Cos’è un account compromesso?

Un account è compromesso quando un cybercriminale ottiene l’accesso alle credenziali di un utente o trova un altro modo per agire per suo conto. Il furto delle credenziali rende un profilo vulnerabile a numerosi altri attacchi, quali:

• Ransomware
• Malware per l’accesso remoto (rootkit)
• Keylogger
• Intercettazione e furto di dati (Data eavesdropping)
• Escalation dei privilegi

I cybercriminali rubano le credenziali al fine di ottenere l’accesso agli account in molti modi, tra cui il phishing, l’ingegneria sociale e altri attacchi informatici.

Ogni attacco informatico contro un utente ha un obiettivo. In genere, la compromissione dell’account è solo il primo passo. La seconda fase è quella in cui l’aggressore raggiunge il suo obiettivo, ovvero rubare dati, distruggere dati o installare malware sulla rete. Questa fase può richiedere l’escalation dei privilegi a seconda dell’ambiente e del livello di autorizzazione dell’account.

Il phishing è uno strumento molto utilizzato dai cyber-attaccanti per esfiltrare i dati. L’hacking è un business e una campagna di phishing di successo può fruttare milioni di dollari. Ma il furto di dati non è l’unico modo per guadagnare. Gli aggressori compromettono anche gli account per installare ransomware. In un attacco ransomware, i dati vengono crittografati con un codice criptato. Un’organizzazione o un’azienda con scarsi backup non ha altra scelta se non quella di inviare denaro all’aggressore in cambio dei propri file. Se l’organizzazione si rifiuta di pagare, l’aggressore può minacciare di rendere pubblici i dati.

Compromissione di un account tramite phishing

Le e-mail di phishing sono una minaccia cruciale per ogni organizzazione. Questo perché gli aggressori dipendono dagli errori delle persone. Quando un’e-mail di phishing viene recapitata nella casella di posta, l’utente deve riconoscere che si tratta di un messaggio dannoso.

Tuttavia, i dipendenti potrebbero non avere il tempo di esaminare a fondo un messaggio prima di fare clic su un link o di scaricare allegati malevoli. L’errore umano è l’anello debole della sicurezza di qualsiasi organizzazione o azienda. Gli attacchi di phishing ingannano efficacemente gli utenti, spingendoli a divulgare le loro credenziali e altre informazioni sensibili.

Un aggressore ha a disposizione due principali strategie di phishing per indurre gli utenti a divulgare le proprie credenziali. La prima consiste nell’inviare un link a un sito Web dannoso che si presenta come un sito aziendale ufficiale. Gli utenti inseriscono le proprie credenziali pensando di doversi autenticare. Questa strategia ha spesso successo quando i dipendenti non ricevono una formazione regolare sulla sicurezza informatica.

Un’altra strategia di phishing induce gli utenti a eseguire script o programmi eseguibili dannosi sui loro dispositivi. Le macro di Microsoft Office sono comunemente utilizzate per questo attacco. Dopo che l’utente apre un documento dannoso, la macro scarica il malware. Il malware potrebbe essere un keylogger per catturare le credenziali o un rootkit che consente all’aggressore di accedere in remoto al dispositivo locale dell’utente.

Compromissione di un account tramite social engineering

L’ingegneria sociale sfrutta l’istinto di fiducia delle persone. L’aggressore finge di essere una persona affidabile, come un membro del team aziendale, per indurre l’utente a consegnare le informazioni. È importante che gli utenti imparino a riconoscere gli attacchi di social engineering. Gli utenti devono verificare l’identità di chiunque chieda dati sensibili e non consegnare le proprie credenziali quando vengono richieste.

L’ingegneria sociale e il phishing sono i due modi principali con cui gli aggressori compromettono le credenziali degli account. Ma è importante ricordare che il panorama della sicurezza informatica è in continua evoluzione. Altri modi in cui gli aggressori rubano le credenziali e le informazioni sensibili degli utenti sono:

• Registri con password in chiaro
• Database compromessi con password memorizzate
• Autenticazione su canali in chiaro

Gli account delle reti aziendali non sono gli unici obiettivi. Altri account possono essere utili agli aggressori in modo indiretto. Ad esempio, alcuni forniscono inavvertitamente agli aggressori dati sensibili che possono portare alla compromissione dell’account.

