Tháng trước, Tech Crunch đã báo cáo rằng nhà sản xuất thiết bị đầu cuối thanh toán Wiseasy đã bị tấn công. Mặc dù Wiseasy có thể không nổi tiếng ở Bắc Mỹ, nhưng các thiết bị đầu cuối thanh toán dựa trên Android của họ được sử dụng rộng rãi ở khu vực Châu Á Thái Bình Dương và tin tặc đã đánh cắp mật khẩu của 140.000 thiết bị đầu cuối thanh toán.
Wiseasy Hack đã xảy ra như thế nào?
Nhân viên của Wiseasy sử dụng bảng điều khiển dựa trên đám mây để quản lý từ xa các thiết bị đầu cuối thanh toán. Bảng điều khiển này cho phép công ty thực hiện nhiều tác vụ cấu hình và quản lý như quản lý người dùng thiết bị đầu cuối thanh toán, thêm hoặc xóa ứng dụng và thậm chí khóa thiết bị đầu cuối.
Tin tặc có thể truy cập vào bảng điều khiển Wiseasy bằng cách lây nhiễm phần mềm độc hại vào máy tính của nhân viên. Điều này cho phép tin tặc có quyền truy cập vào hai trang tổng quan của nhân viên khác nhau, cuối cùng dẫn đến việc thu thập hàng loạt thông tin đăng nhập thiết bị đầu cuối thanh toán khi họ có quyền truy cập.
Bài học hàng đầu rút ra từ Wiseasy Hack
1 – Tính minh bạch không phải lúc nào cũng là chính sách tốt nhất
Mặc dù có thể dễ dàng loại bỏ vụ hack Wiseasy là xuất phát từ việc lây nhiễm phần mềm độc hại không thể tránh khỏi, nhưng sự thật là Wiseasy đã mắc một số sai lầm (theo bài báo của Tech Crunch) cho phép vụ hack thành công.
Ví dụ: bản thân trang tổng quan có thể hiển thị nhiều thông tin hơn mức cần thiết. Theo Tech Crunch, bảng điều khiển “cho phép bất kỳ ai xem tên, số điện thoại, địa chỉ email và quyền truy cập”. Mặc dù trường hợp có thể được đưa ra rằng thông tin đó là cần thiết để Wiseasy quản lý thiết bị đầu cuối thay mặt khách hàng của họ, Tech Crunch tiếp tục nói rằng chế độ xem bảng điều khiển đã tiết lộ tên Wi-Fi và mật khẩu văn bản thuần túy cho mạng mà thiết bị đầu cuối thanh toán. kết nối với.
Trong môi trường bảo mật tiêu chuẩn, giao diện không bao giờ được thiết kế để hiển thị mật khẩu. Việc hiển thị thông tin khách hàng một cách công khai, không có xác minh thứ cấp của người dùng cuối, cũng đi ngược lại chính sách không tin cậy.
2 – Chỉ riêng thông tin đăng nhập sẽ không cắt được
Một sai lầm thứ hai có thể giúp vụ hack thành công là Wiseasy không yêu cầu sử dụng xác thực đa yếu tố khi truy cập bảng điều khiển. Trước đây, hầu hết các hệ thống chỉ được bảo vệ bằng thông tin xác thực. Điều này có nghĩa là bất kỳ ai có quyền truy cập vào tên người dùng và mật khẩu hợp lệ đều có thể đăng nhập, ngay cả khi thông tin đăng nhập bị đánh cắp (như trường hợp hack Wiseasy).
Xác thực đa yếu tố yêu cầu người dùng sử dụng một cơ chế bổ sung để chứng minh danh tính của họ trước khi truy cập các tài nguyên nhạy cảm. Thông thường, điều này có nghĩa là cung cấp mã được gửi đến điện thoại thông minh của người dùng bằng tin nhắn văn bản SMS, nhưng có nhiều hình thức xác thực đa yếu tố khác. Trong mọi trường hợp, Wiseasy không sử dụng xác thực đa yếu tố, không có gì ngăn được tin tặc đăng nhập bằng thông tin đăng nhập bị đánh cắp.
