Artikel top billede

(Foto: PC World)

Så hurtigt finder og tester hackere din lækkede adgangskode på nettet

Forskere har undersøgt hvor hurtigt hackere opnapper og bruger lækkede brugernavne og adgangskoder, der dumpes på nettet. Det er få timer man har til at beskytte sig.

I en undersøgelse plantede cybersikkerhedsforskere falske adgangskoder på nettet, for at se, hvordan og hvor hurtigt de it-kriminelle opsnappede og fandt ud af, om de lækkede koder fungerede.

Halvdelen af de bruger-konti, der bliver kompromitterede i phingangreb, får hackerne adgang til manuelt og inden for 12 timer i gennemsnit.

Det skriver tech-mediet ZDNet.

Fremgangsmåden forskerne hos cybersikkerhedsvirksomheden Agari brugte var at plante tusindvis af legitimationsoplysninger, der så ud som om de tilhørte rigtige brugere, på websteder og fora, der var populære for aktiviteter som dumping af stjålne brugernavne og adgangskoder.

"Omkring halvdelen af ​​kontiene blev åbnet inden for 12 timer, efter at vi faktisk såede siderne," forklarer Crane Hassold, seniordirektør for trusselforskning hos Agari.

20 procent er tilgængelige inden for en time, og 40 procent har adgang inden for seks timer. Det viser virkelig, hvor hurtigt en kompromitteret konto udnyttes."

Næsten alle konti blev åbnet manuelt.

"Det er en temmelig kedelig proces i deres ende, er jeg sikker på, men de får en masse gode oplysninger fra det, og de bruger kontoerne på en række forskellige måder til forskellige typer ondsindet aktivitet," sagde Hassold.

Komtoerne kan udnyttes for den cyberkriminelle til at finde følsomme oplysninger eksempelvis i folks e-mail-indbakker eller cloud-opbevaringssoftware.

Hackerne kan også vælge at bruge de kompromitterede kontoer til at udføre andre angreb, såsom phishing eller BEC-angreb (business email compromise) fra kontoen.

Succesfuld phishing fører til mere phinhing

En angriber af forskernes falske brugeroplysninger forsøgte blandt andet at bruge en kompromitteret konto til at gennemføre BEC-angreb mod ejendomssektoren og lancerede mails.

De ondsindede mails nåede dig aldrig frem til de målrettede ofre i dette tilfælde, da forskerne kunne blokere angrebet.

"Hvor du har legitimationsfishing, fører det til en kompromitteret konto, hvilket fører til flere legitimationsfishing-kampagner, hvilket fører til mere kompromitterede konti og så videre," konstaterer Hassold.

Multifaktor-godkendelse kan være løsning

En løsning for at gardere sig mod denne type hack, er multifaktorgodkendelse, hvor brugeren af kontoen bruger en selvvalgt kode, og ved login får tilsendt en konstrueret kode specifikt for dette login-forsøg.

Fordelen ved dette er, at denne type dobbeltgodkendelse forhindre kompromitterede konti i at blive udnyttet, da det gør det meget sværere for en angriber at bruge samtidig med, at det advarer offeret om, at der er noget galt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere


Analytics, BI og data science: Data-behandling i realtid

Datadrevne løsninger er godt på vej til at vinde indpas i næsten alle industrier - og med god grund. For der er store muligheder i at kunne forstå, fortolke og reagere lynhurtigt på de store datamængder, som alle organisationer genererer. På dette seminar kan du høre om nogle af de bedste eksempler inden for praktisk anvendelse af avanceret data-analyse, hvordan du kommer i gang, og hvordan du kan høste udbytte.

22. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere