Come rilevare, prevenire e mitigare un attacco di acquisizione di un account (ATO)

Come azienda, puoi facilmente difenderti dal tipo più comune di truffa, l’attacco di furto di account (ATO), con alcune nozioni di base eseguite correttamente.

Il pomeriggio del 30 agosto 2019 è stato bizzarro per i follower Twitter di Jack Dorsey (ora X). “Lui” ha fatto un’ondata sconsiderata, durata circa 20 minuti, di twittare insulti razzisti e altri messaggi offensivi.

I suoi fan potrebbero averlo preso come un insolito esaurimento nervoso da parte dell’amministratore delegato del più grande sito di microblogging. Tuttavia, Chuckling Squad, il gruppo dietro questa “avventura”, aveva lasciato collegamenti al loro canale Discord nei tweet fuorvianti dell’account di Jack.

Successivamente, Twitter (ora X) ha confermato l’incidente.

Ne siamo consapevoli @Jack è stato compromesso e sta indagando sull’accaduto.

— Comunicazioni Twitter (@TwitterComms) 30 agosto 2019

Si è trattato di un classico attacco di Account Takeover (ATO), in particolare di Sim Swapping, in cui gli hacker hanno preso il controllo da remoto del numero di telefono di Jack e hanno twittato da un servizio di tweeting di terze parti, Cloudhopper.

Quali sono le probabilità a favore di un utente medio se il CEO di un’azienda tecnologica di alto livello può esserne una vittima?

Quindi, unisciti a me per parlare delle varie forme di ATO e di come mantenere la tua organizzazione al sicuro.

Cos’è un attacco ATO?

Un attacco di account takeover (ATO), come suggerisce il nome, impiega varie tecniche (discusse più avanti) per prendere il controllo dell’account online di una vittima per numerosi scopi illeciti, come truffe finanziarie, accesso a informazioni sensibili, frode ad altri e altro ancora.

Come funziona l’ATO?

Il punto cruciale di un attacco ATO è il furto delle credenziali dell’account. I cattivi attori lo fanno in vari modi, come ad esempio:

  • Ingegneria sociale: consiste nel forzare o persuadere psicologicamente una persona a rivelare i propri dati di accesso. Ciò può essere fatto con il pretesto del supporto tecnico o inventando una situazione di emergenza, dando poco tempo alla vittima per pensare in modo razionale.
  • Credential Stuffing: un sottoinsieme della forza bruta, il credential stuffing significa un truffatore che cerca di far funzionare dettagli di accesso casuali, spesso ottenuti da una violazione dei dati o acquistati dal dark web.
  • Malware: i programmi pericolosi e indesiderati possono causare molti danni al computer. Uno di questi casi è rubare gli account registrati e inviare i dettagli al criminale informatico.
  • Phishing: la forma più comune di attacco informatico, il phishing, inizia normalmente con un semplice clic. Questa azione apparentemente innocua porta l’utente a un luogo di contraffazione in cui la futura vittima inserisce le credenziali di accesso, aprendo la strada a un imminente attacco ATO.
  • MITM: l’attacco man-in-the-middle rappresenta una situazione in cui un hacker esperto “ascolta” il traffico di rete in entrata e in uscita. Tutto, inclusi i nomi utente e le password immessi, è visibile a terzi malintenzionati.
  • Questi erano i metodi standard utilizzati dai ladri informatici per acquisire in modo criminale le credenziali di accesso. Ciò che segue è il furto dell’account, l’attività illegale e il tentativo di mantenere l’accesso “attivo” il più a lungo possibile per vittimizzare ulteriormente l’utente o portare attacchi ad altri.

    Nella maggior parte dei casi, i malintenzionati tentano di bloccare l’utente a tempo indeterminato o di creare backdoor per un attacco futuro.

    Anche se nessuno vuole affrontare tutto questo (e nemmeno Jack!), è di grande aiuto se riusciamo a prenderlo in anticipo per evitare danni.

    Rilevamento di un attacco ATO

    In qualità di imprenditore, esistono alcuni modi per individuare un attacco ATO contro i tuoi utenti o dipendenti.

    #1. Accesso insolito

    Questi possono essere ripetuti tentativi di accesso da diversi indirizzi IP, soprattutto da località geograficamente distanti. Allo stesso modo, possono esserci accessi da più dispositivi o agenti browser.

