Cosa imparerai in questo articolo
- L'appropriazione indebita di un account consiste nell'assunzione non autorizzata del controllo di un account esistente, solitamente tramite credenziali rubate, phishing, malware o altre forme di abuso basate sulle credenziali.
- Il furto d’identità consiste nell’uso improprio di dati personali sottratti al fine di spacciarsi per qualcun altro, aprire conti, commettere frodi, o facilitare successive violazioni della sicurezza.
- L’appropriazione indebita di un account è spesso più facile da individuare analizzando i dati di accesso e il comportamento dell’account, mentre il furto d’identità può emergere in una fase più precoce, durante la procedura di registrazione, i pagamenti o le attività relative a un nuovo account.
- Le minacce possono sovrapporsi quando i dati di identità rubati vengono utilizzati nelle procedure di recupero o quando un account compromesso espone ulteriori dati personali.
- Le aziende necessitano di controlli a più livelli in materia di autenticazione, verifica dell’identità, prevenzione delle frodi, monitoraggio e difesa dal phishing per ridurre entrambi i rischi.
La compromissione delle e-mail, le frodi e l’usurpazione d’identità raramente si limitano a un unico ambito. Un account compromesso può esporre i dati personali; e le informazioni personali rubate possono consentire a un malintenzionato di reimpostare le credenziali, superare i controlli di verifica o aprire account fraudolenti su .
Ecco perché le aziende devono distinguere l’appropriazione indebita di un account dal furto d’identità, senza considerarli rischi non correlati. Le due minacce si sovrappongono, ma hanno origini diverse, si ano in modo diverso e richiedono tecniche di prevenzione diverse.
Che cos’è il furto di accesso all’account?
Si parla di “appropriazione di account” quando un malintenzionato ottiene l’accesso non autorizzato a un account utente esistente, a un account aziendale, a un account bancario o a qualsiasi altro account online e inizia a utilizzarlo come se ne fosse il legittimo titolare. La maggior parte degli attacchi di tipo “account takeover” si basa su credenziali rubate, credenziali compromesse, phishing, malware, dirottamento di sessione o altri attacchi di tipo “ ” che sfruttano credenziali di accesso valide anziché penetrare nel sistema tramite un exploit tradizionale.
È proprio questo che rende così pericolose le frodi di appropriazione di account, le frodi di appropriazione e le frodi ATO: l’autore dell’attacco utilizza un account reale con diritti di accesso effettivi, spesso per un periodo sufficientemente lungo da consentirgli di commettere frodi, muoversi lateralmente o prendere di mira più account.
Segnali di allarme comuni relativi alla compromissione dell'account
Questi indicatori compaiono solitamente prima che si manifesti chiaramente un caso di appropriazione totale dell'account. Individuarli tempestivamente può aiutare i team di sicurezza di a riconoscere i segnali che indicano che la vostra e-mail è stata compromessa e a bloccare un tentativo di appropriazione dell’account prima che l’account interessato venga utilizzato su più ampia scala.
- Accessi insoliti o spostamenti improbabili
- Posta inviata dall’account compromesso che desta sospetti
- Modifiche alle regole della posta in arrivo o alle impostazioni di inoltro
- Comportamento anomalo dell'account o download imprevisti
- Transazioni non autorizzate o modifiche improvvise al conto
Questi segnali sono importanti perché un attacco finalizzato all’appropriazione di un account può trasformare rapidamente un singolo account compromesso in un problema più ampio di sicurezza informatica a livello aziendale ( ). Gli autori degli attacchi possono utilizzare l'account per divulgare dati sensibili, spacciarsi per dipendenti, abusare dei sistemi collegati e aumentare il rischio di perdite dovute a frodi e di danni alla reputazione.
Perché è importante prevenire l’appropriazione indebita degli account negli ambienti aziendali
Un account compromesso può diventare un punto nevralgico per ben più di un single episodio di accesso non autorizzato. In contesti aziendali, un’operazione di “ ” riuscita può portare a un attacco di tipo “”, a un attacco di phishing interno , alla divulgazione di dati, a frodi, a movimenti laterali e all’uso improprio dei servizi o dei flussi di lavoro collegati. Ciò rende la prevenzione dell’appropriazione indebita dell’account una questione di rischio aziendale, non solo un problema legato alla password.
Che cos’è il furto d’identità?
