Zákaznické účty ve zvýšeném ohrožení
Bezpečnostní firma Sift vydala zprávu, podle níž přibývá útoků s cílem převzít uživatelské účty. Nejoblíbenější cíl hackerů jsou internetoví maloobchodníci. Aplikovaná bezpečnostní opatření jsou však dvojsečná. Mohou odradit nakupující.
Převzetí uživatelského účtu (Account Takeover Fraud, ATO) je starý trik. V poslední době je však, alespoň podle zprávy americké bezpečnostní společnosti Sift, tento druh útoku na vzestupu. Souvisí to s celosvětovým nárůstem online nakupování během pandemie. Ochrana uživatelských dat a bezpečnost informací dostávají pěkně na frak.
Při ATO útocích hackeři obvykle zneužívají lidskou lenost ve vymýšlení hesel. Většina uživatelů používá v různých službách opakovaně stejná hesla. A na webu jsou v důsledku všelijakých úniků dat k dispozici velké databáze prolomených přihlašovacích údajů i s hesly.
Útočník většinou nějakým automatickým způsobem otestuje takovou databázi proti vstupní bráně služby, kterou chce napadnout. Odhaduje se, že se tímhle způsobem dá získat přístup ke třem až osmi procentům uživatelských účtů. Když se kyberzlosynům podaří k účtu proniknout, mohou nakoupit za cizí peníze zboží, které pak sami prodají.
Obvykle se pokouší cracknutý účet k jedné službě použít k získání přístupu do dalších účtů stejného uživatele. Pokud mají štěstí, mohou rozesílat falešné zprávy jeho kontaktům a lákat z nich další přihlašovací údaje. Sift tvrdí, že ve druhém kvartálu roku 2020 narostl počet ATO útoků proti stejnému období v roce 2019 o 282 procent. Počty ukradených přihlašovacích údajů nabízených na temném webu vzrostly o 300 procent.
Cílem ATO je v současnosti kdekdo – herní společnosti, seznamky, sociální sítě... Úplně nejvíc však trpí prodejci fyzického zboží, ať už jde o knihy nebo zahrádkářské potřeby. Sift odhaduje celosvětové ztráty kvůli ATO útokům v roce 2019 na 16,9 miliardy dolarů (bezmála 400 miliard korun).
Ochránit internetový obchod dnes není problém. Moderní metody access managementu, identity managementu a ochrany osobních údajů jsou vcelku spolehlivé. Obchodníci však stojí před těžkou volbou. Mohou svoje online obchody lépe zabezpečit, jenže když to udělají, přijdou o zákazníky. Čím více údajů po zákazníkovi e-shop či jiná služba chtějí, tím je netrpělivější.
Když pohár jeho trpělivosti přeteče, zavře okno prohlížeče a opustí nezaplacený nákupní košík. Na druhou stranu jestliže zákazník přijde na určitém webu o své osobní údaje, pravděpodobně se nebude chtít vrátit. Je mu srdečně jedno, že to byla jeho chyba, poněvadž si nastavil slabé heslo. Z jeho pohledu bude únik dat vždycky problém na straně e-shopu či poskytovatele služby.
