Cosa imparerai in questo articolo
- Un account compromesso è un account utente legittimo a cui ha avuto accesso un soggetto non autorizzato.
- Gli autori degli attacchi ottengono spesso l'accesso tramite phishing , credential stuffing, password deboli, malware o ingegneria sociale.
- Tra i segnali di allarme più comuni figurano accessi insoliti, modifiche alle password o alle procedure di recupero, dispositivi sconosciuti e comportamenti sospetti .
- Un'autenticazione più rigorosa, una maggiore sicurezza della posta elettronica, procedure di recupero sicure e il monitoraggio degli accessi contribuiscono a ridurre i rischi.
- Il ripristino dovrebbe comprendere la revoca dell'accesso, la reimpostazione delle credenziali, la verifica dell'attività dell'account e la risoluzione della causa principale .
Un account compromesso non è solo un problema di accesso. Significa che una persona diversa dal legittimo proprietario ha assunto il controllo di un’identità attendibile e può utilizzarla per sottrarre dati, inviare e-mail fraudolente, effettuare transazioni non autorizzate o penetrare più in profondità all’interno di un sistema.
Per i privati, ciò può riguardare un account personale, un conto corrente o un profilo di e-commerce. Per le aziende, un solo account compromesso può esporre informazioni sensibili, interrompere le operazioni e generare un rischio più ampio per la sicurezza informatica. Comprendere come avvenga la compromissione di un account è il primo passo per impedirla.
Che cos’è un account compromesso?
Un account compromesso è un account a cui ha avuto accesso, di cui ha assunto il controllo o che è stato preso in mano da qualcuno non autorizzato a utilizzarlo. Ciò potrebbe riguardare un account di posta elettronica, un account online per lo shopping o per operazioni bancarie, oppure un profilo amministrativo aziendale collegato a sistemi interni. In tutti i casi, il problema fondamentale è lo stesso: un’identità attendibile viene utilizzata in modo improprio.
I rischi legati alla compromissione di un account possono essere gravi. Può essere utilizzato per commettere frodi, accedere a informazioni sensibili, spacciarsi per un utente, inviare e-mail di phishing o approvare transazioni non autorizzate. In ambito aziendale, gli account compromessi possono anche portare ad abusi più estesi del sistema, poiché gli autori degli attacchi utilizzano spesso un account come punto di partenza per un attacco su più ampia scala.
In alcuni casi, gli utenti si accorgono di un problema solo dopo aver ricevuto una notifica di violazione o un avviso relativo al servizio. Un fornitore, una piattaforma o un produttore di prodotti “ ” potrebbe segnalare che servizi esposti, violazioni o una vulnerabilità del prodotto potrebbero aver interessato un account. Il fatto che non significa necessariamente che l'account sia stato effettivamente oggetto di abuso, ma è un segnale che l'account dovrebbe essere verificato e messo in sicurezza al più presto.
In che modo avviene la compromissione di un account?
Non esiste un single percorso che porti alla compromissione di un account. I criminali informatici ricorrono a diversi metodi a seconda dell’obiettivo, del valore dell’account e delle misure di sicurezza in atto.
Phishing
Il phishing è uno dei metodi più diffusi. Un’e-mail di phishing, una truffa diphishing del tipo “”, “ ” o un’e-mail sospetta potrebbe indurre gli utenti a inserire una password su una pagina di accesso fasulla o ad approvare una richiesta di accesso dannosa . Alcuni tentativi di attacco di phishing hanno un raggio d’azione ampio, mentre altri sono altamente mirati e concepiti per sembrare comunicazioni aziendali legittime.
Credential stuffing
Il “credential stuffing” si verifica quando gli autori degli attacchi utilizzano credenziali sottratte in occasione di precedenti violazioni per tentare di accedere su larga scala a numerosi account su . Ciò è possibile perché molti utenti continuano a riutilizzare la stessa password su più di un servizio. A single violazione dei dati su può quindi compromettere l’accesso a un account di posta elettronica, a un profilo di e-commerce o persino a un conto bancario, qualora le abitudini relative alle password siano poco sicure.
Password deboli o riutilizzate
Una password debole è più facile da indovinare, mentre l’utilizzo della stessa password su più servizi aumenta il danno nel caso in cui uno di essi venga compromesso. Se la password di un sito viene rubata da una piattaforma, i criminali informatici possono provarla su altri servizi collegati allo stesso account utente.
Malware e keylogging
La presenza di malware di tipo “ ” su un dispositivo può consentire di acquisire in modo invisibile le credenziali di accesso, registrare i tasti digitati o sottrarre i dati della sessione. In tali casi, anche un utente attento potrebbe non rendersi conto che il furto della propria password ha avuto inizio proprio sul proprio dispositivo.
