Компанія SpyCloud випустила в світ результати аналізу облікових даних, викрадених хакерами в минулому році. Цільові атаки кіберзлочинців стали ще витонченішими.

Зломи акаунтів як і раніше є однією з найбільш прибуткових статей доходу кіберзлочинців. Зловмисники легко зламують слабкі паролі або використовують скомпрометовані дані. Прибравши до рук кілька облікових записів, злочинець отримує доступ до корпоративних даних, коштів та особистої інформації, завдаючи шкоди не тільки окремим людям, а й репутації компаній.

Хоча більшість атак на облікові записи робиться автоматизованими системами, 80% втрат інформації доводиться на 10% прицільних нападів. Атаки стають витонченішими - не тільки обхід багатофакторної ідентифікації методами соціальної інженерії, поширені і підміна SIM-карт, вимагання та шантаж. У прицілі хакерів заможні керівники вищої ланки і розробники з необхідним рівнем доступу до системи. Отримавши дані, правопорушники надають плоди своїх цифрових праць лише вузькій групі довірених осіб, зберігаючи цінність інформації для монетизації протягом 18-24 місяців.

Тенденції ринку кіберкріміналу

1. Злочинцям доступно більше даних, ніж будь-коли. 2019 рік виявився для кіберзлочинців рекордним. У першому півріччі кількість витоків підвищилася на 54% в порівнянні з першою половиною 2018 року. Показовими також є примноження самих даних:

1. 2018 г. - 3,5 млрд записів,
2. 2019 г. - 9 млрд записів.

2. Повторне використання пароля в різних акаунтах. З 9 млрд записів, досліджених SpyCloud, 28% користувачів застосовували єдиний пароль для кількох облікових записів. Трохи більше 94% вдруге використовуваних паролів представляли собою точні співпадіння, решта 6% мали лише невеликі відхилення, що легко визначаються злочинцями за допомогою автоматизованих інструментів. До слова, користувач, який вибрав пароль Sprinkles для одного аккаунта, ставив Sprinkles1 для іншого.

Джерело: SpyCloud

Очевидно, що повторення пароля вигідно лише зловмисникам. Дані одного облікового запису можна приміряти до безлічі інших ресурсів, отримавши контроль над ще незахваченними акаунтами. На зображенні вище - топ-100 найбільш часто повторюваних паролів з зламаних облікових записів.

3. Публічні дані - це вже застаріла інформація. 2019 рік почався з випуску декількох збірок , що містять мільярди вкрадених облікових даних, що поширювалися групою осіб, які переховуються під псевдонімом Gnosticplayers. Однак SpyCloud виявили, що лише 12% з 3 млрд викрадених записів колись були невідомі. Публічні дані мають для кіберзлочинців меншу цінність: чимало потерпілих, які вже поміняли паролі і підхід до безпеки. Проте злочинці продовжують отримувати вигоду зі старих паролів.

4. Почастішали напади на вразливі сервери. Тривожним знаком є підвищення числа зломів, пов'язаних з незахищеними серверами. Злочинці застосовують open source інструменти для пошуку вразливих сховищ, витягаючи відкриті дані, щоб поширювати, обмінюватися і торгувати інформацією з іншими зловмисниками. Витоки нерідко відбуваються через неправильні налаштування баз даних їх адміністраторами.

Нові уразливості піддають ризику і компанії, і дані. Анонімне джерело в вересні 2019 року опублікувало скрипт Python, в якому була описана вразливість всередині форумного движка vBulletin. Баг дозволяв зловмиснику віддалено виконувати системні команди на сервері, де розміщено відповідне програмне забезпечення. Хакери набували той же рівень доступу до бази даних, що і розробник. Лазівка привела до чотириразового збільшення кількості витоків баз даних vBulletin.

Простого хешування пароля недостатньо

Отже, відповідають не тільки користувачі, але і компанії. Поширена помилка, що облікові записи стають захищеними, якщо замість справжнього тексту пароля зберігати його хешовану форму. Проблема в тому, що багато організацій кодують паролі, застосовуючи слабкі і застарілі алгоритми, наприклад, MD5 і SHA-1. Такі хеш-функції при поточному розвитку обчислювальних засобів зламуються за лічені миті. На наведеній нижче діаграмі показано розподіл методів шифрування паролів, які застосовувались для вкрадених.

Тільки сильні алгоритми криптографічного хешування здатні захистити інформацію від підкованих кіберзлочинців.

Персональні дані - це нове золото

Хакери знають, що ключем до багатьох облікових записів є особиста інформація користувача: імена самих користувачів, їх рідних і близьких, домашніх вихованців, дні народження, стать, номери різних документів: паспорта, карти соціального страхування, посвідчення водія або кредитної карти. Ці особисті дані зберігаються в соціальних мережах та інших незліченних системах, багато з яких належним чином не захищені. Особиста інформація часто є єдиною перешкодою на шляху кіберзлочинця до облікового запису. Наступна гистограма показує розподіл особистих даних в викрадених акаунтах.

Географія повторюваних паролів

Цікаво, що найбільш помітні витоки незашифрованих паролів минулого року пов'язані з порушеннями правил безпеки в окремих компаніях. Наприклад, в результаті витоку даних додатка для запису відеороликів Dubsmash в лютому 2019 року було викрадено відомості 100 мільйонів облікових записів. Витік привів до того, що за даними відкритої статистики слово dubsmash раптово виявилося одним з набільш популярних паролів в США, Канаді, Чехії, Гонконгу та Індії. Та ж ситуація згодом повторилася з компанією Evite.

Важко сказати, чи правда користувачі вибирали назви додатків в якості пароля, або зламані організації застосовували власне ім'я як значення за замовчуванням. Назви брендів легко запам'ятати, але, на жаль, злочинці обізнані про цю звичку створення паролів.

А як щодо інших країн? У ряді держав з популярних паролі згадуються релігійні діячі: в Афганістані і Домініці пароль mohammad, а в Анголі - jesuscrist. Інші народності частіше вибирають звичайні для місцевої культури імени, такі як maria, catalina, valentina або ahmed. Популярні також елементарні фрази. Наприклад, Iloveyou-  пароль, який поширений всюди.

Очевидно, що середній веб-користувач - незалежно від місця розташування - все ще не усвідомив важливість вибору унікальних і важко вгадуваних паролів. Це одна з причин, по якій останні рекомендації Національного інституту стандартів і технологій доручають компаніям обов'язково перевіряти паролі користувачів на відсутність найбільш частотних сполучень символів.

Маючи необхідність створити так багато паролів для незліченних облікових записів, люди роблять саме нехитре: воліють ті, що легко запам'ятати ... і, на жаль, вгадати.

Джерело перекладу