Скомпрометированная учетная запись что это

Подстановка учётных данных – кибератака, которую проще всего избежать

Возможно, вы никогда раньше не слышали термин Credential stuffing. Однако, это не значит, что вы не стали целью широко распространенной и эффективной кибератаки. В нашей статье расскажем, что это за атака и как от неё защититься.

Что такое подстановка учетных данных (Credential stuffing)?

Существуют самые разные векторы кибератак: от очень простых до очень сложных. Самые простые – атаки социальной инженерии, когда злоумышленники используют навыки общения и доверчивость людей, чтобы получить доступ к учётным данным и другой конфиденциальной информации. Более сложные кибератаки требуют от атакующего обойти несколько уровней безопасности, украсть данные и работать над их последующей обработкой. Обработка данных, особенно когда они представляют собой набор логинов или email-адресов и связанных с ними паролей, является первым шагом в запуске атаки с подстановкой учетных данных (Credential stuffing). Вот как работает атака и как она может повлиять лично на вас. Допустим, у вас, как и у других пользователей интернета, есть десятки учетных записей в различных сервисах. У вас может быть несколько «важных» логинов с высокой ценностью, например, логин электронной почты, банка и т. д, а может быть много логинов с низкой ценностью, например, логин для форума автолюбителей, который вы иногда использовали в течение многих лет, или учетная запись, которую вы создали на сайте скидочных купонов. Обычно системы банка или сервиса электронной почты имеют хорошую киберзащиту. Ценные данные защищены соответствующим образом, и вероятность того, что хакер взломает банк или электронную почту и получит доступ ко всем именам пользователей и паролям, довольно мала. Что нельзя сказать об автомобильном форуме или сайте купонов.

Что произойдет, если кто-то взломает подобные сайты и украдет все пользовательские данные?

Киберпреступники получат ваше имя пользователя, email-адрес и пароль. Затем злоумышленники внедрят украденные данные в автоматизированные системы, которые пытаются войти в систему на тысячах сервисах, чтобы понять, на каком сайте учетные данные подходят. Повторно использовать одни и те же имена пользователей, адрес электронной почты и пароли на разных сайтах – очень плохая привычка. Утечка данных на каком-нибудь небольшом форуме может стать проходом во все ценные сервисы, которые вы используете – например, электронная почта и банк. Если провести аналогию с реальным миром, то это выглядело бы как использование одного ключа для всех дверей. Если вы потеряли свой ключ или кто-то сделал его копию, у него будет ключ, который подойдет для вашего дома, машины, офиса, сейфа, шкафчика в спортзале и т.д. Очевидно, что это и есть причина, по которой мы не используем одинаковые ключи.

Как я могу защитить себя от подстановки учетных данных?

