Account takeover: cos'è e come difendersi

Uno dei principali risvolti degli attacchi hacker ai danni di utenti e organizzazioni è l’account takeover, ovvero il furto di account.

Questa tecnica rappresenta spesso il punto di partenza per offensive più strutturate.

Basta che anche un solo profilo aziendale di un dipendente sia compromesso, che gli hacker avranno la strada spianata per la scalata alla gerarchia dei privilegi.

Il motivo della notevole rilevanza di questa attività risiede anche nella trasversalità degli enti colpiti: sia che l’attaccante si interessi di grandi organizzazioni, sia che punti a singoli utenti, compromettere un account fornisce importanti informazioni, dati sensibili, e privilegi da poter

rivendere
usare per ricatto
sfruttare per compromettere i sistemi

Le conseguenze del furto di account possono rivelarsi molto severe: dalla perdita di dati, a quella economica, passando per ripercussioni legali e danni reputazionali.

Fortunatamente, grazie tecniche di prevenzione e mitigazione del rischio, è possibile arginare attivamente la minaccia, o contenerne i danni qualora il proprio account venisse violato.

Entriamo dunque nel dettaglio dell’attacco di account takeover.

Cos’è l’account takeover
Account takeover Vs. Identity Theft: qual è la differenza
Account takeover: da cosa è causato
Conseguenze del furto di account
Prevenzione e mitigazione del rischio di account takeover
Conclusioni

Cos’è l’account takeover

Per account takeover si intende la compromissione di un account privato tramite tecniche di hacking di vario genere.

Il significato di takeover corrisponde in italiano ad “acquisizione”: termine da intendersi con accezione prettamente negativa e con fini esclusivamente illeciti.

Il presupposto è che l’hacker entri in possesso delle credenziali di accesso, impiegando le più disparate truffe, tecniche di esfiltrazione o compravendiea sul dark web.

Una volta ottenuto l’accesso all’account, il pirata informatico si premura di impedire al legittimo proprietario di accedere i propri profili, modificandone password e username.

In tal modo, potrà usufruirne a suo piacimento potenzialmente a tempo illimitato.

Nella maggior parte dei casi, l’obiettivo degli hacker è ottenere un profitto economico dalla loro attività criminale. Difatti, ricorrono spesso al ricatto in seguito al furto di dati informazioni sensibili.

Nel caso di singoli cittadini digitali l’attacco è piuttosto diretto. Nel caso in cui l’obiettivo sia un’organizzazione, l’account aziendale compromesso viene sfruttato come punto di accesso privilegiato per penetrare nei sistemi.

Account takeover Vs. Identity Theft: qual è la differenza

Molto spesso, l’account takeover viene confuso con l’identity theft, ovvero il furto di identità digitale.

Certamente, in entrambi i casi si verifica un furto di informazioni eseguito a fini illeciti.

Tuttavia, sebbene il confine sia molto labile, si può affermare che:

se, da un lato, chi compie account takeover si “limita” a rubare informazioni per un ritorno economico
dall’altro, l’identity theft comporta la compromissione dell’identità online e offline della vittima

In quest’ultimo caso, infatti, gli hacker prendono possesso dei profili social degli utenti, pubblicando post e messaggi a loro nome e avviando una vera e propria campagna diffamatoria a spese dell’utente

Nonostante ciò, è fuor di dubbio che entrambi gli attacchi investano non soltanto la sfera tecnologica o economica, ma anche quella psicologica ed emotiva.

Account takeover: da cosa è causato

Generalmente, l’accesso illecito e il furto di account sono facilitati dagli utenti finali, che spesso non seguono tutte le buone norme di igiene delle password o sono incapaci di riconoscere i tentativi di phishing.

Tuttavia, ci possono essere delle vulnerabilità strutturali in alcune applicazioni, che possono agevolare notevolmente il lavoro degli hacker.

