Furto di account

Il furto di account (Account Takeover - ATO) è una forma di furto d'identità e frode in cui una terza parte malintenzionata riesce a ottenere l'accesso alle credenziali dell'account di un utente.

Fingendo di essere il vero utente, i criminali informatici possono modificare i dettagli dell'account, inviare e-mail di phishing, rubare informazioni finanziarie o dati sensibili, o utilizzare le informazioni rubate per accedere ad altri account all'interno dell'organizzazione.

Mentre la proliferazione della comunicazione digitale ha reso tutti i dipendenti vulnerabili al furto di account (un recente studio di Javelin ha riportato perdite superiori a 13 miliardi di dollari associate al furto di account nel solo 2023), i dipartimenti più a rischio sono IT, risorse umane e gestione di alto livello. Questi team hanno accesso diretto a dati sensibili, informazioni finanziarie e infrastrutture di sicurezza.

Gli attacchi di furto di account non discriminano le aziende per dimensione, settore o posizione. Tradizionalmente, gli attaccanti hanno principalmente preso di mira le organizzazioni più grandi, ma l'ubiquità crescente delle informazioni digitali e la facilità di distribuzione della tecnologia di sicurezza illegale significano che la classica "rete di sicurezza" delle piccole aziende non è più una realtà. Infatti, poiché le aziende più piccole sono talvolta meno vigili riguardo attività insolite al momento del login, della creazione di account o del reset della password, possono essere obiettivi più attraenti rispetto alle grandi corporazioni. Ciò significa che è importante per tutte le organizzazioni essere proattive per prevenire gravi problemi di furto di account.

La crescita della comunicazione digitale e dell'archiviazione dei dati significa che i criminali informatici hanno più punti di accesso quando tentano di accedere alle informazioni personali degli utenti. Inoltre, poiché le persone non sono sempre diligenti nell'usare password robuste, i criminali informatici non hanno bisogno di informazioni altamente sensibili per ottenere con successo l'accesso a un account. analisi del 2023 di NordPass ha rivelato che le prime cinque password in uso erano una combinazione di numeri sequenziali (ad es., “123456”) o semplicemente “admin.”

Gli hacker cercheranno il punto di accesso più semplice e costruiranno il furto di account da lì. Può iniziare con qualsiasi dato personale utilizzato al momento dell'accesso, come un indirizzo e-mail, nome completo, data di nascita o città di residenza, tutti facilmente reperibili con una ricerca minima.

Una volta che un hacker prende il controllo del canale di comunicazione principale di un utente, può modificare tutto ciò a cui l'account dà accesso, come domande di sicurezza, password, impostazioni di crittografia e nomi utente. Questo blocco completo può persino far sembrare sospetto l'utente effettivo quando tenta di risolvere il problema, poiché non conosce più le informazioni aggiornate associate all'account.

Malware

Gli hacker utilizzano malware per il furto di account distribuendo vari tipi di software dannoso che si infiltrano nel dispositivo o nella rete di un utente. Questo malware può assumere la forma di keylogger che registrano le sequenze di tasti, spyware che monitorano l'attività dell'utente o programmi più complessi che intercettano il traffico di rete. Una volta installato, il malware raccoglie informazioni sensibili come le credenziali di accesso, catturandole direttamente mentre vengono inserite, rubandole dai luoghi in cui sono memorizzate o intercettandole durante la trasmissione.

Phishing

Uno dei 13 tipi di minacce e-mail più popolari, i criminali informatici utilizzano corrispondenza di phishing per ingannare gli utenti e far loro rivelare le proprie informazioni personali tramite e-mail. Mentre le e-mail di phishing possono essere automatizzate e più facili da individuare, le e-mail di spear phishing sono altamente mirate e più ingannevoli.

