In questo articolo parliamo di account takeover che è diventato una delle minacce più comuni che le aziende devono affrontare. Ma partiamo prima dai fatti: negli scorsi mesi, si è rapidamente diffusa la notizia dell’apparizione su forum hacker di un enorme quantità – ben 16 miliardi – di credenziali rubate. In realtà, non ci sono indicazioni di una recente violazione dei dati e sembra invece si tratti di una raccolta di credenziali provenienti da violazioni più vecchie, molte delle quali pubblicamente disponibili da anni. Inoltre, i giganti della tecnologia menzionati nella storia (Google, Apple e Facebook) non hanno rilasciato dichiarazioni ufficiali in merito.
È comunque degna di nota l’attenzione che questo evento sta ricevendo – un potente promemoria di come le credenziali esposte rimangano una minaccia significativa sia per gli individui che per le aziende. Gli attori delle minacce raccolgono e riutilizzano regolarmente credenziali precedentemente esposte per lanciare attacchi basati su di esse su larga scala, come il credential stuffing e i tentativi di accesso con forza bruta. Anche credenziali vecchie di anni possono essere sfruttate, specialmente quando gli utenti riutilizzano costantemente le password.
Perché queste raccolte sono importanti?
Quello che preoccupa davvero è la scala. Una cache così massiccia di password sul dark web è una miniera d’oro per i criminali informatici, anche se ridondante o obsoleta. Data la significativa attenzione che questa raccolta ha ricevuto nelle ultime settimane, la sua maggiore visibilità la rende ancora più preoccupante. Consente attacchi diffusi di credential stuffing e password spraying contro innumerevoli obiettivi. I team di sicurezza dovrebbero aspettarsi un aumento dei tentativi di account takeover (ATO), mentre gli attaccanti si affrettano a sfruttare la raccolta più recente.
In modo simile al dump di dati “Collection #1” del 2019 – che ha esposto 773 milioni di indirizzi email unici e 21 milioni di password — queste raccolte riemerse possono scatenare ondate di attacchi. Soprannominata “la punta dell’iceberg”, si è presto estesa in più collezioni, per un totale di miliardi di record. Successivamente, i ricercatori di Proofpoint hanno osservato un’impennata dell’attività di account takeover (ATO), mentre gli attori delle minacce si affrettavano a utilizzare le credenziali in campagne di phishing e frodi.
Come spiegano i ricercatori: “La storia ci mostra che quando le credenziali inondano il mercato criminale, le minacce incentrate su ATO aumentano. Dovremmo aspettarci che gli avversari utilizzino quest’ultima cache di 16 miliardi in molti degli stessi modi in cui hanno sfruttato Collection #1. Ciò significa di tutto, dal dirottamento di account email e cloud all’infiltrazione in sistemi sensibili.”
Il moderno panorama delle minacce di account takeover
L’account takeover (ATO) è diventato una delle minacce più comuni che le aziende devono affrontare. Gli attaccanti lo apprezzano perché consente loro di operare come utenti fidati all’interno delle reti, ed è molto più facile (e furtivo) accedere con credenziali valide che sfruttare una vulnerabilità del software.
Infatti, recenti ricerche di Proofpoint confermano la portata di questo problema. I numeri sono sorprendenti e nessun settore è immune, tanto che molte organizzazioni affrontano decine o addirittura centinaia di account compromessi. Il 99% ha subìto tentativi di attacco, il 62% ha subìto almeno una compromissione effettiva dell’account, il 65% degli account compromessi aveva l’MFA abilitata.
“Gli attori delle minacce utilizzano molteplici tecniche per aggirare l’autenticazione multi-fattore (MFA), inclusi lo scambio di SIM, l’ingegneria sociale e gli attacchi di MFA fatigue”, spiegano ancora i ricercatori Proofpoint. “C’è anche un attacco emergente, l’adversary-in-the-middle (AiTM), in cui i malintenzionati creano un sito di phishing con proxy inverso che rispecchia una pagina di accesso legittima. Quando gli utenti inseriscono involontariamente le proprie credenziali, gli attaccanti rubano il cookie di sessione e ne dirottano il token.”
Una volta all’interno, gli attaccanti hanno una porta d’accesso a una miriade di risorse email e cloud. Ad esempio, possono passare al portale di single sign-on della vittima e da lì accedere a tutte le app connesse al provider di identità di un’organizzazione. Ciò significa che sono in grado di eludere il rilevamento ed eseguire azioni come la creazione di regole per la casella di posta, eliminare e accedere alle email e rubare dati. Possono anche inviare messaggi di phishing e di compromissione della posta elettronica aziendale (BEC) internamente ed esternamente.