Подстановка учетных данных очень распространенная и простая в исполнении по сравнению с более сложными кибератаками, но, к счастью, от нее очень легко защититься. Давайте посмотрим, как вы можете избежать подобных атак. Создавайте сложные и уникальные пароли Это именно то, что вы будете слышать снова и снова в рекомендациях по кибербезопасности, и на это есть веские причины. Самое эффективное, что вы можете сделать, чтобы решить проблему «одного ключа от всех дверей» — это иметь большую связку ключей от каждой двери. Если вы используете один и тот же пароль с тех пор, как открыли свою первую электронную почту 10 лет назад, сейчас самое подходящее время, чтобы выработать важную привычку использовать новый пароль. На каждом сайте и сервисе должен быть уникальный пароль, который не повторяется с другими. Используйте менеджер паролей Запомнить сложные и уникальные пароли для десятков или сотен сервисов — сложная задача без инструментов, которые могли бы вам помочь. Заведите менеджер паролей. Создайте один сложный, но запоминающийся пароль, чтобы разблокировать менеджер, а затем сгенерируйте в менеджере надёжные пароли. Хороший менеджер паролей способен не только создать сложные пароли, но и автоматически вставлять их на сайтах и даже регулярно их обновлять. Кроме того, некоторые менеджеры могут отслеживать пароли на предмет утечки. Включите многофакторную аутентификацию Многие люди не используют многофакторную аутентификацию (Multi-factor Authentication, MFA), потому что не все готовы при каждом входе на сайт выполнять несколько действий. Несмотря на возможные неудобства, многофакторная аутентификация – это эффективный способ добавить дополнительный уровень безопасности ваших учетных данных. Даже если вы используете одинаковые пароли, а в аккаунте включена многофакторная аутентификация, вы надёжно защищены от подстановки учетных данных. Злоумышленник может украсть ваше имя пользователя и пароль с уязвимого сайта, но у него не будет доступа к вашему приложению для многофакторной аутентификации, телефону или другим инструментам проверки подлинности. Удаляйте неиспользуемые учетные записи Если вы не используете учетную запись, удалите ее, чтобы снизить риск взлома. А если вы не можете этого сделать, войдите в систему и измените свой пароль (разумеется, используя менеджер паролей). Таким образом, когда неиспользуемый сервис будет скомпрометирован, единственное, что утечет, — это уникальный сложный пароль, который больше нигде не работает. Используйте службу псевдонимов (алиасы) электронной почты Вместо того, чтобы регистрировать свой основной адрес электронной почты на каждом сайте, псевдонимы позволяют вам создавать неограниченное количество email-адресов и держать настоящий адрес электронной почты в секрете, а также отправлять уникальные электронные письма. Служба псевдонимов электронной почты не только защитит конфиденциальность, но и избавит вас от лишнего спама в почтовом ящике. Более того, если сайт, где вы зарегистрировали алиас, будет скомпрометирован, взломщики не увидят ваш реальный адрес. Вместо вашего email (который может содержать вашу имя, фамилию и год рождения), хакеры увидят «randomname@aliasprovider.com», который не предоставляет никакой ценности для подстановки учетных данных. Как бы вы ни подходили к проблеме, не упускайте из виду первый и самый важный совет, которым мы поделились. Сложный и уникальный пароль для каждого сервиса — это самый простой и эффективный способ обезопасить себя от подстановки учетных данных. Чем раньше вы начнете использовать уникальные пароли, тем лучше.

Как определить, была ли скомпрометирована учетная запись Microsoft 365

При попытке входа в Microsoft 365 могут возникнуть проблемы. Кроме того, вы можете заметить, что в вашей учетной записи происходят подозрительные действия, такие как большие объемы нежелательной почты, поступающие из вашей учетной записи.

Кроме того, может возникнуть одна или несколько из следующих проблем:

• Папки «Отправленные» или «Удаленные» в Microsoft Outlook или Microsoft Outlook Web App содержат распространенные сообщения взлома учетной записи, такие как «I’m stuck in London, send money».
• Необычные изменения профиля, например изменение имени, номера телефона или почтового индекса.
• Необычные изменения учетных данных, например многократное изменение пароля.
• Недавнее добавление переадресации почты.
• Недавнее появление необычной подписи, например на банковском документе или рецепте на лекарство.

Решение

Даже если вы вновь получили доступ к своей учетной записи, возможно, злоумышленник встроил в нее лазейки, которые позволят ему вновь перехватить управление учетной записью.

Чтобы устранить эти проблемы, необходимо выполнить все следующие действия в течение пяти минут после восстановления доступа к учетной записи, чтобы злоумышленник не возобновил управление вашей учетной записью. Эти действия помогут вам удалить все лазейки, которые взломщик мог встроить в вашу учетную запись. После выполнения этих действий рекомендуется проверку на вирусы, чтобы убедиться в том, что компьютер не заражен.

Шаг 1. Убедитесь, что компьютер не скомпрометирован

1. Убедитесь, что клиентский компонент Центра обновления Windows включен.
2. Если антивирусная программа не установлена на компьютере, рекомендуется установить антивирусную программу, а затем выполнить проверку, чтобы убедиться, что на компьютере не установлено вредоносное программное обеспечение. Вы можете скачать бесплатное антивредоносное или антивирусное программное обеспечение от корпорации Майкрософт.

Шаг 2. Убедитесь, что злоумышленник не может войти в вашу учетную запись Microsoft 365.