Esistono una pletora di attacchi, sia “tecnici” che di ingegneria sociale, che possono portare alla compromissione di un account.

Analizziamoli ed esaminiamone insieme le conseguenze.

Phishing

Il Phishing può essere condotto sia su larga scala (spear phishing) che sul singolo utente (whaling phishing).

Qui, l’hacker usa varie tecniche per cercare di frodare l’utente. Affinché la vittima gli consegni le credenziali, l’hacker può inviare finte mail di verifica account, promozioni, sconti ecc.

In ambito aziendale, si è stati sicuramente avvertiti di evitare e-mail sospette: questo perché la posta elettronica è il principale canale su cui viaggiano le campagne di phishing.

Brute-force, dizionari, credential stuffing

Concettualmente sono le prime tecniche che potrebbero venire in mente. Non richiedono necessariamente l’estorsione della password direttamente dall’utente, come nel phishing.

Possono avvenire senza interazioni, ma dipendono fortemente dal mancato rispetto delle buone norme sulla creazione e gestione delle password.

Gli attacchi brute-force generano combinazioni alfanumeriche casuali
Quelli a dizionario utilizzano database di password più utilizzate, talvolta filtrate in base all’ubicazione della vittima
Nel credential stuffing vengono sfruttate le password di un data-leak precedente e usate per accedere su altri servizi

Quest’ultima tecnica sottolinea un’altra responsabilità a carico delle organizzazioni. La gestione delle password deve essere diligente. Ogni volta che non vengono rispettati gli standard di sicurezza nella comunicazione e nello storage delle password, si creano le condizioni favorevoli alla loro esposizione e a furti di dati di ingente portata e gravità.

Presenza di malware sui dispositivi

Un utente distratto potrebbe scaricare dei file compromessi contenenti malware.

Keylogger e Trojan, ad esempio, agevolano le attività criminali degli hacker, anche nell’ambito degli account takover:

i keylogger tracciano le battute sulla tastiera mentre l’utente digita username e password
alcuni trojan, invece, sono appositamente progettati per trafugare dati sensibili e credenziali.

Vulnerabilità in applicazioni e plug-in

Questa volta l’utente finale può farci ben poco. Il problema può risiedere in vulnerabilità di applicazioni o servizi di Terze Parti.

Una vulnerabilità a questo livello potrebbe affliggere chiunque interagisca con il servizio. Potenzialmente, questa problematica potrebbe esporre dati sensibili all’hacker capace di sfruttarla, arrivando anche a colpire diverse organizzazioni contemporaneamente.

Attacchi Man-in-the-middle

In un attcco MitM, l’aggressore si pone a metà strada tra l’utente e il servizio con il quale sta interagendo. Durante l’intercettazione, alcune informazioni potrebbero contenere delle credenziali non opportunamente protette da crittografia.

Da lì, il passo successivo è intraprendere un attacco mirato, forte delle credenziali appena ricevute.

Anche qui l’utente finale può osservare alcune regole, al fine di prevenire il furto di informazioni importanti. Tra le altre, ricordiamo di evitare di effettuare operazioni delicate (es. online banking) se si sta utilizzando una rete pubblica o, in generale, non si conoscono gli standard di sicurezza di una rete.

Conseguenze del furto di account

Se la compromissione dell’account va a buon fine, l’attaccante ottiene i privilegi e le facoltà dell’utente violato.

Perciò si profilano vari risvolti.

Profitto diretto. L’attaccante rivende le credenziali appena trafugate su piattaforme “di settore”, ovviamente illegali. Oltre ad essere destinate ad un utilizzo personale, le credenziali sono anche alla mercè del miglior offerente. Conseguenza diretta è l’aumento del numero di attacchi subiti.

Furto di dati. Una volta ottenute le credenziali, l’attaccante ha la facoltà di accedere ad ogni tipo di dato privato. A questo punto le informazioni vengono esfiltrate. Tra queste potrebbero esserci numeri di carte di credito o addirittura documenti personali utili all’identificazione. I dati rubati vengono messi in vendita o utilizzati come leva contrattuale per l’estorsione di un riscatto.

