В ежегодном отчёте Sentinel One об угрозах содержится предупреждение о том, что за последний год злоумышленники перешли к атакам на основе идентификации личности в «промышленных масштабах».
Как правило, аккаунты взламываются в результате кампаний социнженеров, использующих, в частности, метод атаки ClickFix. Даже в случае многофакторной аутентификации (МФА) у скамеров есть способы преодолеть этот дополнительный барьер. У них есть доступ к комплектам для обхода МФА, а некоторые просто используют перебор, заваливая потенциальных жертв запросами на аутентификацию до тех пор, пока те не устанут и не согласятся.
В отчёте говорится о случаях, когда хакеры смогли взломать учётные записи высокого уровня, а затем использовать административные привилегии для того, чтобы получить доступ к порталам управления и отключить требования МФА для целых групп организации. «Это представляет собой чрезвычайно высокий риск, поскольку противник за одну сессию может превратиться из временного пользователя в политика, способного диктовать правила доступа для всей сети», — отмечают исследователи.
Кампании, основанные исключительно на фальшивых личностях, которые якобы находятся в поиске удалённой работы, представляют собой растущую угрозу для компаний. В случае успеха — часто после проведения собеседований с помощью технологии дипфейков — злоумышленник получает собственный законный доступ к корпоративным системам для инициации вредоносных действий изнутри. Этот тип атак приписывают северокорейским госхакерам.
В SentinelOne сообщили, что отследили более 1000 заявок на работу и около 360 фальшивых личностей, которые пытались обеспечить удалённую работу в западных техкомпаниях (их конечная цель — кража денежных средств, интеллектуальной собственности или данных). Эксперты порекомендовали организациям «переключить внимание с простой проверки авторизации на непрерывный мониторинг поведения после аутентификации».
Усам Оздемиров
.jpg)
.jpg)