アカウントの乗っ取りから組織を保護する方法 from securityboulevard.com

2021 年は、アカウント乗っ取り (ATO) 攻撃が多発した年でした。
通常、被害はアカウントの乗っ取り自体からではなく、アカウントの乗っ取りによって可能になるビジネス メール侵害 (BEC)、金融詐欺、データ盗難、およびマルウェア配布攻撃によってもたらされます。
攻撃者は、アカウントの乗っ取りを利用して、信頼できるサプライヤー、パートナー、ベンダー、またはサービス プロバイダーの電子メールおよび企業アカウントを介して、企業ネットワークを直接的または間接的に攻撃することができます。
脆弱な API は認証トークンを漏えいさせ、攻撃者がユーザーのパスワードについて何も知らずにアカウントを乗っ取ることを可能にすることがあります。
ビジネス メール侵害攻撃は、信頼できるサプライヤー、会社の弁護士、または CEO や CFO などの社内従業員のメール アカウントを乗っ取ります。
API セキュリティ ツールは、攻撃者が認証トークンを盗んだり、API をクライアント アプリに公開するアカウントを乗っ取ったりするのを防ぐことができます。