• Account di posta elettronica aziendali: questi account sono perfetti per una compromissione perché possono essere utilizzati per reimpostare le password di diverse applicazioni aziendali. Possono anche essere il punto di partenza per l’escalation dei privilegi. In questo caso, un aggressore utilizza l’account per inviare richieste di privilegi aggiuntivi o per ingannare altri utenti con privilegi elevati e consegnare le proprie credenziali.
• Account di posta elettronica individuali: l’aggressore utilizza l’account compromesso per inviare e-mail agli amici e indurli a rivelare le proprie credenziali. Questo tipo di compromissione viene spesso utilizzato per reimpostare le password di account altamente sensibili, come le applicazioni finanziarie.
• Account social media: questi account sono spesso un tesoro di informazioni sensibili per l’utente. Ad esempio, un account Facebook potrebbe contenere informazioni sul compleanno dell’utente, sul luogo di lavoro, sugli amici, sui nomi degli animali domestici, dei figli e dei parenti e altri dati personali. Tutti dati che possono essere utilizzati in un brute-force attack. Gli utenti spesso creano le password utilizzando i loro dati personali, quindi la raccolta di quanti più dati personali possibile può aiutare un aggressore a compromettere i loro account aziendali.
• Conti finanziari: gli obiettivi possono essere conti di carte di credito, conti bancari, conti di trading o altri conti che gestiscono denaro. Gli aggressori possono vendere le informazioni sul conto sui mercati darknet o usarle per trasferire denaro a se stessi. Gli istituti bancari dispongono di sistemi di rilevamento delle frodi per prevenire la compromissione dei conti. Ma gli utenti e le aziende devono comunque essere vigili per evitare il furto di credenziali.

Gli aggressori faranno del loro meglio per evitare il rilevamento. Sia gli utenti che i sistemi di monitoraggio aziendali devono essere attenti ai segni rivelatori di una compromissione. I sistemi di monitoraggio raccolgono continuamente dati e utilizzano l’intelligenza artificiale per rilevare con precisione quando un account è compromesso. Esistono diversi indicatori osservabili di un account compromesso:

• Traffico in uscita insolito: quando gli aggressori raccolgono dati, possono inviarne un po’ alla volta all’esterno. Oppure possono trasferire grandi quantità di file in orari non di punta.
• Attività irregolari degli utenti ad alto privilegio: gli utenti ad alto privilegio lavorano comunemente con i dati sensibili, ma di solito lo fanno secondo uno schema. Ad esempio, un addetto alle risorse umane potrebbe accedere ai dati dei dipendenti durante la giornata di ogni venerdì. Al contrario, un aggressore potrebbe esfiltrare i dati dei dipendenti tutti in una volta durante le ore non di punta.
• Richieste di rete da posizioni geografiche sconosciute: se tutti i dipendenti hanno sede negli Stati Uniti, l’accesso VPN o alla rete da indirizzi IP offshore potrebbe significare che un account è stato compromesso.
• Elevato numero di richieste di autenticazione fallite: in un attacco brute-force, si verifica un numero elevato di tentativi di autenticazione falliti. Il blocco dell’account ferma questi tentativi di autenticazione. Tuttavia, un aggressore continuerà a provare con altri account finché non troverà una corrispondenza di credenziali con un account compromesso.
• Aumento delle operazioni di lettura del database: un utente malintenzionato alla ricerca di dati vulnerabili sonderà le tabelle del database e invierà più query.
• Tentativi di accesso insolitamente elevati a file importanti: nello spionaggio aziendale, i file più preziosi contengono segreti commerciali e proprietà intellettuale.
• Modifiche sospette delle configurazioni: un cybercriminale può modificare le configurazioni del sistema per creare una backdoor per l’accesso persistente e le minacce.
• Traffico del dispositivo indirizzato a un indirizzo specifico: i dispositivi violati possono essere utilizzati come parte di una botnet in un DDoS (distributed denial-of-service) contro un obiettivo specifico.

Alcuni aggressori si concentrano su account individuali. In realtà, la business email compromise (BEC) è più comune. Questo perché consente agli aggressori di accedere a dati aziendali altamente sensibili. Gli utenti con privilegi elevati sono spesso gli obiettivi principali, soprattutto negli attacchi di spear-phishing. Con l’accesso all’account di posta elettronica dell’amministratore delegato o del vicepresidente delle risorse umane, un aggressore può accedere a quasi tutti i dati della rete.

Una volta ottenuto l’accesso all’account di un utente con privilegi elevati, gli aggressori di solito impersonano le loro vittime. Nella truffa dell’amministratore delegato (CEO fraud), un aggressore si spaccia per l’amministratore delegato e invia e-mail a dipendenti ignari per indurli a fare qualcosa, come trasferire denaro sul conto dell’aggressore stesso. L’aggressore sfrutta l’urgenza e la posizione dell’amministratore delegato per convincere i dipendenti a fare ciò che desidera.

Le truffe delle fatture sono altrettanto comuni. Un aggressore potrebbe fingere di essere un contabile aziendale e indirizzare un dipendente finanziario a pagare una fattura fraudolenta. Le truffe delle fatture spesso utilizzano una combinazione di social engineering e account e-mail compromessi per ingannare gli utenti.