1. Измените пароль немедленно. Пароль должен быть надежным и содержать буквы верхнего и нижнего регистра, хотя бы одну цифру и хотя бы один специальный символ.
2. Не используйте пять последних паролей, использованных раньше. Хотя требования к журналу паролей разрешают использовать старые пароли, следует выбрать такой пароль, который злоумышленник не мог бы угадать.
3. Если ваше локальное удостоверение связано федеративным доступом с Microsoft 365, необходимо сменить локальный пароль, а затем оповестить администратора о компрометации.

Шаг 3. Убедитесь, что злоумышленник не может возобновить доступ к вашей учетной записи

1. Убедитесь, что учетная запись Exchange не перенаправлять адреса автоматически. Дополнительные сведения см. на следующей веб-странице: Автоматическая пересылка сообщений с помощью правила
2. Убедитесь, что сервер Exchange Server не отправляет автоматические ответы.
3. Убедитесь, что ваши контактные данные, таких как телефонные номера и адреса, указаны правильно.

Шаг 4. Дополнительные меры предосторожности

1. Еще раз проверьте папку «Отправленные». Возможно, следует сообщить пользователям из вашего списка контактов о том, что ваша учетная запись скомпрометирована. Возможно, злоумышленник запросит у них деньги, спуфинг, например, что вы находились в другой стране или регионе и вам нужны деньги, или злоумышленник может отправить ему вирус для перехвата компьютеров.
2. Любые другие службы, использующие эту учетную запись Exchange как альтернативную для электронной почты, также могут быть скомпрометированы. Сначала выполните эти действия для вашей подписки Microsoft 365, затем выполните эти действия для других ваших учетных записей.

Дополнительные сведения

Эти проблемы могут возникнуть при компрометации подписки Microsoft 365. В этом случае скомпрометированные учетные записи могут быть заблокированы для защиты вас и ваших контактов и восстановления учетной записи.

Дополнительные сведения о фишинговых атаках и мошеннических сообщениях электронной почты см. на следующих веб-сайтах:

• Центр жалоб на Интернет-преступления
• Комиссия по ценным бумагам и биржам – «фишинговое» мошенничество

Требуется дополнительная помощь? Зайдите на сайт сообщества Майкрософт.

Исследование скомпрометированных учетных записей с помощью аудита (премиум) Microsoft Purview

Компрометация учетной записи пользователя (или перехват учетной записи) — это тип атаки, при котором злоумышленник получает доступ к учетной записи пользователя и действует как пользователь. Такие типы атак иногда наносят больший ущерб, чем входило в намерения злоумышленника. При исследовании скомпрометированных учетных записей электронной почты следует предполагать, что скомпрометировано больше данных электронной почты, чем показывает отслеживание фактического присутствия злоумышленника. В зависимости от типа данных в сообщениях электронной почты следует предполагать, что конфиденциальная информация скомпрометирована, или заплатить предписанный штраф, если вы не можете доказать, что конфиденциальные данные не были предоставлены. Например, организации, регулируемые HIPAA, сталкиваются со значительными штрафами, если есть доказательства того, что информация о здоровье пациентов (PHI) была раскрыта. В таких случаях, злоумышленников, скорее всего, не интересуют PHI, тем не менее организации должны сообщать о нарушении безопасности данных, если не могут доказать обратное.

Чтобы помочь вам в исследовании скомпрометированных учетных записей электронной почты, проводится аудит доступа к данным почты со стороны почтовых протоколов и клиентов с использованием действия аудита почтового ящика MailItemsAccessed. Это новое действие аудита поможет больше узнать о нарушении безопасности данных и определить масштаб компрометации для определенных элементов электронной почты. Целью использования этого нового действия аудита является защита от судебной экспертизы, которая помогает утверждать, что определенный фрагмент данных почты не был скомпрометирован. Если злоумышленник получил доступ к определенному фрагменту почты, Exchange Online проверяет событие, даже если нет никаких признаков того, что почтовый элемент был прочитан.

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Действие аудита почтового ящика MailItemsAccessed

Новое действие MailItemsAccessed является частью новой функции аудита (премиум). Оно входит в аудит почтовых ящиков Exchange и включается по умолчанию для пользователей, которым назначена лицензия Office 365 или Microsoft 365 E5, или для организаций с подпиской на надстройку «Соответствие требованиям Microsoft 365 E5».

