SentinelOne: киберпреступники перешли к масштабным атакам на учетные записи пользователей

1 час назад

© Изображение сгенерировано ИИ

Компания SentinelOne представила ежегодный отчет об угрозах, в котором предупредила о переходе киберпреступников к атакам на основе компрометации личности в «промышленных масштабах». Как сообщает портал BIS Journal, за последний год злоумышленники значительно усовершенствовали инструменты взлома учетных записей для проникновения в корпоративные сети.

Технологии обхода многофакторной аутентификации

Для получения первичного доступа атакующие используют методы социальной инженерии. Одной из наиболее эффективных тактик стал метод ClickFix: пользователю демонстрируется поддельное окно браузера или системное уведомление об ошибке, предлагающее «исправить» проблему путем установки вредоносного ПО.

Даже при наличии многофакторной аутентификации (МФА) злоумышленники находят способы проникновения. Помимо использования готовых инструментов для перехвата одноразовых кодов, применяется тактика «усталости от МФА» (MFA Fatigue). Она заключается в многократной отправке запросов на подтверждение входа до тех пор, пока пользователь не подтвердит один из них по ошибке или из желания прекратить поток уведомлений.

Особую угрозу представляет взлом учетных записей с административными правами. Получив доступ к такому профилю, хакеры могут за одну сессию отключить требования МФА для определенных групп сотрудников или изменить правила доступа для всей сети, фактически закрепляясь в системе под видом легитимного пользователя.

Фиктивный наем и кража данных изнутри

Новым вектором атак стал наем на удаленную работу подставных лиц. Для прохождения собеседований используются дипфейки — технология создания реалистичных видео- и аудиоматериалов с помощью искусственного интеллекта, позволяющая имитировать внешность и голос другого человека в реальном времени.

Специалисты SentinelOne связывают эту активность с правительственными хакерами из Северной КНР (КНДР). Целью таких операций является внедрение агента в штат западных технологических компаний. Получив статус сотрудника и легитимные учетные данные, злоумышленник инициирует кражу интеллектуальной собственности или денежных средств, действуя внутри защищенного периметра. В ходе исследования было выявлено более 1000 попыток трудоустройства с использованием 360 поддельных анкет.

Рекомендации по усилению защиты

В условиях, когда первичная авторизация перестает быть надежным барьером, эксперты рекомендуют внедрять системы непрерывного мониторинга поведения непрерывного мониторинга действий пользователей и учетных записей. Вместо разовой проверки личности при входе, ИБ-службы должны анализировать активность пользователя в течение всей сессии. Любое нетипичное поведение сотрудника — например, массовое скачивание документов или изменение настроек доступа — должно приводить к немедленной блокировке учетной записи до выяснения обстоятельств.

Читайте также: ГИСП: что хотят скрыть и почему отрасль против