Indice
Definizione
Si parla di ATo Account Takeover Scam quando un cybercriminale ottiene il controllo (take over) di un account altrui in maniera illegittima. Questa truffa dell’account compromesso, può avvenire secondo diverse modalità.
Infatti, una volta in controllo dell'account, il malintenzionato può lanciare vari tipi di attacco:
- Internal phishing: L'invio di email tra dipendenti della stessa azienda attraverso l'utilizzo di un account aziendale compromesso.
- Supply-chain phishing: La maggior parte delle aziende fa affari attraverso l'utilizzo delle email. Se un cybercriminale ottiene l'accesso ad un account aziendale, può spacciarsi per un dipendente dell’azienda e truffare clienti e partner commerciali.
- Attacchi BEC: Pensate all'account takeover come il metodo più efficace per impersonare qualcuno, grazie al quale i cybercriminali si impossessano di un account aziendale, assumendo l'identità della persona a cui appartiene. È evidente come gli attacchi di questo tipo sono in grado di bypassare ogni genere di controllo di autenticazione delle email ed eludono ogni strumento anti spoofing.
- Furto di dati: Ottenere accesso alla casella email di qualcuno permette ai malintenzionati di accedere non soltanto alle email, ma anche agli eventi memorizzati sul calendario, alla lista dei contatti in rubrica e a eventuali dati sensibili salvati nelle cartelle condivise.
- Truffe finanziarie: Se un hacker si impossessa del conto bancario o altri servizi finanziari di qualcuno, può trasferire denaro su conti controllati dai criminali o può anche effettuare acquisti con i soldi disponibili sul conto della vittima.
Le tecniche utilizzate per la compromissione degli account sono spesso automatizzate, grazie all'utilizzo di script a cui vengono dati in pasto migliaia di credenziali da testare. Gli introiti generati da attacchi andati a buon fine possono anche raggiungere cifre a sei zeri, nei casi in cui vengano lanciati contro figure di particolare rilievo.
La Formazione sulla Cybersecurity Inizia Qui
Ecco come funziona la tua prova gratuita:
- Parla con i nostri esperti di sicurezza informatica per valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce
- Entro 24 ore e con un minimo di configurazione, implementeremo i nostri strumenti per 30 giorni
- Prova la nostra tecnologia in prima persona!
- Ricevi un rapporto che delinea le tue vulnerabilità di sicurezza per aiutarti a prendere subito provvedimenti adeguati contro gli attacchi alla tua sicurezza informatica
Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.
Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint si metterà in contatto con te a breve, guidandoti nei prossimi passi da seguire.
Tipologie di take over account
Per mettere a segno il take over di un account, abbiamo visto che i cybercriminali necessitano delle credenziali della vittima. Ecco i metodi utilizzati solitamente per violare un account:
- Attacchi Brute-Force. I criminali si servono di script automatici per testare in sequenza una combinazione di nome utente e password su un gran numero di account, finché uno non mostra una corrispondenza. Esempi di questo tipo sono i cosiddetti attacchi a dizionario (dictionary attacks) in cui gli hacker utilizzano password di uso comune e vocaboli presi dal dizionario per riuscire a scoprire le password.
- Credential stuffing (anche conosciuto come breach replay attack). Nonostante sia un’abitudine molto pericolosa e assolutamente sconsigliata, molte persone utilizzano la stessa password in tutti i loro account o quasi. Nel caso abbiate tale pessima abitudine, sappiate che nel caso in cui uno dei servizi presso cui avete un account subisse un data breach, la vostra password sarebbe esposta e disponibile in vendita presso qualche black market sul dark web. Inoltre, ogni altro vostro account con lo stesso username (solitamente l'indirizzo email) e password sarà a rischio di violazione.
- Phishing. Il tradizionale phishing delle credenziali resta un modo efficace per ottenere la password della vittima. Senza strumenti come l'autenticazione a due fattori (MFA), il furto d credenziali può portare alla violazione dei propri account.
- Attacchi malware. Keyloggers, stealers e ogni altro tipo di malware possono esporre le credenziali degli utenti, dando la possibilità ai cybercriminali di prendere il controllo degli account delle vittime.
I malintenzionati possono acquistare password direttamente nei black market del dark web, tentando poi di violare l'account dell'utente nel sito web a cui voglio avere accesso.
