Исследование: регулярный сброс паролей не особо безопасен

Исследование Forrester показывает, что каждая операция по сбросу пароля обходится примерно в $70. В итоге многие организации внедрили инструменты самостоятельного сброса паролей (SSPR) для снижения нагрузки. Однако, несмотря на эти инструменты, команды службы поддержки по-прежнему обрабатывают значительное количество заявок, что создаёт лазейки для злоумышленников.

Так, они могут убедить агента сбросить пароль, чтобы обойти многофакторную аутентификацию (MFA) и получить прямой доступ к учётной записи. В качестве примера исследователи приводят атаку на британского ретейлера Marks & Spencer (M&S), которая в апреле 2025 года нарушила работу по всей стране, что привело к 5-дневной приостановке онлайн-продаж, а ущерб составлял $5,1 млн ежедневно.

Предполагается, что злоумышленники, связанные с хакерской группой Scattered Spider, получили первоначальный доступ, выдав себя за сотрудника M&S и связавшись со службой поддержки сторонней компании. Они смогли сбросить пароль, что позволило получить доступ к учётным данным.

Затем злоумышленники использовали уязвимость Active Directory для извлечения файла NTDS.dit, базы данных, хранящей хэши паролей всех пользователей домена. Scattered Spider смогли взломать эти хэши в автономном режиме и восстановить дополнительные учётные данные. Имея эти данные и повышая привилегии, злоумышленники, используя стандартные инструменты и обычную активность входа в систему, расширяли доступ в течение нескольких недель. В итоге они развернули программу-вымогатель, зашифровав системы, поддерживающие платежи, электронную коммерцию и логистику. M&S была вынуждена отключить сервисы, что нарушило работу и транзакции клиентов.

Решения, такие как Specops Secure Service Desk, позволяют командам службы поддержки