บริษัทแต่ละแห่งได้รับคำแนะนำจากการวิเคราะห์ผลประโยชน์ด้านต้นทุนของงานของตน เช่นเดียวกับนักต้มตุ๋นออนไลน์ที่มีแรงจูงใจจากเงิน อาชญากรไซเบอร์ต้องออกแบบระบบที่ทำเงินได้มากกว่าที่ใช้ในการโจมตี เกี่ยวกับผู้เขียน Carlos Asunción ผู้อำนวยการฝ่ายวิศวกรรมโซลูชัน Shape Security ที่ F5 ปัจจัยสำคัญ 2 ประการที่มีอิทธิพลต่อการคำนวณนี้ ได้แก่ ค่าใช้จ่ายในการดำเนินการและการเปลี่ยนแปลงของภูมิทัศน์ทางไซเบอร์ และค่าใช้จ่ายก็ลดลงอย่างรวดเร็ว ซึ่งหมายความว่าแฮ็กเกอร์สามารถใช้เงินหลายร้อยดอลลาร์เพื่อเริ่มการโจมตีโดยมีศักยภาพในการสกัดเงินหลายล้านดอลลาร์ ด้วยเหตุนี้ เราจึงเห็นว่าการยัดข้อมูลประจำตัวกลายเป็นขั้นตอนการฉ้อโกงทางออนไลน์ที่ได้รับความนิยมและแพร่หลายมากขึ้นเรื่อยๆ การวิจัยโดย F5 Labs และ Shape Security เมื่อเร็ว ๆ นี้รายงานว่าเหตุการณ์การรั่วไหลของข้อมูลประจำตัวเพิ่มขึ้นเกือบสองเท่าระหว่างปี XNUMX ถึง XNUMX
ตัวระบุที่สมบูรณ์
การบรรจุข้อมูลประจำตัวเกี่ยวข้องกับแฮ็กเกอร์ที่ได้รับชื่อผู้ใช้และรหัสการเข้าถึงด้วยต้นทุนที่ต่ำมาก (บางครั้งฟรี) จากแหล่งที่มาที่เข้าถึงได้ง่าย ดังนั้น พวกเขาจึงใช้ซอฟต์แวร์แบบกำหนดเองหรือซอฟต์แวร์สำเร็จรูปเพื่อขับเคลื่อนกระบวนการเข้าสู่ระบบสำหรับบัญชีผู้ใช้หลายล้านบัญชีในเว็บไซต์หลายร้อยแห่ง พวกเขาทำสิ่งนี้โดยหวังว่ารหัสผ่าน Facebook ของใครบางคนสามารถใช้เป็น ID บัญชี ISP หรือแม้แต่ ID บัญชีตรวจสอบ ทราฟฟิกกระจายไปทั่วโลกเพื่อหลีกเลี่ยงความสงสัย และด้วยการลงทุนเพียงเล็กน้อย แฮ็กเกอร์ยังสามารถเอาชนะการป้องกันอัตโนมัติขั้นพื้นฐาน เช่น การทดสอบ CAPTCHA (Fully Automated Public Turing) ผ่านการจ้างปลั๊กอินหรือโปรแกรมแก้ไข CAPTCHA ที่ Shape Security เราประเมินค่าใช้จ่ายของการพยายามเข้าครอบครองบัญชี 000 ครั้งให้ใกล้เคียงกับ 0 ดอลลาร์ ซึ่งรวมถึงซอฟต์แวร์ที่แม่นยำ พร็อกซีเครือข่าย และข้อมูลประจำตัวที่ถูกขโมย อัตราความสำเร็จโดยทั่วไปอยู่ในช่วง 2 ถึง 000% การซื้อที่ชนะแล้วขายในฟอรัมและตลาดหลายแห่งในราคาระหว่าง $XNUMX ถึง $XNUMX ซึ่งเท่ากับผลตอบแทนระหว่าง XNUMX ถึง XNUMX% หรือมากกว่านั้น ซึ่งแสดงถึงผลตอบแทนทางการเงินระหว่าง €XNUMX ถึง €XNUMX เป็นศูนย์และมากกว่านั้น น่าเสียดายที่หลายองค์กรยังคงเน้นหนักไปที่การต่อสู้กับการโจมตีของบอตโดยใช้ที่อยู่ IP หรือการล็อกลูกโซ่ User-Agent ซึ่งแปรเปลี่ยนเป็นเกม Whack-a-Mole ที่สร้างความวิตกกังวลอย่างรวดเร็วและไร้ประโยชน์ ควรเน้นไปที่การระงับการนำเสนอคุณค่าที่ให้ผู้โจมตีโจมตีทรัพย์สินทางดิจิทัลของคุณแทน
การแก้ไขค่าใช้จ่ายสำหรับผู้ฉ้อโกงล้มละลาย