Rafforzare le difese contro gli account takeover
Con oltre 16 miliardi di credenziali rubate ora in circolazione, la difesa dagli ATO è più critica che mai. Per essere forte e stratificata richiede una combinazione di controlli tecnici, visibilità, automazione e preparazione degli utenti. Qui di seguito una serie di elementi fondamentali che le aziende dovrebbero implementare per ridurre il rischio di ATO e rispondere a questa minaccia con fiducia:
- Applicare politiche di autenticazione forti: assicurarsi che l’MFA sia abilitata per tutti gli utenti, in particolare per email, VPN e app cloud critiche. Ove possibile, utilizzare metodi MFA resistenti al phishing come chiavi di sicurezza FIDO2 o app di autenticazione. Controllare regolarmente le configurazioni MFA per eventuali irregolarità o modifiche non autorizzate.
- Configurare le policy di accesso condizionale: utilizzare le funzionalità del provider di identità da soluzioni come Microsoft Entra ID (ex Azure AD), Okta o Ping Identity. Queste piattaforme gestiscono l’autenticazione degli utenti e il controllo degli accessi e possono essere utilizzate per applicare politiche di sicurezza come:
- Bloccare gli accessi da reti TOR, dispositivi sconosciuti o non gestiti
- Richiedere MFA a più livelli o basata sul rischio per tentativi di accesso a rischio più elevato. Ciò aiuta a prevenire l’accesso non autorizzato anche se le credenziali vengono rubate.
- Rafforzare e controllare l’ambiente cloud: condurre audit di sicurezza regolari dei tenant cloud e dei provider di identità. Cercare eventuali account inutilizzati o configurati erroneamente, privilegi eccessivi o integrazioni di app di terze parti abilitate, ma non monitorate. Rimuovere gli account shadow admin e applicare il principio del privilegio minimo ed eliminare le credenziali memorizzate nella cache e le vecchie concessioni di applicazioni OAuth ove possibile, poiché queste sono spesso sfruttate negli attacchi.
- Monitorare e individuare attività anomale: rilevazioni semplici basate su accessi da paesi insoliti, più accessi falliti o viaggi impossibili tra luoghi distanti, non sono sufficienti per evidenziare le tecniche moderne. È necessaria una soluzione in grado di segnalare eventi di accesso sospetti in tempo reale. Affidarsi a una che utilizzi machine learning, analisi comportamentale e una vasta telemetria di intelligence sulle minacce sia per le attività di accesso che per quelle post-accesso.
- Automatizzare la bonifica per ridurre il tempo di permanenza: quando viene rilevato un ATO, il tempo è tutto. Una soluzione che consenta azioni di risposta automatizzate come la sospensione degli account, il ripristino delle credenziali, la rimozione di regole di posta elettronica dannose e la revoca di applicazioni OAuth non autorizzate è fondamentale per contenere l’attacco.
- Rafforzare la resilienza degli utenti: gli attaccanti spesso sfruttano gli utenti tramite phishing, riutilizzo delle credenziali e manipolazione. È opportuno ridurre questo rischio fornendo una formazione mirata e contestuale, basata su comportamento, ruolo o esposizione alle minacce di un utente e fornire la possibilità di segnalare attività email sospette. Tutto ciò contribuisce a rendere i dipendenti più resilienti, permettendo di diventare parte della difesa della propria azienda dalle minacce.
- Pianificare e verificare la risposta agli incidenti: sviluppare un piano specifico per gli scenari ATO, che dovrebbe definire come indagare e contenerle un attacco. Ad esempio, i passaggi di bonifica dovrebbero coprire il controllo dell’account, le impostazioni MFA, le impostazioni della casella di posta, le autorizzazioni dei dati, le concessioni delle applicazioni OAuth e altro ancora. Se è necessario comunicare l’attacco a partner, clienti o al pubblico, assicurarsi di avere un piano su come scoprire e valutare la portata della divulgazione, ad esempio a quali email e file hanno avuto potenziale accesso gli attaccanti.
Proteggere le persone dagli account takeover
Con una raccolta di 16 miliardi di credenziali rubate che circolano sul dark web, è evidente che questa minaccia continui a crescere. Per difendersi da questi attacchi in modo efficace, è necessaria una strategia completa e multi-livello che combini controlli di identità, preparazione degli utenti e intelligence sulle minacce.