Con lunghe liste di credenziali tra le mani, i criminali possono servirsi di applicazioni in grado di facilitare loro il lavoro e testare velocemente le credenziali sui siti a cui sono interessati. Tra questi strumenti citiamo SentryMBA, SNIPR, STORM e MailRanger. Di seguito una schermata del software SentryMBA:
SentryMBA è uno degli strumenti più popolari, grazie alle sue impostazioni estremamente utili. Nella barra in alto, l'attaccante inserisce il sito web verso cui verranno inviate le richieste di autenticazione agli account degli utenti. Si possono caricare liste di credenziali, si possono salvare automaticamente liste con le credenziali che sono risultate funzionanti, e si possono impostare dei timeout per evitare di essere individuati dai servizi di rilevamento dei siti web. L'attacco tramite la tecnica dell’account takeover è completamente automatizzato, perciò la maggior parte degli sforzi si concentrano nell'ottenere le credenziali da testare. Strumenti come SentryMBA possono girare a tempo indefinito sui computer dei cybercriminali fin quando si arriva ad ottenere una lista di account validi.
In alcuni casi di account takeover, l'attaccante inizialmente non utilizzerà le credenziali per accedere subito al sito web a cui è interessato. Dato che molto spesso gli utenti utilizzano le stesse credenziali in diversi siti web, un attaccante potrebbe decidere di testare le credenziali su un sito con minori meccanismi di sicurezza per il rilevamento degli accessi sospetti, così da avere prima la conferma che le credenziali funzionano.
Se un utente utilizza le stesse credenziali per più siti differenti, la corretta autenticazione dell'attaccante in uno solo di questi siti significherebbe la corretta autenticazione anche su tutti gli altri siti a cui è iscritto con le stesse credenziali. Ad esempio un attaccante potrebbe utilizzare SentryMBA per autenticarsi sul sito di qualche famoso hotel, dato che molte persone hanno un account sui siti degli hotel più popolari che utilizzano nei loro viaggi. Se l'autenticazione sul sito dell'hotel avviene con successo, le stesse credenziali potrebbero funzionare anche per l'home banking. Andando a testare prima le credenziali su un sito con meno controlli di sicurezza, l'attaccante riduce il numero di tentativi di login e di conseguenza il rischio di venire scoperto.
Con una lista di credenziali verificate e funzionanti, l'attaccante ha di fronte a sé due possibilità: rubare egli stesso denaro alle vittime o vendere le credenziali online. I cybercriminali possono decidere di trasferire soldi dal conto della vittima a conti controllati dagli stessi attaccanti. Sui siti web di carte di credito, i malintenzionati potrebbero ordinare carte di credito a nome della vittima e farsele inviare a un indirizzo noto all'attaccante. Se il sito non è dotato di sistemi per il controllo e la prevenzione dell'account takeover, la vittima non può immaginare che qualcuno sta trasferendo i suoi soldi su un altro conto o sta richiedendo carte di credito a suo nome.
Nel caso in cui invece i criminali decidessero di vendere le credenziali testate e funzionanti, potrebbero trarre dei lauti guadagni per i loro sforzi. Il valore di un account dipende dalla quantità di dati rubati e dalla tipologia di account. Ad esempio un account PayPal può valere attorno ai mille euro, mentre i dati personali di una specifica persona possono valere tra i 40 e i 150/200 euro. Le carte di credito o bancomat valgono dai 650 agli 850 euro. Con liste di centinaia o addirittura migliaia di account, un cybercriminale può ottenere notevoli profitti vendendo le credenziali sui black market del dark web ed evitare così i rischi a cui si esporrebbe rubando direttamente soldi alle vittime a cui tali credenziali appartengono.
La truffa dell'account takeover non è strettamente limitata agli account bancari o alle carte di credito. I criminali possono prendere di mira anche carte fedeltà o servizi vari, come ad esempio i punti che l'utente ha maturato nell'account di un hotel o le miglia accumulate con i viaggi aerei. Tali truffe sono sempre più diffuse, proprio perché gli utenti presi di mira, raramente si preoccupano di questo genere di account, rispetto all'attenzione che dedicano invece alle carte di credito o ai conti bancari.
Social Media Protection
Sicurezza in tempo reale ai vostri account aziendali sui social media sui principali social network
Truffa account takeover scam – la diffusione
L'introduzione dei black markets rende il furto di account, in inglese “account takeover scam”, molto appetibile per i cybercriminali. Non hanno bisogno di derubare direttamente le proprie vittime e ciò ne limita anche le responsabilità. Per chi invece intende derubare persone online, è sufficiente acquistare account validi dai black market del dark web, risparmiandosi la fatica di dover craccare le password degli account.
