Che cos'è l'account takeover?

Le tecniche utilizzate per la compromissione degli account sono spesso automatizzate, grazie all'utilizzo di script a cui vengono dati in pasto migliaia di credenziali da testare. Gli introiti generati da attacchi andati a buon fine possono anche raggiungere cifre a sei zeri, nei casi in cui vengano lanciati contro figure di particolare rilievo.

I malintenzionati possono acquistare password direttamente nei black market del dark web, tentando poi di violare l'account dell'utente nel sito web a cui voglio avere accesso.

Con lunghe liste di credenziali tra le mani, i criminali possono servirsi di applicazioni in grado di facilitare loro il lavoro e testare velocemente le credenziali sui siti a cui sono interessati. Tra questi strumenti citiamo SentryMBA, SNIPR, STORM e MailRanger. Di seguito una schermata del software SentryMBA:

SentryMBA è uno degli strumenti più popolari, grazie alle sue impostazioni estremamente utili. Nella barra in alto, l'attaccante inserisce il sito web verso cui verranno inviate le richieste di autenticazione agli account degli utenti. Si possono caricare liste di credenziali, si possono salvare automaticamente liste con le credenziali che sono risultate funzionanti, e si possono impostare dei timeout per evitare di essere individuati dai servizi di rilevamento dei siti web. L'attacco tramite la tecnica dell’account takeover è completamente automatizzato, perciò la maggior parte degli sforzi si concentrano nell'ottenere le credenziali da testare. Strumenti come SentryMBA possono girare a tempo indefinito sui computer dei cybercriminali fin quando si arriva ad ottenere una lista di account validi.

In alcuni casi di account takeover, l'attaccante inizialmente non utilizzerà le credenziali per accedere subito al sito web a cui è interessato. Dato che molto spesso gli utenti utilizzano le stesse credenziali in diversi siti web, un attaccante potrebbe decidere di testare le credenziali su un sito con minori meccanismi di sicurezza per il rilevamento degli accessi sospetti, così da avere prima la conferma che le credenziali funzionano.

Se un utente utilizza le stesse credenziali per più siti differenti, la corretta autenticazione dell'attaccante in uno solo di questi siti significherebbe la corretta autenticazione anche su tutti gli altri siti a cui è iscritto con le stesse credenziali. Ad esempio un attaccante potrebbe utilizzare SentryMBA per autenticarsi sul sito di qualche famoso hotel, dato che molte persone hanno un account sui siti degli hotel più popolari che utilizzano nei loro viaggi. Se l'autenticazione sul sito dell'hotel avviene con successo, le stesse credenziali potrebbero funzionare anche per l'home banking. Andando a testare prima le credenziali su un sito con meno controlli di sicurezza, l'attaccante riduce il numero di tentativi di login e di conseguenza il rischio di venire scoperto.

Con una lista di credenziali verificate e funzionanti, l'attaccante ha di fronte a sé due possibilità: rubare egli stesso denaro alle vittime o vendere le credenziali online. I cybercriminali possono decidere di trasferire soldi dal conto della vittima a conti controllati dagli stessi attaccanti. Sui siti web di carte di credito, i malintenzionati potrebbero ordinare carte di credito a nome della vittima e farsele inviare a un indirizzo noto all'attaccante. Se il sito non è dotato di sistemi per il controllo e la prevenzione dell'account takeover, la vittima non può immaginare che qualcuno sta trasferendo i suoi soldi su un altro conto o sta richiedendo carte di credito a suo nome.

Nel caso in cui invece i criminali decidessero di vendere le credenziali testate e funzionanti, potrebbero trarre dei lauti guadagni per i loro sforzi. Il valore di un account dipende dalla quantità di dati rubati e dalla tipologia di account. Ad esempio un account PayPal può valere attorno ai mille euro, mentre i dati personali di una specifica persona possono valere tra i 40 e i 150/200 euro. Le carte di credito o bancomat valgono dai 650 agli 850 euro. Con liste di centinaia o addirittura migliaia di account, un cybercriminale può ottenere notevoli profitti vendendo le credenziali sui black market del dark web ed evitare così i rischi a cui si esporrebbe rubando direttamente soldi alle vittime a cui tali credenziali appartengono.

La truffa dell'account takeover non è strettamente limitata agli account bancari o alle carte di credito. I criminali possono prendere di mira anche carte fedeltà o servizi vari, come ad esempio i punti che l'utente ha maturato nell'account di un hotel o le miglia accumulate con i viaggi aerei. Tali truffe sono sempre più diffuse, proprio perché gli utenti presi di mira, raramente si preoccupano di questo genere di account, rispetto all'attenzione che dedicano invece alle carte di credito o ai conti bancari.

