Jak mohou firmy detekovat a předcházet útokům s převzetím účtu

Útoky s převzetím účtu namířené proti firmám přibývají. Podle průzkumu společnosti Abnormal Security bylo v uplynulém roce zasaženo alespoň jedním útokem s převzetím účtu 83 % dotázaných organizací a 26 % uvedlo, že se s pokusem o převzetí účtu potýká každý týden. V dokumentu SMB Cybersecurity Report společnosti Proton jsme navíc zjistili, že každý čtvrtý malý podnik se stal obětí hackerského útoku navzdory zavedeným kyberbezpečnostním opatřením.

Finanční dopad může být rovněž závažný. Průzkum společnosti IBM uvádí, že úniky informací zahrnující kompromitování dodavatele a převzetí účtu stojí v průměru téměř 5 milionů USD, přičemž časová osa k nápravě následků často přesahuje 250 dní.

Tato kombinace četnosti a dopadu vysvětluje, proč je převzetí účtu pro firmy tak nebezpečné: útočníci se mohou jednoduše přihlásit pomocí legitimních přihlašovacích údajů a začít operovat uvnitř organizace, často dříve, než si kdokoli uvědomí, že účet již není důvěryhodný.

Ve Spojeném království vládní zpráva Cyber Security Breaches Survey 2025 rovněž ukazuje, že pokusy o převzetí a kompromitované účty tvoří součást širšího obrazu incidentů. Pro firmy to znamená, že převzetí účtu představuje víc než jen problém s přihlášením. Jde o riziko pro bezpečnost identity, riziko podvodu a riziko pro kontinuitu podnikání.

Co je to útok s převzetím účtu?

Jak se převzetí účtu liší od tradičních útoků

Nejběžnější metody převzetí účtu

Proč jsou firemní účty vysoce hodnotnými cíli

Detekční signály, na které by si firmy měly dát pozor

Dopad převzetí účtu na podnikání

Váš praktický plán reakce při podezření na převzetí účtu

Budování silnější kultury zabezpečení kolem přístupu k účtu

Jak Proton Pass for Business snižuje riziko převzetí účtu

Co je to útok s převzetím účtu?

Kyberzločinci provádějí útoky s převzetím účtu tak, že získají neoprávněný přístup k legitimnímu účtu a poté jej využijí k nekalým účelům. V podnikovém prostředí to obvykle znamená získání hesla zaměstnance, zachycení jeho procesu ověření nebo jiné získání platného přístupu k pracovnímu účtu.

Jakmile je útočník uvnitř, může číst interní komunikaci, měnit nastavení účtu, přecházet do připojených aplikací, exportovat důvěrné soubory nebo se vydávat za zaměstnance v konverzacích s kolegy, dodavateli či zákazníky. Protože útočník získal platný přístup, místo aby se do systému vloupal násilím přes viditelně narušený systém, vypadá jeho aktivita jako běžný provoz.

Právě proto je kompromitování firemního účtu tak nebezpečné. Útočník se může jevit jako běžný uživatel, dokud již nedojde ke škodám.

Jak se převzetí účtu liší od tradičních útoků

Převzetí účtu je tak destruktivní, protože není tak snadné jej odhalit jako zjevný typ útoku nebo úniku informací, který mnohé týmy očekávají.

Bezpečnostní týmy ve firmách často pátrají po malwaru(nové okno), zneužitých zranitelnostech, poškozených systémech nebo podezřelém spouštění kódu. V případě incidentu převzetí účtu nemusí dojít k narušení žádného systému v obvyklém smyslu, protože útočník použil legitimní přihlašovací údaje a běžné přihlašovací postupy.

Tento rozdíl je důležitý, protože týmy se musí zaměřit na zneužití přihlašovacích údajů namísto narušení perimetru. Pokud se útočník přihlásí pomocí platných přihlašovacích údajů přes stejnou stránku pro přihlášení jako kdokoli jiný, tato aktivita sama o sobě nepůsobí podezřele.

Detekce pak závisí méně na odhalování technických problémů a více na sledování neobvyklého chování, jako jsou nestandardní vzorce přihlášení, neočekávané resety hesla nebo neobvyklé požadavky na přístup.

Jinými slovy, převzetí účtu často uspěje díky zneužití běžného modelu důvěry v organizaci.

Nejčastější metody převzetí účtu

Útočníci mohou k získání přístupu k firemním účtům použít několik osvědčených metod. Některé jsou nahodilé, jiné jsou vysoce cílené.

Credential stuffing

K útoku typu credential stuffing dochází, když útočníci vezmou uživatelská jména a hesla uniklá při informačních únicích dat a testují je v jiných službách. To funguje proto, že lidé často opakovaně používají hesla u osobních i pracovních účtů.

