Utilizzando metodi che ingannano, manipolano o sfruttano apertamente gli utenti fidati, gli aggressori mirano a sfruttare i meccanismi fondamentali della moderna verifica dell'identità e ad ottenere l'accesso all'account online di un utente. Una volta che indossano le sembianze dell'account di un utente, gli viene concesso un accesso più profondo a reti altrimenti strettamente difese.
Il richiamo di una porta così aperta ha visto la popolarità degli attacchi di acquisizione di account salire alle stelle negli ultimi due anni. Nel 2021, ad esempio, le transazioni online sono cresciute complessivamente del 65%, mentre gli attacchi di furto di account aumentato dell'233% su base annua. Ora sono così comuni che è sorto un settore completamente nuovo attorno al riciclaggio dei fondi rubati negli attacchi ATO. Organizzandosi e incontrandosi tramite Telegram, i criminali informatici lavorano insieme per connettere i conti bancari violati con i portafogli crittografici. L'aggressore ladro pubblicherà su tale gruppo l'importo dei fondi rubati, cercando un altro truffatore esperto nell'acquisizione di conti crittografici che offra un conto crittografico su cui caricare i fondi rubati. Una volta riciclati tramite un account crittografico rubato, tutti i fondi vengono ritirati in un portafoglio privato e divisi tra le due parti.
In un panorama di sicurezza caratterizzato da credenziali riutilizzate e trapelate, insieme a richieste di gestione degli account in rapido aumento, gli aggressori ATO rappresentano una minaccia altamente organizzata e estremamente precisa.
Come funziona l'acquisizione di un account?
Con l'utente medio che deve gestire oltre 100 account online, le password sono rapidamente andate fuori controllo. Dalle operazioni bancarie agli appuntamenti dal barbiere, le informazioni di accesso vengono sbandierate con sconsiderato abbandono. Gli aggressori sfruttano questo aspetto con gradi di gravità crescenti, in attacchi che vanno da quelli iper-personalizzati allo spray-and-pray. Sfruttando le vulnerabilità nei sistemi di sicurezza e nei comportamenti degli utenti, gli aggressori possono assumere il controllo di questi account per scopi nefasti.
Di seguito è riportata una spiegazione dettagliata di come funzionano gli attacchi di furto di account:
Ricognizione
Gli aggressori iniziano raccogliendo informazioni sui potenziali obiettivi. Gli account dei social media presentano vaste miniere d’oro di informazioni personali facilmente accessibili, che possono essere costruite in attacchi di ingegneria sociale su misura. Oltre a ciò, le munizioni degli aggressori sono rafforzate dai dati di precedenti violazioni dei dati.
Ripieno di credenziali
Armati dei dati acquisiti, gli aggressori utilizzano strumenti automatizzati per testare sistematicamente le credenziali rubate su più siti Web e applicazioni. Dal momento che le persone spesso riutilizzare le password su piattaforme diverse, è probabile che gli accessi abbiano esito positivo quando le password sono state compromesse in precedenti violazioni. L'elenco RockYou21 è un database incredibilmente comune – e incredibilmente grande – di credenziali in testo normale che sono state precedentemente trapelate. Compilato di oltre 8.4 miliardi di voci, gli aggressori possono provocare danni ingenti senza alcun preavviso.
Attacchi di forza bruta
Mentre riempimento delle credenziali tenta di abbinare una password trapelata con quella corretta, gli attacchi di forza bruta provano semplicemente ogni combinazione possibile, nel tentativo di indovinare. Con un software automatizzato che genera e prova sistematicamente diverse combinazioni di nomi utente e password, gli attacchi di forza bruta presentano un rischio particolare per le password deboli e comunemente utilizzate.
Phishing
Invece di perdere tempo a indovinare, gli attacchi di phishing inducono gli utenti a consegnare semplicemente le proprie password. Con e-mail, messaggi e siti Web ingannevoli, gli aggressori imitano marchi o servizi noti. Gli utenti ignari vengono indotti a fornire le proprie credenziali di accesso su questi siti falsi, consegnando inconsapevolmente i dettagli del proprio account agli aggressori.
Furto di credenziali
Il phishing non è l'unica forma di inganno: i criminali informatici spesso tentano di distribuire malware e keylogger su dispositivi vulnerabili. Questi consentono il furto delle credenziali direttamente dai dispositivi degli utenti.
Tipi di attacchi di furto di account
Il vasto numero di tipi di attacco è incentrato su due principali punti deboli: utenti e software.