Invece di truffare i dipendenti, un aggressore può utilizzare l’account compromesso per rubare dati. Con un account ad alto privilegio, i dati possono essere facilmente esfiltrati su un server esterno. L’aggressore potrebbe nascondere backdoor in account utente standard meno controllati. Oppure potrebbe tentare l’escalation dei privilegi per accedere ad altri dati critici.

Il phishing è il mezzo principale con cui gli aggressori rubano le credenziali e compromettono gli account. Le organizzazioni che non dispongono di soluzioni di sicurezza e protezione delle e-mail sono ad alto rischio di rimanere vittime di questo tipo di attacchi. Per far sembrare legittima un’e-mail, gli aggressori falsificano le intestazioni delle e-mail o registrano nomi di dominio con errori ortografici di una sola lettera. Gli utenti che non notano questi sottili segnali sono vulnerabili a questi attacchi.

Spesso si usa la stessa password sia per gli account personali che per quelli di lavoro. Non tutti i siti web criptano le credenziali degli utenti. Gli aggressori che rubano le password in un database compromesso le utilizzeranno per scovare altri account che utilizzano le stesse password.

Il malware può spiare silenziosamente gli utenti e rubare le loro informazioni. Keylogger, rootkit e altri strumenti di intercettazione consentono agli aggressori di raccogliere le credenziali degli utenti e inviarle a un server esterno. I file dannosi allegati alle e-mail installano automaticamente il malware sulla rete in modo che gli aggressori possano raccogliere le credenziali.

Inoltre, configurazioni di firewall inadeguate e un sistema compromesso consentono a un aggressore di accedere alla rete interna. Una volta entrato, un aggressore può setacciare la rete per trovare dati vulnerabili. Dopo una compromissione, quasi tutti i dati sono vulnerabili al furto e alla divulgazione.

Se ritieni che il tuo account sia stato compromesso, hai alcune opzioni. Ci sono diverse misure che puoi adottare per eliminare la minaccia e recuperare il tuo account. Le indagini forensi sulle violazioni dei dati devono essere eseguite solo da un professionista. Tuttavia, è possibile adottare diverse misure per contenere e sradicare la minaccia immediata. Si comincia con il recuperare l’accesso al proprio account e cambiare la password. Successivamente, è necessario segnalare la compromissione alle autorità.

Primi passi per recuperare il tuo account:

• Accedere al proprio account e cambiare la password. Alcuni sistemi, come la posta elettronica, permettono di escludere altre sessioni, in questo modo sarai l’unico ad essere autenticato.
• Leggere la posta elettronica. Controlla il cestino per verificare se altre password sono state reimpostate utilizzando il tuo account di posta elettronica. Se il fatto sussiste, assicurati di accedere a questi account e di reimpostare anche le password.
• Reimpostare le password degli account critici. Tra questi rientrano i conti bancari, le risorse aziendali (ad esempio, applicazioni e database essenziali) e gli account dei social media.
• Configurare l’autenticazione a più fattori (MFA). Questo passo può prevenire un’altra compromissione. L’MFA richiede un PIN aggiuntivo, che impedirà a terzi di accedere al tuo account anche se in possesso delle tue credenziali.
• Modificare le domande di sicurezza. Utilizza risposte sbagliate che non corrispondono ai tuoi dati privati attuali, come animali domestici, famiglia e date importanti.
• Cambiare la password ogni 30 giorni. Le password vecchie offrono agli aggressori una finestra di opportunità più lunga.
• Non utilizzare le stesse password su più sistemi. Questa precauzione consente di evitare ulteriori compromissioni di account dopo la violazione di un’applicazione.
• Implementare un broker di sicurezza degli accessi al cloud o una protezione per l’acquisizione di account. Cerca una soluzione che acceleri le indagini di risposta e rimedi agli account, alle modifiche delle regole della casella di posta elettronica e alle manipolazioni delle app di terze parti, nonché all’esfiltrazione dei dati negli ambienti e-mail e cloud.

Gli strumenti di Proofpoint possono aiutare a: monitorare, difendere, investigare e rimediare alle compromissioni degli account e alle violazioni dei dati che spesso ne conseguono. Disponiamo di un servizio CASB completo che monitora e protegge le vostre applicazioni cloud dalle vittime di una compromissione.

Consentici di proteggere le tue applicazioni essenziali, i tuoi utenti e di fornirti gli strumenti per monitorare e mitigare completamente gli attacchi più comuni che coinvolgono i tuoi account aziendali. I nostri servizi di protezione delle informazioni applicano soluzioni di sicurezza e altre tecnologie, oltre a processi e policy, per proteggere le informazioni attraverso i servizi cloud, la posta elettronica, gli endpoint e le condivisioni di file on-premise.