3 – Các thiết bị nên được kiểm tra ba lần
Một sai lầm thứ ba có thể xảy ra là nhân viên của Wiseasy truy cập các tài nguyên nhạy cảm từ một thiết bị không cứng. Tech Crunch báo cáo đã nhìn thấy ảnh chụp màn hình của bảng điều khiển Wiseasy trong đó người dùng quản trị có quyền truy cập từ xa vào các thiết bị đầu cuối thanh toán. Bài báo của Tech Crunch không nói rằng máy tính của quản trị viên đã bị nhiễm phần mềm độc hại, nhưng vì phần mềm độc hại được sử dụng để truy cập vào trang tổng quan và ảnh chụp màn hình cho thấy quản trị viên đã đăng nhập vào trang tổng quan, nên hoàn toàn có thể máy của quản trị viên đã bị xâm phạm .
Thực tiễn tốt nhất, các tài khoản đặc quyền chỉ nên được sử dụng khi cần thiết cho một tác vụ cụ thể (với các tài khoản tiêu chuẩn được sử dụng vào những thời điểm khác). Ngoài ra, các tài khoản đặc quyền lý tưởng chỉ nên được sử dụng trên các hệ thống quản lý được chỉ định đã được tăng cường và không được sử dụng cho bất kỳ tác vụ nào khác.
4 – Luôn cập nhật bảo mật của chính bạn
Cuối cùng, sai lầm lớn nhất trong vụ hack Wiseasy là công ty dường như (dựa trên bài báo trên Tech Crunch) không biết rằng tài khoản của mình đã bị xâm phạm cho đến khi họ được Buguard liên hệ.
Buguard là một công ty bảo mật chuyên kiểm tra bút và giám sát web tối. Lý tưởng nhất là Wiseasy sẽ giám sát mạng của họ để tìm một lỗ hổng tiềm ẩn và đóng nó ngay lập tức khi nó được phát hiện lần đầu tiên.
Tiến lên: Cách bảo vệ mạng của bạn khỏi một vụ hack tương tự
Vụ hack Wiseasy nhấn mạnh tầm quan trọng của việc tuân thủ các phương pháp bảo mật tốt nhất đã được thiết lập từ lâu như yêu cầu xác thực đa yếu tố và sử dụng các máy trạm quản lý chuyên dụng cho các hoạt động đặc quyền. Đăng ký áp dụng triết lý không tin tưởng trong tổ chức của bạn có thể giải quyết rất nhiều vấn đề này.
Ngoài ra, điều quan trọng là phải có một cách để biết liệu tài khoản của tổ chức của bạn có bị xâm phạm hay không. Nếu không, kẻ tấn công đã có quyền truy cập vào thông tin đăng nhập tài khoản bị đánh cắp có thể sử dụng các thông tin đăng nhập đó vô thời hạn. Một trong những cách tốt nhất để ngăn điều này xảy ra là sử dụng Chính sách mật khẩu Specops. Specops duy trì một cơ sở dữ liệu gồm hàng tỷ mật khẩu được biết là đã bị xâm phạm.
Cơ sở dữ liệu này được cập nhật với các mật khẩu được tìm thấy trong danh sách mật khẩu bị vi phạm đã biết, cũng như các mật khẩu đang được sử dụng tích cực trong các cuộc tấn công. Specops Password Policy sử dụng thông tin này để đảm bảo rằng không có mật khẩu nào của người dùng của bạn bị xâm phạm. Nếu phát hiện tài khoản đang sử dụng mật khẩu bị xâm phạm, phần mềm sẽ thông báo để bạn có thể vô hiệu hóa tài khoản hoặc thay đổi mật khẩu ngay lập tức. Bạn có thể dùng thử các công cụ Chính sách mật khẩu Specops trong AD của mình miễn phí, bất cứ lúc nào.
Cho dù bạn đang mang thử nghiệm bút trong nhà, chuyển sang cơ sở hạ tầng không tin cậy hoặc chặn các mật khẩu đã vi phạm từ Active Directory của bạn, có rất nhiều cách để đảm bảo tổ chức của bạn không trở thành nạn nhân của hậu quả của phần mềm độc hại tấn công như Wiseasy.
.
