Tra i metodi più comuni che un hacker sfrutta per tentare un accesso non autorizzato ad un’organizzazione c’è sicuramente l’account takeover.
Si tratta della stessa tecnica di attacco che viene utilizzata per ottenere l’accesso ai dati finanziari di alcuni utenti, per i furti di identità e per perpetrare moltissimi altri reati informatici.

account takeover attack

Le aziende sono le prime interessate da questo fenomeno perché, se adeguatamente preparate ed equipaggiate possono talvolta rendersi conto dei tentativi di accesso e bloccarli, migliorando anche la reputazione agli occhi della clientela.

  1. Che cos’è l’account takeover?
  2. Tecniche di ingegneria sociale per il furto di account
  3. Account violato, come procede l’attacco?
  4. Segnali di allarme per episodi di account takeover un’azienda
  5. Quali categorie di aziende sono più a rischio
  6. Strategie per difendersi dall’account takeover

Account take over: di che cosa stiamo parlando

In generale, volendo dare una definizione rigorosa di account takeover (ATO) potremmo dire che è una forma di furto di identità in cui una terza parte accede illegittimamente ad un account che non gli appartiene per ottenere un profitto.

In altre parole, l’account takeover, o sequestro di account, è una forma di attacco informatico in cui un individuo non autorizzato riesce ad ottenere accesso ad un account di un utente legittimo, come ad esempio un account di posta elettronica, social media, o servizi bancari online. Una volta ottenuto l’accesso, l’attaccante può utilizzare le informazioni personali dell’utente e il controllo dell’account per compiere attività dannose, come ad esempio l’invio di spam, il furto di informazioni personali, la frode finanziaria, o il compromettere la reputazione dell’utente online.

Tecniche di ingegneria sociale per il furto degli account

Ovviamente per riuscire nell’appropriazione indebita dell’account di una persona, l’attaccante deve trovare un modo per carpire le sue credenziali o forzare l’accesso in altro modo. Ci sono diverse tipologie di attacco che possono portare al furto di identità online. Ecco le nostre ipotesi :

Credential hacking

Il malvivente riesce ad ottenere le credenziali di accesso all’e-mail della vittima.
Si tratta del caso più semplice perché molte persone utilizzano le medesime credenziali di accesso in molteplici occasioni. Inoltre, questa tecnica viene applicata anche nel caso in cui il proprietario della e-mail usi una password debole che può essere facilmente violata.

Credential stuffing (o breach replay attack)

Il criminale informatico riesce a mettere le mani su intere liste di credenziali utenti in seguito a data breach e violazioni varie. Anche se non conoscono a quale servizio corrispondano possono utilizzare le tecnologie dei bot i quali verificano l’attendibilità delle credenziali su un gran numero di siti fino a quando riescono ad entrare negli account.

Password spray

In questo caso, il malvivente attacca direttamente i siti web senza conoscere le credenziali di accesso di nessun utente. Si limita a provare a ripetizione diverse combinazioni di nomi utente e password più comuni nella speranza di trovare una combo funzionante.

Sim swapping

Può accedere che i pirati informatici riescano a scambiare la SIM di un telefono, in questo caso saranno in grado di intercettare i codici di accesso temporanei (OTP), convalidare le transazioni ed intercettare i secondi fattori di autenticazione.

Attacchi brute force

Sempre coadiuvati da un bot, i malviventi prendono di mira un account e provano tutte le combinazioni possibili di password fino ad individuare quella che sblocca l’accesso all’account. Una variante sono gli attacchi a dizionario, che testano solo le password più comuni o altri vocaboli.

Attacchi man in the middle

Un’ altra strategia è quella di frapporsi tra mittente e destinatario in uno scambio di informazioni, come è ad esempio la autenticazione, e intercettare i contenuti scambiati, che potrebbero essere nomi utente e password

Phishing

Il malcapitato può anche cedere le sue password direttamente al cyber criminale se finisce vittima di un attacco di phishing. In questo tipo di attacco l’aggressore escogita uno stratagemma per convincere il proprietario dell’account a rivelargli i suoi codici senza che lui se ne accorga.

Keylogger o stealer

Questi tipi di malware una volta installati su un dispositivo possono leggere le sequenze dei tasti usati per la digitazione o rubare le credenziali in altro modo.

Altri malware

Ci sono anche altri tipi di malware che sono in grado di aiutare l’aggressore a carpire i codici segreti di un utente, magari grazie a finestre pop-up o  reindirizzamenti.

