Voorkom accountovername met betere wachtwoordbeveiliging

Tom werkt voor een gerenommeerde financiële instelling. Hij heeft een lang, complex wachtwoord dat vrijwel onmogelijk te raden is. Hij heeft het uit zijn hoofd geleerd, dus begon hij het te gebruiken voor zijn sociale media-accounts en ook op zijn persoonlijke apparaten. Zonder dat Tom het wist, is de wachtwoorddatabase van een van deze sites door hackers gecompromitteerd en te koop aangeboden op het dark web. Nu werken bedreigingsactoren er hard aan om deze gelekte inloggegevens terug te koppelen aan echte individuen en hun werkplekken. Binnenkort zal een bedreigingsacteur Toms legitieme e-mailaccount gebruiken om een ​​spearphishing-link naar zijn CEO te sturen.

Dit is een veel voorkomend scenario voor accountovername waarbij kwaadwillende aanvallers ongeautoriseerde toegang krijgen tot de systemen van de organisatie, waardoor kritieke informatie en activiteiten in gevaar komen. Het begint meestal met gecompromitteerde inloggegevens. We zullen bespreken waarom het overnemen van accounts zo moeilijk te stoppen is zodra het begint, en waarom sterke wachtwoordbeveiliging de beste preventie is.

Waarom zijn aanvallen op accountovernames zo gevaarlijk?

Het verkrijgen van toegang tot een Active Directory-account binnen een organisatie is een droomscenario voor een hacker. Ze kunnen social engineering-aanvallen lanceren vanaf een legitiem gekoppeld e-mailaccount of een instant messaging-service, waarbij ze met andere werknemers communiceren via een vertrouwd account dat niet wordt gemarkeerd door de interne beveiliging. Als de phishing-berichten zorgvuldig zijn samengesteld, kan het enige tijd duren voordat de nabootsing wordt ontdekt.

Aanvallers kunnen een account met bestaande rechten overnemen of een verouderd of inactief account in gevaar brengen en van daaruit proberen hun rechten te verhogen. Dit kan hen de sleutels geven tot allerlei gevoelige informatie die binnen de organisatie wordt gedeeld, zoals vertrouwelijke bedrijfsplannen, financiële gegevens, intellectueel eigendom of persoonlijk identificeerbare informatie (PII) van werknemers of klanten. De legitimiteit van het gecompromitteerde account vergroot de kans op succes bij deze frauduleuze activiteiten.

Omdat bij deze aanvallen gebruik wordt gemaakt van legitieme gebruikersgegevens, is het moeilijk onderscheid te maken tussen geautoriseerde en ongeautoriseerde toegang. Aanvallers bootsen vaak het gedrag van legitieme gebruikers na, waardoor het moeilijker wordt om verdachte activiteiten of afwijkingen te identificeren. Gebruikers zijn zich er mogelijk niet van bewust dat hun accounts zijn gehackt, vooral als de aanvallers toegang behouden zonder argwaan te wekken. Door deze vertraging in de detectie kunnen aanvallers hun kwaadaardige activiteiten voortzetten, waardoor de potentiële schade toeneemt en herstel moeilijker wordt.

Wilt u weten hoeveel verouderde en inactieve accounts zich in uw Active Directory-omgeving bevinden, samen met andere wachtwoordkwetsbaarheden? Voer deze gratis alleen-lezen wachtwoordaudit uit.

Voorbeeld uit de praktijk: schending van de Amerikaanse staatsoverheid

Een recent veiligheidsincident bij een niet bij naam genoemde organisatie van de Amerikaanse overheid heeft de gevaren van accountovername benadrukt. Een bedreigingsacteur heeft zich met succes geauthenticeerd bij een intern VPN-toegangspunt (virtueel particulier netwerk) met behulp van de gelekte inloggegevens van een ex-werknemer. Eenmaal binnen het netwerk kreeg de aanvaller toegang tot een virtuele machine en mengde zich met legitiem verkeer om detectie te omzeilen. De besmette virtuele machine gaf de aanvaller toegang tot een andere set referenties met beheerdersrechten voor zowel het on-premises netwerk als Azure Active Directory.

