Uno dei principali risvolti degli attacchi hacker ai danni di utenti e organizzazioni è l’account takeover, ossia il furto di account, una tecnica che rappresenta spesso il punto di partenza per offensive più strutturate. È sufficiente che anche un solo profilo aziendale di un dipendente sia compromesso, che gli hacker avranno la strada spianata per la scalata alla gerarchia dei privilegi.
Il motivo della notevole rilevanza di questa attività risiede anche nella trasversalità degli enti colpiti: sia che l’attaccante si interessi di grandi organizzazioni, sia che punti a singoli utenti, compromettere un account fornisce importanti informazioni, dati sensibili, e privilegi da poter rivendere, usare per ricatto e sfruttare per compromettere i sistemi.
Le conseguenze del furto di account possono rivelarsi molto serie e vanno dalla perdita di dati, a quella economica, passando per ripercussioni legali e danni reputazionali. Fortunatamente, grazie a tecniche di prevenzione e mitigazione del rischio, è possibile arginare attivamente la minaccia, o contenerne i danni qualora il proprio account venisse violato.
In questo articolo gli esperti di Cyberment, azienda leader specializzata in consulenza di sicurezza informatica, spiegano nel dettaglio un attacco di account takeover e danno una serie di consigli utili per prevenire e mitigare questo tipo di attacco informatico.
Cos’è l’account takeover
«Per account takeover si intende la compromissione di un account privato tramite tecniche di hacking di vario genere.
Il significato di takeover corrisponde in italiano ad “acquisizione”: termine da intendersi con accezione prettamente negativa e con fini esclusivamente illeciti.
Il presupposto è che l’hacker entri in possesso delle credenziali di accesso, impiegando le più disparate truffe, tecniche di esfiltrazione o compravendita sul dark web.
Una volta ottenuto l’accesso all’account, il pirata informatico si premura di impedire al legittimo proprietario di accedere i propri profili, modificandone password e username.
In tal modo, potrà usufruirne a suo piacimento potenzialmente a tempo illimitato.
Nella maggior parte dei casi, l’obiettivo degli hacker è ottenere un profitto economico dalla loro attività criminale. Difatti, ricorrono spesso al ricatto in seguito al furto di dati informazioni sensibili.
Nel caso di singoli cittadini digitali l’attacco è piuttosto diretto. Nel caso in cui l’obiettivo sia un’organizzazione, l’account aziendale compromesso viene sfruttato come punto di accesso privilegiato per penetrare nei sistemi.
Account takeover Vs. Identity Theft: qual è la differenza
Molto spesso, l’account takeover viene confuso con l’identity theft, ovvero il furto di identità digitale.
Certamente, in entrambi i casi si verifica un furto di informazioni eseguito a fini illeciti.
Tuttavia, sebbene il confine sia molto labile, si può affermare che:
- se, da un lato, chi compie account takeover si “limita” a rubare informazioni per un ritorno economico
- dall’altro, l’identity theft comporta la compromissione dell’identità online e offline della vittima
In quest’ultimo caso, infatti, gli hacker prendono possesso dei profili social degli utenti, pubblicando post e messaggi a loro nome e avviando una vera e propria campagna diffamatoria a spese dell’utente
Nonostante ciò, è fuor di dubbio che entrambi gli attacchi investano non soltanto la sfera tecnologica o economica, ma anche quella psicologica ed emotiva.
Account takeover: da cosa è causato
Generalmente, l’accesso illecito e il furto di account sono facilitati dagli utenti finali, che spesso non seguono tutte le buone norme di igiene delle password o sono incapaci di riconoscere i tentativi di phishing.
Tuttavia, ci possono essere delle vulnerabilità strutturali in alcune applicazioni, che possono agevolare notevolmente il lavoro degli hacker.
Esistono una pletora di attacchi, sia “tecnici” che di ingegneria sociale, che possono portare alla compromissione di un account.
