Похищение сессии созревает. Какие упреждающие меры могут обеспечить активные сеансы?
18 июня 2025 г.Злоумышленники не просто фишинга для полномочий; Они автоматизируют угон сессий таким образом, как доверенные методы безопасности, такие как многофакторная аутентификация (MFA), не всегда могут защитить нас.
Точно так же, как наши передовые группы по кибербезопасности творчески применяют автоматизацию и ИИ для обеспечения бизнес -среда, хакеры ищут методы использования данных с использованием этих инструментов.
Например, они перепрофилируют повседневные инструменты, такие как
Повторяя украденные куки или токены, злоумышленники обходят MFA, эффективно выдавая себя за зарегистрированного пользователя без необходимости их учетных данных или кода MFA. Поскольку токены сеанса и файлы cookie сообщают сайтам, «этот человек уже вошел в систему», хакеры могут полностью пропустить процесс входа в систему.
Вспышка видит
Как взрывается кража сеанса
Каждый месяц в среднем более 1 миллиона счетов конечных пользователей в социальных сетях, потоковой передаче и платформах электронной коммерции выявляются, что запускает миллионы долларов в результате убытков.
Инфостейлеры вредоносные программы молча заражают компьютеры и систематически эксфильтрают огромные количества конфиденциальной информации, такой как учетные данные, основанные на браузере, файлы сеанса, автозаполнения браузера, история браузера, файлы, хранящиеся на устройстве, на снимке экрана и/или браузерные пальчики. Затем актеры угроз распределяют эти украденные точки данных в виде «журналов кражи» через такие платформы, как
В то время как вредоносные программы Infostealer требуют, чтобы жертва выполняла вредоносный файл или посетил скомпрометированный сайт, атаки Man-in-the-Middle (MITM) часто используют небезопасные сети или маршрутизаторы, чтобы перехватить связь между двумя сторонами. Эти атаки прокси -трафик для сбора конфиденциальных данных, таких как учетные данные для входа и токены MFA в транзите.
Хакеры также будут использовать жилые прокси и VPN, чтобы замаскировать свое истинное местоположение и IP -адрес, что делает их деятельность, как будто она поступает из того же региона или страны, что и законной пользователь. Это помогает обойти географический или IP-контроль безопасности.
Между тем, анти-детекционные браузеры помогают злоумышленникам имитировать профиль устройства законного пользователя, включая строки пользователя-агента, разрешение экрана, установленные плагины и другие характеристики браузера. С этими индивидуальными браузерами их воспроизведение сеанса представляется подлинным для анти-мошеннических систем. Хакеры просто загружают украденные файлы cookie в браузер против определения детектирования и предполагают, что многие активные сеансы жертвы, доступ к учетам, без необходимости повторной аутентификации и обхода какого-либо принудительного двухфактора. Воспроизведение отпечатков пальцев устройства и возобновления сеанса из жилого прокси-IP, расположенного в аналогичной географии, многие просто предполагают, что пользователь сделал что-то безобидное, например, переезд из дома в местную кофейню,-не событие, которое потребует повторной аутентификации во многих платформах.
Это не просто риск безопасности - это экономический
В 2023 году Amazon сообщила, что инвестировала более 1,2 миллиарда долларов и посвящена на
На основе инспекции, предполагая зарплату профессионала в области кибербезопасности в размере 130 000–150 000 долл. США, а также 30-минутное расследование по захвату счета с учетом, 70 долл. США-хорошая базовая средняя стоимость рабочей силы. Тем не менее, эта цифра должна быть умножена на количество годовых атосов.
\ Наряду с затратами на рабочую силу, компании также рискуют потерять клиентов из -за негативной репутации бренда. Flare подсчитал, что потоковая платформа с 150 миллионами глобальных пользователей, взимающая 20 долларов в месяц (240 долларов США в год) за его обслуживание, теряет примерно 34,8 млн. Долл. США в год на основе среднего уровня воздействия на АТО в 1,4% и 0,5%.
В этом сценарии подразумеваемое количество клиентов, пострадавших от ATO в год, составляет 750 000. Из этого мы можем предположить, что 145 000 выпущенных пользователей в зависимости от вероятности не уведомлены компанией (Компания (
Добавить к этим затратам на рабочую силу и убыткам мошенничества, и потоковая платформа рассматривает потерю
Как нам это остановить?
По данным Verizon DBIR 2025 года, более половины (54%) компаний, пострадавших от атак Ransom, включали свои веб -сайты в журналах кражи на черном рынке. Из них у 40% работали адреса электронной почты, включенные в данные. Это означает, что украденные имена пользователей и пароли, вероятно, использовались для проникновения в эти компании.
Журналы кражи очень востребованы и доступны в темной паутине и незаконных каналах телеграммы. Чтобы организации могли минимизировать угрозу протекающих деталей, используемых в атаках выкуп, они должны быть там, где находятся хакеры. Они должны отслеживать и контролировать эти сайты в течение дня.
Инструменты управления воздействием угроз помогают компаниям сканировать четкую и темную сеть и выдающиеся сообщества актеров угроз 24/7, чтобы обнаружить неизвестные события. Вспышка, например, отслеживает
Другие инструменты, которые помогают предотвратить утечку учетных данных, включают:
- Менеджеры паролей: политики, которые побуждают сотрудников не сохранять свои пароли в браузере, устраняют значительный объем риска.
- MFA: Хотя некоторые инструменты могут обойти MFA, это все еще является дополнительным уровнем безопасности, который мы не можем позволить себе пропустить. Журналы кражи могут содержать сеанс cookie, но возможно, что они не будут достаточно свежими для использования.
- Обучение сотрудников: поврежденные загрузки программного обеспечения, злонамеренная реклама и фишинговые атаки являются общими методами распределения вредоносных программ Infostealer. Сотрудники являются первым уровнем защиты от внешних рисков, и обеспечение обучения, особенно дополнительное обучение для пользователей, которые терпят неудачу, целостно улучшат защиту организации.
- Политика BYOD: сотрудники, сэкономившие корпоративные полномочия в браузере своих персональных компьютеров, являются основным фактором риска. Строгие политики в отношении сотрудников, получающих доступ к корпоративным ресурсам от их личных устройств, значительно поможет избежать вредоносного ПО.
- Мониторинг журнала по кражке: убедитесь, что ваш план управления непрерывной угрозой включает в себя мониторинг журналов кражи в четкой, глубокой и темной паутине.
Поскольку финансовый ущерб от угроз кибербезопасности продолжает продвигаться, все больше лидеров бизнеса спрашивают, как они могут выйти за рамки просто защиты себя и начать активно нарушать нападавших. Будучи проактивным, мониторинг, где находятся хакеры, и создавая первую культуру в безопасности среди сотрудников, компании значительно ограничивают возможность протекающих учетных данных, чтобы превратиться в злонамеренные атос.
Оригинал