Il furto d'identità consiste nel furto e nell'uso improprio di informazioni personali o dati personali al fine di spacciarsi per la vittima. I dati relativi all’identità rubati possono includere nomi, indirizzi, dati delle carte di credito, informazioni sui conti bancari, numeri di previdenza sociale, e altri dettagli relativi agli account che consentono ai truffatori di spacciarsi per qualcun altro. A differenza della violazione dell’account, che ha origine da un account esistente , il furto d’identità ha origine da dati identificativi rubati che possono essere utilizzati per aprire nuovi account, commettere frodi relative all’identità , eludere i controlli o favorire successive violazioni.
Segnali di allarme comuni relativi al furto d'identità
I segnali di allarme relativi al furto d'identità si manifestano solitamente nell'ambito delle attività finanziarie, di onboarding o di apertura di conti, piuttosto che nei dati di accesso relativi al . Questo è uno dei motivi per cui il furto d’identità può risultare più difficile da individuare tempestivamente negli ambienti aziendali.
- Addebiti imprevisti o transazioni fraudolente
- Conti sconosciuti, prestiti o conti multipli aperti a nome della vittima
- Modifiche alla relazione creditizia o avvisi di recupero crediti relativi a debiti sconosciuti
- Avvisi relativi alla reimpostazione della password o all'accesso che la vittima non ha attivato
- Attività sospette correlate a un nuovo utente, a un candidato o a una procedura di iscrizione
Da un punto di vista commerciale, tali segnali potrebbero sembrare meno indicativi di un account compromesso e più indicativi di un nuovo utente legittimo di . Ecco perché il furto d’identità emerge spesso già nelle prime fasi dei flussi di lavoro relativi all’onboarding, agli abusi, ai pagamenti o alla verifica delle frodi , anziché solo nei registri di autenticazione.
Perché la prevenzione del furto d’identità è importante per le imprese
Il furto d'identità non è solo un problema che riguarda i consumatori. Ciò può favorire le frodi da parte dei clienti, gli abusi nelle procedure di onboarding, i rischi di non conformità e l’erosione della fiducia , soprattutto quando gli autori degli attacchi utilizzano dati di identità rubati per superare i controlli o generare attività che a prima vista sembrano legittime.
Il quadro di riferimento “Red Flags” della FTC riflette tale realtà, imponendo alle organizzazioni interessate di identificare modelli sospetti di , individuarli, reagire e mantenere aggiornati tali controlli.
Appropriazione indebita dell'account vs furto d'identità
L’appropriazione di un account consiste nel prendere il controllo di un account esistente, mentre il furto d’identità consiste nell’utilizzare informazioni personali rubate per spacciarsi per qualcun altro. Si parte da un conto reale già esistente. L’altro caso riguarda i dati di identità rubati che possono essere utilizzati per creare, accedere o manipolare account e servizi.
|
Categoria |
Appropriazione indebita dell'account |
Furto d'identità |
|
Punto di partenza |
Account esistente |
Dati relativi all’identità personale oggetto di furto |
|
Gol dell'attaccante |
Ottenere l'accesso a un account attivo e utilizzarlo |
Fingersi qualcun altro a scopo di frode |
|
Segni comuni |
Accessi sospetti, modifiche alle regole della posta in arrivo, comportamenti anomali dell'account |
Conti sconosciuti, variazioni del merito creditizio, richieste di credito false, avvisi di recupero crediti |
|
Impatto aziendale |
Abuso degli account, divulgazione dei dati, perdite dovute a frodi, compromissione della fiducia |
Frodi da parte dei clienti, abusi nella procedura di registrazione, rischio di non conformità, perdita di fiducia |
|
Attenzione alla prevenzione |
MFA, autenticazione, sicurezza del recupero, rilevamento delle anomalie |
Verifica dell'identità, screening antifrode e individuazione dei segnali di allarme |
Le implicazioni operative sono diverse per i difensori. L'appropriazione indebita di un account risulta spesso più evidente nei dati di telemetria relativi agli accessi, nel comportamento delle caselle di posta, nelle anomalie di autenticazione e nelle attività anomale dell'account.
Il furto d’identità può manifestarsi già nelle fasi iniziali di registrazione, nei pagamenti o nelle operazioni relative a un nuovo conto, dove l’autore dell’attacco non si presenta tanto come un intruso quanto piuttosto come un nuovo utente legittimo. Ciò determina quali team individuano per primi il problema e quali controlli risultano più utili su .
