Acquisizione del conto

Il furto di account (ATO) è una forma di furto di identità e frode in cui una terza parte malintenzionata riesce ad accedere con successo alle credenziali di un utente.

Posandosi come l'utente legittimo, i cybercriminali possono modificare i dettagli dell'account, inviare email di phishing, rubare informazioni finanziarie o dati sensibili, oppure utilizzare le informazioni rubate per accedere ad altri account all'interno dell'organizzazione.

Seppur la proliferazione della comunicazione digitale abbia reso vulnerabili tutti i dipendenti al furto di account (uno studio recente di Javelin ha riportato perdite superiori a 13 miliardi di dollari associate al furto di account solo nel 2023), i dipartimenti più a rischio sono IT, risorse umane e la dirigenza di alto livello. Questi team hanno accesso diretto a dati sensibili, informazioni finanziarie e infrastrutture di sicurezza.

Gli attacchi di furto di account non fanno discriminazioni tra aziende per dimensioni, settore o localizzazione. Tradizionalmente, gli attaccanti hanno mirato principalmente alle organizzazioni più grandi, ma la crescente ubiquità delle informazioni digitali e la facilità di distribuzione di tecnologie di sicurezza illegali significano che la "rete di sicurezza" delle piccole imprese non è più una realtà. In effetti, poiché le piccole imprese sono a volte meno vigili riguardo ad attività insolite durante il login, la creazione di account o il reset della password, possono essere obiettivi più attraenti rispetto alle grandi aziende. Ciò significa che è importante per tutte le organizzazioni essere proactive nel prevenire seri problemi di furto di account.

La crescita della comunicazione digitale e dello stoccaggio dei dati significa che i cybercriminali hanno più punti di accesso quando cercano di ottenere informazioni personali degli utenti. Inoltre, poiché le persone non sono sempre diligenti nell'utilizzare password robuste, i cybercriminali non hanno bisogno di informazioni altamente sensibili per ottenere con successo l'accesso a un account. Un'analisi del 2023 di NordPass ha rivelato che le cinque password più utilizzate erano una combinazione di numeri sequenziali (ad esempio, “123456”) o semplicemente “admin.”

Gli attaccanti cercheranno il punto di accesso più semplice e costruiranno il furto di account da lì. Può iniziare con qualsiasi dato personale utilizzato durante il login, come un indirizzo email, nome completo, data di nascita o città di residenza, tutti dati che possono essere trovati con una ricerca minima.

Una volta che un hacker prende il controllo del canale principale di comunicazione di un utente, può cambiare tutto ciò a cui l'account dà accesso, come le domande di sicurezza, le password, le impostazioni di crittografia e i nomi utente. Questo completo blocco può persino far sembrare sospetto l'utente legittimo quando cerca di risolvere il problema, poiché non conosce più le informazioni aggiornate associate all'account.

Malware

Gli hacker usano il malware per il furto di account distribuendo vari tipi di software maligno che infiltrano il dispositivo o la rete di un utente. Questo malware può assumere la forma di keylogger che registrano i tasti premuti, spyware che monitorano l'attività dell'utente o programmi più complessi che intercettano il traffico di rete. Una volta installato, il malware raccoglie informazioni sensibili, come le credenziali di accesso, catturandole direttamente mentre vengono inserite, rubandole da posizioni memorizzate o intercettandole durante la trasmissione.

Phishing

Una delle 13 tipologie di minacce via email popolari, i cybercriminali utilizzano le email di phishing per ingannare gli utenti e convincerli a rivelare le loro informazioni personali via email. Mentre le email di phishing possono essere automatizzate e più facili da individuare, le email di spear phishing sono altamente mirate e più ingannevoli.

Credential stuffing

Questa tecnica sfrutta l'abitudine delle persone di riutilizzare le password. I cybercriminali ottengono le credenziali rubate o trapelate da varie aziende (o acquistate nel dark web). Successivamente, testano queste credenziali su più siti web nella speranza di trovare casi in cui una vittima utilizzi le stesse informazioni di accesso su più account.