Действие аудита почтового ящика MailItemsAccessed применимо ко всем почтовым протоколам: POP, IMAP, MAPI, EWS, Exchange ActiveSync и REST. Его используют при обоих типах доступа к почте: для синхронизации и для привязки.

Аудит доступа для синхронизации

Операции синхронизации записываются только в том случае, если доступ к почтовому ящику осуществляется с помощью классической версии клиента Outlook для Windows или Mac. В процессе синхронизации такие клиенты обычно загружают большой набор элементов почты из облака на локальный компьютер. Объем аудита для операций синхронизации значительный. Поэтому вместо создания записи аудита для каждого синхронизированного элемента почты создается событие аудита для папки почты, содержащей синхронизированные элементы, и предполагается, что все элементы почты в синхронизированной папке скомпрометированы. Тип доступа записывается в поле OperationProperties записи аудита.

Пример доступа для синхронизации, указанного в записи аудита, см. в шаге 2 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Аудит доступа для привязки

Операция привязки обеспечивает индивидуальный доступ к сообщению электронной почты. Для доступа с привязкой InternetMessageId отдельных сообщений будет записан в записи аудита. Действие аудита MailItemsAccessed записывает операции привязки, а затем объединяет их в одну запись аудита. Все операции привязки, которые выполняются в течение 2 минут, собираются в одну запись аудита в поле «Папки» в свойстве AuditData. Каждое сообщение, к которому был получен доступ, идентифицируется его InternetMessageId. Количество операций связывания, которые были агрегированы в записи, отображается в поле OperationCount свойства AuditData.

Пример доступа для привязки, указанного в записи аудита, см. в шаге 4 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Регулирование записей аудита о MailItemsAccessed

Если более 1000 записей аудита о MailItemsAccessed созданы менее чем за 24 часа, Exchange Online остановит создание записей аудита для этого действия. При регулировании почтового ящика действие MailItemsAccessed не регистрируется в течение 24 часов после регулирования почтового ящика. Если почтовый ящик регулируется, существует вероятность компрометации почтового ящика в течение этого периода. Запись действия MailItemsAccessed будет возобновлена через 24 часа.

Некоторые важные замечания о регулировании

• Регулируется менее 1% всех почтовых ящиков в Exchange Online
• При регулировании почтового ящика аудит не выполняется только для записей аудита о действии MailItemsAccessed. Другие действия аудита почтового ящика не затрагиваются.
• Регулирование почтовых ящиков осуществляется только в отношении операций привязки. К записям аудита для операций синхронизации регулирование не применяется.
• Если почтовый ящик отрегулирован, можно предположить наличие действия MailItemsAccessed, которое не было внесено в журналы аудита.

Пример свойства IsThrottled, указанного в записи аудита, см. в шаге 1 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Использование записей аудита о MailItemsAccessed для экспертных исследований

В процессе аудита почтовых ящиков создаются записи аудита для доступа к сообщениям электронной почты, чтобы можно было убедиться, что эти сообщения не скомпрометированы. В то же время, если мы не уверены в том, что к некоторым данным осуществлялся доступ, предполагается, что он осуществлялся, и записываются все действия доступа к почте.

Записи аудита о MailItemsAccessed обычно используются в целях судебной экспертизы после устранения нарушения безопасности данных и исключения злоумышленника. Чтобы начать расследование, следует определить набор скомпрометированных почтовых ящиков и определить сроки доступа злоумышленника к почтовым ящикам в вашей организации. Затем можно использовать командлет Search-UnifiedAuditLog или Search-MailboxAuditLog в Exchange Online PowerShell для поиска записей аудита, связанных с нарушением безопасности данных.

Для поиска записей аудита о MailItemsAccessed можно выполнить одну из следующих команд:

Единый журнал аудита:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds -Operations MailItemsAccessed -ResultSize 1000 

Журнал аудита почтового ящика:

Search-MailboxAuditLog -Identity -StartDate 01/06/2020 -EndDate 01/20/2020 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails 

Основное различие между этими двумя командлетами в заключается в том, что командлет Search-UnifiedAuditLog можно использовать для поиска записей аудита о действиях, выполняемых одним или несколькими пользователями. Это связано с тем, что UserIds — многозначный параметр. Командлет Search-MailboxAuditLog выполняет поиск в журнале аудита почтового ящика для одного пользователя.