Credential stuffing

Questa tecnica sfrutta l'abitudine delle persone di riutilizzare le password. I criminali informatici ottengono credenziali rubate o trapelate da varie aziende (o acquistate dal dark web). Testano quindi quelle credenziali su più siti web nella speranza di trovare casi in cui una vittima utilizza le stesse informazioni di accesso su più account.

Cookie

Gli hacker utilizzano i cookie per il furto di account sfruttando i cookie di sessione, che sono piccoli pezzi di dati memorizzati sul dispositivo di un utente per mantenere il loro stato di accesso sui siti web.

Quando un utente accede a un sito, il server genera un cookie di sessione che viene memorizzato nel browser dell'utente. Gli hacker possono rubare questi cookie attraverso vari metodi, come gli attacchi di cross-site scripting (XSS) e l'iniezione di script dannosi nelle pagine web che catturano i cookie quando gli utenti visitano la pagina. Un altro metodo è attraverso attacchi man-in-the-middle (MitM), che gli hacker utilizzano per intercettare e rubare i cookie durante la trasmissione su reti non sicure.

Una volta che l'hacker ottiene il cookie di sessione, può impersonare l'utente iniettando il cookie rubato nel proprio browser, ottenendo così l'accesso all'account dell'utente senza conoscere le effettive credenziali di accesso. Questo consente loro di eseguire azioni come se fossero l'utente legittimo, portando a potenziali furti di dati, frodi finanziarie e altre attività dannose.

Vulnerabilità delle applicazioni

Gli hacker sfruttano le vulnerabilità delle applicazioni per il furto di account, mirando alle debolezze nelle applicazioni web e nei loro sistemi sottostanti. Le tecniche comuni includono SQL injection per bypassare l'autenticazione e accedere direttamente ai dati degli utenti dai database, XSS per rubare i token di sessione e lo sfruttamento di meccanismi di autenticazione difettosi per indovinare o forzare le password. Possono anche sfruttare riferimenti diretti a oggetti non sicuri, configurazioni di sicurezza errate, validazione insufficiente degli input e vulnerabilità delle API.

Questi metodi consentono agli attaccanti di aggirare le normali misure di sicurezza, rubare credenziali, manipolare dati dell'account o ottenere accesso non autorizzato agli account utente. L'obiettivo finale è prendere il controllo degli account utente legittimi, il che apre la strada al furto di dati, frodi finanziarie e altri atti dannosi.

botnet

Gli hacker utilizzano bot per violare gli account dei clienti. Questi bot possono inserire password e nomi utente comunemente usati per eseguire attacchi ad alto volume e rapidi e prendere il controllo del numero massimo di account, il tutto rimanendo nascosti alla vista immediata. Poiché i bot si distribuiscono da più posizioni, è più difficile identificare gli indirizzi IP dannosi che effettuano l'accesso.

Social engineering

Negli attacchi di social engineering, i responsabili del furto di account ricercano database aperti e social media, cercando informazioni pertinenti come nome, posizione, numero di telefono o nomi di familiari — qualsiasi cosa che possa aiutare a indovinare una password.

La maggior parte degli attacchi di furto di account cerca di ottenere l'accesso a dati sensibili e informazioni finanziarie. Pertanto, è essenziale che dipartimenti come IT, HR e gestione rimangano consapevoli dei rischi associati alle loro responsabilità.

• Il dipartimento IT gestisce l'infrastruttura tecnica, inclusa la sicurezza e la gestione dei dati — un account IT compromesso potrebbe portare a una rete compromessa o a un grave furto di dati.
• HR ha accesso a informazioni sensibili dei dipendenti ed è responsabile della gestione delle buste paga e di altri dati finanziari, che sono altamente preziosi per i criminali informatici.
• I dirigenti di livello superiore hanno accesso e autorità su parti importanti di un'organizzazione — l'accesso ai loro account potrebbe portare a frodi finanziarie o furto di dati.

