Identitásalapú támadások növekedése
Az eSentire Threat Response Unit (TRU) adatai szerint a 2023 és 2025 első negyedéve közötti időszakban az identitás alapú incidensek aránya drámai módon nőtt, míg 2023-ban az összes eset mindössze 23 százaléka volt ilyen támadás, 2025 elejére ez az arány már 59 százalékot ért el. Ha azokat az eseteket is beleszámítjuk, ahol jelszolgáló malware-ek is érintettek – például jelszólopók – az arány meghaladja még ezt az értéket is, jelezve, hogy az identitás elleni támadások ma már a legelterjedtebb módszerré váltak.
Különösen komoly probléma a Business Email Compromise (BEC) vagy egyes e-mail fiókok eltérítése, az ilyen incidensek száma 60 százalékkal emelkedett éves szinten, és jelenleg a 2025-ös esetek 41 százalékát teszik ki . Ez felhívja a figyelmet azokra a támadási láncokra, amelyek phishing-szolgáltatásokkal (Phishing-as-a-Service) kezdődnek, majd azonnal pénzügyi haszonelérésre fókuszálnak, akár órák alatt, nem hetek alatt. A támadók gyorsan végrehajtják jelszerzést követően a zsarolást vagy pénzlopást – ez az újonnan felismert, szolgáltatás alapú támadási modell lényege.
Az eSentire jelentése szerint a jelentősen terjedő PhaaS (Phishing-as-a-Service) eszközök – mint például a Tycoon2FA – elősegítették ezen támadási módszerek gyors terjedését. Ezek drágábbak ugyan (200–300 USD havonta), de már havonta ezer előfizetőt vonzanak, és egy új generációs phishing platformot képviselnek. Emellett az egyszerűbb info-stealerek is szerepet játszanak, már 10 USD-ért is hozzáférhetők, és jelentős szerepük van a hitelesítési adatok kinyerésében.
Az identitás alapú támadások nem csak technológiai kihívást jelentenek, hanem alapvető paradigmaváltást is a védelmi stratégiában. A jelentés kiemeli, hogy a hagyományos tűzfal és végpondvédelmi eszközök már nem elegendőek, ha a támadó rendelkezik jogos felhasználói hitelesítő adatokkal. Ehelyett proaktív, folyamatos azonosítóvédelmi architektúrákat kell kialakítani, amely magában foglalja a többtényezős hitelesítés fejlett változatait – például FIDO2/WebAuthn passkey-ek használatát – valamint folyamatos ellenőrzési mechanizmusokat, amelyek a rendszer hozzáféréseket 24×7 felügyelik.
Az eSentire egy konkrét, 90 napos bevezetési tervet ajánl, mely fázisonként épül fel, kezdetben telefonos és e-mail védelmi eszközök, majd identitás- és eszköz-felügyelet, végül átfogó felügyeleti képességeket kell telepíteni a személyazonosság-alapú támadások korai szakaszában történő észleléséhez. Ez magában foglalja az anomáliák felismerését – például lehetetlen földrajzi elérések és viselkedésminták – valamint a kompromittált tokenek azonnali visszavonását, illetve jogosultságok automatikus letiltását.