Ниже описаны шаги по использованию записей аудита о MailItemsAccessed для исследования компрометирующей пользователя атаки. Каждый шаг содержит синтаксис команды для командлета Search-UnifiedAuditLog или Search-MailboxAuditLog.

Проверьте, был ли отрегулирован почтовый ящик. Если это так, это означает, что некоторые записи аудита почтовых ящиков не были зарегистрированы. В случае, если в записях аудита имеется значение «IsThrottled» имеет значение True, следует предположить, что в течение 24-часового периода после создания этой записи любой доступ к почтовому ящику не подвергался аудиту и что все почтовые данные были скомпрометированы. Чтобы найти записи о MailItemsAccessed, относящиеся к регулировке почтового ящика, выполните следующую команду: Единый журнал аудита:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds -Operations MailItemsAccessed -ResultSize 1000 | Where | FL 

Журнал аудита почтового ящика:

Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where | FL 

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds -Operations MailItemsAccessed -ResultSize 1000 | Where | FL 

Журнал аудита почтового ящика:

Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where | FL 

Свойство	Описание
ClientInfoString	Описание протокола, клиента (включая версию)
ClientIPAddress	IP-адрес клиентского компьютера.
SessionId	ИД сеанса помогает различать действия злоумышленника и повседневные действия пользователя с одной и той же учетной записью (удобно для скомпрометированных учетных записей)
UserId	Имя участника-пользователя, читающего сообщение.

1. Проверьте наличие действий привязки. После выполнения шагов 2 и 3 вы можете быть уверены в том, что все остальные попытки злоумышленника осуществить доступ к сообщениям электронной почты будут регистрироваться в записях аудита о MailItemsAccessed, в которых свойство MailAccessType имеет значение «Bind». Чтобы найти записи о MailItemsAccessed, связанные с доступом к элементам почты с помощью операции привязки, выполните следующую команду: Единый журнал аудита:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds -Operations MailItemsAccessed -ResultSize 1000 | Where | FL 

Журнал аудита почтового ящика:

Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where | FL 

• Получите доступ или соберите все сообщения электронной почты, к которым злоумышленник получил доступ, используя InternetMessageId, чтобы найти их, а затем проверив, содержит ли какое-либо из этих сообщений конфиденциальную информацию.
• Используйте InternetMessageId для поиска записей аудита, связанных с набором потенциально конфиденциальных сообщений электронной почты. Это удобно, если вас беспокоит лишь несколько сообщений.

Фильтрация повторяющихся записей аудита

Повторяющиеся записи аудита для одних и тех же операций привязки, выполняющихся в течение часа, отфильтровываются, чтобы избежать «шума» в аудите. Операции синхронизации также отфильтровываются с интервалом в один час. Исключение из этого процесса дедупликации происходит, если для одного и того же InternetMessageId любое из свойств, описанных в следующей таблице, отличается. Если при операции дублирования какое-либо из этих свойств отличается, создается новая запись аудита. Этот процесс описан подробнее в следующем разделе.

Свойство	Описание
ClientIPAddress	IP-адрес клиентского компьютера.
ClientInfoString	Протокол клиента, клиент, используемый для доступа к почтовому ящику.
ParentFolder	Полный путь к папке элемента почты, к которому осуществлялся доступ.
Logon_type	Тип входа пользователя, выполнившего действие. Типы входа (и соответствующие им значения перечисления): владелец (0), администратор (1) или представитель (2).
MailAccessType	Доступ с помощью операции привязки или синхронизации.
MailboxUPN	Имя участника-пользователя почтового ящика, в котором находится читаемое сообщение.
User	Имя участника-пользователя, читающего сообщение.
SessionId	ИД сеанса помогает различать действия злоумышленника и повседневные действия пользователя в одном и том же почтовом ящике (если учетная запись скомпрометирована). Дополнительные сведения о сеансах см. в статье Контекст действий злоумышленника в сеансах в Exchange Online.