Target popolari di furto di account

Ecco uno sguardo più dettagliato sui tipi di organizzazioni a rischio di furto di account:

Piccole e medie imprese (PMI)

Le PMI possono essere bersagli principali per attacchi di furto di account a causa delle loro vulnerabilità uniche. Queste organizzazioni hanno generalmente meno risorse per la sicurezza informatica e potrebbero non avere la competenza tecnica necessaria per implementare misure di sicurezza robuste, con il 51% delle piccole imprese che non implementano alcuna misura di sicurezza informatica.

Spesso utilizzano molteplici piattaforme online per varie operazioni aziendali, creando una superficie di attacco più ampia per i criminali informatici.

Istituzioni finanziarie

Banche, cooperative di credito e altre istituzioni finanziarie sono obiettivi desiderabili per gli attacchi di furto di account. Detengono enormi quantità di dati personali e finanziari sensibili dei loro clienti, rendendo le violazioni riuscite estremamente redditizie.

Le banche regionali più piccole possono essere particolarmente vulnerabili se dispongono di misure di sicurezza obsolete. Inoltre, i severi requisiti normativi a cui devono conformarsi possono talvolta creare vulnerabilità legate alla conformità che gli attaccanti possono sfruttare, poiché le agenzie di regolamentazione potrebbero aver bisogno di accedere ai dati per valutare le pratiche di gestione e protezione.

Siti di e-commerce

Le piattaforme di e-commerce sono frequentemente prese di mira (rappresentando 64% degli attacchi informatici) a causa dei preziosi dati dei clienti che memorizzano, inclusi nomi, indirizzi e informazioni di pagamento. Questi siti elaborano un elevato volume di transazioni, fornendo agli attaccanti un ampio bacino di potenziali obiettivi.

Molti clienti riutilizzano le password su più account, aumentando il rischio di furti di account diffusi se un sito viene violato. I siti di e-commerce sono particolarmente vulnerabili durante i periodi di picco dello shopping, quando i volumi di traffico elevati possono mascherare attività dannose.

Le aziende di e-commerce sono anche vulnerabili a metodi di frode al dettaglio più tradizionali, inclusi acquisti non autorizzati e frode con carte regalo tramite account compromessi. Gli account dei clienti in questo settore sono spesso venduti sul dark web, fornendo ai criminali informatici accesso a informazioni personali e dettagli di pagamento memorizzati.

Settore dei media e dell'intrattenimento

Gli attaccanti spesso prendono di mira il settore dei media e dell'intrattenimento. Ad esempio, 1 persona su 10 ha avuto il proprio account di streaming hackerato. I criminali informatici possono vendere le informazioni di accesso rubate, consentendo un accesso non autorizzato a questi servizi. Questo non solo comporta perdite finanziarie per le aziende, ma degrada anche l'esperienza utente per i clienti legittimi.

Settore dell'ospitalità

Hotel, compagnie aeree e altre attività nel settore dell'ospitalità sono spesso prese di mira per i loro account dei programmi di fidelizzazione e i saldi dei premi. Questi account contengono spesso informazioni personali preziose che gli attaccanti possono sfruttare per furto d'identità o frode. Inoltre, la natura transitoria dei servizi di ospitalità può rendere difficile rilevare e rispondere rapidamente ai furti di account.

Industria dello sport

Le organizzazioni sportive detengono informazioni sensibili come le trattative degli atleti e le cartelle cliniche, rendendole bersagli attraenti. La proprietà intellettuale e i documenti strategici in questo settore possono essere estremamente preziosi, potenzialmente influenzando i risultati delle partite o fornendo informazioni privilegiate per scopi di scommessa.

Industria dei videogiochi

L'industria dei giochi è presa di mira per le informazioni di pagamento in-game e gli asset virtuali, che possono avere un valore monetario nel mondo reale. Gli account di gioco compromessi sono spesso utilizzati anche per truffe di phishing che mirano ad altri giocatori, sfruttando la fiducia all'interno delle comunità di gioco.

