Исследование мотивов и техник угона аккаунтов, проведенное Google с целью усиления защиты от этой угрозы, дало интересные результаты. В отличие от других аналогичных работ, данный отчет посвящен «угонам вручную», которые, по данным компании, достаточно редки, но зачастую причиняют более серьезный ущерб, чем массовые взломы, осуществляемые автоматизированными средствами.

Анализ инцидентов, зафиксированных в 2011–2014 годах службой приема жалоб и защитными решениями Google, показал, что захваты аккаунтов вручную происходят с частотой примерно 9 случаев на 1 млн пользователей в сутки. Осуществляют их, как правило, профессиональные взломщики, процесс этот достаточно трудоемкий, и в случае успеха жертва часто несет финансовые потери. Основные источники таких атак, по данным компании, базируются в Китае, Кот-д’Ивуаре, Малайзии, Нигерии и Южной Африке. Сразу оговоримся: взломы с целью шпионажа Google рассматривает особо, данное исследование их не учитывает.

Ключи к аккаунтам, которые ломаются вручную, злоумышленники обычно добывают с помощью фишинговых рассылок. Чтобы узнать, какие аккаунты интересуют фишеров, исследователи проанализировали большое количество сообщений, предоставленных пользователями и другими источниками, а также фишинговые страницы, обнаруженные с помощью функции SafeBrowsing. Как оказалось, взломщики охотятся в основном за идентификаторами пользователей веб-почты (35% случаев), онлайн-банкинга (21%), а также покупателей приложений и завсегдатаев социальных сетей.

Эффективность фишинговых сайтов, как и следовало ожидать, сильно зависит от качества их исполнения. Для ловушек из коллекции Google этот показатель в среднем составил 14% при максимальном значении 45%. С учетом того, что фишинговые рассылки бывают многомиллионными, это очень тревожные результаты.

Согласно статистике Google, около 20% скомпрометированных аккаунтов взламываются в течение первого получаса после кражи регистрационных данных. Незваный гость в среднем тратит 3 минуты на то, чтобы определить ценность своей добычи, и, если она стоит усилий, может провести в угнанном профиле более 20 минут, меняя пароль, отыскивая другие идентификаторы и рассылая фишинговые сообщения по всем контактам жертвы. Последние, по оценке Google, могут оказаться в 36 раз эффективнее ковровых рассылок, так как отправлены с адреса, хорошо известного получателям.

Исследователи также отметили, что угонщики очень быстро меняют тактику в случае принятия ответных мер. Так, например, когда Google начала требовать обратную связь при заходе пользователя с непривычного IP-адреса или устройства, фишеров стали интересовать возможные ответы на вопросы, предлагаемые владельцам аккаунтов.

Исследователи планируют использовать свои находки для дальнейшего совершенствования действующих защитных решений. Согласно статистике Google, на настоящий момент наиболее надежным способом восстановления контроля над аккаунтом является получение идентификаторов в виде SMS на заранее оговоренный номер телефона (81% успеха). Использование запасного email-адреса с этой целью обеспечивает искомый результат в 75% случаев, секретных вопросов — лишь в 14%.

Категории: Аналитика, Главное