Ingegneria sociale
L’ingegneria sociale descrive tattiche ingannevoli che traggono vantaggio dagli individui, convincendoli a divulgare informazioni sensibili o a compiere azioni che ne compromettono la sicurezza. Il phishing è una delle forme più comuni di attacchi di ingegneria sociale e comporta un uso massiccio di e-mail, messaggi o siti Web fraudolenti che imitano le loro controparti legittime. Fingendosi un individuo fidato o una figura autoritaria, gli aggressori fingono di essere un collega, un rappresentante di banca o un agente delle forze dell'ordine per guadagnare fiducia ed estrarre informazioni sensibili.
Esistono tuttavia ulteriori distinzioni tra i tipi di attacchi di phishing. Per le campagne che adottano un approccio ampio, l’adescamento è una tattica estremamente comune. Le vittime vengono allettate con promesse di ricompense in cambio dell'esecuzione di determinate azioni. Gli aggressori possono lasciare unità USB infette o inviare collegamenti dannosi camuffati da offerte allettanti, inducendo le persone a compromettere la loro sicurezza. Gli attacchi di spear phishing, invece, si concentrano su individui o organizzazioni altamente specifici. Gli aggressori trascorrono ore a ricercare e raccogliere informazioni sull'obiettivo per creare messaggi altamente personalizzati e convincenti. Gli attacchi di spear phishing vengono spesso sfruttati contro le "balene", ovvero individui di alto profilo come amministratori delegati o dirigenti di alto rango.
Vulnerabilità del software
Sebbene gli utenti siano una via d’accesso, molti aggressori sfruttano il software con cui interagiscono quotidianamente. La tendenza crescente degli utenti che utilizzano servizi di terze parti per accedere comodamente a più account ha avuto conseguenze drastiche sul panorama delle acquisizioni di account. Dopotutto, se questi servizi di terze parti vengono compromessi, gli aggressori possono accedere agli account utente collegati. Nel 2021, è stato rivelato che Facebook aveva subito una grave violazione dei dettagli 533 milioni di account utente. Questi dati, comprese e-mail e password, hanno alimentato un torrente di campagne ATO in corso.
Come rilevare gli attacchi di acquisizione di account
Rilevare segnali di attacchi di furto di account è fondamentale per prevenire account compromessi. Dai messaggi in arrivo alle prestazioni del tuo sistema, ecco alcune indicazioni di potenziale compromissione.
Attività imprevista dell'account
Gli attacchi ATO possono manifestarsi in diversi modi chiave. Ad esempio, se un utente riceve notifiche di reimpostazione della password o e-mail per account che non ha avviato, potrebbe indicare che un utente malintenzionato sta tentando di ottenere il controllo del proprio account. In questi casi, gli utenti dovrebbero indagare indipendentemente dal collegamento dell'e-mail sospetta. Questa stessa tattica viene utilizzata per indurre utenti ignari a inserire i propri dati in una pagina di accesso falsa, quindi passare sempre attraverso i canali verificati. Se gli utenti si ritrovano improvvisamente nell'impossibilità di accedere ai propri account, nonostante utilizzino le credenziali corrette, potrebbe essere un segno di un attacco ATO. Gli aggressori potrebbero aver cambiato password o bloccato l'accesso degli utenti ai propri account.
Le reimpostazioni delle password non sono l'unica attività insolita generata dagli ATO: tentativi di accesso non riconosciuti, modifiche alle informazioni personali o transazioni sconosciute possono indicare un accesso non autorizzato. Se un aumento significativo di e-mail di spam o phishing inizia a inondare una casella di posta, potrebbe indicare che l'indirizzo e-mail associato è stato trapelato o compromesso.
Scarse prestazioni del PC
In alcuni casi, gli account compromessi potrebbero presentare comportamenti di sistema insoliti, come prestazioni lente, arresti anomali frequenti o popup imprevisti. Questi segnali potrebbero indicare la presenza di malware come i keylogger.
Come rilevare l'ATO nelle organizzazioni finanziarie?
Le organizzazioni finanziarie possono utilizzare approcci chiave per migliorare la propria difesa contro gli attacchi di furto di account. L'analisi del comportamento degli utenti fornisce strumenti essenziali per monitorare e rilevare modelli anomali. Le deviazioni nei tempi di accesso, nella geolocalizzazione, nell'utilizzo del dispositivo e nella cronologia delle transazioni possono tutti costituire una visione coerente di potenziale compromissione. Oltre a ciò, l’analisi della reputazione IP consente alle organizzazioni di valutare i vari indirizzi IP che accedono ai loro sistemi, aiutando a identificare e bloccare il traffico sospetto. Le tecniche di rilevamento delle impronte digitali dei dispositivi aiutano a riconoscere e tracciare i dispositivi utilizzati per l'accesso all'account, rilevando così i tentativi di furto dell'account. I sistemi di monitoraggio delle transazioni in tempo reale, utilizzando l’analisi comportamentale e il rilevamento delle anomalie, consentono agli istituti finanziari di identificare e bloccare tempestivamente transazioni sospette o fraudolente, mitigando così l’impatto degli attacchi ATO.
