НЮ ЙОРК – Главният прокурор на Ню Йорк Летиция Джеймс обяви днес резултатите от мащабно разследване на „пълнеж на идентификационни данни“, което откри повече от 1,1 милиона онлайн акаунта, компрометирани при кибератаки в 17 добре известни компании. Главният прокурор Джеймс публикува „Бизнес ръководство за атаки с пълнене на идентификационни данни“, в което подробно се описват атаките – които включват многократни, автоматизирани опити за достъп до онлайн акаунти с помощта на потребителски имена и пароли, откраднати от други онлайн услуги – и как бизнесът може да се защити. Пълненето на идентификационни данни бързо се превърна в един от водещите вектори за атака онлайн. На практика всеки уебсайт и приложение използват пароли като средство за удостоверяване на своите потребители. За съжаление потребителите са склонни да използват повторно едни и същи пароли в множество онлайн услуги. Това позволява на киберпрестъпниците да използват пароли, откраднати от една компания, за други онлайн акаунти. След откриването на атаките, Службата на главния прокурор (OAG) предупреди съответните компании, така че паролите да могат да бъдат нулирани и потребителите да бъдат уведомени. Днешното ръководство споделя уроците, научени в хода на разследването на OAG, включително конкретни насоки за стъпките, които бизнесът може да предприеме, за да се защити по-добре срещу атаки с пълнене на идентификационни данни.
„В момента има повече от 15 милиарда откраднати идентификационни данни, които се разпространяват в интернет, тъй като личната информация на потребителите е застрашена“, каза главният прокурор Джеймс. „Бизнесът носи отговорността да предприеме подходящи действия за защита на онлайн акаунтите на клиентите си и това ръководство излага критичните предпазни мерки, които компаниите могат да използват в борбата срещу пълненето на идентификационни данни. Трябва да направим всичко възможно, за да защитим личната информация на потребителите и тяхната поверителност.
Какво е пълнене на идентификационни данни?
Пълненето на идентификационни данни е вид кибератака, която включва опити за влизане в онлайн акаунти с потребителско име и пароли, откраднати от други, несвързани онлайн услуги. Той разчита на широко разпространената практика за повторно използване на пароли, тъй като има вероятност парола, използвана на един уебсайт, да е била използвана и на друг.
При типична атака с пълнене на идентификационни данни, нападателят може да изпрати стотици хиляди или дори милиони опити за влизане, използвайки автоматизиран софтуер за пълнене на идентификационни данни и списъци с откраднати идентификационни данни, изтеглени от тъмната мрежа или хакерски форуми. Въпреки че само малък процент от тези опити ще успеят, поради големия обем опити за влизане, една атака все пак може да доведе до хиляди компрометирани акаунти.
Нападател, който получи достъп до акаунт, може да го използва по различни начини. Нападателят може например да види лична информация, свързана с акаунта, включително име, адрес и минали покупки, и да използва тази информация при фишинг атака. Ако акаунтът има съхранена кредитна карта или карта за подарък, нападателят може да е в състояние да прави измамни покупки. Или нападателят може просто да продаде идентификационните данни за вход на друго лице в тъмната мрежа.
Пълненето на идентификационни данни е една от най-често срещаните форми на кибератака. Операторът на една голяма мрежа за доставка на съдържание съобщи, че е станал свидетел на повече от 193 милиарда такива атаки само през 2020 г.
Разследването на OAG
В светлината на нарастващата заплаха от пълнене на идентификационни данни, OAG започна разследване за идентифициране на бизнеси и потребители, засегнати от този вектор на атака. В продължение на няколко месеца OAG наблюдава няколко онлайн общности, посветени на добавянето на идентификационни данни. OAG откри хиляди публикации, съдържащи идентификационни данни за влизане на клиенти, които нападателите са тествали при атака с пълнене на идентификационни данни и са потвърдили, че могат да се използват за достъп до клиентски акаунти в уебсайтове или приложения. От тези публикации OAG събра идентификационни данни за компрометирани акаунти в 17 добре известни онлайн търговци на дребно, вериги ресторанти и услуги за доставка на храна. Като цяло OAG събра идентификационни данни за повече от 1,1 милиона клиентски акаунта, всички от които изглежда са били компрометирани при атаки с пълнене на идентификационни данни.
OAG предупреди всяка от 17-те компании за компрометираните акаунти и призова компаниите да разследват и да предприемат незабавни стъпки за защита на засегнатите клиенти. Всяка компания го направи. Разследванията на компаниите разкриха, че повечето от атаките не са били открити преди това.
OAG също работи с компаниите, за да определи как нападателите са заобиколили съществуващите предпазни мерки и предостави препоръки за укрепване на техните програми за сигурност на данните, за да защити по-добре клиентските акаунти в бъдеще. В хода на разследването на OAG почти всички компании са въвели или са направили планове за прилагане на допълнителни предпазни мерки.
Препоръките на OAG
Атаките с пълнене на идентификационни данни станаха толкова разпространени, че за повечето фирми са неизбежни. Следователно всеки бизнес, който поддържа онлайн клиентски акаунти, трябва да има програма за сигурност на данните, която включва ефективни предпазни мерки за защита на клиентите от атаки с пълнене на идентификационни данни. Предпазните мерки трябва да бъдат приложени във всяка от четирите области:
- Защита срещу атаки с пълнене на идентификационни данни,
- Откриване на нарушение на пълнене на идентификационни данни,
- Предотвратяване на измами и злоупотреба с клиентска информация и
- Реагиране на инцидент с пълнене на идентификационни данни.
Ръководството на главния прокурор Джеймс представя конкретни предпазни мерки, за които е установено, че са ефективни във всяка от тези области. Някои акценти от ръководството включват следното:
Този въпрос беше разгледан от старши правоприлагащ съветник Джордан Адлер, помощник-главен прокурор Хана Беек, интернет и технологичен анализатор Джо Греъм и правен асистент Ричард Борджия – всички от Бюрото по интернет и технологии, под ръководството на заместник-началника на бюрото Кларк Ръсел и шефът на бюрото Ким Бергер. Бюрото за интернет и технологии е част от отдела за икономическо правосъдие, който се ръководи от главния заместник-главен прокурор Крис Д’Анджело и се ръководи от първия заместник-главен прокурор Дженифър Леви.