Определение контекста доступа для различных записей аудита

Как правило, злоумышленник осуществляет доступ к почтовому ящику одновременно с его владельцем. Отличить доступ злоумышленника от доступа владельца почтового ящика можно с помощью свойств записи аудита, определяющих контекст доступа. Как рассматривалось выше, если значения этих свойств отличаются, создаются отдельные записи аудита, даже если действие выполняется в интервале агрегирования. Приведенный ниже пример содержит три разные записи аудита. Каждая из них имеет свои свойства SessionId и ClientIPAddress. Также определены сообщения, к которым осуществлялся доступ.

Запись аудита 1	Запись аудита 2	Запись аудита 3
ClientIPAddress1 SessionId2	ClientIPAddress2 SessionId2	ClientIPAddress1 SessionId3
InternetMessageIdA InternetMessageIdD InternetMessageIdE InternetMessageIdF	InternetMessageIdA InternetMessageIdC	InternetMessageIdB

Если какое-либо из свойств, приведенных в таблице в предыдущем разделе, отличается, для отслеживания нового контекста создается отдельная запись аудита. В зависимости от контекста, в котором выполняется действие, доступ будет отсортирован по разным записям аудита.

Например, в записях аудита, показанных на следующем снимке экрана, несмотря на одновременный доступ к почте из EWSEditor и OWA, действия доступа сопоставляются в разных записях аудита в зависимости от контекста, в котором осуществляется доступ. В этом случае контекст определяется разными значениями свойства ClientInfoString.

Ниже приведен синтаксис команды, показанной на предыдущем снимке экрана:

Search-MailboxAuditLog -Identity admin -ShowDetails -Operations MailItemsAccessed -ResultSize 2000 | Select LastAccessed,Operation,AuditOperationsCountInAggregatedRecord,ClientInfoString 

