ФБР: кіберзлочинці використовували домашні проксі-сервери для атак підмінювання облікових даних

Опубліковано: Серпень 24, 2022

ФБР розкрито Минулого тижня кіберзлочинці використовували домашні проксі-сервери, щоб замести сліди та уникнути блокування під час атак із підкиданням облікових даних.

Агентство оприлюднило це попередження як сповіщення приватної індустрії, щоб допомогти інтернет-платформам протистояти атакам підміни облікових даних за допомогою належних механізмів захисту.

Перекидання облікових даних – це тип атаки грубого підбору, коли хакери використовують бібліотеки раніше розкритих комбінацій імені користувача та пароля, щоб отримати несанкціонований доступ до різноманітних онлайн-платформ.

Цей вид атаки працює лише проти користувачів, які використовують однакові облікові дані (ім’я користувача, адресу електронної пошти та пароль) на кількох платформах. За допомогою цього методу кіберзлочинці можуть потенційно отримати доступ до облікових записів користувачів, не використовуючи такі методи, як соціальна інженерія, phishingабо кейлоггінг.

Оскільки надсилання облікових даних є формою грубого форсування, онлайн-сервери можуть обмежити ці атаки за допомогою механізмів захисту, наприклад обмеження кількості послідовних невдалих спроб входу. Один із найпростіших типів захисту також передбачає застосування обмежень на основі IP та блокування входу користувачів проксі.

Однак зараз зловмисники почали використовувати домашні проксі-сервери, щоб приховати свою фактичну IP-адресу. Це дозволяє їм продовжувати замітати сліди та уникати списків заблокованих IP-адрес, оскільки домашні IP-адреси навряд чи мають обмеження.

«Кіберзлочинці використовують проксі-сервери та конфігурації, щоб маскувати та автоматизувати атаки з використанням облікових даних на облікові записи онлайн-клієнтів американських компаній», — йдеться в повідомленні ФБР минулого тижня. «Використання проксі-серверів і конфігурацій автоматизує процес спроб входу на різні сайти та полегшує використання онлайн-акаунтів».

У консультації ФБР із безпеки також перераховано рекомендовані методи пом’якшення для адміністраторів, щоб захистити себе від перекидання облікових даних і подібних атак злому облікових записів, зокрема:

• Увімкнення багатофакторної автентифікації (MFA).
• Уникайте використання паролів, які були розкриті під час попередніх витоків даних.
• Пропонувати користувачам скинути свої паролі, якщо їхні поточні паролі було зламано.
• Використання відбитків пальців для виявлення підозрілої активності.
• Обмеження підозрілих користувачів за допомогою тіньової заборони.
• Моніторинг рядків агента користувача за замовчуванням, які використовуються інструментами додавання облікових даних.