Cyberprzestępcy wolą się logować niż włamywać. Właśnie dlatego złośliwe oprogramowanie kradnące informacjemające na celu wydobywanie danych uwierzytelniających użytkowników, danych przeglądarki, wiadomości, dokumentów, obrazów i informacji o urządzeniu, staje się coraz bardziej powszechne. Kradzież poufnych informacji otwiera wiele drzwi cyberprzestępcom. Mogą zalogować się przy użyciu skradzionych danych uwierzytelniających i ominąć uwierzytelnianie wieloskładnikowe za pomocą przejętych plików cookie sesji. Mogą przejmować konta, popełniać oszustwa, tworzyć lepsze kampanie phishingowe lub po prostu sprzedawać dane oferentowi, który zaoferuje najwyższą cenę w ciemnej sieci.
Złośliwe oprogramowanie służące do kradzieży informacji stanowi coraz większy problem dla zespołów ds. bezpieczeństwa cybernetycznego, a nasze dane mówią nam, że ataki mogą potencjalnie spowodować znaczne szkody dla firm. Dzieje się tak dlatego, że luźne zasady bezpieczeństwa stwarzają idealne warunki do rozwoju ataków kradzieży informacji.
Skala problemu
Niedawno przeanalizowane zostały Socura i Flare cyfrowy ślad największych brytyjskich firm w poszukiwaniu skradzionych danych uwierzytelniających w przejrzystej i ciemnej sieci. W sumie wykryliśmy 28 000 przypadków kradzieży danych uwierzytelniających pracowników FTSE 100, które wyciekły w dziennikach kradzieży informacji. Znaleźliśmy także pliki cookie, które były ważne przez kilka lat, dając atakującym inny sposób na zalogowanie się i ominięcie kontroli bezpieczeństwa, takich jak MFA.
W idealnym przypadku brytyjscy giganci korporacyjni byliby odporni na te zagrożenia. W końcu mają budżety i narzędzia, aby być najbezpieczniejszym. Jednak pomimo swoich zasobów pozostają bezbronni. Nasuwa się tu kluczowy punkt: jeśli liderzy branży mają trudności z zarządzaniem narażeniem na zagrożenia, małe i średnie przedsiębiorstwa muszą stawić czoła podobnym wyzwaniom.
Czynniki przyczyniające się
Jednym z głównych powodów, dla których złośliwe oprogramowanie kradnące informacje mogło się rozwijać, jest niewyraźna (prawie niewidoczna) linia pomiędzy IT korporacyjnym i osobistym. Pracownicy korzystają ze swoich urządzeń, kont i aplikacji służbowych w domu i do użytku osobistego. Używają urządzeń osobistych także do zadań służbowych.
Zaskakująco częstym źródłem złośliwego oprogramowania kradnącego informacje są gry wideo, a w szczególności zainfekowane mody do popularnych gier, takich jak Roblox, Fortnite I Grand Theft Auto. Jeśli pracownik używa urządzenia do sprawdzania służbowych e-maili i uzyskiwania dostępu do poufnych dokumentów, a jednocześnie używa tego urządzenia do grania (sam lub członek rodziny), stwarza to znaczne ryzyko.
Zagrożenie złośliwym oprogramowaniem kradnącym informacje jest jeszcze większe, ponieważ pracownicy w dalszym ciągu używają tych samych słabych haseł na wszystkich swoich kontach. Nasze badanie wykazało, że ponad połowa spółek z indeksu FTSE 100 posiadała co najmniej jedno wystąpienie referencji pracowniczej, w której hasłem było po prostu „hasło”.. Podobnie te słabe hasła lub niewielkie różnice są często wykorzystywane ponownie w usługach wykorzystywanych do celów biznesowych i osobistych. Jeśli złośliwe oprogramowanie przechwyci login do jednej witryny, przestępcy często testują to hasło w innym miejscu, potencjalnie odblokowując skarbnicę dodatkowych danych, które mogą wykorzystać do realizacji swoich celów.
Zalecane działania
Aby chronić się przed ryzykiem związanym ze złośliwym oprogramowaniem kradnącym informacje, warto zastosować podejście wielowarstwowe. Oznacza to szukanie sposobów zapobiegania wyciekom, przy jednoczesnym zapewnieniu odporności firmy na wypadek wystąpienia wycieków, co nieuchronnie w pewnym momencie nastąpi.
Zgodnie z wytycznymi NCSC to świetny punkt wyjścia. Może to obejmować edukację pracowników w zakresie higieny haseł i wdrożenie menedżerów haseł. Sugerujemy również wdrożenie uwierzytelniania wieloskładnikowego we wszystkich obszarach, najlepiej przy użyciu opcji odpornych na phishing, takich jak klucze dostępu, aby uniknąć wyrafinowanych ataków.
Warto również sprawdzić, w jaki sposób zarządzane są urządzenia i aplikacje osobiste, ponieważ są to częste punkty wejścia złośliwego oprogramowania. Zaleca się również aktualizację zasad BYOD i wdrożenie zasad dostępu warunkowego, aby uniemożliwić użytkownikom dostęp do zasobów firmowych na podstawie takich czynników, jak zgodność urządzenia i poziom ryzyka.
Wreszcie, proaktywne monitorowanie narażenia na zagrożenia pozwala firmom wykryć wycieki danych uwierzytelniających w ciemnej sieci, zanim zostaną one wykorzystane. Sugerujemy wdrożenie kontroli w celu oznaczania nietypowych działań i automatyzację działań, takich jak inicjowanie resetowania haseł i izolowanie komputerów, gdy tylko zostaną zidentyfikowane zagrożenia.
Ostatnie przemyślenia
Zagrożenie wyciekiem danych uwierzytelniających i złośliwym oprogramowaniem kradnącym informacje może wydawać się zniechęcające, ale istnieją ostateczne działania, które firmy mogą podjąć, aby zminimalizować ryzyko. Zacznijmy od uznania, jak powszechne stało się to zagrożenie.
Cyberprzestępcy woleliby się zalogować, niż włamać. Przestańmy wręczać im klucze i upraszczać ich pracę, jak przekręcanie zamka.
Anne Heim jest szefową wywiadu w sprawie zagrożeń w firmie Socura, dostawca usług zarządzanego wykrywania i reagowania (MDR).