Díky tomu jsou unikátní hesla jednou z nejlepších obran Vaší organizace proti převzetí účtu. Data Breach Observatory společnosti Proton ukazuje, že jména a e-mailové adresy se objevují téměř v 9 z 10 úniků informací, zatímco hesla jsou odhalena ve 47 % incidentů. Pokud jsou tyto přihlašovací údaje používány v různých službách, jeden únik informací rychle vytvoří riziko převzetí účtu.

Phishing

Phishing zůstává jednou z nejčastějších cest k firemním účtům. Lze jej použít k odcizení hesel, tokenů relace nebo schválení MFA, což vše může vést přímo k převzetí účtu.

SIM swapping

K SIM swappingu dochází, když útočník přesvědčí mobilního operátora, aby převedl číslo oběti na SIM kartu, kterou má pod kontrolou. Pokud firma stále silně spoléhá na ověření prostřednictvím SMS, mohou útočníci snadno zachytit přihlašovací kódy.

Pro ochranu před SIM swappingem jsou mnohem bezpečnější metody dvoufázového ověření (2FA), které jsou vhodné pro rizikovější firemní účty.

Únava z 2FA a krádež relace

I když je 2FA aktivováno, útočníci se mohou pokusit uživatele unavit opakovanými výzvami ke schválení nebo ukrást tokeny relace prostřednictvím phishingu a malwaru. 2FA je nezbytné, ale samo o sobě nestačí.

Password spraying

Password spraying je typ útoku hrubou silou(nové okno), při kterém útočníci zkoušejí sadu běžně používaných hesel u mnoha účtů. Namísto toho, aby jednoho uživatele bombardovali stovkami pokusů, testují slabá výchozí hesla jako „Welcome123!“ nebo předvídatelné firemní vzorce u širšího okruhu zaměstnanců.

Proč jsou firemní účty vysoce cennými cíli

Firemní účty jsou atraktivní kvůli datům a finančním prostředkům, které mohou obsahovat. Kompromitovaný e-mailový účet může aktivovat kompromitaci firemního e-mailu: například podvody s firemními platbami jsou typem podvodu, při kterém zločinci přizpůsobí e-mail organizaci, vydávají se za legitimní kontakt a snaží se přesměrovat platby nebo získat citlivé informace.

Kompromitovaný účet správce může být ještě škodlivější. Může útočníkům umožnit resetovat hesla, přistupovat k dalším systémům, exportovat data nebo oslabit bezpečnostní prvky. Jakmile k tomu dojde, jediná kompromitovaná identita může vést k mnohem rozsáhlejšímu incidentu.

I běžné účty zaměstnanců mohou být připojeny k:

• E-mailu a kalendářům.
• Nástrojům CRM a zákaznické podpory.
• Systémům HR a mzdovým systémům.
• Cloudovému úložišti.
• Interní chatovací a kolaborativní platformy.
• Sdílené přihlašovací údaje a trezory hesel.
• Nástroje pro vývojáře nebo infrastrukturu.
  

Ovládnutí firemního účtu jde nad rámec pouhého podvodu. Jedná se o problém s řízením přístupu, který může mít důsledky pro celou organizaci.

Signály detekce, na které by si firmy měly dávat pozor

Vzhledem k tomu, že k převzetí účtu často dochází pomocí platných přihlašovacích údajů, závisí detekce na rozpoznání neobvyklého chování.

• Neobvyklé časy nebo umístění přihlášení: Přihlášení z neznámé země, regionu nebo v neobvyklou dobu může být podezřelé, zejména pokud po něm následují změny konfigurace.
• Neočekávané žádosti o resetování hesla: Zaměstnanci, kteří obdrží e-maily s žádostí o resetování, o které nežádali, mohou pozorovat rané známky pokusu o ovládnutí účtu.
• Neznámá zařízení nebo prohlížeče: Přihlášení z dosud neviděného zařízení stojí za prověření, zejména v kombinaci s neobvyklým přístupem k aplikacím nebo chováním při sdílení.
• Výzvy 2FA, které neinicioval majitel účtu: Neočekávaná schválení 2FA mohou signalizovat, že někdo již má heslo k účtu a pokouší se proniknout přes druhou vrstvu.
• Změny v e-mailové schránce nebo pravidlech přesměrování: Útočníci, kteří kompromitují e-mailové účty, často vytvářejí pravidla pro skrytí zpráv, přeposílání pošty nebo zachování přístupu.
• Neobvyklá aktivita v citlivých nástrojích: Pokud uživatel náhle přistupuje k finančním systémům, ovládacím panelům správce, exportům nebo sdíleným tajným klíčům způsobem, který neodpovídá jeho běžným povinnostem, může to znamenat kompromitaci.
• Podezřelé změny v trezorech nebo sdílených přihlašovacích údajích: Pokud jsou hesla měněna, znovu sdílena nebo je k nim přistupováno neobvyklým způsobem, může to být známkou zneužití účtu spíše než běžné spolupráce.

