Согласно свежему исследованию Barracuda Networks, атаки с целью кражи учетных записей электронной почты часто длятся более недели и являются результатом повторного использования сотрудниками одинаковых паролей на нескольких сайтах.
Поставщик систем безопасности объединил усилия с исследователями из университета Беркли для изучения жизненного цикла атак, направленных на захват учетных записей электронной почты, изучив 159 скомпрометированных учетных записи в 111 организациях.
Исследование показало, что продолжительность атаки на треть обследованных учетных записей составляет более одной недели. Это подчеркивает важность инструментов мониторинга и устранения угроз для выявления подозрительного поведения учетных записей после компрометации.
Интересно, что в 20% случаев взломанная учетная запись фигурировала, по крайней мере, в одной утечке пароля ранее. Это говорит о том, что злоумышленники проверяют повторное использование паролей для взлома учетных записей с помощью перебора базы данных компрометированных ранее учеток или подобных автоматизированных методов, хотя фишинг все еще является популярным способом получения учетных данных.
В подавляющем большинстве (93%) изученных инцидентов злоумышленники не использовали учетную запись для рассылки фишинговых сообщений, возможно, опасаясь, что это увеличит их шансы быть обнаруженными.
Исследователи Barracuda Networks предположили, что вместо этого атакующие могли использовать аккаунты для перехвата разговоров или просто для продажи другим киберпреступникам.
Поддержка второй теории заключается в том, что в 31% случаев аккаунты скомпрометированы одним злоумышленником, а затем используются другим игроком для получения информации, или же монетизируются другим способом.
Это еще раз подчеркивает важность быстрого обнаружения вторжения и реагирования на него, сообщается в отчете.
Злоумышленники чаще всего используют похищенные почтовые учетные записи для работы с приложениями Office 365 (78%), связанными с электронной почтой. Из оставшихся 22% случаев большинство (17%) были связаны с попытками доступа к SharePoint для получения конфиденциальных документов.
Перевод сделан со статьи https://www.infosecurity-magazine.com/