Analizziamoli ed esaminiamone insieme le conseguenze.
Phishing
Il Phishing può essere condotto sia su larga scala (spear phishing) che sul singolo utente (whaling phishing).
Qui, l’hacker usa varie tecniche per cercare di frodare l’utente. Affinché la vittima gli consegni le credenziali, l’hacker può inviare finte mail di verifica account, promozioni, sconti ecc.
In ambito aziendale, si è stati sicuramente avvertiti di evitare e-mail sospette: questo perché la posta elettronica è il principale canale su cui viaggiano le campagne di phishing.
Brute-force, dizionari, credential stuffing
Concettualmente sono le prime tecniche che potrebbero venire in mente. Non richiedono necessariamente l’estorsione della password direttamente dall’utente, come nel phishing.
Possono avvenire senza interazioni, ma dipendono fortemente dal mancato rispetto delle buone norme sulla creazione e gestione delle password.
- Gli attacchi brute-force generano combinazioni alfanumeriche casuali
- Quelli a dizionario utilizzano database di password più utilizzate, talvolta filtrate in base all’ubicazione della vittima
- Nel credential stuffing vengono sfruttate le password di un data-leak precedente e usate per accedere su altri servizi
Quest’ultima tecnica sottolinea un’altra responsabilità a carico delle organizzazioni. La gestione delle password deve essere diligente. Ogni volta che non vengono rispettati gli standard di sicurezza nella comunicazione e nello storage delle password, si creano le condizioni favorevoli alla loro esposizione e a furti di dati di ingente portata e gravità.
Presenza di malware sui dispositivi
Un utente distratto potrebbe scaricare dei file compromessi contenenti malware.
Keylogger e Trojan, ad esempio, agevolano le attività criminali degli hacker, anche nell’ambito degli account takover:
- i keylogger tracciano le battute sulla tastiera mentre l’utente digita username e password
- alcuni trojan, invece, sono appositamente progettati per trafugare dati sensibili e credenziali.
Vulnerabilità in applicazioni e plug-in
Questa volta l’utente finale può farci ben poco. Il problema può risiedere in vulnerabilità di applicazioni o servizi di Terze Parti.
Una vulnerabilità a questo livello potrebbe affliggere chiunque interagisca con il servizio. Potenzialmente, questa problematica potrebbe esporre dati sensibili all’hacker capace di sfruttarla, arrivando anche a colpire diverse organizzazioni contemporaneamente.
Attacchi Man-in-the-middle
In un attacco MitM, l’aggressore si pone a metà strada tra l’utente e il servizio con il quale sta interagendo. Durante l’intercettazione, alcune informazioni potrebbero contenere delle credenziali non opportunamente protette da crittografia.
Da lì, il passo successivo è intraprendere un attacco mirato, forte delle credenziali appena ricevute.
Anche qui l’utente finale può osservare alcune regole, al fine di prevenire il furto di informazioni importanti. Tra le altre, ricordiamo di evitare di effettuare operazioni delicate (es. online banking) se si sta utilizzando una rete pubblica o, in generale, non si conoscono gli standard di sicurezza di una rete.
Conseguenze del furto di account
Se la compromissione dell’account va a buon fine, l’attaccante ottiene i privilegi e le facoltà dell’utente violato.
Perciò si profilano vari risvolti.
Profitto diretto. L’attaccante rivende le credenziali appena trafugate su piattaforme “di settore”, ovviamente illegali. Oltre ad essere destinate ad un utilizzo personale, le credenziali sono anche alla mercè del miglior offerente. Conseguenza diretta è l’aumento del numero di attacchi subiti.
Furto di dati. Una volta ottenute le credenziali, l’attaccante ha la facoltà di accedere ad ogni tipo di dato privato. A questo punto le informazioni vengono esfiltrate. Tra queste potrebbero esserci numeri di carte di credito o addirittura documenti personali utili all’identificazione. I dati rubati vengono messi in vendita o utilizzati come leva contrattuale per l’estorsione di un riscatto.
