За даними Microsoft, користувачі, які вмикають багатофакторну аутентифікацію (MFA) для своїх облікових записів, можуть заблокувати до 99,9% автоматизованих атак. Про це повідомляє ZDNet.
Якщо постачальник послуг підтримує багатофакторну аутентифікацію, Microsoft рекомендує використовувати її, навіть якщо це складніше, ніж одноразові паролі на основі SMS або розширені рішення для біометрики.
“Виходячи з наших досліджень, Ваш обліковий запис матиме на 99,9% менше шансів бути скомпрометованим, якщо ви використовуєте MFA”, – сказав Алекс Вайнерт, менеджер програмних груп з питань захисту та захисту особи в Microsoft.
Паролі більше не мають значення
Вайнерт сказав, що стара порада на кшталт “ніколи не використовуйте пароль, який колись був викритий” або “використовувати дійсно довгі паролі” насправді не допомагає.
Він знає, про що говорить. Вайнерт був одним із інженерів Microsoft, який працював над блокуванням паролів, які були викрадені з облікових записів Microsoft і систем Azure AD, та опубліковані ще в 2016 році. В результаті цієї роботи користувачам Microsoft, які використовували ці скомпрометовані паролі, було сказано змінити свої облікові дані.
Але Вайнерт заявив, що, незважаючи на блокування облікових даних або паролів, щодо яких був витік, хакери продовжували компрометувати ті самі облікові записи Microsoft у наступні роки.
Він пояснив це тим, що паролі або їх складність вже не мають значення. На сьогоднішній день хакери мають у своєму розпорядженні різні методи, щоб отримати доступ до облікових даних користувачів, і в більшості випадків пароль не має значення. Ось перелік основних типів атак, що можуть спрацювати незалежно від того, чи був компрометований пароль, чи він абсолютно новий.
| Атака | Також відома як… | Частота | Легкість реаплізації та механізм | Як користувач “допомагає” зламу. | Чи має значення пароль? |
| Заповнення облікових даних | “Повторні злами”, “чистий список” | Дуже велика – більше 20 мільйонів екаунтів щоденно пробують зламати на серверах Microsoft. | Дуже легко: купіть бази даних з обліковими записами з сайтів, що зазнали зламу та перевірте це на інших сайтах. Інструменти для масового заповнення облікових даних та ботнети доступні та готові для використання. | Людський фактор. Люди мають звичку роками не міняти паролі. 62% користувачів використовують паролі повторно. | Ні – нападник вже має Ваш пароль |
| Фішинг | “Людина посередині”, перехоплення облікових даних | Дуже велика. 0.5% всіх вхідних листів . | Легко: надсилайте електронні листи, які обіцяють розваги або шантажують. Потім дайте посилання на сайт-двійник, де людина має заповнити форму, та зберіть облікові дані. Використовуйте програми типу Modlishka для полегшення своєї роботи. | Людський фактор. Легковажні чи налякані чимось люди ігнорують ознаки небезпеки. | Ні – користувач сам дає свій пароль нападнику |
| Зняття інформації з клавіатури | щкідники-сніфери | Мала | Посередньо: шкідник записує та передає імена, паролі та все, що користувач набрав на клавіатурі. Тому нападники мусять сортувати отримані дані. | Натискання на шкідливі посилання, постійна робота з повноваженнями адміністратора, відсутність перевірки на активність шкідників. | Ні – шкідник перехоплює все, що вводиться з клавіатури |
| Відкриття на місці | Сканування мережі, фізична розвідка, сортування викинутих документів | Мала | Важко: обшукуйте помешкання чи журнали дій на комп’ютері на предмет записаних паролів. Скануйте мережі на предмет “розшарених” документів. Копирсайтесь у смітті з офісів (реальна практика розвідок). Шукайте облікові дані в програмному коді чи скриптах, що запускаються періодично. | Записування паролів через складність. Надання запароленого доступу тим, хто рідко користується ним. | Ні – рано чи пізно пароль буде знайдено. |
