Kompromitovaný účet
Kompromitovaný účet vzniká, když útočník získá přístup k reálným přihlašovacím údajům. Zjistěte, jak k tomu dochází a jak kompromitaci odhalit.
Co je to kompromitovaný účet?
Ke kompromitovanému účtu dochází, když útočník získá neoprávněný přístup k e-mailu nebo systémovým přihlašovacím údajům legitimního uživatele. Jakmile je uvnitř, může útočník posílat podvodné zprávy, krást citlivá data nebo šířit malware pod důvěryhodnou identitou oběti. V oblasti e-mailové bezpečnosti patří kompromitované účty k nejběžnějším zdrojům phishingu a útoků typu business email compromise (BEC).
Na rozdíl od spoofingu, kdy útočníci padělají adresu odesílatele, kompromitované účty zahrnují skutečná, ověřená přihlášení. To jejich odhalení ztěžuje, protože e-maily se zdají přicházet z ověřené domény nebo od ověřené osoby.
Jak dochází ke kompromitaci účtů
Aktéři hrozeb používají různé taktiky k získání přihlašovacích údajů nebo k obejití ověřovacích kontrol, mimo jiné:
- Phishingové e-maily, které uživatele přimějí zadat přihlašovací údaje
- Opakované používání hesel nebo slabé politiky hesel
- Malware a keyloggery, které zachytávají ověřovací data
- Zneužití nezáplatovaných systémů nebo nezabezpečených přístupových bodů
- Absence vícefaktorového ověřování (MFA)
Rizika kompromitace účtu
Jakmile je účet kompromitován, mohou jej útočníci zneužít k tomu, aby:
- Posílali interní phishingové zprávy nebo faktury
- Získali přístup k důvěrným souborům nebo datům klientů
- Obcházeli ověřovací systémy pomocí legitimních hlaviček
- Poškodili reputaci odesílatele a vyvolali problémy s doručitelností
V mnoha případech poskytovatelé schránek zjistí neobvyklou aktivitu a účet dočasně pozastaví nebo označí. Bez centralizovaného přehledu si však organizace nemusí kompromitace všimnout, dokud nedojde ke škodě.
Detekce a prevence kompromitace
Preventivní opatření zahrnují vynucování silných politik hesel, zavedení MFA a sledování ověřovacích protokolů kvůli neobvyklým IP adresám nebo chování při odesílání. Bezpečnostní rámce jako DMARC a SPF mohou pomoci zabránit útočníkům ve zneužití kompromitovaných účtů k externímu napodobování domén.
Kompromitované účty a DMARCeye
DMARCeye identifikuje anomálie ve vzorcích ověřování e-mailů, které mohou naznačovat kompromitovaný účet. Analýzou IP adres odesílatelů, DKIM selektorů a původu zpráv odhaluje neoprávněnou nebo podezřelou aktivitu, i když e-maily projdou kontrolami ověřování.
Toto včasné odhalení umožňuje administrátorům izolovat dotčené účty, resetovat přihlašovací údaje a rychle obnovit důvěru dříve, než dojde k dalšímu zneužití.
Vyzkoušejte DMARCeye zdarma a zabezpečte svou e-mailovou doménu.
Chcete-li se dozvědět více o DMARC a souvisejících pojmech, prozkoumejte Slovník pojmů DMARCeye.