Iniezione di malware. Molti virus possono rivelarsi molto efficaci se acquisiscono privilegi di sistema anche minimi. Nel caso di account takeover, è possibile immettere dei malware direttamente all’interno del sistema. Il fine è sempre di ottenere una situazione nella quale si possa chiedere un riscatto. Alternativamente, i malware installati aiuteranno l’attaccante in futuri tentativi di offesa.

Creazione di condizioni favorevoli a ulteriori attacchi. Come già accennato, il furto di un account può gettare le basi per una catena di attacchi successiva. Alternativamente, le credenziali trafugate sono memorizzate in dizionari e usate per attacchi di credential stuffing su altre piattaforme.

Libertà di movimento in un network. la violazione di un account può rappresentare il punto d’entrata per un network altrimenti sicuro e robusto. Una volta entrato, l’hacker punta ad ottenere, tramite varie tecniche, ulteriori privilegi al fine di causare più danni possibile ed ottenere profitto.

Prevenzione e mitigazione del rischio di account takeover

Abbiamo visto che le possibili debolezze sono da rintracciare sia a livello di singolo utente che a livello di organizzazioni. Pertanto, la prevenzione passa sia dalla sensibilizzazione del personale che dall’implementazione di funzionalità specifiche.

Prevenzione

La principale causa di account takeover è la scarsa cura nell’applicazione delle buone norme di sicurezza degli account.

Precedentemente abbiamo identificato il phishing come uno dei principali strumenti con i quali si arriva all’account takeover. Per limitare la sua efficacia, una delle soluzioni preventive più impattanti è la formazione.

Nel caso delle aziende, formare il personale su:

recenti tecniche di raggiro
gestione e creazione di password sicure
importanza dell’autenticazione a due fattori

può ridurre il numero di tentativi di attacco andati a segno

Esistono anche delle soluzioni tecniche che combattono il phishing. I provider di posta elettronica, infatti, spesso forniscono veri e propri filtri anti-phishing, i quali bloccano le e-mail provenienti da domini sospetti.

Infine, per evitare che gli account siano vulnerabili per colpa di bug o falle di sicurezza, è fondamentale testare periodicamente la robustezza delle applicazioni, mediante Vulnerability Assessment o Pentest.

Anche i protocolli di rete vanno valutati attentamente, per evitare che le credenziali che viaggiano su internet vengano intercettate e decodificate.

Mitigazione

Anche se l’account è stato compromesso, è sempre possibile ridimensionare l’azione offensiva. Ovviamente queste mitigazioni vanno implementate in ottica preventiva.

Approccio Zero-trust Security. Questo approccio complica la vita degli attaccanti, in quanto ogni richiesta è rifiutata finché non sono verificati dei parametri univoci. Ad esempio, sono richieste ulteriori assicurazioni sull’identità di chi sta interagendo con il sistema. Una metodologia zero trust capillare è in grado di identificare richieste sospette in breve tempo, salvando il sistema da danni maggiori.

Sandboxing. Essenzialmente, vuol dire creare compartimenti stagni. Quandanche un malware riuscisse a proliferare in un dato ambiente, questa tecnica ne bloccherebbe l’espansione al resto dell’infrastruttura.

Conclusioni

La compromissione di un account rappresenta una violazione critica. Da questa posizione, un attaccante può

muoversi all’interno del sistema violato
trafugare dati
acquisire maggiori privilegi

Un account bucato è la base di appoggio per successivi attacchi, che gli hacker possono usare per le più svariate finalità illecite.

Non resta, quindi, che applicare le best practice raccomandate di password hygiene, security testing e formazione del personale. Senza dimenticare approccio Zero-Trust, filtri anti-spam e anti-phishing, e impiego intelligente del sandboxing.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.