In che modo le aziende possono prevenire i rischi legati all’appropriazione indebita degli account e al furto di identità?
Per proteggersi da entrambe le minacce sono necessari controlli più rigorosi nei flussi di lavoro relativi all’accesso, al recupero dell’account, all’onboarding e alla modifica dell’ e dell’account. Le aziende necessitano di misure di protezione in grado di ridurre sia gli accessi non autorizzati a un account esistente sia le frodi di tipo “ ” basate sull’identità, che hanno inizio nelle prime fasi del percorso dell’utente. L'approccio più efficace combina prevenzione, verifica e una visibilità costante.
Rafforzare i controlli di accesso e di verifica
La priorità assoluta è rendere più difficile per gli hacker e i truffatori penetrare nei sistemi o sfruttare le vulnerabilità dei processi. I controlli relativi all'accesso, al recupero dell'account e alla procedura di registrazione su possono ridurre sia il rischio di appropriazione indebita dell'account sia l'uso improprio dell'identità prima che il danno si diffonda.
- Implementare l'autenticazione a più fattori (MFA) per rendere le credenziali rubate meno utilizzabili se considerate isolatamente. Ciò aggiunge un ulteriore livello di autenticazione che è in grado di impedire un tentativo di appropriazione indebita anche nel caso in cui le credenziali di accesso vengano divulgate.
- Utilizzi l'autenticazione basata sul rischio per gestire dispositivi, posizioni o comportamenti di accesso insoliti. Aiuta i team di sicurezza ad applicare controlli più rigorosi quando l’attività non corrisponde al modello di comportamento abituale di un utente.
- Rendere più rigorose le procedure di recupero, in modo che sia più difficile abusare delle procedure di reimpostazione delle password e di recupero degli account, attualmente troppo semplici. Una maggiore sicurezza nel processo di recupero dell' riduce la probabilità che i truffatori utilizzino i dati personali rubati per riottenere l'accesso.
- Applicare la verifica dell’identità durante la procedura di registrazione e in occasione di altre operazioni sensibili, al fine di confermare che gli utenti siano effettivamente chi dichiarano di essere. Ciò consente di individuare e contrastare più facilmente e tempestivamente i casi di furto d'identità, le domande di iscrizione false e i comportamenti sospetti in fase di iscrizione.
- Protegga le modifiche all'account introducendo controlli relativi agli aggiornamenti di e-mail, password, dati di pagamento e profilo. Questi controlli contribuiscono a prevenire modifiche non autorizzate che potrebbero impedire l'accesso all'utente legittimo o consentire transazioni fraudolente.
Queste misure di sicurezza sono importanti perché gli autori degli attacchi spesso cercano la via più facile, non solo quella più complessa dal punto di vista tecnico. Quando le aziende rafforzano i punti di accesso e le procedure di verifica, migliorano la propria capacità di prevenire l’appropriazione indebita degli account prima che un singolo flusso di lavoro vulnerabile si trasformi in un problema di frode di più ampia portata.
Migliorare il monitoraggio e l'individuazione
La prevenzione da sola non è sufficiente. Le aziende hanno inoltre bisogno di poter individuare i comportamenti sospetti, in modo da poter rilevare un account compromesso , un tentativo di appropriazione indebita o un abuso legato all’identità prima che si trasformi in un’attività fraudolenta su più ampia scala.
- Monitorare gli accessi anomali che potrebbero indicare una compromissione dell'account o un tentativo di appropriazione dell'account. Cercate luoghi, dispositivi, orari di accesso o tentativi di accesso falliti ripetuti che si discostino dai normali schemi di comportamento degli utenti.
- Tenete traccia delle modifiche impreviste all'account, quali il ripristino della password, l'aggiornamento dell'indirizzo e-mail o le modifiche ai dati di pagamento. Questi cambiamenti dimostrano spesso che un malintenzionato sta cercando di impedire l'accesso all'utente legittimo o di reindirizzare le attività future.
- Esaminare i messaggi sospetti legati al phishing, furto d’identità o all’ingegneria sociale che potrebbero comportare una compromissione della sicurezza, soprattutto quando gli utenti potrebbero non comprendere la differenza tra e-mail di phishing e spam . Individuare tempestivamente questi messaggi contribuisce a ridurre il rischio che credenziali rubate o link dannosi si trasformino in un incidente di maggiore entità.