สำหรับบริษัทต่างๆ นี่หมายถึงการยกระดับการป้องกันให้อยู่ในระดับที่แฮ็กเกอร์ต้องเสียค่าใช้จ่ายสูงเกินกว่าจะเอาชนะได้ อาชญากรในโลกแห่งความเป็นจริงมักจะเล็งไปที่หน้าต่างที่เปิดอยู่แทนที่จะซื้อเครื่องมือราคาแพงเพื่อสะเดาะกลอนประตูทึบ กฎจะเหมือนกันทุกประการสำหรับคุณสมบัติเสมือน ขั้นตอนที่ดีที่สุดคือการรวมชุดมาตรการที่บังคับให้ผู้ฉ้อโกงกลับไปสู่ขั้นตอนการโจมตีที่มีราคาแพง หากสิ่งนี้เกิดขึ้นบ่อยเกินไป การวิเคราะห์ต้นทุน-ผลประโยชน์จะผิดพลาด และการใช้จ่ายจะจบลงด้วยการให้ผลตอบแทนเกินดุล David Bianco แนะนำคำศัพท์ในปี XNUMX ที่เรียกว่า Pyramid of Pain และถือเป็นจริงเมื่อพูดถึงการลดการโจมตีการแฮ็กข้อมูลประจำตัวอย่างมีประสิทธิภาพในระยะยาว การเข้าร่วม Whack-a-Mole ด้วยที่อยู่ IP และสตริง User-Agent ซึ่งอยู่ที่ด้านล่างสุดของพีระมิดนั้นไม่มีจุดหมาย เป็นการดีกว่าที่จะมุ่งเน้นไปที่การเสียสละที่อยู่สูงขึ้นไปบนพีระมิดและลดเครื่องมือของนักต้มตุ๋นและ TTP (กลยุทธ์ เทคนิค และขั้นตอน) กล่าวอีกนัยหนึ่งคือทำให้คู่ต่อสู้ของคุณหงุดหงิดอย่างต่อเนื่องและบังคับให้พวกเขาไปที่อื่น
แผน 3 แต้ม
เพื่อทำให้ถูกต้อง คุณต้องหาว่าการโจมตีเว็บและอุปกรณ์เคลื่อนที่ของคุณมีค่าใช้จ่ายเท่าไร ถ้าคุณไม่รู้ว่ามีค่าใช้จ่ายเท่าไหร่ คุณก็ไม่รู้ว่าต้องใช้แรงเสียดทานและข้อห้ามแบบใด เมื่อคุณทำเสร็จแล้ว ก็ถึงเวลาเริ่มแผน 3 จุด ขั้นแรก ให้แก้ไขจุดอ่อนโดยการตรวจสอบการเปิดเผยเครือข่ายของคุณเพื่อระงับผลไม้ใด ๆ และทั้งหมดด้วยมือ สิ่งนี้สร้างอุปสรรคขั้นต่ำที่ผู้โจมตีต้องเอาชนะ ตัวอย่างเช่น ดูที่หน้าการรับรองความถูกต้องของเว็บแอปพลิเคชันของคุณ และตรวจสอบให้แน่ใจว่าคุณไม่ได้ให้ความคิดเห็นที่ไม่จำเป็นซึ่งอาจเป็นประโยชน์กับนักต้มตุ๋น กรณีทั่วไปที่นี่คือหน้ารีเซ็ตรหัสผ่าน การพูดว่า "ขออภัย ไม่มีบัญชีนี้ โปรดลองอีกครั้ง" ช่วยนักต้มตุ๋นได้จริงๆ โดยจะบอกพวกเขาว่าบัญชีใดใช้การได้และบัญชีใดใช้ไม่ได้ ปรับปรุงความแม่นยำและประสิทธิภาพของการโจมตีการยัดข้อมูลประจำตัวที่ตามมา ข้อความที่มีการตอบสนองที่ดีกว่าคือ “เราได้รับคำขอรีเซ็ตรหัสผ่านของคุณแล้ว หากมีบัญชีนี้อยู่ อีเมลจะถูกส่งไปเพื่อกู้คืนรหัสผ่าน” ดังนั้น ทำการทดสอบการเจาะเว็บและแอปพลิเคชันมือถือขององค์กรของคุณ เพื่อทำความเข้าใจว่าการประนีประนอมสำหรับการฉ้อโกงนั้นง่ายหรือยากเพียงใด กระบวนการนี้ต้องได้รับคำแนะนำจากหลักฐาน ไม่ใช่จากการคาดคะเน วิธีนี้จะช่วยคุณสร้างกล่องเครื่องมือป้องกันที่แสดงถึงความพยายามที่มีแนวโน้มจะเอาชนะมาตรการรักษาความปลอดภัยของคุณ จำไว้ว่าเสาประตูนั้นเคลื่อนไหวอยู่เสมอ ด้วยเครื่องมือฟรีสำหรับอาชญากรที่เก่งขึ้นในแต่ละวัน ขั้นตอนที่สามคือการอัปเดตและอัปเกรดการควบคุมความปลอดภัยของคุณอย่างสม่ำเสมอเพื่อให้ทันกับแนวอันตรายที่เปลี่ยนแปลงตลอดเวลา ซึ่งอาจรวมถึงนักวิเคราะห์ด้านความปลอดภัย (ทั้งในองค์กรหรือในสัญญา) สวมหมวกสีแดงของทีมของคุณเพื่อติดตามเวกเตอร์การโจมตีและเครื่องมือล่าสุดที่กล่าวถึงบนเว็บมืดและฟอรัมการสนทนาเกี่ยวกับการฉ้อโกง Bug Bounties ยังสามารถเป็นวิธีแก้ปัญหาในการระบุการละเมิดการควบคุมหรือวิธีใหม่ในการข้ามการควบคุมที่มีอยู่ก่อนที่ผู้โจมตีจะค้นพบและใช้งานในทางที่ผิด โปรดจำไว้ว่าการบรรจุข้อมูลประจำตัวนั้นมีราคาถูกและง่าย ดังนั้นมันจึงสมเหตุสมผลทางเศรษฐกิจอย่างมากสำหรับนักต้มตุ๋นที่กวาดล้างอาชญากรหลายล้านคนทุกปี อย่าทำให้มันง่าย!