    Inoltre, l’attività di accesso al di fuori dei normali orari di attività potrebbe riflettere un possibile attacco ATO.

    #2. Errori 2FA

    Anche ripetuti errori di autenticazione a due fattori o di autenticazione a più fattori segnalano una cattiva condotta. Nella maggior parte dei casi si tratta di un utente malintenzionato che tenta di accedere dopo essere entrato in possesso del nome utente e della password trapelati o rubati.

    #3. Attività anomala

    A volte non ci vuole un esperto per prendere nota di un’anomalia. Qualsiasi cosa ampiamente estranea al normale comportamento dell’utente può essere contrassegnata per il furto dell’account.

    Può essere semplice come un’immagine del profilo inappropriata o una serie di email di spam indirizzate ai tuoi clienti.

    In definitiva, non è facile rilevare manualmente tali attacchi e strumenti simili Sucuri O Acronis può aiutare ad automatizzare il processo.

    Andando avanti, vediamo innanzitutto come evitare tali attacchi.

    Prevenire un attacco ATO

    Oltre ad abbonarsi agli strumenti di sicurezza informatica, ci sono alcune best practice di cui puoi prendere nota.

    #1. Password complesse

    A nessuno piacciono le password complesse, ma sono una necessità assoluta nell’attuale panorama delle minacce. Pertanto, non lasciare che i tuoi utenti o dipendenti se la cavino con password semplici e imposta alcuni requisiti minimi di complessità per la registrazione dell’account.

    Soprattutto per le organizzazioni 1Affari di password è un’ottima scelta per un gestore di password che può svolgere il duro lavoro per il tuo team. Oltre a custodire le password, strumenti di prim’ordine scansionano anche il dark web e ti avvisano in caso di fuga di credenziali. Ti aiuta a inviare richieste di reimpostazione della password agli utenti o ai dipendenti interessati.

    #2. Autenticazione a più fattori (MFA)

    Per coloro che non lo sanno, l’autenticazione a più fattori significa che il sito Web richiederà un codice aggiuntivo (consegnato all’e-mail o al numero di telefono dell’utente) oltre alla combinazione di nome utente e password per accedere.

    Questo è generalmente un metodo efficace per evitare l’accesso non autorizzato. Tuttavia, i truffatori possono sfruttare rapidamente l’AMF tramite attacchi di ingegneria sociale o MITM. Quindi, sebbene sia un’eccellente prima (o seconda) linea di difesa, c’è di più in questa storia.

    #3. Implementa il CAPTCHA

    La maggior parte degli attacchi ATO iniziano con i bot che provano credenziali di accesso casuali. Pertanto, sarà molto meglio avere una verifica dell’accesso come CAPTCHA.

    Ma se pensi che questa sia l’arma definitiva, ripensaci perché esistono servizi di risoluzione CAPTCHA che un malintenzionato può implementare. Tuttavia, in molti casi è utile avere i CAPTCHA e proteggerli dagli ATO.

    #4. Gestione della sessione

    La disconnessione automatica per le sessioni inattive può essere un vero toccasana per le acquisizioni di account in generale poiché alcuni utenti accedono da più dispositivi e passano ad altri senza disconnettersi da quelli precedenti.

    Inoltre, anche consentire una sola sessione attiva per utente può rivelarsi utile.

    Infine, sarebbe meglio se gli utenti potessero disconnettersi dai dispositivi attivi in ​​remoto e ci siano opzioni di gestione della sessione nell’interfaccia utente stessa.

    #5. Sistemi di monitoraggio

    Coprire tutti i vettori di attacco per una start-up o un’organizzazione di medio livello non è così facile, soprattutto se non si dispone di un dipartimento dedicato alla sicurezza informatica.

    Qui puoi fare affidamento su soluzioni di terze parti come Cloudflare e Imperva, oltre ai già citati Acronis e Sucuri. Queste società di sicurezza informatica sono tra le migliori per affrontare tali problemi e possono prevenire o mitigare in modo efficiente gli attacchi ATO.