| Вимагання | Шантаж, витік з боку інсайдерів | Дуже мала. Красиво виглядає лише в кіно. | Важко: погрожуйте нанести якусь шкоду чи шантажуйте відповідного носія інформації, поки він Вам не дасть ці дані. | Людський фактор | Ні – пароль буде розголошено і так. |
| “Розпилювання паролів” | Підбір, “простукування”, low-and-slow | Дуже велика – близько 16% облікових записів були атаковані в різний час. Сотні тисяч користувачів вже зламані, а до мільйонів з них пробують підібрати пароль кожен день. . | Tривіально: Використовуйте легко придбані списки користувачів, намагайтеся використовувати один і той же пароль на великій кількості імен користувачів. Регулюйте швидкість і розподіляйте по багатьом IP-адресам, щоб уникнути виявлення. Інструменти для підбору доступні легко та дешево. | Людський фактор
Використання найпоширеніших та найпростіших паролів. На зразок qwerty123і |
Ні, якщо нападник використовує топові рішення для підбору паролів. |
| Метод перебору паролів | Видобування баз даних та їх злам | Дуже низька | Залежить від обставин: спочатку проникніть в мережу для вилучення файлів. Це може бути легко, якщо цільова організація захищена слабко (наприклад,якщо всі користувачі мають повноваження адміністратора), і складніше, якщо є відповідні засоби захисту бази даних, включаючи фізичні та безпеку роботи. Виконуйте хеш-крекінг пароля. Складність залежить від використовуваного шифрування. | не може | Ні, якщо Ви не використовуєте пароль, який неможливо підібрати таким чином (а значить, користуєтеся менеджером паролів) або реально креативну комбінацію з кількох слів |
Щодня відбувається понад 300 мільйонів шахрайських спроб входу, орієнтованих на хмарні сервіси Microsoft. Вайнерт говорить, що увімкнення багатофакторних рішень аутентифікації блокує 99,9% цих несанкціонованих спроб входу, навіть якщо хакери мають копію поточного пароля користувача. 0,1%, що залишається, припадає на більш складні атаки, які використовують технічні рішення для крадіжок маркерів MFA, але ці атаки все ще дуже рідкісні, якщо порівнювати з щоденним “білим шумом” ботнетів, які намагаються заповнювати облікові дані і так підбирати ключі до входу в систему.
У Google заявили те саме
Заява Microsoft, що використання MFA блокує 99,9% атак автоматизованого поглинання облікових записів (АТО) – далеко не перша з подібних заяв.
Ще в травні компанія Google заявила, що користувачі, які додали номер телефона для відновлення до своїх облікових записів (і непрямо ввімкнено MFA на основі SMS), також покращували захист свого облікового запису.
“Наше дослідження показує, що просто додавши номер телефону для відновлення до свого облікового запису Google, можна заблокувати до 100% автоматизованих ботів, 99% масових фішинг-атак та 66% цільових атак, які відбулися під час нашого розслідування”, – сказали тоді представники Google. .
Коли і Google, і Microsoft рекомендують одне і те саме, напевно, потрібно вже прислухатися до їхніх порад
Нагадаємо, що програми Microsoft Paint та WordPad перестануть бути обов’язковими після оновлення Windows 10 Spring 2020 року.
Також Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.
Стало відомо, що дослідники з компанії Avanan, що займається питаннями безпеки електронної пошти, виявили нову фішингову кампанію. Зловмисники за допомогою повідомлень голосової пошти Microsoft Voicemail намагаються змусити жертву відкрити вкладення HTML, що перенаправляє на фішингові web-сторінки.
Окрім цього, Google видалила 85 додатків для Android із магазину Google Play після того, як дослідники виявили, що це рекламне програмне забезпечення (adware), яке вдає з себе нормальні додатки.
