ФБР предупреждает: хакеры все чаще используют резидентные прокси в своих атаках с подстановкой данных

В своем сообщении ФБР рассказало про атаки с подстановкой данных – одном из вариантов атаки по словарю. В ходе этих атак злоумышленники используют учетные данные пользователя, похищенные с другого ресурса или купленные в дарквебе, вместо набора часто используемых сочетаний логина и пароля. По словам экспертов из ФБР, атаки с подстановкой данных часто приводят к огромным финансовым потерям и наносят репутационный ущерб компании-жертве. В сообщении бюро также было сказано, что после взлома учетной записи жертвы злоумышленники начинают покупать товары и услуги, а также пытаются получить доступ к другим аккаунтам пользователя.

ФБР предупреждает, что для обхода основных средств защиты злоумышленники используют резидентные прокси-серверы, поскольку они усложняют мешают системам защиты отличить подозрительный трафик от обычного. Чтобы получить доступ к резидентному прокси-серверу, хакеры взламывают модемы и прочие IoT-устройства или же используют вредоносное ПО, которое превращает компьютер жертвы в прокси-сервер. А с помощью различных инструментов киберпреступники автоматизируют атаки с подстановкой данных, используя ботов, которые пытаются войти в аккаунты жертв на множестве сайтов.

Кроме того, некоторые инструменты дают возможность хакерам перебирать пароли учетных записей или создавать конфигурации, которые способны подстроить атаку под конкретные требования (наличие уникального символа, минимальная длина пароля и т.д.).

ФБР заявляет, что атаки с подстановкой учетных данных не ограничиваются веб-сайтами и часто применяются против мобильных приложений, которые имеют более слабые протоколы безопасности.

В рамках совместной операции с участием ФБР и Австралийской федеральной полиции, агентства обнаружили два веб-сайта, которые содержали более 300 000 уникальных наборов учетных данных, полученных хакерами в результате атак с подменой учетных данных.

Чтобы укрепить защиту от таких атак, ФБР дала организациям несколько рекомендаций:

• Включить многофакторную аутентификацию (MFA);

• Обучить пользователей корпоративной сети правилам цифровой гигиены;

• Использовать цифровые отпечатки устройств для обнаружения необычной активности в сети;

• Внедрить теневой бан, ограничивающий действия подозрительных пользователей в корпоративной сети;

• Проверять конфигурации хакерских инструментов, чтобы подготовить системы безопасности к атакам;

• Отслеживать утечки учетных данных;

• Использовать службы облачной защиты.

Обычные пользователи могут защитить себя, просто используя MFA и надежные пароли.