Hesap ele geçirme (ATO) en yaygın saldırı türlerinden biridir; Proofpoint, 2024’te müşteri kiracılarının% 99’unun şirket monitörlerinin en az bir hesap devralma girişimi ile vurulduğunu ve müşterilerin% 62’sinin başarılı olan en az bir tane yaşadığını söylüyor.
Şirketin tehdit araştırmacıları, “Microsoft Entra ID, O365, OKTA ve Google çalışma alanı ve on milyonlarca izlenen kullanıcı hesabı gibi temel bulut hizmetleriyle binlerce doğrudan entegrasyonumuz var” dedi. Ortalama olarak, etkilenen kuruluşların geçen yıl saldırganlar tarafından tehlikeye atılan 12 hesaba sahip olduklarını ve bazı kuruluşların düzinelerce veya yüzlerce başarılı ATO yaşadığını da sözlerine ekledi.
Kaynak: Proofpoint
Saldırganlar hedefleri konusunda seçici değildir, ancak bazı endüstrilerdeki kuruluşların başarılı bir ATO antremp’leri yaşama olasılığı daha yüksektir: eğitim, elektronik ve havacılık.
Finansal ve hukuk hizmetleri sektöründeki işletmeler, bu girişimleri çözmede daha iyi, ancak görünüşe göre gıda ve içecek endüstrisinde olanlar da daha iyi.
Hesap devralma önleme ve algılama
Proofpoint ayrıca, geçen yıl izledikleri yaklaşık 63 milyon hesaptan yaklaşık 3 milyonun hesap uzlaşması için hedeflendiğini ve 17.000’in başarıyla tehlikeye atıldığını buldu.
Bu 17.000 kişiden% 65’inin çok faktörlü kimlik doğrulaması (MFA) etkinleştirildi, ancak araştırmacılar bu hesap sahipleri tarafından kullanılan MFA seçeneklerinin bir dökümünü paylaşmadı.
Fido Güvenlik Anahtarları veya ikinci bir kimlik doğrulama faktörü olarak, örneğin, SMS aracılığıyla bir kimlik doğrulama kodu alınandan çok daha güvenli bir seçenektir. Passeys kullanmak, herhangi bir kimlik doğrulama faktörünün Phishers veya Infostealer kötü amaçlı yazılımları tarafından hasat edilmesini önler.
Yani, Proofpoint’in dediği gibi, “MFA iyi, ama yeterince iyi değil.” Ve bu beklenecekti: Daha fazla kuruluş MFA kullanıcısını zorlamaya başladığında, saldırganlar etrafında yollar buldular. Kesin olan, MFA olmadan başarılı hesap devralma sayısının daha da yüksek olacağıdır.
Hesap devralmalarını tespit etmek ve önlemek zordur. Çoğu saldırı (giriş girişimleri) ABD, Almanya, Rusya, Hindistan ve Hollanda’dan geliyor, bu nedenle jeoblocking imkansız. Aynı şekilde, alan adı engelleme, aynı hizmet sağlayıcılardan ve ev sahipliği yapan ülkelerden meşru kuruluşlar olarak devralma girişimleri gibi çalışmaz.
Tehdit araştırmacıları, “Gerçek şu ki, kesin bir anlatı olan tek bir hesap uzlaşma göstergesi yok” dedi. Kuruluşlar erişim öncesi ve sonrası davranış izleme, yapay zeka tabanlı analiz ve tescilli ve üçüncü taraf tehdit istihbaratına güvenmek zorundadır.