa de manter o acesso “ativo” pelo maior tempo possível para vitimar ainda mais o usuário ou realizar ataques a terceiros.

    Na maioria das vezes, os bandidos tentam bloquear o usuário indefinidamente ou configurar backdoors para um ataque futuro.

    Embora ninguém queira passar por isso (Jack também não!), ajuda muito se pudermos lidar com isso com antecedência para evitar danos.

    Detectando um ataque ATO

    Como proprietário de uma empresa, existem algumas maneiras de detectar um ataque ATO contra seus usuários ou funcionários.

    #1. Login incomum

    Podem ser tentativas repetidas de login de diferentes endereços IP, especialmente de locais geograficamente distantes. Da mesma forma, pode haver logins de vários dispositivos ou agentes de navegador.

    Além disso, a atividade de login fora do horário normal de atividade pode refletir um possível ataque ATO.

    #2. Falhas 2FA

    Falhas repetidas na autenticação de dois fatores ou na autenticação multifator também sinalizam má conduta. Na maioria das vezes, é um mau ator tentando fazer login depois de obter o nome de usuário e a senha vazados ou roubados.

    #3. Atividade Anormal

    Às vezes, não é preciso ser um especialista para notar uma anomalia. Qualquer coisa muito diferente do comportamento normal do usuário pode ser sinalizada para controle de conta.

    Pode ser tão simples quanto uma foto de perfil inadequada ou uma série de e-mails com spam para seus clientes.

    Em última análise, não é fácil detectar esses ataques manualmente, e ferramentas como Sucuri ou Acronis pode ajudar na automatização do processo.

    Continuando, vamos primeiro verificar como evitar esses ataques.

    Prevenindo um ataque ATO

    Além de assinar ferramentas de segurança cibernética, existem algumas práticas recomendadas que você pode observar.

    #1. Senhas fortes

    Ninguém gosta de senhas fortes, mas elas são uma necessidade absoluta no atual cenário de ameaças. Portanto, não deixe que seus usuários ou funcionários usem senhas simples e estabeleça alguns requisitos mínimos de complexidade para registro de conta.

    Especialmente para organizações, 1Negócio de senha é uma escolha forte para um gerenciador de senhas que pode fazer o trabalho duro para sua equipe. Além de guardar senhas, ferramentas de primeira linha também examinam a dark web e alertam você caso alguma credencial vaze. Ajuda você a enviar solicitações de redefinição de senha aos usuários ou funcionários afetados.

      Um Guia do Gerente de Projetos para Metodologias Ágeis

    #2. Autenticação multifator (MFA)

    Para quem não sabe, a autenticação multifator significa que o site solicitará um código adicional (entregue no e-mail ou telefone do usuário) além da combinação de nome de usuário e senha para entrar.

    Geralmente, esse é um método robusto para evitar acesso não autorizado. No entanto, os golpistas podem resolver rapidamente o MFA por meio de engenharia social ou ataques MITM. Portanto, embora seja uma excelente primeira (ou segunda) linha de defesa, há mais nesta história.

    #3. Implementar CAPTCHA

    A maioria dos ataques ATO começa com bots tentando credenciais de login aleatórias. Portanto, será muito melhor ter um desafio de login como o CAPTCHA.

    Mas se você acha que esta é a arma definitiva, pense novamente, porque existem serviços de resolução de CAPTCHA que um malfeitor pode implantar. Ainda assim, é bom ter CAPTCHAs e protegê-los de ATOs em muitos casos.

    #4. Gerenciamento de sessão

    O logout automático para sessões inativas pode ser um salva-vidas para invasões de contas em geral, já que alguns usuários fazem login em vários dispositivos e passam para outros sem sair dos anteriores.

    Além disso, permitir apenas uma sessão ativa por usuário também pode ser útil.

    Por fim, será melhor se os usuários puderem sair remotamente dos dispositivos ativos e houver opções de gerenciamento de sessão na própria IU.

    #5. Sistemas de monitoramento

    Cobrir todos os vetores de ataque como uma organização iniciante ou de nível médio não é tão fácil, especialmente se você não tiver um departamento de segurança cibernética dedicado.

    Aqui você pode contar com soluções de terceiros como Cloudflare e Imperva, além dos já mencionados Acronis e Sucuri. Essas empresas de segurança cibernética são algumas das melhores para lidar com essas questões e podem prevenir ou mitigar com eficiência ataques ATO.