Dopad ovládnutí účtu na podnikání

Důvodem, proč je podvod s ovládnutím účtu tak závažný, je skutečnost, že jedna kompromitovaná identita může náhle způsobit několik druhů škod. Existuje bezprostřední riziko podvodu. Útočník se může vydávat za vedoucího pracovníka, zaměstnance nebo dodavatele a žádat o změny plateb nebo důvěrné informace.

Existuje také riziko úniku dat. Kompromitovaný účet může odhalit smlouvy, údaje o zákaznících, interní soubory nebo citlivou komunikaci.

Dále je tu provozní riziko. Týmy mohou být nuceny zablokovat účty, obměnit přihlašovací údaje, odvolat přístupy, kontrolovat logy, ověřovat komunikaci a kontrolovat laterální pohyb v síti.

Pokud útočník pronikne do systémů s vyšším oprávněním, může incident eskalovat daleko za hranice jednoho kompromitovaného účtu. Může být schopen implementovat ransomware, udržovat si přístup ke kritickým systémům nebo aktivovat širší kompromitaci v celém prostředí.

V tomto bodě již nejde jen o zabezpečení identity uživatele. Problém může narušit provoz, zpozdit obnovu a ovlivnit schopnost organizace normálně fungovat, a proto je nutné s ovládnutím účtu počítat v plánu kontinuity podnikání.

Váš praktický plán reakce pro případ podezření na ovládnutí účtu

I při zavedení silných preventivních kontrol musí být firmy připraveny rychle reagovat při podezření na ovládnutí účtu. Rychlá a strukturovaná reakce může pomoci zastavit incident dříve, než se rozšíří do dalších systémů nebo pracovních postupů.

1. Prvním krokem je omezení rizika dočasnou deaktivací zasaženého účtu, odvoláním aktivních relací a resetováním přihlašovacích údajů. Týmy by pak měly prověřit nedávnou aktivitu přihlášení a veškeré podezřelé změny spojené s účtem. Pokud má účet širší oprávnění nebo přístup k citlivým nástrojům, měla by být reakce ještě rychlejší.
2. Odtud by se pozornost měla přesunout k rozsahu incidentu. Firmy musí pochopit, k čemu útočník mohl v rámci účtu přistupovat, co mohl změnit nebo použít, včetně e-mailových pravidel, připojených aplikací, sdílených přihlašovacích údajů a známek laterálního pohybu.
3. Důležité je také omezit jakoukoli související expozici. Kompromitovaná identita může ovlivnit finanční procesy, komunikaci s dodavateli, interní nástroje nebo zákaznická data, takže reakce by se neměla zastavit pouze u samotného účtu.
4. Jakmile je bezprostřední riziko pod kontrolou, měl by být incident využit k posílení toho, co selhalo, ať už to znamená zlepšení hygieny přihlašovacích údajů, zpřísnění vynucování 2FA nebo zlepšení detekce prostřednictvím logů aktivit a pracovních postupů sledování identity. Tyto nástroje pomáhají odhalit podezřelé vzorce přihlášení, jako jsou neobvyklá umístění, opakované neúspěšné pokusy, přístup v neobvyklých hodinách nebo neočekávané změny účtu, aby bezpečnostní týmy mohly provést šetření dříve.

Budování silnější bezpečnostní kultury v oblasti přístupu k účtům

Převzetí ovládnutí účtu se daří, když je přístup vnímán spíše jako otázka pohodlí než jako bezpečnostní disciplína.

Silnější bezpečnostní kultura znamená, že zaměstnanci chápou, že přihlašovací údaje nejsou jen osobní přihlášení. Jsou to přístupové klíče k podnikovým systémům, důvěře zákazníků a kontinuitě provozu. Znamená to také, že organizace činí z bezpečné cesty cestu snadnou tím, že týmům poskytují vhodné nástroje, jasné zásady a centralizovanou podporu.

Právě zde spolupracují podnikoví správci hesel, přístupové klíče, sledování temného webu, silnější postupy 2FA a bezpečné ukončení pracovního poměru. Tyto kontrolní mechanismy pomáhají omezit opakované používání přihlašovacích údajů, zlepšují hygienu účtů a omezují škody, které může způsobit jeden kompromitovaný účet.

Detekce patří do širší monitorovací vrstvy, ale správci hesel ji mohou stále podporovat generováním logů a reportů, které slouží jako podklad pro vyšetřovací a výstražné systémy. Společně tyto prvky ztěžují provedení ovládnutí účtu a usnadňují jeho zastavení.