Aziende tecnologiche

Le aziende tecnologiche sono bersagli principali a causa della preziosa proprietà intellettuale e dei dati utente che possiedono. L'accesso ai loro sistemi può portare a violazioni della sicurezza su larga scala, potenzialmente influenzando milioni di utenti e causando danni significativi alla reputazione.

Organizzazioni sanitarie

Le istituzioni sanitarie conservano cartelle cliniche altamente sensibili e informazioni personali, rendendole obiettivi attraenti per i cybercriminali. Le rigide normative che regolano questo settore implicano che le violazioni possano comportare gravi sanzioni finanziarie e perdita di fiducia dei pazienti.

Istituzioni educative

Le scuole e le università spesso hanno grandi reti con basi di utenti diversificate, rendendole difficili da proteggere. Possono detenere dati di ricerca preziosi e informazioni sugli studenti che possono essere sfruttati per vari scopi dannosi.

Agenzie governative

Le organizzazioni governative sono prese di mira per informazioni sensibili e opportunità di spionaggio potenziale. Le violazioni in questo settore possono avere implicazioni significative per la sicurezza nazionale e possono essere motivate sia da fattori finanziari che politici.

Exchange di criptovalute

Queste piattaforme contengono beni digitali preziosi che possono essere trasferiti rapidamente e anonimamente se compromessi. Il potenziale per guadagni finanziari elevati le rende bersagli frequenti di sofisticati attacchi informatici.

Il furto di account non è intrinsecamente utile per un criminale informatico. Ciò che accade dopo che ottengono l'accesso è dove avvengono i danni seri. Questi impatti possono influire sia sulle aziende che sugli individui:

• Attività
  • Vendita delle credenziali: Alcuni attaccanti rubano le credenziali dei dipendenti e le vendono sul dark web.
  • Business email compromise: Attaccanti sofisticati ruberanno le credenziali dei dipendenti chiave e le utilizzeranno per lanciare un attacco dall'indirizzo email reale del dipendente per impostare una transazione fraudolenta o un trasferimento di fondi.
  • Danno alla reputazione: Gli attacchi di furto di account possono colpire più utenti finali di un'organizzazione, causando danni a lungo termine alla reputazione della sicurezza e della privacy dei dati di un'azienda.
  • Conseguenze normative: A seconda dell'industria e della posizione, le aziende possono affrontare multe o sanzioni per non aver protetto adeguatamente i dati dei clienti.
  • Interruzioni operative: Gestire gli attacchi ATO può interrompere le normali operazioni aziendali poiché le risorse vengono deviate per affrontare il problema.
• Individuo
  • Ulteriore furto di account: Alcuni attaccanti utilizzano account compromessi per condurre attività di ricognizione e lanciare attacchi personalizzati.
  • Campagne di phishing: Alcuni hacker tentano di utilizzare account di posta elettronica violati per avviare campagne di phishing che passeranno inosservate.
  • Perdite finanziarie: Le vittime di frode da furto di account possono subire perdite finanziarie dirette se gli attaccanti utilizzano i loro account per effettuare acquisti o trasferimenti non autorizzati.
  • Furto d'identità: Le informazioni personali ottenute tramite frode da attacchi di furto di account possono essere utilizzate per un furto d'identità più ampio, potenzialmente influenzando molteplici aspetti della vita di una persona.
  • Stress emotivo: Gestire le conseguenze di un attacco ATO può essere stressante e richiedere tempo per le vittime.