L'introduzione dei black markets rende il furto di account, in inglese “account takeover scam”, molto appetibile per i cybercriminali. Non hanno bisogno di derubare direttamente le proprie vittime e ciò ne limita anche le responsabilità. Per chi invece intende derubare persone online, è sufficiente acquistare account validi dai black market del dark web, risparmiandosi la fatica di dover craccare le password degli account.

Il dark web agevola molto chi vuole rubare soldi online alle persone, e l'offerta di account relativi a servizi finanziari si fa sempre più ampia. Le vittime spesso utilizzano diversi servizi finanziari, magari hanno un conto PayPal, un conto Skrill, un conto Satispay o altri ancora. Più account di questo tipo una persona utilizza online e maggiore è la superficie di attacco che offrirà agli attaccanti per sferrare una truffa di account takeover.

Coloro che gestiscono siti web e gli stessi utenti che utilizzano tali siti, devono prendere alcune precauzioni per prevenire l'email account takeover. I siti dedicati all'assistenza sanitaria e ai servizi finanziari sono gli obiettivi più appetibili per i cybercriminali, e proprio per questo sono dotati di sistemi di rilevamento e segnalazione delle frodi come l'invio di email all'utente in caso di accesso o qualsiasi operazione fatta sull'account.

Gli utenti devono sempre prestare attenzione alle email provenienti dalla propria banca, da PayPal o da qualunque altro servizio finanziario e chiamare immediatamente il customer service non appena ricevono avvisi sospetti. Ad esempio se una persona si vede arrivare a casa carte di credito mai richieste, deve subito chiedere spiegazioni alla propria banca per verificare che il suo conto in banca non sia stato hackerato.

La già citata pessima pratica poi, di utilizzare la stessa password per diversi siti, rende il lavoro particolarmente semplice per i cybercriminali. Utilizzate sempre password diverse e impossibili da indovinare, per ogni sito o servizio che utilizzate. Per memorizzarle utilizzate password manager come LastPass ad esempio o 1Password o ancora Bitwarden o qualsiasi altro, che vi permettono di conservare tutte le vostre password in maniera sicura e crittografata. State sempre in guardia dai tentativi di phishing, per evitare di rivelare le vostre credenziali ai cybercriminali.

Chi gestisce siti web deve poi fare la propria parte e garantire che venga adottata ogni misura per il rilevamento di tentativi di login illeciti o di ogni altra attività sospetta che metta a rischio la sicurezza degli account dei propri utenti.

Se ad esempio, si rileva un tentativo di login sospetto, l'indirizzo IP andrebbe bloccato e gli addetti alla sicurezza del sito, dovrebbero poi andare ad analizzare l'attività sospetta che ha fatto scattare le difese. Ad esempio se uno stesso indirizzo IP e sistema operativo tenta di effettuare il login su un gran numero di account, il sistema deve essere in grado di riconoscere il tentativo di accesso fraudolento. Gli esperti che si occupano della sicurezza del sito poi andranno ad analizzare nel dettaglio i log per determinare se il sito è preso di mira dai cybercriminali.

Anziché bloccare un indirizzo IP, i sistemi di rilevamento dei login fraudolenti possono anche iniziare a richiedere di risolvere una CAPTCHA dopo un certo numero di tentativi di autenticazione falliti provenienti sempre dallo stesso indirizzo IP.

Implementare l'autenticazione a due fattori (MFA) è un'altra delle possibili misure da adottare per proteggere i propri utenti. Anche avendo delle credenziali valide con cui accedere agli account, infatti, i cybercriminali non saranno in grado di superare la fase di autenticazione senza conoscere il codice di accesso inviato al numero di telefono della vittima. Che anzi, ricevendo tale codice non richiesto si renderà subito conto che qualcuno sta provando ad accedere al suo account e potrà cambiare immediatamente la password, vanificando il lavoro dei criminali.

Con dei buoni sistemi di rilevamento dei login fraudolenti, chi gestisce un sito web può tenere al sicuro i dati dei propri utenti. Ma gli stessi utenti dovranno fare la loro parte seguendo alcune buone pratiche:

• Imparare a riconoscere i segnali di un tentativo di phishing e i pericoli che esso comporta.
• Indagare sui link che arrivano nei messaggi o nelle email prima di cliccarci.
• Utilizzare password diverse per ogni account.
• Utilizzare sempre password sicure, specialmente per i siti relativi a servizi finanziari o sanitari.