Acquisto sul dark web

Non tutti gli hacker sono interessati portare avanti un attacco ATO di persona, ce ne sono alcuni che reputano sufficiente appropriarsi delle credenziali, verificarle attraverso delle applicazioni specifiche e rivenderle sul dark web. Queste operazioni sono comunque molto remunerative, basti pensare che l’accesso, ad esempio ad un singolo account Paypal può raggiungere i mille euro di valore e le credenziali di istituti bancari sono sullo stesso ordine di grandezza. Di conseguenza, se è disposto a pagare, un hacker può trovare ciò di cui necessita per portare avanti un account take over ben servito in un black market.

Account violato, come procede l’attacco?

L’account takeover può avvenire in diversi modi, ma più frequentemente gli attaccanti ricorrono alle tecniche di phishing o alle infezioni malware per ottenere le credenziali dell’utente. La tecnica di account takeover che sfrutta il phishing si predispone nel momento in cui l’attaccante invia un’email o un messaggio che sembra provenire da un’organizzazione legittima, come una banca o un social network, per indurre l’utente a fornire le sue credenziali.

La tecnica di account takeover che sfrutta i malware, invece, prevede che la minaccia software venga installata sul computer o sul dispositivo mobile dell’utente, con lo scopo di intercettare le informazioni di accesso.

Una volta ottenute le credenziali dell’utente, gli attaccanti possono accedere all’account dell’utente e compiere azioni dannose, come ad esempio inviare email spam, rubare informazioni personali o compiere frodi finanziarie.

Segnali di allarme per una azienda

Come ogni attività illecita, anche l’account takeover lascia delle tracce.
Accorgersi per tempo delle anomalie può in alcuni casi, portare alla risoluzione del problema prima di incorrere in danni irreparabili.

Ad esempio, se si nota attività sospetta sull’account, come email inviate o ricevute che non si ricorda di aver inviato o ricevuto, o se ci sono messaggi o contenuti pubblicati sui social media che non si ricorda di aver condiviso, potrebbe essere un segnale di un account takeover. Inoltre, se si notano modifiche alle impostazioni dell’account, come l’aggiunta di nuovi indirizzi email, numeri di telefono o metodi di pagamento, senza il proprio consenso, è possibile che l’account sia stato compromesso.

Altri segnali di un account takeover possono includere:

  • la mancata ricezione di messaggi o notifiche dell’account
  • il blocco dell’accesso all’account
  • la modifica della password, senza il proprio consenso.

In caso di sospetto account takeover, è importante agire prontamente e contattare l’assistenza clienti del servizio online coinvolto per segnalare il problema e adottare le misure necessarie per proteggere il proprio account.

Quali categorie sono piú a rischio

Inizialmente, questa minaccia iniziò a prendere di mira le organizzazioni finanziarie.
Oggi la realtà è mutata e praticamente tutte le organizzazioni sono potenziali vittime di questa minaccia.

Di conseguenza, il problema non è più limitato alle banche o agli istituti finanziari, ma coinvolge anche gli account di utenti che fanno parte di organizzazioni altrettanto strutturate come:

Strategie per difendere gli utenti dall’account takeover

Per quello che riguarda i singoli utenti è difficile che possano rendersi conto di un tentativo di account take over mentre è in atto.
Più frequentemente noteranno i pagamenti illeciti o l’account che non permette più l’accesso.

Come difendere la vostra azienda

Per proteggere un’organizzazione da attacchi account takeover è importante adottare alcune misure di sicurezza per prevenire l’accesso non autorizzato agli account online. In primo luogo, è consigliabile utilizzare password forti e uniche per ogni account e aggiornarle regolarmente.

Inoltre, l’utilizzo dell’autenticazione a due fattori può offrire un ulteriore livello di sicurezza, in quanto richiede l’inserimento di un codice di sicurezza aggiuntivo per accedere all’account. È inoltre importante prestare attenzione ai messaggi di phishing, evitando di cliccare su link sospetti o di fornire informazioni personali o di accesso a siti web non affidabili. Si consiglia inoltre di utilizzare software antivirus e di sicurezza aggiornati e di mantenere il proprio sistema operativo e le applicazioni sempre aggiornati. Infine, è importante monitorare regolarmente i propri account e attività online, in modo da rilevare eventuali attività sospette in modo tempestivo. Con queste misure di sicurezza, si può ridurre il rischio di account takeover e proteggere la propria attività online.

Conclusioni

Gli utenti sono spesso distratti o poco coscienti dei pericoli della rete, questo però li espone a dei rischi che inavvertitamente potrebbero estendersi anche ad altri utenti o coinvolgere addirittura delle intere aziende. E’ il caso dell’account take over, ovvero dell’accesso fraudolento di un estraneo al un account legittimo. Ci sono diverse azioni che ogni servizio delicato come il trattamento dei dati sanitari o finanziari dovrebbe compiere per difendere chi ogni giorni vi si affida. La buona notizia è che queste semplici azioni possono davvero contribuire a frenare la diffusione di questa minaccia estremamente proficua per i criminali.