Account takeover: cos'è e come combatterlo

Gli attacchi di Account Takeover (ATO) possono devastare individui e organizzazioni, dai profili personali ai sistemi aziendali. L'impatto finanziario è enorme; ad esempio, nel 2023 , le perdite globali causate dalle frodi ATO hanno superato i 13 miliardi di dollari.

Ma i danni non finiscono qui. Oltre alle perdite economiche, le organizzazioni devono affrontare gravi interruzioni operative e danni reputazionali duraturi, spesso molto più costosi di un furto diretto. Con un aumento stimato del 354% annuo degli incidenti ATO, questa forma di frode si sta diffondendo a un ritmo allarmante.

Questa guida esamina i veri rischi legati all'appropriazione indebita degli account, le strategie di attacco più comuni e le misure difensive che possono contribuire a proteggere definitivamente i tuoi sistemi.

L'acquisizione di un account è un crimine informatico in cui un utente non autorizzato ottiene il controllo totale o parziale dell'account di un utente legittimo. A differenza degli attacchi brute-force, l'ATO si basa in larga misura sull'inganno e sullo sfruttamento di punti deboli nei sistemi e nel comportamento degli utenti per passare inosservato.

È facile liquidare l'ATO come un problema di sicurezza informatica di nicchia, ma ha implicazioni di vasta portata su più fronti.

1. Una violazione porta all'altra

Gli aggressori raramente si fermano dopo aver compromesso un singolo account. L'accesso a un singolo account, come un'email, può rivelare informazioni sensibili che aprono le porte a sistemi interni più ampi.

2. Gli account rubati sono una merce

Le credenziali compromesse vengono spesso vendute nei mercati clandestini, alimentando un intero ecosistema di frodi finanziarie, riciclaggio di denaro e truffe messe in atto sotto le mentite spoglie di account legittimi.

3. Uno strumento per crimini più grandi

L'ATO è spesso coinvolto in programmi informatici più ampi, come ransomware, spionaggio o campagne di disinformazione. Ad esempio, se l'account di un dirigente senior viene compromesso, potrebbe essere utilizzato per diffondere email di phishing o divulgare dati proprietari.

4. Perdita di fiducia

La reputazione si guadagna con fatica e si danneggia facilmente. Ogni compromissione di un account erode la fiducia che utenti e partner ripongono nei vostri sistemi, e ricostruirla può richiedere anni.

Alcuni settori e tipologie di account attraggono gli aggressori più di altri. I criminali informatici tendono a concentrarsi su obiettivi che combinano un elevato potenziale di profitto con difese relativamente deboli.

Banche, piattaforme di trading e servizi fintech sono obiettivi evidenti, poiché garantiscono un accesso diretto ai fondi.

• Borse di criptovalute: le loro transazioni irreversibili e le normative incoerenti le rendono particolarmente vulnerabili.
• Servizi "acquista ora, paga dopo": queste piattaforme in rapida crescita spesso dispongono di sistemi di rilevamento delle frodi meno evoluti.

I rivenditori online detengono enormi volumi di account utente collegati ai dati di pagamento memorizzati. Gli aggressori li sfruttano per effettuare acquisti falsi, riscattare punti fedeltà o rivendere carte regalo rubate.

• Picchi stagionali: l'attività di attacco solitamente aumenta durante le festività e i principali eventi di vendita.
• Rischi omnicanale: l'integrazione di più sistemi (web, app, POS) può introdurre nuove vulnerabilità.

I dati dei pazienti, come i numeri di previdenza sociale e i dettagli dell'assicurazione, sono estremamente preziosi sul dark web.

• Portali per pazienti: comunemente presi di mira per commettere frodi di identità o frodi assicurative.
• Infiltrazione ransomware: le credenziali rubate possono essere utilizzate per lanciare attacchi ransomware che interrompono l'assistenza ai pazienti.

Le aziende tecnologiche, in particolare i fornitori SaaS , sono redditizie perché una violazione può compromettere gli ambienti di più clienti.

• Protezione API debole: le API che collegano vari servizi possono fungere da punti di ingresso.
• Account amministrativi: i loro privilegi elevati li rendono obiettivi particolarmente impattanti.