Questi approcci rafforzano collettivamente la posizione di sicurezza delle organizzazioni finanziarie, formando una barriera contro la compromissione dell’intero conto.
Proteggi la tua azienda dagli attacchi di furto di account
Per proteggersi da qualsiasi attacco di furto di account, tutte le organizzazioni dovrebbero implementare diversi livelli di best practice sia a livello individuale che organizzativo.
Individuale
Fornire agli utenti finali le conoscenze e gli strumenti per mantenere gli account sicuri è fondamentale. In quanto utenti sul campo di ciascun account, ogni individuo svolge un ruolo chiave nella posizione di sicurezza di un'organizzazione. Password uniche e robuste sono solo l'inizio: gli strumenti di gestione delle password consentono agli utenti non solo di utilizzare pratiche di password sicure, ma di seguirle senza il pericolo di dimenticare password altamente sicure e uniche.
Oltre a ciò, la Multi-Factor Authentication (MFA) aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire più fattori di autenticazione, come dati biometrici, token di sicurezza e, naturalmente, password. Ciò riduce il rischio di attacchi ATO poiché, anche se le password vengono compromesse, gli aggressori non possono accedere senza il fattore di autenticazione aggiuntivo.
organizzativa
Sostenendo gli sforzi di ogni dipendente, le difese organizzative contro l’ATO sono altrettanto cruciali. La risposta agli incidenti di sicurezza deve essere integrata nelle routine dei dipendenti. Stabilire un piano di risposta efficace agli incidenti di sicurezza è fondamentale. Le organizzazioni dovrebbero disporre di protocolli per gestire gli incidenti ATO, inclusa la comunicazione tempestiva con gli utenti interessati, l'indagine e la riparazione degli account compromessi e l'analisi post-incidente per migliorare le misure di sicurezza. Oltre a ciò, il monitoraggio delle attività degli account consente alle organizzazioni di rilevare e rispondere tempestivamente ad attività sospette sugli account. Analizzando modelli, anomalie e indicatori comportamentali, le organizzazioni possono identificare i tentativi di ATO, contrassegnare gli accessi non autorizzati e intraprendere le azioni appropriate. Infine, valutazioni periodiche della sicurezza e test di penetrazione aiutano a identificare vulnerabilità e punti deboli nei sistemi e nelle applicazioni. Affrontando in modo proattivo questi problemi, le organizzazioni possono rafforzare le proprie difese contro gli attacchi ATO e migliorare la sicurezza generale.
Implementando queste pratiche, le organizzazioni possono ridurre significativamente il rischio di attacchi ATO, proteggere i dati sensibili e mantenere la fiducia dei propri utenti. Un approccio globale che combini soluzioni tecnologiche, formazione degli utenti e monitoraggio proattivo è essenziale per combattere efficacemente le minacce ATO.
Prevenzione degli attacchi di furto di account con LayerX
L'estensione del browser di LayerX è una soluzione innovativa progettata per prevenire attacchi di furto di account. LayerX offre una protezione completa contro phishing, credential stuffing e dirottamento delle sessioni. Lo strumento utilizza algoritmi avanzati e tecniche di apprendimento automatico per analizzare il comportamento degli utenti, rilevare anomalie e bloccare attività sospette in tempo reale. Inoltre, si integra perfettamente con l'infrastruttura di sicurezza esistente, rendendolo compatibile con diversi browser e piattaforme. Con il primo approccio incentrato sull'utente alla prevenzione ATO, LayerX aiuta le organizzazioni a migliorare la sicurezza dei propri account, salvaguardare le informazioni sensibili e mitigare i rischi associati agli attacchi di furto degli account.
Funzionalità di prevenzione del furto di account LayerX:
- Requisiti di accesso rafforzati basati sulla trasformazione del browser come fattore di autenticazione aggiuntivo, impedendo praticamente qualsiasi accesso se non avviato dal browser protetto LayerX.
- Policy configurabili che sfruttano la capacità di LayerX di attivare un'azione di protezione quando vengono rilevate anomalie comportamentali degli utenti che indicano una potenziale acquisizione dell'account.
- Policy configurabili che avvisano o bloccano l'accesso quando viene rilevato un rischio trasmesso dal web. basato sulle capacità di rilevamento delle minacce del motore di rischio di LayerX.