Il dark web agevola molto chi vuole rubare soldi online alle persone, e l'offerta di account relativi a servizi finanziari si fa sempre più ampia. Le vittime spesso utilizzano diversi servizi finanziari, magari hanno un conto PayPal, un conto Skrill, un conto Satispay o altri ancora. Più account di questo tipo una persona utilizza online e maggiore è la superficie di attacco che offrirà agli attaccanti per sferrare una truffa di account takeover.
Digital Risk Protection
Protegge il tuo marchio e i tuoi clienti dai rischi per la sicurezza digitale
Proteggersi dall’email account takeover
Coloro che gestiscono siti web e gli stessi utenti che utilizzano tali siti, devono prendere alcune precauzioni per prevenire l'email account takeover. I siti dedicati all'assistenza sanitaria e ai servizi finanziari sono gli obiettivi più appetibili per i cybercriminali, e proprio per questo sono dotati di sistemi di rilevamento e segnalazione delle frodi come l'invio di email all'utente in caso di accesso o qualsiasi operazione fatta sull'account.
Gli utenti devono sempre prestare attenzione alle email provenienti dalla propria banca, da PayPal o da qualunque altro servizio finanziario e chiamare immediatamente il customer service non appena ricevono avvisi sospetti. Ad esempio se una persona si vede arrivare a casa carte di credito mai richieste, deve subito chiedere spiegazioni alla propria banca per verificare che il suo conto in banca non sia stato hackerato.
La già citata pessima pratica poi, di utilizzare la stessa password per diversi siti, rende il lavoro particolarmente semplice per i cybercriminali. Utilizzate sempre password diverse e impossibili da indovinare, per ogni sito o servizio che utilizzate. Per memorizzarle utilizzate password manager come LastPass ad esempio o 1Password o ancora Bitwarden o qualsiasi altro, che vi permettono di conservare tutte le vostre password in maniera sicura e crittografata. State sempre in guardia dai tentativi di phishing, per evitare di rivelare le vostre credenziali ai cybercriminali.
Chi gestisce siti web deve poi fare la propria parte e garantire che venga adottata ogni misura per il rilevamento di tentativi di login illeciti o di ogni altra attività sospetta che metta a rischio la sicurezza degli account dei propri utenti.
Se ad esempio, si rileva un tentativo di login sospetto, l'indirizzo IP andrebbe bloccato e gli addetti alla sicurezza del sito, dovrebbero poi andare ad analizzare l'attività sospetta che ha fatto scattare le difese. Ad esempio se uno stesso indirizzo IP e sistema operativo tenta di effettuare il login su un gran numero di account, il sistema deve essere in grado di riconoscere il tentativo di accesso fraudolento. Gli esperti che si occupano della sicurezza del sito poi andranno ad analizzare nel dettaglio i log per determinare se il sito è preso di mira dai cybercriminali.
Anziché bloccare un indirizzo IP, i sistemi di rilevamento dei login fraudolenti possono anche iniziare a richiedere di risolvere una CAPTCHA dopo un certo numero di tentativi di autenticazione falliti provenienti sempre dallo stesso indirizzo IP.
Implementare l'autenticazione a due fattori (MFA) è un'altra delle possibili misure da adottare per proteggere i propri utenti. Anche avendo delle credenziali valide con cui accedere agli account, infatti, i cybercriminali non saranno in grado di superare la fase di autenticazione senza conoscere il codice di accesso inviato al numero di telefono della vittima. Che anzi, ricevendo tale codice non richiesto si renderà subito conto che qualcuno sta provando ad accedere al suo account e potrà cambiare immediatamente la password, vanificando il lavoro dei criminali.
Con dei buoni sistemi di rilevamento dei login fraudolenti, chi gestisce un sito web può tenere al sicuro i dati dei propri utenti. Ma gli stessi utenti dovranno fare la loro parte seguendo alcune buone pratiche:
- Imparare a riconoscere i segnali di un tentativo di phishing e i pericoli che esso comporta.
- Indagare sui link che arrivano nei messaggi o nelle email prima di cliccarci.
- Utilizzare password diverse per ogni account.
- Utilizzare sempre password sicure, specialmente per i siti relativi a servizi finanziari o sanitari.