Jak Proton Pass for Business snižuje riziko ovládnutí účtu

Mnohé incidenty ovládnutí účtu začínají uniklými, slabými nebo opakovaně používanými přihlašovacími údaji a poté eskalují, protože zaměstnanci nemají konzistentní způsob, jak generovat silná hesla, bezpečně je ukládat, spolehlivě používat 2FA nebo rozpoznat včasné známky úniku. Proton Pass for Business snižuje toto riziko tím, že usnadňuje uplatňování silnějších postupů pro účty napříč týmy, místo aby je pouze doporučoval.

Silnější hygiena hesel ve velkém měřítku

Zabezpečený správce hesel podporuje generování silných hesel, automatické vyplňování, bezpečné úložiště a bezpečné sdílení, což pomáhá týmům upustit od opakovaného používání hesel, zahlcení prohlížečů a neformálního nakládání s přihlašovacími údaji.

To je zásadní pro prevenci ovládnutí účtu, protože útočníci se často spoléhají na opakované používání hesel a předvídatelné přihlašovací návyky, aby z jednoho uniklého přihlašovacího údaje získali přístup k několika službám. Proton Pass podporuje také přístupové klíče, které u podporovaných služeb snižují závislost na heslech a nabízejí ochranu při přihlašování odolnou vůči phishingu. Nabízí také vestavěný 2FA autentizátor a automatické vyplňování kódů TOTP, což usnadňuje důsledné používání silnějších přihlašovacích návyků.

Lepší přehled o uniklých a rizikových přihlašovacích údajích

Proton Pass obsahuje funkci Pass Monitor, která nabízí přehled o síle hesla, upozornění na sledování temného webu u e-mailů, u nichž došlo k úniku informací, a přehled o neaktivním 2FA. V praxi to organizacím pomáhá identifikovat slabé, opakovaně používané nebo již uniklé přihlašovací údaje dříve, než budou zneužity při útoku typu „credential stuffing“ nebo následných pokusech o ovládnutí účtu.

Firemní správce hesel je ideální pro prevenci ovládnutí účtu. Pomáhá členům týmu bezpečně ukládat a spravovat přihlašovací údaje a zároveň pomáhá týmům identifikovat ty, u nichž je nejpravděpodobnější vznik následného rizika.

Použitelnější 2FA při každodenní práci

2FA pomáhá zajistit, aby ukradené heslo bylo samo o sobě méně užitečné, ale jeho zavádění často selhává, pokud působí nepohodlně nebo roztříštěně. Proton Pass zde pomáhá podporou vestavěného 2FA autentizátoru a automatického vyplňování kódů OTP, což usnadňuje důsledné používání silnějších přihlašovacích návyků u podporovaných účtů. Nenahrazuje to sice širší kontrolu identity, ale zmenšuje to jednu z praktických mezer, které útočníci často využívají.

Správcovská kontrola a bezpečnostní signály podporující vyšetřování

Proton Pass přispívá také k užitečnému přehledu pro správce a zabezpečení prostřednictvím hlášení, logů a informací o aktivitě. To organizacím pomáhá kontrolovat aktivitu související s přihlašovacími údaji, podporovat interní vyšetřování a v případě potřeby předávat relevantní signály do širších bezpečnostních procesů.

Jak Proton Sentinel doplňuje Proton Pass for Business

Proton Sentinel je pokročilý program ochrany účtů dostupný u vybraných plánů Proton, který vytváří silnější vrstvu ochrany samotných účtů Proton, včetně přísnějších výzev při podezřelých pokusech o přihlášení, většího přehledu o přihlášeních a změnách účtů a nepřetržité eskalace podezřelých událostí bezpečnostním analytikům.

Díky tomu je důležitý pro ochranu přístupu k účtu Proton a v rozšířeném smyslu i pro citlivá data uložená v rámci služeb Proton. Neměl by však být prezentován tak, jako by detekoval podezřelá přihlášení v celém firemním prostředí SaaS.

Proton Pass for Business pomáhá snižovat riziko ovládnutí účtu zlepšením hygieny hesel, usnadněním používání MFA, dřívějším odhalením uniklých nebo slabých přihlašovacích údajů a lepším přehledem o tom, jak jsou přihlašovací údaje spravovány v celé organizaci. Zatímco Proton Pass for Business posiluje postupy u přihlašovacích údajů, které útočníci nejčastěji zneužívají, Proton Sentinel může přidat další vrstvu ochrany samotného účtu Proton.

Jste připraveni začít? Chraňte své firemní účty před ovládnutím pomocí služby Proton Pass – vyzkoušejte ji zdarma nebo se obraťte na náš prodejní tým.