How do attackers exploit account recovery processes?

Attackers call help desks or use self-service portals to reset passwords on accounts they do not own. They use pretexting, impersonating the legitimate user with information gathered from social media, data breaches, or corporate directories. The 2023 MGM Resorts breach began with a social engineering call to the IT help desk that took only 10 minutes. Common tactics include urgency claims, name-dropping managers, and providing partial information that sounds convincing.

What makes account recovery questions insecure?

Traditional security questions like "mother's maiden name" or "city you were born in" are easily researched through social media, public records, and data broker sites. Answers are also often shared across multiple services, so a breach at one company exposes recovery credentials everywhere. Organizations should use identity verification methods that cannot be researched, such as one-time codes to registered devices, manager-approved verification workflows, or in-person identity checks.

Безпека відновлення акаунта

Defend account recovery from social engineering.

Що таке Безпека відновлення акаунта?

Відновлення акаунта — одна з найслабших ланок організаційної безпеки, і зловмисники це знають. У цій симуляції Ви граєте роль аналітика служби підтримки, який обробляє терміновий запит на відновлення акаунта від особи, що стверджує, що вона заблокований працівник. Людина на тому кінці зв'язку зробила свою домашню роботу. Вона знає повне ім'я працівника, відділ та керівника. Вона посилається на нещодавню корпоративну подію, щоб побудувати довіру. Ваше завдання — дотримуватися належних процедур верифікації особи під тиском, навіть коли абонент стає роздратованим або ескалює емоційно. Ви пройдете через точні точки прийняття рішень, з якими стикається реальний персонал служби підтримки: які питання верифікації дійсно підтверджують особу, коли зупинитися та залучити керівника, та як документувати взаємодію. Вправа також охоплює потоки самостійного відновлення, показуючи, як неправильно налаштовані секретні питання та налаштування резервної електронної пошти створюють вразливості, які зловмисники використовують через OSINT та розвідку у соціальних мережах.

Що ви дізнаєтесь у Безпека відновлення акаунта

Ідентифікувати тривожні ознаки соціальної інженерії в запитах на відновлення акаунта, включаючи емоційний тиск та надмірну обізнаність
Застосовувати структурований чек-лист верифікації особи перед скиданням будь-яких облікових даних або наданням доступу
Розуміти, як зловмисники використовують розвідку з відкритих джерел (OSINT) для відповіді на секретні питання та обходу потоків відновлення
Ескалювати підозрілі запити на відновлення до команд безпеки з належною документацією
Оцінювати конфігурації самостійного відновлення на предмет слабкостей, таких як вгадувані секретні питання та незахищена резервна пошта

Безпека відновлення акаунта — Кроки навчання

Насичений понеділковий ранок

Ранок понеділка, попереду цілий день консультацій пацієнтів. Ви сідаєте за стіл у своєму домашньому офісі та готуєтеся до входу в систему керування пацієнтами.
Неочікуване скидання пароля

Перш ніж ви зможете відкрити браузер, на робочому столі з’явиться сповіщення. Надійшов новий електронний лист - запит на скидання пароля для вашого робочого облікового запису. Дивно. Ви не запитували скидання пароля. Але останнім часом ІТ розгортають нові політики безпеки, тому, можливо, це частина цього.
Тиск діяти

Електронний лист виглядає офіційно. Логотип виглядає правильним, а повідомлення термінове – призупинення облікового запису означатиме, що ви не зможете отримати доступ до карток пацієнтів цілий день. Вам потрібно швидко скинути пароль перед першою консультацією пацієнта. Немає часу досліджувати.
Введення поточних облікових даних

Завантажується сторінка скидання пароля. Він запитує ваш поточний пароль, щоб підтвердити вашу особу, перш ніж дозволити вам встановити новий. Це здається розумним заходом безпеки - зрештою, будь-хто може натиснути посилання скидання.
Повідомлення про помилку

Після надсилання на сторінці відображається повідомлення про помилку: «Неможливо обробити запит. Повторіть спробу пізніше або зверніться до служби підтримки ІТ». Розчарована Аліса закриває браузер і вирішує замість цього спробувати звичайну сторінку входу. Принаймні вона знає, що її старий пароль досі працює.
Тривожне відкриття

Через двадцять хвилин Аліса отримує потік сповіщень електронною поштою. Пароль змінено. Електронну адресу для відновлення оновлено. Запитання безпеки змінено. Вона намагається увійти за своїм старим паролем. Доступ заборонено. Вона пробує новий пароль, який щойно встановила. Також відмовлено. Її обліковий запис повністю захоплено.
Усвідомлення атаки

У Аліси падає серце. Електронний лист від IT Security підтверджує її найгірші побоювання – її обліковий запис було повністю зламано. Пароль, електронну адресу для відновлення та таємні запитання були змінені кимось іншим.
Аналіз фішингової електронної пошти

Тепер Аліса озирається на оригінальний електронний лист для зміни пароля новими очима. Які попереджувальні знаки вона пропустила?
Перевірка посилання

Лист містив посилання для скидання пароля. Давайте перевіримо, куди це посилання насправді веде.
Звернення до IT Security

Алісі потрібно діяти швидко. Вона бере телефон, щоб зателефонувати в IT Security за номером зі своїх контактів, а не за номером із підозрілих електронних листів.

Що таке Безпека відновлення акаунта?

Що ви дізнаєтесь у Безпека відновлення акаунта

Безпека відновлення акаунта — Кроки навчання

Насичений понеділковий ранок

Неочікуване скидання пароля

Тиск діяти

Введення поточних облікових даних

Повідомлення про помилку

Тривожне відкриття

Усвідомлення атаки

Аналіз фішингової електронної пошти

Перевірка посилання

Звернення до IT Security