- Valutate i segnali relativi alla fase di onboarding per individuare domande di iscrizione false, comportamenti sospetti durante la procedura di iscrizione o frodi relative all’identità. Una verifica tempestiva può aiutare i team a impedire gli abusi prima che un account utente fraudolento sia completamente attivato.
- Prestino attenzione agli indicatori di dati esposti che suggeriscono che dati personali o credenziali compromesse vengano riutilizzati su canali. Ciò può consentire di individuare il momento in cui le informazioni rubate passano da un singolo tentativo di frode a un abuso più esteso del conto.
Un monitoraggio più efficace aiuta i team a mettere in relazione i segnali, anziché limitarsi a reagire a eventi isolati. Ciò migliora la qualità del rilevamento e offre alle aziende maggiori possibilità di contenere gli abusi prima che questi possano avere ripercussioni su più account, clienti o sistemi . Qualora si verificasse un incidente, i team dovrebbero inoltre sapere cosa fare nel caso in cui la propria e-mail venisse violata , in modo da poter reagire più rapidamente.
Utilizzate un sistema di difesa a più livelli per ridurre il diffondersi degli abusi
Non esiste un single meccanismo di controllo in grado di impedire ogni attacco di appropriazione indebita o ogni tentativo di frode basato sull’identità. Le aziende riducono i rischi in modo più efficace quando integrano controlli di autenticazione, screening antifrode, sicurezza della posta elettronica, misure anti-phishing, sensibilizzazione degli utenti e rilevamento delle violazioni in un unico modello di difesa a più livelli.
Perché le aziende dovrebbero affrontare entrambe le minacce separatamente
Considerare entrambe le minacce come un unico problema generico di frode crea dei punti ciechi. I team potrebbero concentrarsi eccessivamente sulla sicurezza dell’accesso e trascurare gli abusi durante la fase di onboarding, oppure concentrarsi sui candidati falsi trascurando gli attacchi di appropriazione dell’account già in corso all’interno di un account attivo.
L’appropriazione indebita di account e il furto d’identità generano segnali diversi, incidono su processi aziendali diversi e richiedono tecniche di prevenzione diverse. Considerarli come identici indebolisce sia la risposta che la responsabilità.
Distinguere queste minacce consente di definire con maggiore chiarezza le responsabilità, attuare controlli più accurati e condurre indagini più efficaci. Quando i team distinguono la compromissione dell’account dal furto d’identità, possono intervenire in base al punto in cui ha inizio l’abuso, anziché costringere ogni incidente a seguire lo stesso flusso di lavoro.
I team addetti alla sicurezza possono quindi concentrarsi sui segnali relativi agli account compromessi, mentre i team preposti alla lotta alle frodi e all’onboarding si occupano dei casi di abuso di identità e dei rischi legati alle richieste. Tale distinzione migliora la visibilità, la responsabilità e la qualità della risposta, pur e il fatto che, negli attacchi reali, l’appropriazione indebita degli account e il furto d’identità spesso si sovrappongono.
Protezione contro l'appropriazione indebita degli account e il furto di identità per la sicurezza aziendale
L'appropriazione indebita di account e il furto d'identità sono minacce distinte, anche quando si presentano nella stessa catena di attacchi. L'appropriazione di un account ( ) prende di mira un account esistente, mentre il furto d'identità si basa su dati d'identità sottratti. Sebbene sia importante tenere conto di tale sovrapposizione , la distinzione è ancora più rilevante poiché le difese adeguate dipendono dal punto in cui ha inizio l’abuso .
L'autenticazione a più fattori (MFA), i controlli di autenticazione, il rilevamento delle anomalie e misure di sicurezza più rigorose per il ripristino contribuiscono a ridurre le frodi legate all'appropriazione indebita degli account e altri attacchi di questo tipo. La verifica dell’identità, lo screening antifrode e controlli più rigorosi in fase di registrazione contribuiscono a contrastare tempestivamente gli abusi legati all’identità nel settore dell’ .
Per i responsabili della sicurezza aziendale, l’obiettivo non è quello di scegliere tra le due opzioni. L'obiettivo è quello di creare un sistema di protezione a più livelli che consideri sia gli account compromessi sia le frodi basate sull'identità come rischi aziendali. Mimecast sostiene tale impegno aiutando le organizzazioni che adottano l’approccio “ ” a migliorare la protezione contro la compromissione degli account, il phishing, l’usurpazione d’identità e gli abusi legati all’identità in tutti gli ambienti aziendali “ ”.