    #6. Geofencing

    Il geofencing consiste nell’applicare politiche di accesso basate sulla posizione per il tuo progetto web. Ad esempio, un’azienda con sede al 100% negli Stati Uniti non ha motivo di consentire l’accesso agli utenti cinesi. Sebbene questa non sia una soluzione infallibile per prevenire gli attacchi ATO, aumenta la sicurezza generale.

    Facendo un passo avanti, un’azienda online può essere configurata per consentire solo determinati indirizzi IP assegnati ai propri dipendenti.

    In altre parole, puoi utilizzare una VPN aziendale per porre fine agli attacchi di furto di account. Inoltre, una VPN crittograferà anche il traffico in entrata e in uscita, proteggendo le tue risorse aziendali dagli attacchi man-in-the-middle.

    #7. Aggiornamenti

    Essendo un’azienda basata su Internet, probabilmente hai a che fare con molte applicazioni software, come sistemi operativi, browser, plug-in, ecc. Tutte queste diventano obsolete e devono essere aggiornate per la migliore sicurezza possibile. Anche se questo non è direttamente correlato agli attacchi ATO, un pezzo di codice obsoleto può essere un facile passaggio per un criminale informatico per devastare la tua attività.

    In conclusione: invia regolarmente aggiornamenti di sicurezza ai dispositivi aziendali. Per gli utenti, cercare di educarli a mantenere le applicazioni alla versione più recente può essere un buon passo avanti.

    Dopo tutto questo e altro ancora, non esiste un esperto di sicurezza che possa garantire la sicurezza al 100%. Di conseguenza, dovresti avere in atto un vigoroso piano correttivo per il fatidico giorno.

    Combattere l’attacco ATO

    La cosa migliore è avere a bordo un esperto di sicurezza informatica, poiché ogni caso è unico. Tuttavia, ecco alcuni passaggi per guidarti in uno scenario comune di attacco post-ATO.

    Contenere

    Dopo aver rilevato un attacco ATO su alcuni account, la prima cosa da fare è disattivare temporaneamente i profili interessati. Successivamente, l’invio di una password e di una richiesta di reimpostazione dell’MFA a tutti gli account può essere utile per limitare i danni.

    Far sapere

    Comunicare con gli utenti presi di mira in merito all’evento e all’attività dannosa dell’account. Successivamente, informali del divieto temporaneo e dei passaggi di ripristino dell’account per un accesso sicuro.

    Investigare

    Questo processo può essere realizzato al meglio da un esperto esperto o da un team di professionisti della sicurezza informatica. L’obiettivo può essere quello di identificare gli account interessati e garantire che l’aggressore non sia ancora in azione con l’aiuto di meccanismi basati sull’intelligenza artificiale, come l’analisi del comportamento.

    Inoltre, dovrebbe essere conosciuta la portata della violazione dei dati, se presente.

    Recuperare

    Una scansione malware dell’intero sistema dovrebbe essere il primo passo di un piano di ripristino dettagliato perché, nella maggior parte dei casi, i criminali installano rootkit per infettare il sistema o per mantenere l’accesso per attacchi futuri.

    In questa fase si può spingere per l’autenticazione biometrica, se disponibile, o per l’MFA, se non già utilizzata.

    Rapporto

    In base alle leggi locali, potrebbe essere necessario segnalarlo alle autorità governative. Ciò ti aiuterà a rimanere conforme e, se necessario, a perseguire una causa contro gli aggressori.

    Piano

    Ormai conosci alcune lacune che esistevano a tua insaputa. È giunto il momento di affrontarli nel futuro pacchetto sicurezza.

    Inoltre, cogli l’occasione per educare gli utenti su questo incidente e chiedi di praticare una sana igiene di Internet per evitare problemi futuri.

    Nel futuro

    La sicurezza informatica è un settore in evoluzione. Le cose considerate sicure dieci anni fa potrebbero essere oggi un aperto invito ai truffatori. Pertanto, rimanere al passo con gli sviluppi e aggiornare periodicamente i protocolli di sicurezza aziendale è la soluzione migliore.

    Se sei interessato, la sezione sicurezza di winadmin.it è una libreria di articoli degna di nota rivolta a start-up e PMI che scriviamo e aggiorniamo regolarmente. Continua a controllarli e sono sicuro che potrai controllare la parte “stare al passo” della pianificazione della sicurezza.

    Stai al sicuro e non lasciare che prendano il controllo di questi account.