8 советов для тех, у кого учетные записи оказались скомпрометированы

Автор: Tony Gee Я провел множество семинаров по безопасности для разных организаций, и самый задаваемый мне вопрос: «Как восстановить скомпрометированные учетные записи, которые используются дома?». Мне позвонил клиент и сказал, что домашний компьютер одного из сотрудников был скомпрометирован, и тот не знает, как поступить в этой ситуации. Мне захотелось помочь. Конечно, в интернете уже написано множество статей, которые я мог бы отправить по почте. Однако материалов, удовлетворяющих всем требованиям – чрезвычайно мало. Либо статьи очень детальные для обычного пользователя, либо упущена суть. Поэтому и был написан этот пост. Мошенничество, фишинг, взлом электронной почты, опустошение банковского счета, сетевое вымогательство может случиться с каждым. Особо неприятные эмоции возникают при потере денег. Однако ключевой момент – не следует паниковать. А затем предпринять шаги не только для восстановления учетных записей, но и предотвращения ситуаций подобного рода в будущем. Насколько все плохо? Сначала нужно оценить сложившуюся ситуацию. Что на самом деле вызвало ваши подозрения о компрометировании? Друг получил письмо от вашего имени? Был ли взломан один из аккаунтов в социальной сети или электронная почта? Безусловно эти инциденты являются самыми распространенными и требуют незамедлительных действий. Менее распространенное явление – компрометирование компьютера. Иногда достаточно посетить веб-сайт, чтобы на компьютере оказался вредонос. Это ваш случай? … или вы впервые узнали об отклоненном платеже, поскольку ваш банковский счет опустел или оплата ушла не по назначению? Как все происходит? В основном компрометирование происходит после кражи учетных записей (credential stuffing). Используете ли вы одинаковые пароли на разных аккаунтах? Хакеры взламывают сайты, получают пароль и адрес электронной почты, а затем тут же проверяют, подходит ли тот же пароль к вашей электронной почте. Получение спама нельзя отнести к компрометированию. Может надоедать, но существенного влияния не окажет. В самом начале оптимально посмотреть на всех учетных записях время последнего входа и понять, авторизацию проходили вы или кто-то другой. Однако отследить время последнего входа не всегда удается. Некоторые сервисы оповещают по электронной почте, если авторизация произошла из другого места, а не откуда вы логинитесь обычно. В общем, проверьте электронную почту – при условии, что этот аккаунт не был скомпрометирован. Хотя этот способ навряд ли поможет, но все же попробуйте воспользоваться прекрасным сайтом https://haveibeenpwned.com и проверьте, стали ли уже жертвой компрометирования. Если ответ положительный, поменяйте пароль на скомпрометированном сайте и в других местах, где используется тот же самый пароль. В некоторых случаях нужно задействовать правоохранительные органы. Одним из таких инцидентов может стать обман, связанный с push-оплатой, когда вы неосознанно и невольно отправляете деньги незнакомому лицу. Особенно если речь идет о крупных суммах. Кроме того, если кто-то украл и активно использует ваши личные данные, также следует обратиться в правоохранительные органы, поскольку последствия подобных преступления могут повесить на вас. Наведение порядкаСледующие восемь шагов помогут вам решить все возникшие проблемы, связанные со взломом и компрометированием учетных записей. 1.Свяжитесь со службой поддержки Во-первых, свяжитесь со службой поддержки того сервиса, где произошел взлом. Например, в случае с Фейсбуком есть соответствующая страница. У больших сетевых сервисов не всегда есть телефон, но всегда есть инструменты для восстановления доступа к учетной записи (например, форма обратной связи). 2.Проверьте страховку Возможно, следует проверить покрытие домашней страховки, поскольку некоторые страховые компании возмещают потери от кибермошенничества. 3.Проинформируйте банк / кредитную организацию Если у вас украли деньги с банковского счета или кредитной карты, сразу же позвоните в компанию, чтобы предпринять дополнительные меры безопасности и возможно вернуть деньги. Более того, следует позвонить вообще во все финансовые учреждения, где у вас есть учетные записи в случае, если вы не уверены на 100%, что не использовали одни и те же аккаунты в разных сервисах. 4.Проверьте пароли Следующий шаг – изменение пароля в скомпрометированном сервисе и в других службах, где использовался та же самая учетная запись и пароль. Пароли должны быть уникальными для каждого сайта, чтобы не стать жертвой атак credential stuffing. К тому же, нелишним будет сделать ревизию паролей в других важных сервисах: почте, социальных сетях, интернет-магазинах, Apple ID/GoogleID, телефонной компании и так далее. Даже если компрометирования не было. 5.Начните использовать менеджер паролей Управление паролями от всех сервисов вручную – очень трудно или даже невозможно, поскольку все пароли должны быть длинными и уникальными. Менеджер паролей значительно упрощает жизнь и повышает вашу безопасность. Настоятельно рекомендуем начать пользоваться приложениями подобного рода. KeePass – бесплатен, у LastPass – есть бесплатный тариф, за 1Password и Dashlane придется заплатить, чтобы воспользоваться всеми необходимыми функциями. У каждого приложения есть свои плюсы и минусы, но лучше воспользоваться одним из вышеуказанных, чтобы не заниматься само саботажем. Не исключено, что возмещение потерь по страховке от киберпреступлений станет нормой, но только при условии, если вы предпринимаете все необходимые меры для своей безопасности. 6.Настройте двухфакторную аутентификацию После смены паролей в тех же сервисах, где возможно, настройте двухфакторную аутентификацию. Как минимум в почтовом сервисе, AppleID/GoogleID и других местах, где указана личная или финансовая информация. На сайте https://twofactorauth.org/ есть огромная база, где указано, какие есть возможности для безопасной аутентификации, а также приведены ссылки на статьи по настройке. Найдите сайт, который вам нужен, и в случае наличия в базе будет выдана ссылка на соответствующая статью. Обычно есть несколько видов аутентификации. Старайтесь избегать SMS, поскольку этот метод не очень надежен. Но, конечно же, аутентификация по SMS все же лучше обычного пароля. 7.Используйте антивирус и устанавливайте обновления На домашнем компьютере пользуйтесь службой обновления и убедитесь, что установлена самая последняя версия операционной системы со всеми патчами. Установите и/или обновите антивирус (включая используемый на Mac’е). Пользуйтесь продукцией проверенных и хорошо известных компаний Kaspersky/Symantec/Sophos//McAfee/FSecure и так далее. Также следует обновить все уже установленные приложения, как, например, Adobe Reader или Java от компании Oracle. Если вы пользуйтесь множеством программ, обновление может отнимать время, но обновляться – критически важно. Кроме того, есть утилиты, облегчающие управление обновлениями и патчами. Например, «Patch my PC Updater» бесплатен для обычных пользователей, а «Ninite updater» стоит 9.99 долларов в год. Стоит также проверить антивирус на предмет встроенного инструмента обновления. 8.Настройте службы мониторинга кредитной информации Этот шаг очень важен, поскольку злоумышленники могут украсть ваш паспорт в будущем. Существуют сервисы, предупреждающие о запросе вашей кредитной истории. Некоторые из них позволяют просматривать такую информацию бесплатно. Предотвращение повторного компрометированияПомимо менеджера паролей и двухфакторной аутентификации, рассмотренных выше, подумайте об установке браузерных расширений. Реклама надоедает, но что более важно – является одним из каналов по установке вредоносов. Предотвратить проблему заранее можно при помощи установки блокировщиков рекламы, которые, к тому же, бесплатны. Поэтому причины не устанавливать отсутствуют.

