Bởi Pierguido Iezzi
Chúng không thực sự mới lạ tuyệt đối, nhưng hai loại tấn công Cyber - bổ sung – dường như đã được hưởng lợi rất nhiều từ việc chuyển đổi kỹ thuật số: Nhồi tín dụng và tiếp quản tài khoản.
Hai phương pháp này dường như đã tận dụng tối đa từ sự giới thiệu lớn của Dữ liệu lớn, sự lây lan của phần mềm nhanh hơn bao giờ hết như là một dịch vụ và quá trình tự động hóa, tràn ngập mạng với các chiến dịch tấn công lớn vào đầu năm 2018.
Nhồi tín dụng là một trong những cách khai thác đơn giản nhất để hoàn thành và do đó, một trong những phương pháp được Hacker hình sự ưa thích. Với kỹ thuật này, kẻ tấn công thu thập thông tin bị rò rỉ (thường vàđược lọc vào dịp Vi phạm dữ liệu hoặc có được trên Dark Web) và áp dụng chúng cho một số tài khoản khác của nạn nhân được chọn, hy vọng rằng cùng một kết hợp tài khoản / mật khẩu là uđược sử dụng trong các tài khoản khác để kiểm soát (do đó là tài khoản Takeover).
không may hầu hết người dùng, cảm ơn phổ biến các cổng thông tin trực tuyến và các dịch vụ tương tự, có thói quen xấu sử dụng lại thông tin của bạn, điều mà các Hacker hình sự phụ thuộc rất nhiều vào – đó là lý do tại sao kỹ thuật này rất hiệu quả -.
Nó cũng không phải là một cuộc tấn công đòi hỏi các kỹ năng đặc biệt tiên tiến. Thật vậy, những tên tội phạm có rất ít – hoặc thậm chí không có – trải nghiệm máy tính, nhờ phần mềm đặc biệt, có thể kiểm soát và vượt qua thông tin đăng nhập của hàng triệu người dùng so với hàng trăm trang web và dịch vụ trực tuyến như Netflix và Spotify trong vài phút.
Như thể điều đó không đủ mức độ tinh vi của các mối đe dọa mạng này đang gia tăng và nhận thức là nguy hiểm sẽ chỉ tăng lên. Để chống lại hiện tượng này, những thay đổi đáng kể đối với các mô hình xác thực có thể cần thiết để thay đổi quỹ đạo tăng trưởng của các cuộc tấn công này.
Từ quan điểm hoàn toàn phá vỡ, ấn tượng là nhồi thông tin xác thực và tài khoản tiếp quản chỉ mới bắt đầu.
Chợ tối
Sự gia tăng của hiện tượng này trùng hợp song song với một hiện tượng khác liên quan đến thế giới của tội phạm mạng. Lần đầu tiên xuất hiện từ cuối năm 2014 đến đầu năm 2015, Dark web thương mại điện tử họ đột nhiên trải qua một sự gia tăng phổ biến. Các nền tảng mới, bắt chước eBay và các dịch vụ Amazon, họ bắt đầu nghiêm túc trong thế giới ngầm của Cyber Crime.
Hầu như chỉ sau một đêm, tôi cách thức cũ của giao dịch darknet, trong đó người mua và người bán đã thương lượng kết thúc giao dịch trên cơ sở ngang hàng, đã trở nên lỗi thời. Với sự ra đời của các cửa hàng tự động, nhu cầu nỗ lực thủ công đã bị loại bỏ và việc kinh doanh các tài khoản bị đánh cắp đã biến mất, trên thực tế, từ các giao dịch trực tiếp và – nghịch lý – kém tin cậy đến một nền dân chủ hơn nhiều và mở cửa cho tất cả các công ty.
Nói tóm lại, "màn hình" mới của web tối đã cho phép hình thành "Kinh doanh tội phạm mạng". Chỉ với sự ra đời của cái mới mô hình bot và botnet tăng lên hàng đầu.
Những gì chúng ta gọi là bot không có gì khác rằng một nốt tính toán với một phần nhỏ của mã hóa khiến nó tuân theo các hướng dẫn của máy chủ chỉ huy và điều khiển (CnC).
Về mặt logic, botnet là một mạng lưới gồm hàng ngàn và hàng ngàn bot dưới sự kiểm soát của kẻ tấn công sử dụng chúng để thực hiện một loạt các cuộc tấn công, từ DDoS đến – trên thực tế – Nhồi thông tin xác thực.
Hiệu quả của những điều này là có cho tất cả mọi người thấy, đã từng một phần không thể thiếu của Vi phạm dữ liệu nổi tiếng nhất trong những năm gần đây như Thủ đô một, Marriott và Equifax.
Nhưng để làm cho vấn đề tồi tệ hơn, các tổ chức tài chính, bệnh viện, truyền hình, người khổng lồ công nghệ và các cơ quan chính phủ cũng đã bị tấn công bởi các công nghệ này trong những năm gần đây.
Cảm ơn botnet, nếu bạn đã từng có tài khoản với bất kỳ doanh nghiệp nào bị vi phạm, tôi dữ liệu cá nhân của bạn, bao gồm tên người dùng và mật khẩu ưa thích của bạn, có thể đã bị đánh cắp nhiều lần Người ta ước tính rằng trong darknet họ lưu hành hơn nữa 1,5 hàng tỷ cặp tên người dùng và mật khẩu bị đánh cắp.
Và tin tặc hình sự không bất động, luôn tìm cách mới để kiếm tiền từ tên người dùng và mật khẩu bị đánh cắp. Vì vậy, khi thương mại điện tử Dark Web xuất hiện, tự động hóa và "mở rộng quy mô" trong việc phân phối thông tin đăng nhập nhanh chóng.