Cookie

Gli hacker utilizzano i cookie per il furto di account sfruttando i cookie di sessione, che sono piccoli frammenti di dati memorizzati sul dispositivo di un utente per mantenere lo stato di accesso su siti web.

Quando un utente accede a un sito, il server genera un cookie di sessione che viene memorizzato nel browser dell'utente. Gli hacker possono rubare questi cookie con vari metodi, come gli attacchi cross-site scripting (XSS) e iniettando script dannosi nelle pagine web che catturano i cookie quando gli utenti visitano la pagina. Un altro metodo è attraverso gli attacchi man-in-the-middle (MitM), che gli hacker usano per intercettare e rubare i cookie durante la trasmissione su reti non sicure.

Una volta che l'hacker ottiene il cookie di sessione, può impersonare l'utente iniettando il cookie rubato nel proprio browser, ottenendo così l'accesso all'account dell'utente senza conoscere le effettive credenziali di login. Ciò consente loro di eseguire azioni come se fossero l'utente legittimo, portando a potenziali furti di dati, frodi finanziarie e altre attività dannose.

Vulnerabilità delle applicazioni

Gli hacker sfruttano le vulnerabilità delle applicazioni per il furto di account prendendo di mira le debolezze nelle applicazioni web e nei loro sistemi sottostanti. Le tecniche comuni includono SQL injection per eludere l'autenticazione e accedere ai dati degli utenti direttamente dai database, XSS per rubare i token di sessione e l'esploitazione di meccanismi di autenticazione compromessi per indovinare o forzare le password. Possono anche sfruttare riferimenti diretti a oggetti insicuri, configurazioni di sicurezza errate, convalida insufficiente degli input e vulnerabilità delle API.

Questi metodi consentono agli attaccanti di eludere le misure di sicurezza normali, rubare credenziali, manipolare i dati degli account o ottenere accesso non autorizzato agli account degli utenti. L'obiettivo finale è prendere il controllo degli account utente legittimi, aprendo la porta al furto di dati, alle frodi finanziarie e ad altri atti dannosi.

Botnet

Gli hacker distribuiscono bot per entrare negli account dei clienti. Questi bot possono inserire password e nomi utente comunemente usati per eseguire attacchi ad alta velocità e ad alto volume, cercando di prendere il controllo del massimo numero di account, il tutto rimanendo nascosti alla vista immediata. Poiché i bot si distribuiscono da più posizioni, è più difficile identificare gli indirizzi IP dannosi che effettuano il login.

Ingegneria sociale

Negli attacchi di ingegneria sociale, i responsabili del furto di account ricercano database aperti e social media, cercando informazioni pertinenti come nome, località, numero di telefono o nomi dei familiari — tutto ciò che può aiutare a indovinare una password.

La maggior parte degli attacchi di furto di account cerca l'accesso a dati sensibili e informazioni finanziarie. Pertanto, è essenziale che dipartimenti come IT, risorse umane e dirigenza rimangano consapevoli dei rischi associati alle loro responsabilità.

• Il dipartimento IT gestisce l'infrastruttura tecnica, inclusi la sicurezza e la gestione dei dati — un account IT compromesso potrebbe portare a una rete compromessa o a un furto serio di dati.
• Le risorse umane (HR) hanno accesso a informazioni sensibili dei dipendenti e sono responsabili della gestione dei salari e di altri dati finanziari, che sono altamente preziosi per i cybercriminali.
• I dirigenti di alto livello hanno accesso e autorità su parti importanti di un'organizzazione — l'accesso ai loro account potrebbe portare a frodi finanziarie o furto di dati.

