Спецпроекты

Исследование Microsoft: 44 млн пользователей используют один пароль для всех личных аккаунтов

Безопасность Стратегия безопасности Маркет

Microsoft представила итоги очередного исследования Microsoft Security Intelligence Report. С января по март 2019 г. было проверено более 3 млрд учетных данных, полученных из различных источников, включая общедоступные базы данных. Целью исследования стал поиск скомпрометированных учетных данных в системах Microsoft. Результаты исследования показали, что более чем в 44 млн случаев пользователи устанавливали один и тот же пароль для Azure AD и служб Microsoft.

Если в руки злоумышленников попадает одна подобная пара логин-пароль, то в 30% случаев подобрать частично измененный пароль (например, с добавлением порядкового номера) к другим учетным записям можно не более чем с десяти попыток, что может быть использовано для атак на облачные сервисы, DDoS-атак, рассылки фишинговых писем или майнинга криптовалют.

Согласно аналогичному исследованию 2018 г., проведенному Политехническим университетом Виргинии, из 30 млн пользователей 52% пренебрегали правилами безопасности и использовали один и тот же или частично измененный пароль. В 2019 г. число подобных пользователей снизилось, но цифры все еще остаются внушительными.

«Обнаружив совпадения в учетных данных, мы принудительно производим сброс пароля и при следующем входе просим пользователя задать новый. Никаких дополнительных действий со стороны пользователя не требуется. В случае с корпоративными доступами Microsoft уведомляет администратора о рисках и возможных последствиях таких действий. Исследование Microsoft Security Intelligence Report также показало, что 99,9% атак на аккаунты были предотвращены путем включения многофакторной аутентификации, которая является важным инструментом безопасности», – отметил Артем Синицын, руководитель программ информационной безопасности Microsoft в странах Центральной и Восточной Европы.

Постоянной целью для кибератак становятся облачные провайдеры, и платформа Microsoft Azure не стала исключением. Злоумышленники создают виртуальные машины, которые затем используются для рассылки спама, фишинговых и DDoS-атак.

Помимо общей угрозы функциональности объекта такой атаки, DDoS часто служит «дымовой завесой» для более сложных атак. Подходы к организации DDoS-атак продолжают усложняться, при этом затраты и сложность запуска таких атак не возрастают. Это увеличивает частоту и легкость, с которой преступники могут нанести ущерб бизнесу и пользователям. Средняя мощность TCP DDoS-атак, обнаруженных и нивелированных Azure DDoS Protection за 2019 г. (апрель-октябрь) составляла 120,51 Гб/сек (самая крупная из них – 363,01 Гб/сек), а средняя мощность DDoS-атак на основе UDP — 16,44 Гб/сек. (самая крупная – 89,12 Гб/сек).

Drive by Download (DBD) предполагает непреднамеренную загрузку вредоносного кода на устройство пользователя при посещении им зараженного сайта или при клике на баннер, ведущий на такой сайт. Более продвинутые DBD-кампании даже могут устанавливать программное обеспечение для майнинга криптовалют на устройстве жертвы. По итогам анализа страниц, индексируемых Bing, максимальный среднемесячный объем вредоносных страниц зафиксирован во Французской Полинезии (3,15 страниц на тысячу страниц). В России этот показатель составляет 0,59 страниц в 2019 г., что в три раза выше показателя 2018 г. (0,18 страниц).

Опасность таких атак – не только в снижении производительности системы, но и в том, что злоумышленник может в любой момент использовать другой, более опасный для жертвы, сценарий. Всего в мире в 2018-2019 гг. с незаконной установкой ПО для майнинга столкнулись 0,11% компьютеров во всем мире. В России эти цифры составили 0,88% в 2018 году и 0,17% в 2019 г., что свидетельствует об успешной борьбе с недобросовестными майнерами, но не о победе над ними.

Несмотря на повышенное внимание к этому виду атак, они по-прежнему очень эффективны и приносят огромные убытки компаниям. Сейчас злоумышленники чаще всего используют подмену доменных имен, чтобы выдать свои сообщения за электронные письма от известных брендов или коллег жертвы, а также броские темы, чтобы заставить пользователя открыть письмо. Максимальный всплеск фишинговой активности в мире в 2019 г. наблюдался в январе, когда доля зараженных писем составила 0,63% от общего объема писем, проанализированных Microsoft по всему миру.

Часто причиной заражения устройства становятся не только несоблюдение базовых правил кибергигиены и недостаточная осведомленность пользователей, но и использование нелицензионного программного обеспечения. Стремление снизить вероятность загрузки потенциально опасного ПО вызвало в 2019 г. рост спроса на операционную систему Windows 10, а также более широкое использование Windows Defender. Тем не менее, злоумышленники тоже не стоят на месте. В мире в 2019 г. в среднем 3,67% компьютеров в месяц сталкивается с вредоносным ПО. Год назад эта цифра составляла 6,37%. В России доля влияния вредоносного ПО за последний год существенно снизилась с 12,24% в 2018 году до 6,77% в 2019 г.

С таким видом атак мир сталкивается все реже, и тем не менее они продолжают представлять угрозу в некоторых регионах, в первую очередь из-за низкой культуры кибербезопасности. В 2019 г. в среднем в месяц такая проблема возникала на 0,03% компьютеров. Год назад цифра составила 0,08%. В России вирусы-вымогатели также снизили свою активность с 0,13% в 2018 году до 0,07% в 2019 г. Тем не менее, степень их влияния все еще превышает среднемировой показатель.