Tom trabalha para uma instituição financeira respeitável. Ele possui uma senha longa e complexa que seria quase impossível de adivinhar. Ele a memorizou, então começou a usá-la em suas redes sociais e em seus dispositivos pessoais também. Sem o conhecimento de Tom, um desses sites teve seu banco de dados de senhas comprometido por hackers e foi colocado à venda na dark web. Agora, os atores de ameaças estão trabalhando arduamente para vincular essas credenciais vazadas a pessoas reais e seus locais de trabalho. Em breve, um ator de ameaça usará a conta de email legítima de Tom para enviar um link de spear-phishing para seu CEO.

Este é um cenário comum de takeover de conta, onde atacantes maliciosos ganham acesso não autorizado aos sistemas da organização, colocando informações e operações críticas em risco. Geralmente começa com credenciais comprometidas. Vamos explicar por que é tão difícil interromper o takeover de conta uma vez que ele começa e por que uma forte segurança de senha é a melhor prevenção.

Por que os ataques de takeover de conta são tão perigosos?

Acesso a uma conta do Active Directory dentro de uma organização é um cenário dos sonhos para um hacker. Eles podem lançar ataques de engenharia social a partir de uma conta de email legítima associada ou serviço de mensagens instantâneas, comunicando-se com outros funcionários de uma conta confiável que não será sinalizada pela segurança interna. Se as mensagens de phishing forem cuidadosamente elaboradas, pode levar algum tempo antes que a falsificação seja descoberta.

Os atacantes podem assumir uma conta com privilégios existentes ou comprometer uma conta inativa e tentar elevar seus privilégios a partir daí. Isso pode fornecer as chaves para todas as informações confidenciais compartilhadas dentro da organização, como planos de negócios confidenciais, dados financeiros, propriedade intelectual ou informações pessoalmente identificáveis (PII) de funcionários ou clientes. A legitimidade da conta comprometida aumenta as chances de sucesso nessas atividades fraudulentas.

Porque esses ataques envolvem o uso de credenciais de usuário legítimas, é difícil distinguir entre acessos autorizados e não autorizados. Os atacantes muitas vezes imitam o comportamento de usuários legítimos, tornando mais difícil identificar atividades suspeitas ou anomalias. Os usuários podem não estar cientes de que suas contas foram comprometidas, especialmente se os atacantes mantiverem o acesso sem levantar suspeitas. Essa demora na detecção permite que os atacantes continuem suas atividades maliciosas, aumentando o potencial de danos e tornando a remediação mais desafiadora.

Interessado em saber quantas contas inativas e inativas estão em seu ambiente de Active Directory junto com outras vulnerabilidades de senha? Execute esta auditoria gratuita de senha somente leitura.

Exemplo da vida real: Violação no Governo Estadual dos EUA

Um incidente de segurança recente em uma organização do Governo Estadual dos EUA não nomeada destacou os perigos do takeover de conta. Um ator de ameaça autenticou com sucesso em um ponto de acesso à rede privada virtual (VPN) interna usando as credenciais vazadas de um ex-funcionário. Uma vez dentro da rede, o atacante acessou uma máquina virtual e se misturou com o tráfego legítimo para evitar a detecção. A máquina virtual comprometida forneceu ao atacante acesso a outro conjunto de credenciais com privilégios administrativos tanto na rede local quanto no Azure Active Directory.