Accountovername: wat is het en hoe bestrijd je het?

Account takeover (ATO)-aanvallen kunnen verwoestende gevolgen hebben voor personen en organisaties, van persoonlijke profielen tot bedrijfssystemen. De financiële impact alleen al is enorm; in 2023 bedroegen de wereldwijde verliezen door ATO-fraude bijvoorbeeld meer dan $ 13 miljard.

Maar de schade houdt daar niet op. Naast financieel verlies worden organisaties geconfronteerd met ernstige operationele verstoringen en langdurige reputatieschade, die vaak veel duurder zijn dan directe diefstal. Met een geschatte toename van 354% in het aantal ATO-incidenten ten opzichte van vorig jaar, verspreidt deze vorm van fraude zich in een alarmerend tempo.

In deze gids worden de werkelijke risico's van accountovernames, de meest voorkomende aanvalsstrategieën en de verdedigingsmaatregelen die u kunnen helpen uw systemen definitief te beveiligen, onderzocht.

Accountovername is een cybercriminaliteit waarbij een onbevoegde persoon volledige of gedeeltelijke controle krijgt over het account van een legitieme gebruiker. In tegenstelling tot brute-force hacks, maakt ATO sterk gebruik van bedrog en het uitbuiten van zwakke punten in systemen en gebruikersgedrag om onopgemerkt te blijven.

ATO wordt gemakkelijk afgedaan als een nicheprobleem op het gebied van cyberbeveiliging, maar het heeft verstrekkende gevolgen op meerdere fronten.

1. Eén inbreuk leidt tot een andere

Aanvallers stoppen zelden na het hacken van één account. Toegang tot één login, zoals een e-mailadres, kan gevoelige informatie onthullen die toegang geeft tot bredere interne systemen.

2. Gestolen accounts zijn een handelswaar

Gecompromitteerde inloggegevens worden vaak op ondergrondse markten verkocht, waar ze een heel ecosysteem van financiële fraude, witwassen en oplichting in gang zetten, uitgevoerd onder het mom van legitieme accounts.

3. Een instrument voor grotere misdaden

ATO speelt vaak een rol in bredere cyberaanvallen zoals ransomware, spionage of desinformatiecampagnes. Als bijvoorbeeld het account van een leidinggevende wordt gehackt, kan dit worden gebruikt om phishingmails te verspreiden of bedrijfsgegevens te lekken.

4. Verlies van vertrouwen

Een reputatie is hard verdiend en gemakkelijk te beschadigen. Elke succesvolle accounthack ondermijnt het vertrouwen dat gebruikers en partners in uw systemen stellen, iets dat jaren kan duren om te herstellen.

Sommige branches en accounttypen trekken aanvallers meer aan dan andere. Cybercriminelen richten zich vaak op doelwitten die een hoge potentiële winst combineren met een relatief zwakke verdediging.

Banken, handelsplatformen en fintech-diensten zijn voor de hand liggende doelwitten vanwege de directe toegang die ze bieden tot fondsen.

• Cryptovalutabeurzen: Hun onomkeerbare transacties en inconsistente regelgeving maken ze bijzonder kwetsbaar.
• Diensten van het type ‘nu kopen, later betalen’: Deze snelgroeiende platforms beschikken vaak over minder ontwikkelde fraudedetectiesystemen.

Online retailers hebben enorme hoeveelheden gebruikersaccounts die gekoppeld zijn aan opgeslagen betalingsgegevens. Aanvallers misbruiken deze om nepaankopen te doen, spaarpunten in te wisselen of gestolen cadeaubonnen door te verkopen.

• Seizoensgebonden pieken: aanvalsactiviteit piekt meestal tijdens feestdagen en grote uitverkoopevenementen.
• Omnichannel-risico's: de integratie van meerdere systemen (web, app, POS) kan nieuwe kwetsbaarheden met zich meebrengen.

Patiëntgegevens, zoals burgerservicenummers en verzekeringsgegevens, zijn extreem waardevol op het dark web.

• Patiëntenportalen: Vaak het doelwit van identiteits- of verzekeringsfraude.
• Ransomware-infiltratie: gestolen inloggegevens kunnen worden gebruikt om ransomware-aanvallen uit te voeren die de patiëntenzorg verstoren.

Techbedrijven, met name SaaS-leveranciers , zijn lucratief omdat één inbreuk meerdere klantomgevingen in gevaar kan brengen.

• Zwakke API-beveiliging: API's die verschillende services met elkaar verbinden, kunnen als toegangspunten dienen.
• Beheerdersaccounts: Door hun verhoogde rechten zijn ze zeer effectieve doelwitten.