Le università e le scuole detengono una grande quantità di dati personali, accademici e finanziari. Gli aggressori li sfruttano per:

• Impersonare altri durante gli esami
• Accesso a ricerche riservate e proprietà intellettuale
• Manipolare i sistemi di tasse universitarie o di pagamento delle buste paga
• Commettere furto di identità utilizzando informazioni di studenti o personale

Nonostante le differenze tra i settori, i sistemi ad alto rischio tendono a condividere le seguenti caratteristiche:

• Grandi volumi di utenti
• Elevato valore del conto (finanziario o strategico)
• Metodi di autenticazione obsoleti o deboli
• Sistemi interconnessi che aumentano le superfici di attacco

Ogni incidente ATO si svolge solitamente in due fasi: raccolta di informazioni e sfruttamento dell'accesso.

Gli aggressori raccolgono informazioni personali attraverso vari mezzi:

• Violazioni dei dati: enormi fughe di dati di nomi utente, password e dati personali alimentano i mercati del dark web. Gli hacker spesso incrociano diverse violazioni per creare profili utente completi o prevedere modelli di password.
• Ingegneria sociale: tecniche come il vishing (phishing vocale), lo SMiShing (truffe tramite SMS) e il pretexting manipolano le vittime inducendole a rivelare le proprie credenziali.
• Data scraping: utilizzando l'intelligence open source ( OSINT ), gli aggressori raccolgono informazioni da registri pubblici e social media per elaborare schemi di phishing più convincenti.
• Malware: keylogger, spyware e strumenti per il furto di credenziali come Emotet o TrickBot catturano silenziosamente i dati di accesso nel tempo.

Una volta in possesso delle credenziali, gli aggressori utilizzano diversi metodi per dirottare gli account.

• Credential stuffing: strumenti automatizzati testano vaste combinazioni di nomi utente e password, sfruttando le credenziali riutilizzate.
• Password spraying: gli aggressori provano una singola password comune su più account.
• Session hijacking: intercettando i token di sessione attivi tramite attacchi man-in-the-middle o malware, i criminali ottengono il controllo temporaneo degli account.
• Sostituzione della SIM: i truffatori ingannano i fornitori di servizi di telecomunicazione inducendoli a trasferire il numero di telefono della vittima, consentendo loro di intercettare i codici 2FA basati su SMS.

Sebbene gli attacchi ATO siano sofisticati, le organizzazioni possono ridurre significativamente il rischio attraverso meccanismi di difesa a più livelli.

L'autenticazione a due fattori ( MFA ), nota anche come autenticazione a due fattori (2FA), aggiunge ulteriori livelli di verifica oltre alle password. Sebbene i codici basati su SMS siano comuni, sono soggetti a scambio di SIM. Alternative più sicure includono:

• Token di sicurezza hardware
• Password monouso basate sul tempo (TOTP) dalle app di autenticazione
• Autenticazione contestuale, che valuta la posizione di accesso, il dispositivo e il comportamento per decidere quando richiedere controlli più rigorosi

Incoraggiare gli utenti a creare password univoche e complesse e a modificarle regolarmente, senza seguire schemi prevedibili.

I gestori di password possono aiutare a generare e memorizzare credenziali sicure e i meccanismi di blocco dell'account dovrebbero attivarsi dopo ripetuti tentativi di accesso non riusciti.

Con un modello Zero Trust, nessun utente o dispositivo viene automaticamente considerato attendibile, nemmeno quelli interni.

• Applicare il principio del privilegio minimo per limitare i diritti di accesso degli utenti.
• Utilizzare la microsegmentazione di rete per isolare i sistemi e ridurre al minimo i movimenti laterali.
• Monitorare attentamente le richieste di accesso tramite dispositivi mobili e utilizzare sistemi automatizzati per sospendere gli account sospetti fino alla verifica.

L'autenticazione biometrica verifica l'identità di un utente confrontando i suoi tratti facciali con le immagini di riferimento memorizzate.

Soluzioni comeRegula Face SDK impiegano algoritmi avanzati in grado di gestire le variazioni di illuminazione e qualità dell'immagine, rilevando al contempo i tentativi di falsificare l'autenticazione con foto, video o maschere.

Il rilevamento della vitalità di Regula migliora ulteriormente la sicurezza analizzando tratti umani naturali, come i sottili riflessi della pelle e i micromovimenti, per garantire che durante il processo di verifica sia presente una persona reale.

Le frodi legate al furto di account sono in rapida crescita, e non mirano solo al profitto economico, ma anche alla fiducia e alla reputazione. Prevenirle richiede una combinazione di autenticazione avanzata, architettura di sicurezza moderna e strumenti di verifica avanzati.

Adottando l'autenticazione a più fattori, applicando una rigorosa igiene delle password, implementando i principi Zero Trust e integrando tecnologie biometriche, le organizzazioni possono essere un passo avanti ai criminali informatici e proteggere sia i propri sistemi sia i propri utenti.