Таргетированная фишинговая атака успешно заставила сотрудника Reddit передать свои учетные данные и одноразовый пароль, но вскоре после этого тот же сотрудник уведомил службу безопасности.
Последняя попытка взлома известной компании подчеркивает, что злоумышленники все чаще находят способы обойти схемы многофакторной аутентификации (MFA) - поэтому работники продолжают оставаться важной последней линией обороны.
9 января Reddit уведомил своих пользователей о том, что злуомышленник успешно убедил сотрудника нажать на ссылку в электронном письме, разосланном в рамках фишинговой атаки, которая привела на «веб-сайт, клонирующий поведение нашего интранет-шлюза, в попытке украсть учетные данные и токены второго фактора аутентификации».
Компрометация учетных данных сотрудника позволила злоумышленнику в течение нескольких часов проникать в системы Reddit, получая доступ к внутренним документам, информационным панелям и коду, говорится в сообщении Reddit.
Компания продолжает расследование, но пока нет никаких доказательств того, что злоумышленник получил доступ к данным пользователей или производственным системам, заявил технический директор Reddit Крис Слоу (он же KeyserSosa) на последующем AMA.
«Крайне сложно доказать отрицательный результат, и поэтому, как уже говорилось, мы продолжаем расследование» - сообщил он. «Бремя доказательств в данный момент подтверждает, что доступ был ограничен за пределами основного производственного стека».
Reddit - последняя компания-разработчик программного обеспечения, ставшая жертвой атаки социальной инженерии, которая была нацелена учетные данные работников и привела к взлому конфиденциальных систем. В конце января компания Riot Games, создатель популярной многопользовательской игры League of Legends, объявила о том, что она подверглась компрометации «в результате атаки с применением социальной инженерии», при этом злоумышленники похитили код и задержали выпуск обновлений. Четырьмя месяцами ранее злоумышленники успешно взломали и похитили исходный код студии Rockstar Games компании Take Two Interactive, создателя франшизы Grand Theft Auto, используя скомпрометированные учетные данные.
Ущерб от даже незначительных нарушений, вызванных фишинговыми атаками и кражей учетных данных, остается высоким. Согласно отчету «2023 Email Security Trends», опубликованному компанией Barracuda Networks, поставщиком решений для защиты приложений и данных, три четверти (75%) опрошенных ИТ-специалистов и менеджеров по информационной безопасности заявили, что их компания за последний год подверглась успешной атаке по электронной почте. Кроме того, средняя компания столкнулась с самой дорогостоящей атакой, ущерб от которой и затраты на восстановление превысили 1 миллион долларов США.
Тем не менее, компании чувствуют себя готовыми к борьбе с фишингом: только 26% и 21% респондентов считают себя неподготовленными. Это лучше, чем 47% и 36% соответственно, которые беспокоились, что их компании не готовы в 2019 году. Однако беспокойство по поводу захвата аккаунтов стало более распространенным, говорится в отчете.
«В то время как организации могут чувствовать себя лучше подготовленными к предотвращению фишинговых атак, они не настолько готовы к захвату аккаунтов, который обычно является побочным продуктом успешной фишинговой атаки» - говорится в отчете. «Захват учетных записей также представляет собой большую проблему для организаций, большинство сотрудников которых работают удаленно».
Доказательство того, что одной МФА недостаточно.
Чтобы предотвратить атаки на основе учетных данных, компании переходят на MFA, обычно в форме двухфакторной аутентификации (2FA), когда одноразовый пароль отправляется по СМС или электронной почте. Слоу из Reddit, например, подтвердил, что компания требует двухфакторную аутентификацию. «Да. Это обязательно для всех сотрудников, как для использования на Reddit, так и для всего внутреннего доступа» - сообщил он.
Но такие методы, как атаки на усталость MFA или «бомбардировка» - как это было при атаке на Uber прошлой осенью - превращают обход 2FA в простую игру чисел. В этом сценарии злоумышленники рассылают сотрудникам повторные целевые фишинговые атаки, пока кто-то не устанет от уведомлений и не отдаст свои учетные данные и токен одноразового пароля.
Переход на следующий уровень после 2FA начинает происходить. Поставщики технологий управления идентификацией и доступом, например, добавляют больше информации о запросах на доступ, например, местоположение пользователя, чтобы добавить контекст, который можно использовать для определения необходимости аутентификации доступа, говорит Тоня Дадли, CISO в Cofense, компании по защите от фишинга.
«Атакующие всегда будут искать способы обойти технические средства контроля, которые мы внедряем» - заявляет она. «Организациям все равно следует внедрять MFA и продолжать настраивать этот контроль для защиты сотрудников».
Работники – ключевая часть информационной безопасности.
Как ни странно, взлом Reddit также демонстрирует преимущества, которые может дать обучение сотрудников. Сотрудник заподозрил неладное после ввода учетных данных на фишинговом сайте и вскоре после этого связался с ИТ-отделом Reddit. Это сократило окно возможностей для злоумышленника и ограничило ущерб.
«Пришло время перестать рассматривать сотрудников как слабое место, а вместо этого посмотреть на них как на сильную сторону, которой они являются или могут быть для организаций» - заявляет Дадли. «Организации могут настроить технические средства контроля только до некоторой степени. Люди могут предложить дополнительный контекст: «Это просто кажется неправильным».
Сотрудник, оказавшийся в центре взлома Reddit, не столкнется с долгосрочными карательными мерами, но у него будет отозван весь доступ до тех пор, пока проблема не будет решена, сообщил Слоу из Reddit.
«Проблема, как всегда, в том, что достаточно одного человека, который попался на фишинг. Я очень благодарен сотруднику, который в данном случае сообщил, что это произошло, когда он понял, что случилось».
Источник: https://www.darkreading.com
