Инженеры компании Microsoft представили доклад на конференции RSA, согласно которому 99,9% скомпрометированных учетных записей не использовали многофакторную аутентификацию, которая способна остановить большинство автоматических атак на учетные записи.
Технологический гигант сообщил, что каждый день отслеживает более 30 миллиардов событий входа и более одного миллиарда активных пользователей ежемесячно. В среднем около 0,5% всех учетных записей подвергаются компрометации каждый месяц, а в январе 2020 года их количество составило около 1,2 миллиона.
Хотя любые взломы учетных записей – это плохо, компрометацию корпоративных аккаунтов, которые компания относит к высокочувствительным, в Microsoft отслеживают отдельно. По данным аналитиков, из всех скомпрометированных учетных записей такого рода только 11% использовали многофакторную аутентификацию (multi-factor authentication, MFA) по состоянию на январь 2020 года.
В большинстве случаев взломы аккаунтов происходят из-за весьма простых атак: главным источником большинства взломов стали атаки с использованием техники password spraying. Это метод, при котором атакующие перебирают и пытаются использовать с одним и тем же простым, легко угадываемым паролем различные имена пользователей, надеясь таким образом обнаружить плохо защищенную учетную запись.
Вторым источником взломов является проблема повторного использования паролей. В данном случае злоумышленники берет ранее утекшие учетные данные и пробует использовать их для учетной записи Microsoft, надеясь, что пользователь повторно использует те же логины и пароли и здесь.
«Мы знаем, что 60% пользователей повторно используют пароли. Это очень распространено, — рассказывают специалисты Microsoft. — Не смущайтесь. Люди повторно используют свои корпоративные учетные записи даже в некорпоративных средах».
Большинство таких атак нацелены на устаревшие протоколы аутентификации, такие как SMTP, IMAP, POP и так далее. Так, 99% от общего числа атак с использованием password spraying и 97% атак с применением повторно использованных паролей осуществляются с применением устаревших протоколов аутентификации. Причина в том, что эти устаревшие протоколы обычно не поддерживают MFA, что делает их идеальными мишенями для хакеров. Специалисты Microsoft напоминают, что компании, которые оставляют эти устаревшие протоколы аутентификации включенными для своих облачных систем и сетей, подвергаются риску, атакам и должны отключить их как можно скорее.
