Secondo i ricercatori Barracuda, gli account takeover hanno recentemente vissuto una rapida crescita. Una recente analisi ha rivelato che, nel marzo 2019, il 29% delle organizzazioni ha avuto i propri account Office 365 compromessi dagli hacker. Nel solo mese di marzo dagli account Office 365 compromessi sono stati inviati più di 1,5 milioni di messaggi spam o pericolosi.
Gli hacker eseguono gli attacchi di account takeover usando diversi metodi. In alcuni casi usano nomi utente e password sottratti in seguito a violazioni precedenti. Poiché le persone spesso usano la stessa password per i propri differenti account, gli hacker hanno potuto riutilizzare le credenziali rubate per guadagnare l’accesso ad altri account. Gli hacker usano anche password rubate per le email personali, cercando di conquistare l’accesso alla mail aziendale dall’account personale. Gli attacchi di “forza bruta” sono un altro metodo utilizzato per l’account takeover, in quanto le persone usano spesso password molto semplici, facili da indovinare e che non vengono cambiate con la necessaria frequenza. Gli attacchi possono anche avvenire via web e tramite le applicazioni aziendali, oltre che mediante Sms.
Con oltre metà delle aziende globali che già utilizza Office 365 – e i numeri sono in crescita – gli hacker si sono dedicati con entusiasmo all’account takeover, in quanto questi account servono come porta d’ingresso a un’azienda e ai suoi dati. Un business che rende molto bene.
Esaminiamo dunque da vicino come funziona l’attacco e le soluzioni che possono aiutare a individuarlo e bloccarlo.
La minaccia
Account takeover. I cybercriminali usano tecniche di brand impersonation, social engineering e phishing per rubare credenziali e accedere agli account Office 365. Una volta che l’account è compromesso, gli hacker monitorano e tracciano le attività per capire come l’azienda lavora, quali firme sono usate nelle mail, come sono gestite le transazioni finanziarie, così da potere successivamente lanciare l’attacco, che può comportare la sottrazione delle credenziali di altri account.
I dettagli
L’attacco di account takeover inizia con l’infiltrazione. Il cybercriminale finge di essere Microsoft (il brand più imitato al mondo, in circa un attacco su tre il criminale finge di essere Microsoft) e usa tattiche di social engineering per cercare di spingere la vittima a visitare un sito di phishing e svelare la proprie credenziali.
Una volta compromesso l’account, è raro che gli hacker lancino immediatamente l’attacco. Monitorano la mail, osservano l’attività dell’azienda, con l’obiettivo di massimizzare le probabilità di portare a termine l’attacco con successo. In questa fase di “ricognizione”, gli scammer spesso impostano regole per nascondere o cancellare automaticamente tutte le email che essi inviano dall’account compromesso. Dalle analisi effettuate dai ricercatori Barracuda nel marzo scorso risulta che gli hacker hanno fatto ricorso a queste regole per nascondere le attività malevole su 34% dei quasi 4.000 account compromessi.
Completata la fase di esplorazione, i cybercriminali usano le credenziali raccolte per puntare altri account di valore, soprattutto manager e personale dell’area finanza, e sottrarre le loro credenziali mediante tecniche di spear phishing e di brand impersonation. Gli scammer, ad esempio, usano l’email per fingersi una entità fidata, ad esempio un’azienda conosciuta o un’applicazione aziendale comunemente usata. Tipicamente, l’hacker cerca di convincere il destinatario a rivelare le credenziali o a cliccare su un link. Spesso, usa tecniche di domain spoofing o domini che assomigliano all’originale per rendere il suo tentativo più convincente.
Gli hacker, inoltre, usano gli account compromessi per monetizzare gli attacchi rubando dati personali, finanziari e riservati da usare per commettere furti di identità, frodi o altri reati. Gli account compromessi possono anche essere usati per lanciare attacchi a partner e clienti. Col dirottamento delle conversazioni, gli hacker possono inserirsi in conversazioni importanti, ad esempio durante l’esecuzione di un bonifico o di altre transazioni finanziarie.
Come proteggere l’azienda
L’intelligenza artificiale
Poiché gli scammer adottano tattiche che permettono loro di aggirare i gateway e filtri antispam, è necessario disporre di una soluzione capace di riconoscere e proteggere dagli attacchi di spear phishing, quali la compromissione delle email e la brand impersonation. È importante adottare tecnologie ad hoc che non si affidano solamente alla ricerca di link o allegati malevoli. L’uso di tecniche di machine learning che analizzano i normali modelli di comunicazione all’interno dell’azienda permettono alla soluzione di individuare le anomalie che possono indicare un attacco.
Protezione anti account takeover
Alcuni degli attacchi di spear phishing più devastanti hanno origine da account compromessi: occorre essere sicuri che gli scammer non stiano usano l’azienda come base per il lancio di questi attacchi. È opportuno utilizzare tecnologie che usano l’intelligenza artificiale per capire quando un account è stato compromesso e che avvisino l’utente in tempo reale e rimuovano le email pericolose inviate agli account compromessi.
Autenticazione multifattore
L’autenticazione multifattore (MFA), l’autenticazione a due fattori e la verifica in due passaggi offrono un ulteriore livello di sicurezza oltre lo username e password, così come un codice di autenticazione, l’impronta digitale o la scansione della retina.
Controllo delle regole e di login sospetti
È consigliabile l’uso di tecnologie per l’identificazione delle attività sospette, ad esempio il login da località o indirizzi IP insoliti, che potrebbe essere indice di un account compromesso. È bene inoltre controllare regolarmente gli account per verificare la presenza di regole sospette, che è spesso una delle componenti di un attacco. I criminali entrano nell’account, creano regole di instradamento e nascondono o cancellano le email che hanno inviato da quell account nel tentativo di cancellare le tracce.
Insegnare al personale come riconoscere e segnalare un attacco
È fondamentale formare gli utenti sul riconoscimento degli attacchi di spear phishing nell’ambito dei programmi di formazione sulla sicurezza. Occorre essere certi che il personale sappia riconoscere questi attacchi, ne comprenda la natura fraudolenta e sappia come segnalarli. L’uso di simulazioni di phishing per email, voicemail e sms è utile per insegnare agli utenti a identificare gli attacchi e per istruire in modo particolare gli utenti quelli più vulnerabili agli attacchi. Si tratta di aiutare le persone a non compiere costosi errori creando linee guida e stabilendo procedure per la conferma delle richieste che arrivano per email, ad esempio quelle che invitano a effettuare bonifici bancari o acquistare buoni regalo.