Những gì nổi lên là một hệ sinh thái thực sự để hỗ trợ kiếm tiền từ các thông tin bị đánh cắp.
Tại sao botnet
Tất nhiên, botnet tiếp tục là động cơ của tất cả các loại hoạt động tội phạm trực tuyến. Sự trỗi dậy của Thị trường Dark Web – và sự leo thang của nhồi tin cậy và chiếm đoạt tài khoản – đã mang lại cho họ cuộc sống mới.
Nhiều botnet đã được chuyển hướng để tập trung vào việc tiêm các thông tin đăng nhập bị đánh cắp, có được hàng loạt trong thương mại điện tử ngầm, trong các trang web được nhắm mục tiêu.
Những lưới này hoàn toàn phù hợp cho mục đích này, 24 giờ một ngày, 7 ngày 7cho đến khi một xác nhận được tìm thấy và có được quyền truy cập trái phép.
Năm 2018 trung bình hơn đã được phát hiện 100 triệu lần truy cập "thù địch" mỗi ngày, bao gồm ba ngày cao điểm trong đó các nỗ lực để điền thông tin đăng nhập vượt quá 250 triệu – tổng cộng khoảng 30 tỷ trong năm. Các cuộc tấn công họ đã ảnh hưởng đến một số lĩnh vực, từ phương tiện truyền thông và giải trí đến thương mại bán lẻ đến chơi game.
Lý do cho sự tăng trưởng này cũng là do ba yếu tố hội tụ.
Đầu tiên, như đã đề cập ở trên, người tiêu dùng thích sử dụng lại thông tin đăng nhập trên nhiều trang web. Thứ hai, Hàng trăm triệu thông tin đăng nhập bị đánh cắp, bao gồm cả những thông tin cũ bị đánh cắp nhiều năm trước, vẫn có sẵn và vẫn có thể có giá trị cho Tin tặc hình sự. Cuối cùng, ngày nay, cần có bí quyết công nghệ tối thiểu để có được và sử dụng các công cụ và dịch vụ chi phí thấp để thực hiện các cuộc tấn công Tin cậy và các tài khoản tiếp quản.
Nói tóm lại, chúng tôi đang ở phía trước đến một chuyên ngành tội phạm mạng.
Các công cụ: nhanh nhẹn và dễ sử dụng
Việc chuyển đổi kỹ thuật số chắc chắn khác biệt với sự nhanh chóng trong việc phát triển các giải pháp nhanh và nhanh với nhiều chức năng hơn; điều tương tự cũng có thể xảy ra đối với phần mềm được phát triển để thực hiện nhồi tin cậy.
từ STORM, có thể phát hiện và bỏ qua mọi cơ chế chống phần mềm độc hại mà chủ sở hữu trang web có thể có tại SNIPR, được thiết kế đặc biệt để hoạt động chống lại các cổng trò chơi trực tuyến, chúng tôi đang quan sát một tay thực sự của các công cụ này.
Kinh tế của các cuộc tấn công phải gây ra mối quan tâm. Ví dụ: tất cả các dữ liệu, công cụ và dịch vụ cần thiết tiêm 3,8 bất cứ ai cũng có thể mua hàng triệu thông tin đăng nhập trong các trang web được nhắm mục tiêu 20,999 đô la trên Dark Web.
Cũng là một cuộc tấn công trên quy mô tương đối nhỏ, xảy ra 100.000 đăng nhập trong suốt một tuần, có thể được đưa ra bởi bất kỳ ai với giá 550 đô la.
Tỷ lệ thành công? Ngay cả việc ước tính bảo thủ, chúng ta đang nói về 2,5% Nhồi nhét các nỗ lực sử dụng 100.000 thông tin đăng nhập thực sự mở tài khoản trực tiếp trên các trang web như Amazon, PayPal, eBay, Expedia, Airbnb và FedEx. Lợi nhuận gộp xấp xỉ ước tính sẽ là 19.000 đô la.
Tương lai giữ gì?
Để làm cho hệ sinh thái này hoạt động, ai đó đang trả tiền thông tin "cơ bản" là 50 xu một 3 đô la cho mỗi lần đăng nhập được xác thực. Những tác nhân đe dọa cấp cao nhất này là những người thực sự sử dụng thông tin đăng nhập được xác thực để kiểm soát tài khoản.
Hiện tại, thông tin đăng nhập hợp lệ cho ngân hàng trực tuyến, bán lẻ, chơi game và các hình thức giải trí khác như Netflix đang được yêu cầu.
Những tài khoản tiếp quản này tạo nên cơ sở để thực hiện các loại gian lận tài khoản, nhưng họ cũng làm hại kẻ tấn công khả năng thâm nhập sâu hơn vào trang web.
Ngoài ra còn có một loại hoạt động gây hại mới được kích hoạt bởi các phương pháp này. Nó là để thao tác logic kinh doanh của các ứng dụng hướng đến khách hàng.
Các hãng hàng không, chẳng hạn, đang trong một cuộc chiến không ngừng chống lại một biến thể của loại hình mua lại tài khoản này, được gọi là quay ghế.
Kẻ tấn công, đăng nhập như một khách hàng hợp lệ, đặt một chiếc vé vào giỏ hàng như thể anh ta muốn mua nó, nhưng không làm thế cho đến khi anh ta bán vé đó với giá cao hơn thông qua một dịch vụ khác.
Chỉ có một cách thực sự để đánh bại các cuộc tấn công này: cải thiện thói quen bảo mật mật khẩu hoặc thậm chí thay thế hoàn toàn mật khẩu bằng một hình thức xác minh danh tính mạnh mẽ hơn.
Nhưng điều này không có khả năng xảy ra ngay lập tức …