Universiteiten en scholen beschikken over uitgebreide persoonlijke, academische en financiële gegevens. Aanvallers misbruiken deze om:

• Zich voordoen als iemand anders tijdens examens
• Toegang tot vertrouwelijk onderzoek en intellectuele eigendom
• Manipuleer collegegeld- of salarissystemen
• Identiteitsfraude plegen met behulp van studenten- of personeelsgegevens

Ondanks de verschillen tussen sectoren hebben systemen met een hoog risico vaak de volgende kenmerken gemeen:

• Grote gebruikersvolumes
• Hoge accountwaarde (financieel of strategisch)
• Verouderde of zwakke authenticatiemethoden
• Onderling verbonden systemen die het aanvalsoppervlak vergroten

Elk ATO-incident verloopt doorgaans in twee fasen: het verzamelen van informatie en het misbruiken van toegang.

Aanvallers verzamelen persoonlijke informatie op verschillende manieren:

• Datalekken: Enorme lekken van gebruikersnamen, wachtwoorden en persoonlijke gegevens voeden darkwebmarktplaatsen. Hackers vergelijken vaak verschillende datalekken om complete gebruikersprofielen te maken of wachtwoordpatronen te voorspellen.
• Social engineering: Technieken als vishing (voice phishing), SMiShing (sms-fraude) en pretexting manipuleren slachtoffers om hun inloggegevens te onthullen.
• Data scraping: met behulp van open-source intelligence ( OSINT ) verzamelen aanvallers informatie uit openbare registers en sociale media om overtuigendere phishingaanvallen te bedenken.
• Malware: Keyloggers, spyware en tools voor het stelen van inloggegevens, zoals Emotet of TrickBot, leggen in de loop van de tijd ongemerkt inloggegevens vast.

Zodra aanvallers over de juiste inloggegevens beschikken, kunnen ze accounts op verschillende manieren kapen.

• Credential stuffing: Geautomatiseerde tools testen grote combinaties van gebruikersnamen en wachtwoorden en maken daarbij gebruik van hergebruikte inloggegevens.
• Password spraying: aanvallers proberen één gemeenschappelijk wachtwoord voor meerdere accounts.
• Sessiekaping: Door actieve sessietokens te onderscheppen via man-in-the-middle-aanvallen of malware, krijgen criminelen tijdelijk controle over accounts.
• SIM-swapping: oplichters misleiden telecomproviders zodat deze het telefoonnummer van een slachtoffer overdragen. Zo kunnen ze 2FA-codes via sms onderscheppen.

Hoewel ATO-aanvallen geavanceerd zijn, kunnen organisaties hun risico aanzienlijk verkleinen door middel van gelaagde verdedigingsmechanismen.

MFA , ook wel bekend als tweefactorauthenticatie (2FA), voegt extra verificatielagen toe naast wachtwoorden. Hoewel sms-codes gebruikelijk zijn, zijn ze gevoelig voor simkaartverwisseling. Veiligere alternatieven zijn onder andere:

• Hardwarebeveiligingstokens
• Tijdgebaseerde eenmalige wachtwoorden (TOTP) van authenticatie-apps
• Contextuele authenticatie, die de inloglocatie, het apparaat en het gedrag evalueert om te bepalen wanneer er sterkere controles nodig zijn

Moedig gebruikers aan om unieke, complexe wachtwoorden te creëren en deze regelmatig te wijzigen, zonder voorspelbare patronen te volgen.

Wachtwoordbeheerders kunnen helpen bij het genereren en opslaan van veilige inloggegevens. Ook moeten mechanismen voor accountvergrendeling worden geactiveerd na herhaaldelijke mislukte inlogpogingen.

In het Zero Trust-model wordt geen enkele gebruiker of apparaat automatisch vertrouwd, zelfs geen interne gebruikers of apparaten.

• Pas het principe van minimale privileges toe om de toegangsrechten van gebruikers te beperken.
• Gebruik netwerkmicrosegmentatie om systemen te isoleren en laterale beweging te minimaliseren.
• Houd mobiele toegangsaanvragen nauwlettend in de gaten en gebruik geautomatiseerde systemen om verdachte accounts te blokkeren totdat ze zijn geverifieerd.

Met biometrische authenticatie wordt de identiteit van een gebruiker geverifieerd door zijn of haar gezichtskenmerken te vergelijken met opgeslagen referentiebeelden.

Oplossingen zoalsRegula Face SDK maken gebruik van geavanceerde algoritmen die variaties in belichting en beeldkwaliteit kunnen verwerken en pogingen om authenticatie met foto's, video's of maskers te vervalsen, kunnen detecteren.

De levendigheidsdetectie van Regula verhoogt de beveiliging nog verder door natuurlijke menselijke kenmerken, zoals subtiele huidreflecties en microbewegingen, te analyseren. Zo wordt gegarandeerd dat er een echte persoon aanwezig is tijdens het verificatieproces.

Fraude met accountovernames neemt snel toe en is niet alleen gericht op financieel gewin, maar ook op vertrouwen en reputatie. Het voorkomen ervan vereist een combinatie van sterke authenticatie, moderne beveiligingsarchitectuur en geavanceerde verificatietools.

Door multifactorauthenticatie te implementeren, strikt wachtwoordgebruik af te dwingen, Zero Trust-principes te implementeren en biometrische technologieën te integreren, kunnen organisaties cybercriminelen meerdere stappen voorblijven en zowel hun systemen als hun gebruikers beschermen.