Obiettivi comuni per il furto di account

Ecco uno sguardo più dettagliato sui tipi di organizzazioni a rischio di furto di account:

Piccole e medie imprese (PMI)

Le PMI possono essere obiettivi privilegiati per gli attacchi di furto di account a causa delle loro vulnerabilità uniche. Queste organizzazioni di solito dispongono di meno risorse per la cybersicurezza e potrebbero non avere l'expertise tecnica per implementare misure di sicurezza robuste, con il 51% delle piccole imprese che non implementano alcuna misura di cybersicurezza.

Spesso utilizzano più piattaforme online per diverse operazioni aziendali, creando una superficie di attacco più ampia per i cybercriminali.

Istituti finanziari

Banche, cooperative di credito e altri istituti finanziari sono obiettivi ambiti per gli attacchi di furto di account. Contengono enormi quantità di dati sensibili e finanziari dei loro clienti, rendendo le violazioni di sicurezza estremamente redditizie.

Le banche regionali più piccole potrebbero essere particolarmente vulnerabili se hanno misure di sicurezza obsolete. Inoltre, i rigorosi requisiti normativi a cui devono aderire possono talvolta creare vulnerabilità legate alla conformità che gli attaccanti possono sfruttare, poiché le agenzie regolatorie potrebbero necessitare di accesso ai dati per valutare le pratiche di gestione e protezione.

Siti di e-commerce

Le piattaforme di e-commerce sono frequentemente prese di mira (rappresentano il 64% degli attacchi informatici) a causa dei preziosi dati dei clienti che memorizzano, tra cui nomi, indirizzi e informazioni di pagamento. Questi siti elaborano grandi volumi di transazioni, fornendo agli attaccanti un ampio pool di potenziali obiettivi.

Molti clienti riutilizzano le password su più account, aumentando il rischio di furti di account diffusi se uno dei siti viene compromesso. I siti di e-commerce sono particolarmente vulnerabili durante i periodi di shopping intenso, quando l'alto volume di traffico può nascondere attività dannose.

Le imprese di e-commerce sono anche vulnerabili a metodi più tradizionali di frode al dettaglio, tra cui acquisti non autorizzati e frodi con carte regalo tramite account compromessi. Gli account dei clienti in questo settore sono spesso venduti nel dark web, dando ai cybercriminali accesso a informazioni personali e dettagli di pagamento memorizzati.

Settore dei media e dell'intrattenimento

Gli attaccanti prendono spesso di mira il settore dei media e dell'intrattenimento. Ad esempio, 1 persona su 10 ha subito un hacking degli account di streaming. I cybercriminali possono vendere le informazioni di login rubate, consentendo l'accesso non autorizzato a questi servizi. Ciò non solo comporta perdite finanziarie per le aziende, ma degrada anche l'esperienza dell'utente per i clienti legittimi.

Settore dell'ospitalità

Hotel, compagnie aeree e altre imprese del settore dell'ospitalità sono frequentemente prese di mira per i loro account di programmi di fidelizzazione e saldi di premi. Questi account spesso contengono informazioni personali preziose che gli attaccanti possono sfruttare per furti d'identità o frodi. Inoltre, la natura transitoria dei servizi di ospitalità può rendere difficile rilevare e rispondere rapidamente ai furti di account.

Settore sportivo

Le organizzazioni sportive detengono informazioni sensibili come trattative con atleti e cartelle cliniche, rendendole obiettivi attraenti. La proprietà intellettuale e i documenti strategici in questo settore possono essere estremamente preziosi, influenzando potenzialmente l'esito delle partite o fornendo informazioni riservate per scopi di scommesse.

Industria dei videogiochi

Il settore dei videogiochi è preso di mira per le informazioni sui pagamenti in-game e gli asset virtuali, che possono avere un valore monetario nel mondo reale. Gli account di gioco compromessi vengono anche spesso utilizzati per truffe di phishing rivolte ad altri giocatori, sfruttando la fiducia all'interno delle comunità di gioco.

