Кража учетных записей пользователей (Account Takeover, ATO) стала одной из наиболее прибыльных и малозаметных угроз современного цифрового пространства. Классический пример такой атаки — взлом аккаунтов стриминговых сервисов с последующей перепродажей на черных рынках. Злоумышленники используют слабые или повторно используемые пароли для получения доступа к учетным записям, а затем предлагают их под заголовками вроде «ПОЖИЗНЕННЫЙ ДОСТУП К СТРИМИНГОВОМУ СЕРВИСУ — ВСЕГО 4 ДОЛЛАРА».
Согласно отчету компании Flare «Экономика захвата аккаунтов и сессий», масштаб проблемы поражает. Медианный показатель компрометации учетных записей составляет 1,4% среди платформ с пользовательской базой от 5 до 300 миллионов человек. Ежемесячно на черных рынках появляется более 100 000 новых скомпрометированных аккаунтов в таких отраслях как электронная коммерция, игровая индустрия, продуктивные SaaS-решения и стриминговые сервисы. Крупные платформы, включая Netflix, Epic Games и Wayfair, постоянно сталкиваются с тысячами уязвимых аккаунтов.
Современные методы атак стали значительно изощреннее. Вместо прямого взлома паролей злоумышленники всё чаще используют перехват сессий, который позволяет обходить даже многофакторную аутентификацию (MFA). Атакующие применяют вредоносное ПО класса «инфостилер» для кражи файлов cookie сессий. Имея эти данные, им не требуется знать пароли — достаточно внедрить украденный токен сессии в браузер с помощью специальных инструментов анти-детекта. Такие атаки не вызывают предупреждений системы безопасности и не требуют повторного прохождения MFA.
Экономический ущерб от ATO-атак складывается из трех основных категорий: затраты на обработку инцидентов, прямые убытки от мошенничества и потеря клиентов. Согласно отчету Sift за 2023 год, 73% пользователей считают, что ответственность за предотвращение кражи аккаунтов лежит на компаниях, а не на самих пользователях. Показательный расчет для стримингового сервиса со 100 миллионами пользователей при годовой подписке в 120 долларов: если компрометации подвергнется всего 0,5% аккаунтов (500 000 пользователей), то при сценарии с 20% оттока клиентов годовые потери составят 12 миллионов долларов, а при 73% оттоке — уже 44 миллиона долларов.
Для противодействия этой угрозе специалисты рекомендуют в первую очередь мониторить экосистему инфостилеров. Статистика показывает 26-процентный рост случаев компрометации, связанных с кражей учетных данных и cookies за последний год. По данным отчета Verizon DBIR 2025, 88% базовых атак на веб-приложения связаны с использованием украденных учетных данных.
Второй ключевой рекомендацией является своевременное обнаружение и устранение скомпрометированных аккаунтов. Эффективное решение предполагает комбинирование разведданных о действующих инфостилерах с системами управления идентификацией и доступом. Это позволяет внедрить проактивный мониторинг и автоматическое устранение угроз до того, как они нанесут существенный ущерб.
Третий важный аспект — коммуникация с клиентами, ориентированная на безопасность. Согласно отчету Sift, только 43% жертв кражи аккаунтов получили уведомление от компаний о взломе. Прозрачность в вопросах безопасности укрепляет лояльность клиентов и повышает уровень доверия к бренду, что критически важно в условиях растущей конкуренции.
Ник Асколи, директор по продуктовой стратегии компании Flare, подчеркивает, что проблема кражи аккаунтов требует комплексного подхода. Асколи, эксперт в области исследования угроз, утечек данных и обнаружения атак, активно участвует в кибербезопасном сообществе, выступая на подкастах, конференциях и поддерживая проекты с открытым исходным кодом. По его мнению, только сочетание технических мер защиты с правильной коммуникационной стратегией позволит эффективно противостоять растущей угрозе кражи цифровых идентичностей.
Изображение носит иллюстративный характер
Согласно отчету компании Flare «Экономика захвата аккаунтов и сессий», масштаб проблемы поражает. Медианный показатель компрометации учетных записей составляет 1,4% среди платформ с пользовательской базой от 5 до 300 миллионов человек. Ежемесячно на черных рынках появляется более 100 000 новых скомпрометированных аккаунтов в таких отраслях как электронная коммерция, игровая индустрия, продуктивные SaaS-решения и стриминговые сервисы. Крупные платформы, включая Netflix, Epic Games и Wayfair, постоянно сталкиваются с тысячами уязвимых аккаунтов.
Современные методы атак стали значительно изощреннее. Вместо прямого взлома паролей злоумышленники всё чаще используют перехват сессий, который позволяет обходить даже многофакторную аутентификацию (MFA). Атакующие применяют вредоносное ПО класса «инфостилер» для кражи файлов cookie сессий. Имея эти данные, им не требуется знать пароли — достаточно внедрить украденный токен сессии в браузер с помощью специальных инструментов анти-детекта. Такие атаки не вызывают предупреждений системы безопасности и не требуют повторного прохождения MFA.
Экономический ущерб от ATO-атак складывается из трех основных категорий: затраты на обработку инцидентов, прямые убытки от мошенничества и потеря клиентов. Согласно отчету Sift за 2023 год, 73% пользователей считают, что ответственность за предотвращение кражи аккаунтов лежит на компаниях, а не на самих пользователях. Показательный расчет для стримингового сервиса со 100 миллионами пользователей при годовой подписке в 120 долларов: если компрометации подвергнется всего 0,5% аккаунтов (500 000 пользователей), то при сценарии с 20% оттока клиентов годовые потери составят 12 миллионов долларов, а при 73% оттоке — уже 44 миллиона долларов.
Для противодействия этой угрозе специалисты рекомендуют в первую очередь мониторить экосистему инфостилеров. Статистика показывает 26-процентный рост случаев компрометации, связанных с кражей учетных данных и cookies за последний год. По данным отчета Verizon DBIR 2025, 88% базовых атак на веб-приложения связаны с использованием украденных учетных данных.
Второй ключевой рекомендацией является своевременное обнаружение и устранение скомпрометированных аккаунтов. Эффективное решение предполагает комбинирование разведданных о действующих инфостилерах с системами управления идентификацией и доступом. Это позволяет внедрить проактивный мониторинг и автоматическое устранение угроз до того, как они нанесут существенный ущерб.
Третий важный аспект — коммуникация с клиентами, ориентированная на безопасность. Согласно отчету Sift, только 43% жертв кражи аккаунтов получили уведомление от компаний о взломе. Прозрачность в вопросах безопасности укрепляет лояльность клиентов и повышает уровень доверия к бренду, что критически важно в условиях растущей конкуренции.
Ник Асколи, директор по продуктовой стратегии компании Flare, подчеркивает, что проблема кражи аккаунтов требует комплексного подхода. Асколи, эксперт в области исследования угроз, утечек данных и обнаружения атак, активно участвует в кибербезопасном сообществе, выступая на подкастах, конференциях и поддерживая проекты с открытым исходным кодом. По его мнению, только сочетание технических мер защиты с правильной коммуникационной стратегией позволит эффективно противостоять растущей угрозе кражи цифровых идентичностей.