Iniezione di malware. Molti virus possono rivelarsi molto efficaci se acquisiscono privilegi di sistema anche minimi. Nel caso di account takeover, è possibile immettere dei malware direttamente all’interno del sistema. Il fine è sempre di ottenere una situazione nella quale si possa chiedere un riscatto. Alternativamente, i malware installati aiuteranno l’attaccante in futuri tentativi di offesa.
Creazione di condizioni favorevoli a ulteriori attacchi. Come già accennato, il furto di un account può gettare le basi per una catena di attacchi successiva. Alternativamente, le credenziali trafugate sono memorizzate in dizionari e usate per attacchi di credential stuffing su altre piattaforme.
Libertà di movimento in un network. La violazione di un account può rappresentare il punto d’entrata per un network altrimenti sicuro e robusto. Una volta entrato, l’hacker punta ad ottenere, tramite varie tecniche, ulteriori privilegi al fine di causare più danni possibile ed ottenere profitto.
Prevenzione e mitigazione del rischio di account takeover
Abbiamo visto che le possibili debolezze sono da rintracciare sia a livello di singolo utente che a livello di organizzazioni. Pertanto, la prevenzione passa sia dalla sensibilizzazione del personale che dall’implementazione di funzionalità specifiche.
Prevenzione
La principale causa di account takeover è la scarsa cura nell’applicazione delle buone norme di sicurezza degli account.
Precedentemente abbiamo identificato il phishing come uno dei principali strumenti con i quali si arriva all’account takeover. Per limitare la sua efficacia, una delle soluzioni preventive più impattanti è la formazione.
Nel caso delle aziende, formare il personale su:
- recenti tecniche di raggiro
- gestione e creazione di password sicure
- importanza dell’autenticazione a due fattori
può ridurre il numero di tentativi di attacco andati a segno
Esistono anche delle soluzioni tecniche che combattono il phishing. I provider di posta elettronica, infatti, spesso forniscono veri e propri filtri anti-phishing, i quali bloccano le e-mail provenienti da domini sospetti.
Infine, per evitare che gli account siano vulnerabili per colpa di bug o falle di sicurezza, è fondamentale testare periodicamente la robustezza delle applicazioni, mediante Vulnerability Assessment o Pentest.
Anche i protocolli di rete vanno valutati attentamente, per evitare che le credenziali che viaggiano su internet vengano intercettate e decodificate.
Mitigazione
Anche se l’account è stato compromesso, è sempre possibile ridimensionare l’azione offensiva. Ovviamente queste mitigazioni vanno implementate in ottica preventiva.
Approccio Zero-trust Security. Questo approccio complica la vita degli attaccanti, in quanto ogni richiesta è rifiutata finché non sono verificati dei parametri univoci. Ad esempio, sono richieste ulteriori assicurazioni sull’identità di chi sta interagendo con il sistema. Una metodologia zero trust capillare è in grado di identificare richieste sospette in breve tempo, salvando il sistema da danni maggiori.
Sandboxing. Essenzialmente, vuol dire creare compartimenti stagni. Quandanche un malware riuscisse a proliferare in un dato ambiente, questa tecnica ne bloccherebbe l’espansione al resto dell’infrastruttura.
Conclusioni
La compromissione di un account rappresenta una violazione critica. Da questa posizione, un attaccante può
- muoversi all’interno del sistema violato
- trafugare dati
- acquisire maggiori privilegi
Un account bucato è la base di appoggio per successivi attacchi, che gli hacker possono usare per le più svariate finalità illecite.
Non resta, quindi, che applicare le best practice raccomandate di password hygiene, security testing e formazione del personale. Senza dimenticare approccio Zero-Trust, filtri anti-spam e anti-phishing, e impiego intelligente del sandboxing».
https://cyberment.it/attivita-cracking/account-takeover-cose-come-difendersi/