Met deze inloggegevens verkende de bedreigingsacteur de omgeving van het slachtoffer, voerde lichtgewicht directory access protocol (LDAP)-query's uit op een domeincontroller en kreeg toegang tot host- en gebruikersinformatie. De aanvallers plaatsten de geschonden informatie vervolgens op het dark web, met de bedoeling deze voor financieel gewin te verkopen.

Hoe zwakke en gecompromitteerde wachtwoorden leiden tot accountovername

Slechte wachtwoordbeveiligingspraktijken kunnen het risico op accountovername aanzienlijk vergroten. Door zwakke wachtwoorden te gebruiken die gemakkelijk te raden of te kraken zijn, kunnen aanvallers heel eenvoudig accounts binnendringen. Eindgebruikers kiezen algemene basiszinnen en voegen vervolgens speciale tekens met eenvoudige structuren toe om aan complexiteitseisen te voldoen, zoals 'wachtwoord123!“. Deze zullen snel worden geraden door geautomatiseerde brute force-technieken die door hackers worden gebruikt.

Een zorgwekkend aantal organisaties hanteert nog steeds een wachtwoordbeleid dat zwakke wachtwoorden toestaat die openstaan ​​voor accountovername. Het is echter belangrijk om te onthouden dat sterke wachtwoorden ook in gevaar kunnen komen.

Hergebruik van wachtwoorden wordt vaak over het hoofd gezien, maar is een van de meest risicovolle gedragingen van eindgebruikers. Wanneer mensen hetzelfde wachtwoord (zelfs als het een sterk wachtwoord is) voor meerdere accounts hergebruiken, kan een inbreuk op één service hun inloggegevens blootleggen, waardoor het voor aanvallers gemakkelijker wordt om toegang te krijgen tot andere accounts. Als een cybercrimineel het wachtwoord van een gebruiker van een gecompromitteerde website bemachtigt, kan hij dit proberen te gebruiken om ongeautoriseerde toegang te krijgen tot zijn werkaccounts.

Verbeter de wachtwoordbeveiliging om accountovername te voorkomen

Een sterkere wachtwoordbeveiliging speelt een cruciale rol bij het voorkomen van aanvallen op accounts. Het implementeren van MFA voegt een extra beveiligingslaag toe door van gebruikers te eisen dat ze naast hun wachtwoord aanvullende verificatiefactoren opgeven, zoals een eenmalig wachtwoord, biometrische gegevens of een fysiek token. MFA is echter niet onfeilbaar en kan worden omzeild. Zwakke en gecompromitteerde wachtwoorden zijn nog steeds bijna altijd het startpunt voor accountovername.

Het afdwingen van complexe wachtwoordvereisten, zoals een minimale lengte van 15 tekens, een combinatie van hoofdletters en kleine letters, cijfers en speciale tekens, maakt het voor aanvallers moeilijker om wachtwoorden te raden of te kraken via brute force- of woordenboekaanvallen.

Uw organisatie heeft echter ook een manier nodig om wachtwoorden te detecteren die mogelijk in gevaar zijn gekomen door risicovol gedrag, zoals hergebruik van wachtwoorden. Een tool als Specops Password Policy scant voortdurend uw Active Directory-omgeving op een steeds groter wordende lijst van meer dan 4 miljard gecompromitteerde wachtwoorden. Als wordt vastgesteld dat een eindgebruiker een geschonden wachtwoord gebruikt, wordt hij of zij gedwongen dit te wijzigen en een mogelijke aanvalsovernameroute af te sluiten.

Wilt u zien hoe Specops Wachtwoordbeleid bij uw organisatie zou kunnen passen? Neem contact met ons op en we regelen een gratis proefperiode.

Thijs Van der Does