• Chromehttps://chrome.google.com/webstore/detail/adblock/gighmmpiobklfepjocnamgkkbiglidom?hl=en-GB
• Edge в Windows 10 https://www.microsoft.com/en-gb/p/adblock/9nblggh4rfhk
• Firefoxhttps://addons.mozilla.org/en-GB/firefox/addon/adblock-for-firefox/?src=search
• Safarihttps://apps.apple.com/us/app/adblock-for-safari/id1402042596

Вы даже можете подумать о настройке PiHole в Raspberry PI или других поддерживаемых платформах, однако нужно быть более продвинутым в техническом плане. С другой стороны, после корректной установки вы сможете блокировать рекламу во всей сети, включая телефон и другие используемые устройства.

Убедитесь, что на телефоне установлены последние обновления при помощи встроенной функции. На телефонах, как и на стационарных компьютерах, есть уязвимости, которые исправляются при помощи патчей. КАЖДОЕ обновление исправляет бреши. Даже если выглядит как добавление «темного режима» или «адаптивной подсветки», но под капотом находится множество исправлений.

В новых версия Android новые функции появляются редко, и, если вы используете телефон или планшет с этой операционной системой, установите антивирус от известной компании. Возможно, у вас даже возможность установить бесплатную мобильную версию в случае покупки антивируса на настольный компьютер. К сожалению, для iOS антивирус не доступен.

Еще одна мера для повышения безопасности телефона – установить сильный пасскод. Даже если вы используете биометрию для разблокировки, будет запасной пароль, желательно размером 4 или 6 цифр.

Преимущества биометрии позволяют установить более сильный пароль, поскольку вводить этот пароль вы будете редко. Используйте в качестве пина длинное число или еще лучше буквенно-цифровое слово.

Будущие атаки

Наконец, нужно учитывать, что вы все еще находитесь в списке потенциальных целей, и с высокой степенью вероятности атаки могут повториться, например, через спам или звонки по телефону. Соответственно, нужно быть начеку.

Старайтесь быть как можно более осведомленным по вопросам безопасности. Вам может приходить спам с целью компрометирования учетных записей, могут звонить мошенники, или кто-то может попытаться взломать ваши учетные записи в популярных сетевых сервисах.

Доверяй, но проверяй

Придерживайтесь простого принципа: «Доверяй, но проверяй». Например, если некто звонит вам по телефону, представляется сотрудником Microsoft или другой известной компании и сообщает об обнаружении вируса на компьютере, не думайте в духе «ну, наверное, я был взломан, поэтому мне говорят правду».

Ваш ответ должен быть примерно следующим: «Спасибо за информацию. Я проконсультируюсь со знакомым специалистом». Затем повесьте трубку и обратитесь к приятелю или в какую-либо местную компанию за помощью. При получении фишинговых ссылок вместо кликов по ссылкам, откройте браузер и зайдите на сайт на прямую. Если сайт подлинный, вы сразу поймете, что нужно делать.

Хочу пожелать вам всего самого наилучшего. Непонимание того, что было и не было взломано – один из самых трудных этапов. Следуйте советам, указанным выше, и вы сможете решить свои проблемы и двигаться дальше.