Aziende tecnologiche

Le aziende tecnologiche sono obiettivi principali a causa della preziosa proprietà intellettuale e dei dati degli utenti che detengono. L'accesso ai loro sistemi può portare a violazioni di sicurezza diffuse, influenzando potenzialmente milioni di utenti e causando danni significativi alla reputazione.

Organizzazioni sanitarie

Le istituzioni sanitarie archiviano registri medici altamente sensibili e informazioni personali, rendendole obiettivi attraenti per i cybercriminali. Le rigorose normative che governano questo settore significano che le violazioni possono comportare gravi sanzioni finanziarie e la perdita della fiducia dei pazienti.

Istituzioni educative

Le scuole e le università spesso possiedono grandi reti con basi di utenti diverse, rendendole difficili da proteggere. Possono detenere dati di ricerca preziosi e informazioni sugli studenti che possono essere sfruttate per vari scopi maligni.

Agenzie governative

Le organizzazioni governative sono prese di mira per informazioni sensibili e potenziali opportunità di spionaggio. Le violazioni in questo settore possono avere implicazioni significative per la sicurezza nazionale e possono essere motivate sia da fattori finanziari che politici.

Scambi di criptovalute

Queste piattaforme detengono asset digitali preziosi che possono essere rapidamente e anonimamente trasferiti se compromessi. Il potenziale di guadagni finanziari elevati le rende obiettivi frequenti di attacchi informatici sofisticati.

Il furto di account non è intrinsecamente utile per un cybercriminale. Ciò che accade dopo che ottengono l'accesso è dove avviene il danno serio. Questi impatti possono influenzare sia le aziende che gli individui:

• Per le aziende
  • Vendita delle credenziali: Alcuni attaccanti rubano le credenziali dei dipendenti e le vendono nel dark web.
  • Compromissione dell'email aziendale: Attaccanti sofisticati rubano le credenziali dei dipendenti chiave e le usano per lanciare un attacco dalla vera email del dipendente per impostare una transazione fraudolenta o un trasferimento di fondi.
  • Danno alla reputazione: Gli attacchi di furto di account possono colpire più utenti finali di un'organizzazione, causando danni a lungo termine alla reputazione della sicurezza e della privacy dei dati di un'azienda.
  • Conseguenze normative: A seconda del settore e della posizione, le aziende potrebbero affrontare multe o penalità per non aver protetto adeguatamente i dati dei clienti.
  • Disfunzioni operative: Gestire gli attacchi di ATO può interrompere le normali operazioni aziendali poiché le risorse vengono deviate per affrontare il problema.
• Per gli individui
  • Ulteriori furti di account: Alcuni attaccanti usano gli account compromessi per fare ricognizioni e lanciare attacchi personalizzati.
  • Campagne di phishing: Alcuni attaccanti cercano di usare gli account email hackerati per lanciare campagne di phishing che passeranno inosservate.
  • Perdite finanziarie: Le vittime di frodi da furto di account possono subire perdite finanziarie dirette se gli attaccanti usano i loro account per fare acquisti o trasferimenti non autorizzati.
  • Furto di identità: Le informazioni personali ottenute attraverso la frode degli attacchi di furto di account possono essere utilizzate per un furto di identità più ampio, potenzialmente influenzando più aree della vita di una persona.
  • Stress emotivo: Gestire le conseguenze di un attacco di ATO può essere stressante e richiedere molto tempo per le vittime.

