За последние несколько дней кибермошенники вывели со счетов DraftKings 300 тысяч долларов благодаря перебору учетных данных, как раз во время начала чемпионата мира по футболу 2022 года.
Популярная платформа онлайн-ставок DraftKings подверглась атакам с целью кражи учетных данных, что позволило киберпреступникам завладеть около 300 000 долларов США. Один из ее конкурентов, FanDuel, также заявил на этой неделе, что наблюдает рост числа попыток угона аккаунтов своих клиентов.
Перебор учетных данных - это тактика, при которой кибермошенники пытаются скомпрометировать аккаунты, используя списки комбинаций имен пользователей и паролей, полученных в результате предыдущих взломов, часто приобретенных в темной паутине. Они рассчитывают - в буквальном смысле слова - на то, что владельцы аккаунтов будут повторно использовать свои адреса электронной почты и пароли для нескольких сервисов, так что учетные данные, украденные, например, у пользователя Netflix, сработают против более ценных целей, таких как финансовые аккаунты или аккаунты онлайн-игр.
Начиная с этих выходных, в социальных сетях стали появляться сообщения от пользователей DraftKings, которые жаловались на то, что их учетки были заблокированы, а счета - опустошены. Вскоре компания подтвердила эту активность.
«DraftKings известно, что некоторые клиенты наблюдают необычную активность со своими учетными записями» - заявил Пол Либерман, соучредитель и президент DraftKings по глобальным технологиям и продуктам, в заявлении для СМИ в понедельник. «В настоящее время мы считаем, что регистрационные данные этих клиентов были взломаны на других сайтах, а затем использованы для доступа к их аккаунтам DraftKings, где они использовали те же учетные данные».
Хотя количество затронутых учеток неизвестно, компания заявила, что на данный момент было выведено около 300 000 долларов США, и что она намерена «возместить ущерб всем пострадавшим».
Киберпреступники следят за чемпионатом мира по футболу и не только.
Повышенная активность может быть связана с началом сезонов НХЛ и НБА, а также с тем, что сезон НФЛ вступает в фазу перед плей-офф, и, конечно же, с чемпионатом мира по футболу 2022 года, стартоваавшим в выходные.
«Сайты онлайн-гемблинга являются привлекательными целями из-за больших сумм, которые ежедневно ставятся на кон» - сообщает изданию Dark Reading Крис Хаук, защитник конфиденциальности потребителей в Pixel Privacy. «Многие клиенты оставляют свои выигрыши на платформе (не обналичивают их, когда выигрывают), чтобы иметь средства, которые они могут поставить на следующую игру, матч или другое спортивное событие. Это особенно актуально сейчас, когда чемпионат мира по футболу проходит в Катаре, а футбольные матчи привлекательны для игроков».
И действительно, число атак на платформы ставок растет; один из главных конкурентов DraftKings, FanDuel, сообщил CNBC, что также наблюдает рост числа атак на учетные записи (хотя подтвержденных случаев компрометации пока не было). Тем не менее, по словам Джеймса МакКвиггана, специалиста по безопасности в KnowBe4, успех злоумышленников в атаке на DraftKings указывает на проблему осведомленности пользователей и на повышенный интерес киберпреступников к отрасли.
«Несмотря на многочисленные случаи утечек данных и атак, люди до сих пор не осознают последствий того, что их банковские счета связаны с игровыми счетами. Если их не защитить должным образом, они могут стать предметом кражи» - заявляет он. «В большинстве случаев пользователи не думают, что подобное произойдет именно с ними, и не знают о различных атаках и методах, которые могут использовать киберпреступники, чтобы украсть их деньги или личные данные».
Ставки высоки и для игорного онлайн-бизнеса. «Репцутация DraftKings и других сайтов онлайн-ставок может пострадать, если платформы станут объектом подобных атак» - сообщает Хаук. «Игроки могут потерять веру в то, что сайты надежно защищены и могут уберечь балансы своих пользователей от вывода денег мошенниками».
Необходима более надежная многофакторная аутентификация
DraftKings, как и большинство провайдеров онлайн-ставок, предлагает пользователям двухфакторную аутентификацию в качестве опции. Но она не является обязательной.
«DraftKings не заставляет пользователей включать двухфакторную аутентификацию» - объясняет Пол Бишофф, защитник конфиденциальности в Comparitech. «Единственным исключением является штат Коннектикут, который требует от DraftKings принудительного включения двухфакторной аутентификации для всех учеток резидентов штата. Я считаю это ошибкой, учитывая, какие средства на кону. Для взлома аккаунтов с включенной МФА потребуется дополнительная атака для получения одноразовых кодов, что делает их гораздо менее уязвимыми».
Учитывая то, что поставлено на карту для компании и ее клиентов, Хаук отмечает, что создание более надежных вариантов защиты для пользователей должно стать императивом, начиная с требования, по меньшей мере, МФА, основанного на одноразовых паролях, отправляемых по СМС или электронной почте.
МакКвигган из KnowBe4 отмечает, что существуют также механизмы поощрения пользователей для усиления безопасности.
«Подходы компаний должны включать возможность перекрестного сравнения паролей с известными паролями, использованными при взломах» - объясняет он. «Если пользователи используют простые или скомпрометированные пароли, платформа должна потребовать, чтобы пользователи сбросили свои пароли на уникальные и безопасные».
Однако, несмотря на то, что такие меры могут устранить некоторые риски, простая 2FA, конечно, может быть взломана без особых усилий. Таким образом, исследователи отмечают, что правильным способом защиты учетных записей будет использование методов аутентификации, одобренных FIDO2, с использованием продвинутой МФА. К сожалению, мы вряд ли увидим такую реализацию в ближайшее время, учитывая, что компаниям такого типа зачастую сложно найти адекватный баланс между удобством и безопасностью.
«Во многом это сводится к оценке риска атаки по сравнению с затратами на внедрение более надежных приложений или функций MFA» - заявляет МакКвигган. «Сайты ставок также хотят, чтобы людям было просто войти в платформу; если вход слишком сложный, пользователи пойдут играть в другое место. Большинство пользователей сегодня знакомы с SMS-кодами, и хотя это один из самых слабых методов MFA, пользователям проще получить доступ к учетной записи».
Источник: https://www.darkreading.com