Esistono diverse misure di sicurezza disponibili per proteggersi dal furto di account:

• Domande di sicurezza: Gli utenti devono rispondere a domande predefinite dopo aver fornito correttamente le password. Sebbene questa sia una forma fondamentale di aumento della sicurezza, aumenta la probabilità di proteggere da tentativi di accesso dannosi.
• Autenticazione a due fattori (2FA): Collegando un account separato, come un numero di telefono o un indirizzo email alternativo, puoi limitare l'accesso di dispositivi o indirizzi IP non riconosciuti a un account, anche se hanno la password.
• Blocco IP: Riconoscere tentativi di accesso multipli in arrivo da un unico IP è un ottimo segnale che qualcuno sta tentando di indovinare le password con la forza bruta o utilizzando elenchi di credenziali rubate per accedere agli account. Mantenere un elenco di blocco IP robusto può mitigare questi attacchi.
• Limiti di tentativi di accesso: Fornendo un numero finito di tentativi di accesso per gli account sicuri, i criminali informatici non possono spammare tentativi di accesso, sperando di trovare la password corretta. Questo è particolarmente efficace contro lo spam dei bot che proviene da indirizzi IP diversi.
• Tracciamento dei dispositivi: Il tracciamento e la visualizzazione delle posizioni di accesso possono aiutare a individuare attività sospette. Ad esempio, un accesso che continua a verificarsi a 200 miglia di distanza dall'utente può automaticamente segnalare al reparto IT che l'account dovrebbe essere bloccato.
• Formazione dei dipendenti: I dipendenti sono spesso l'ultima linea di difesa contro il furto di account, quindi è essenziale istruirli adeguatamente sui segni e sintomi di un account compromesso. Strumenti di formazione che mostrano interazioni di furto di account o e-mail di phishing possono aiutarli a proteggere la loro identità online ed evitare trucchi di ingegneria sociale.
• Sandboxing: Se gli account sono stati compromessi, è importante che esista una funzionalità per impedire ulteriore compromissione. Isolando un account sospetto, tutte le attività possono essere monitorate e interrotte se risultano, di fatto, dannose.
• Configurazione WAF: Un robusto web application firewall (WAF) può essere configurato per riconoscere e mitigare i tentativi di furto di account tramite politiche mirate che possono identificare credenziali rubate, segni di hacking brute-force o sonde di botnet.
• Rilevamento IA: I WAF tradizionali non sono sempre in grado di identificare attacchi di furto di account più sofisticati — le policy statiche possono essere ingannate a pensare che i tentativi di accesso dannosi siano effettivamente legittimi. Gli sviluppi recenti nella tecnologia IA sono stati sfruttati per identificare tecniche complesse di attacco al furto di account e possono monitorare il traffico di siti web e applicazioni web per rilevare attività sospette.
• Robustezza della password: Uno dei metodi a più bassa barriera per proteggersi contro il furto di account è creare e implementare una politica di password robuste. Richiedere ai dipendenti di creare password forti e di reimpostarle regolarmente mantiene le informazioni di accesso aggiornate e tiene i criminali informatici in sospeso.
• Protezione API e login: Gli hacker che utilizzano il credential stuffing possono lanciare tentativi di login ripetuti con nomi e password diversi, cercando di indovinare l'accesso ai tuoi account. Utilizzare una soluzione di sicurezza per login e API è un buon modo per identificare e bloccare questi attacchi.

Protezione dal furto d'identità Barracuda è un potente motore di intelligenza artificiale che apprende i modelli di comunicazione unici delle organizzazioni per identificare e bloccare in tempo reale gli attacchi di furto d'account. La sua protezione dal furto d'account previene e mitiga i danni causati dal furto d'account monitorando il traffico e-mail e identificando rapidamente gli account compromessi.

Barracuda Security Awareness Training fornisce formazione e simulazioni all'avanguardia per misurare la vulnerabilità dei tuoi dipendenti alle e-mail di phishing e agli attacchi di ingegneria sociale che potrebbero portare al furto di account. Puoi anche esplorare livelli di protezione più profondi con software Barracuda Email Protection di Barracuda.

Identificare i fattori di rischio umano può preparare la tua impresa a rilevare ed eliminare attacchi mirati lanciati da account compromessi. Contattaci ora se hai domande o desideri maggiori informazioni sulla protezione dal furto di account.