    #6. Cerca geográfica

    Geofencing é a aplicação de políticas de acesso baseadas em localização para o seu projeto web. Por exemplo, uma empresa 100% sediada nos EUA tem pouca ou nenhuma razão para permitir usuários chineses. Embora esta não seja uma solução infalível para prevenir ataques ATO, ela aumenta a segurança geral.

    Indo um pouco mais longe, uma empresa on-line pode ser configurada para permitir apenas determinados endereços IP atribuídos a seus funcionários.

    Em outras palavras, você pode usar uma VPN empresarial para acabar com os ataques de controle de contas. Além disso, uma VPN também criptografará o tráfego de entrada e saída, protegendo os recursos do seu negócio contra ataques man-in-the-middle.

    #7. Atualizações

    Como uma empresa baseada na Internet, você provavelmente lida com muitos aplicativos de software, como sistemas operacionais, navegadores, plug-ins, etc. Todos eles ficam desatualizados e precisam ser atualizados para a melhor segurança possível. Embora isso não esteja diretamente relacionado aos ataques ATO, um código obsoleto pode ser uma porta de entrada fácil para um cibercriminoso causar estragos em seus negócios.

      Como remover anúncios e bloatware do tablet Amazon Fire 7 [No Root]

    Resumindo: envie atualizações de segurança regulares para dispositivos empresariais. Para os usuários, tentar educá-los para manter os aplicativos nas versões mais recentes pode ser um bom passo em frente.

    Depois de tudo isso e muito mais, não existe especialista em segurança que possa garantir 100% de segurança. Conseqüentemente, você deve ter um plano corretivo vigoroso para o dia fatídico.

    Combatendo o ataque ATO

    O melhor é ter um especialista em segurança cibernética a bordo, pois cada caso é único. Ainda assim, aqui estão algumas etapas para orientá-lo em um cenário comum de ataque pós-ATO.

    Conter

    Depois de detectar um ataque ATO em algumas contas, a primeira coisa a fazer é desabilitar temporariamente os perfis afetados. Em seguida, enviar uma senha e uma solicitação de redefinição de MFA para todas as contas pode ser útil para limitar os danos.

    Informar

    Comunique-se com os usuários-alvo sobre o evento e a atividade maliciosa da conta. Em seguida, informe-os sobre o banimento momentâneo e as etapas de restauração da conta para um acesso seguro.

    Investigar

    Este processo pode ser melhor realizado por um especialista experiente ou por uma equipe de profissionais de segurança cibernética. O objetivo pode ser identificar as contas afetadas e garantir que o invasor ainda não esteja em ação com a ajuda de mecanismos alimentados por IA, como a análise de comportamento.

    Além disso, a extensão da violação de dados, se houver, deve ser conhecida.

    Recuperar

    Uma verificação completa de malware do sistema deve ser o primeiro passo em um plano de recuperação detalhado porque, na maioria das vezes, os criminosos plantam rootkits para infectar o sistema ou para manter o acesso para ataques futuros.

    Nesta fase, pode-se pressionar pela autenticação biométrica, se disponível, ou MFA, se ainda não estiver empregada.

    Relatório

    Com base nas leis locais, talvez seja necessário denunciá-lo às autoridades governamentais. Isso o ajudará a manter a conformidade e a entrar com uma ação judicial contra os invasores, se necessário.

    Plano

    Até agora, você conhece algumas lacunas que existiam sem o seu conhecimento. É hora de abordá-los no futuro pacote de segurança.

    Além disso, aproveite esta oportunidade para educar os usuários sobre este incidente e solicitar que pratiquem uma higiene saudável na Internet para evitar problemas futuros.

    No futuro

    A segurança cibernética é um domínio em evolução. Coisas consideradas seguras há uma década podem ser um convite aberto para golpistas atualmente. Portanto, ficar atualizado sobre os desenvolvimentos e atualizar periodicamente os protocolos de segurança de sua empresa é o melhor caminho a seguir.

    Se você estiver interessado, a seção de segurança do etechpt.com é uma biblioteca digna de favoritos com artigos voltados para start-ups e pequenas e médias empresas que escrevemos e atualizamos regularmente. Continue verificando isso e tenho certeza de que você poderá verificar a parte “manter-se atualizado” do planejamento de segurança.

    Fique seguro e não deixe que eles assumam o controle dessas contas.