Esistono diverse misure di sicurezza per proteggere contro il furto di account:

• Domande di sicurezza: Gli utenti devono rispondere a domande predeterminate dopo aver fornito correttamente la password. Sebbene questa sia una forma fondamentale di sicurezza aggiuntiva, aumenta la probabilità di proteggere gli account contro tentativi di accesso malevoli.
• Autenticazione a due fattori (2FA): Collegando un account separato, come un numero di telefono o un indirizzo email alternativo, è possibile limitare l'accesso da dispositivi o indirizzi IP non riconosciuti, anche se possiedono la password.
• Bloccare gli indirizzi IP: Riconoscere i tentativi di accesso ripetuti dallo stesso IP è un ottimo segnale che qualcuno sta cercando di indovinare la password con attacchi di forza bruta o sta usando elenchi di credenziali rubate per entrare negli account. Mantenere un elenco robusto di IP bloccati può ridurre questi attacchi.
• Limiti ai tentativi di accesso: Impostando un numero limitato di tentativi di accesso per gli account sicuri, i cybercriminali non possono inviare in massa tentativi di login sperando di indovinare la password giusta. Questo è particolarmente efficace contro lo spam dei bot proveniente da indirizzi IP diversi.
• Monitoraggio dei dispositivi: Monitorare e visualizzare le posizioni di login può aiutare a individuare attività sospette. Ad esempio, un login che continua a verificarsi a 200 miglia di distanza dall'utente può segnalare automaticamente al reparto IT che l'account dovrebbe essere congelato.
• Educazione dei dipendenti: I dipendenti sono spesso l'ultima linea di difesa contro il furto di account, quindi è fondamentale educarli adeguatamente sui segni e sintomi di un account compromesso. Strumenti di formazione che mostrano interazioni di furto di account o email di phishing possono aiutarli a proteggere la loro identità online e a evitare trucchi di ingegneria sociale.
• Sandboxing: Se gli account sono stati compromessi, è importante che esista una funzionalità per evitare ulteriori compromissioni. Creando un ambiente di isolamento (sandbox) per un account sospetto, tutte le attività possono essere monitorate e fermate se risultano malevoli.
• Configurazione del WAF: Un robusto firewall per applicazioni web (WAF) può essere configurato per riconoscere e mitigare i tentativi di furto di account attraverso politiche mirate che identificano credenziali rubate, segni di attacchi di forza bruta o tentativi di sondaggio da botnet.
• Rilevamento tramite AI: I WAF tradizionali non sono sempre in grado di identificare attacchi di furto di account più sofisticati — le politiche statiche possono essere ingannate facendole pensare che i tentativi di login malevoli siano effettivamente legittimi. I recenti sviluppi nella tecnologia AI sono stati utilizzati per identificare tecniche complesse di attacco di furto di account e possono monitorare il traffico di siti web e applicazioni per rilevare attività sospette.
• Forza della password: Una delle soluzioni con la barriera più bassa per proteggere contro il furto di account è creare e implementare una politica per password robuste. Richiedere ai dipendenti di creare password forti e di resettarle regolarmente mantiene fresche le informazioni di accesso e rende più difficile per i cybercriminali indovinare le password.
• Protezione delle API e dei login: I cybercriminali che usano il "credential stuffing" potrebbero lanciare tentativi di login ripetuti con nomi e password variabili, cercando di indovinare l'accesso agli account. Utilizzare una soluzione di sicurezza per login e API è un buon modo per identificare e bloccare questi attacchi.

Barracuda Impersonation Protection è un potente motore di intelligenza artificiale che apprende i modelli di comunicazione unici delle organizzazioni per identificare e bloccare gli attacchi di furto di account in tempo reale. La sua protezione contro il furto di account previene e mitiga i danni causati dal furto di account monitorando il traffico email e identificando rapidamente gli account compromessi.

Barracuda Security Awareness Training offre formazione avanzata e simulazioni per misurare la vulnerabilità dei tuoi dipendenti alle email di phishing e agli attacchi di ingegneria sociale che potrebbero portare al furto di account. Puoi anche esplorare livelli più profondi di protezione con il software Barracuda Email Protection di Barracuda.

Identificare i fattori di rischio umani può preparare la tua azienda a rilevare ed eliminare gli attacchi mirati lanciati da account compromessi. Contattaci ora se hai domande o desideri maggiori informazioni sulla protezione contro il furto di account.