Ingegneria sociale
Non tutti i compromessi hanno origine dalla tecnologia. A volte un hacker induce gli utenti, il personale di assistenza o i fornitori a compiere un , rivelando i dettagli di accesso, modificando le impostazioni dell’account o aggirando i controlli di autenticazione. Anche la condivisione delle password aumenta tale rischio, poiché amplia il numero di persone che potrebbero divulgare le proprie credenziali senza rendersene conto.
Tipi comuni di account compromessi
Alcuni profili risultano particolarmente allettanti perché offrono denaro, opportunità o fiducia. Questi account tendono inoltre ad essere collegati ad altri sistemi, il che li rende utili agli autori degli attacchi che cercano di ampliare il proprio accesso o di abusare della fiducia accordata.
- Account di posta elettronica: un account di posta elettronica rappresenta spesso il punto di partenza più prezioso, poiché può essere utilizzato per il re della password, l’usurpazione d’identità e l’accesso ai servizi collegati. Inoltre, offre agli autori degli attacchi un canale affidabile per l’invio di e-mail fraudolente sia all’interno che all’esterno dell’organizzazione.
- Conti finanziari: i conti finanziari rappresentano obiettivi evidenti poiché possono essere utilizzati per furti diretti, frodi relative ai pagamenti e transazioni non autorizzate. Un conto bancario o un portale di pagamento compromesso può causare danni finanziari immediati .
- Account e-commerce: i profili e-commerce possono contenere metodi di pagamento salvati, dettagli di spedizione, punti fedeltà o cronologie degli ordini. Questi account vengono spesso rivenduti o utilizzati in modo improprio per effettuare acquisti fraudolenti.
- Account sui social media: i profili sui social media compromessi possono essere utilizzati per truffe, disinformazione, promozioni fasulle, o attività di contatto a scopo dannoso. Per i marchi, ciò può minare la fiducia in modo molto rapido.
- Account aziendali e amministrativi: questi account comportano il rischio organizzativo più elevato. Tali sistemi potrebbero consentire l’accesso a sistemi interni, dati relativi ai clienti, servizi cloud o controlli amministrativi. La compromissione di un solo account a questo livello può favorire un attacco di portata molto più ampia.
Poiché tali account sono collegati alla fiducia, al denaro o all’accesso al sistema in senso più ampio, spesso causano danni maggiori quando vengono compromessi. Maggiore è il valore del conto, tanto più è importante monitorarlo e proteggerlo con attenzione.
Come individuare gli account compromessi
Un account compromesso spesso mostra dei segnali prima che l'entità del danno diventi evidente. La chiave sta nel riconoscerli tempestivamente.
Attività di accesso insolita
Prestino attenzione agli accessi insoliti provenienti da luoghi, dispositivi o orari non noti. Anche ripetuti tentativi falliti di accesso possono indicare un tentativo di attacco di tipo “ ”.
Modifiche alla password o alla procedura di recupero
E-mail inaspettate relative alla reimpostazione della password, modifiche all’autenticazione a più fattori (MFA) o tentativi di recupero dell’account costituiscono importanti segnali di allarme. Se i dati relativi al recupero vengono modificati senza autorizzazione, è possibile che l'account sia già stato oggetto di un accesso non autorizzato.
Azioni non autorizzate
Prestino attenzione a eventuali messaggi che non hanno inviato, acquisti che non hanno effettuato o modifiche alle impostazioni dell'account che non hanno approvato. Questi sono spesso i segnali più evidenti di un uso improprio.
Nuovi dispositivi o sessioni attive
Browser non riconosciuti, dispositivi collegati o sessioni attive potrebbero indicare che qualcun altro abbia accesso all'account.
Reclami e segnalazioni di assistenza
Gli utenti possono segnalare casi di blocco dell'accesso, comunicazioni sospette o notifiche insolite. In ambito aziendale, tali rapporti costituiscono spesso un primo indizio della presenza di account compromessi nell'ambiente.
Le migliori misure per prevenire la compromissione degli account
Per evitare che gli account vengano compromessi è necessario ricorrere a più di una misura di sicurezza. L'approccio più efficace combina un'autenticazione più rigorosa , procedure più rigorose relative alle credenziali e un rilevamento tempestivo delle attività sospette.
- Utilizzate l'autenticazione a più fattori: l'autenticazione non dovrebbe limitarsi alla sola password. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione, in modo che le credenziali rubate non siano di per sé sufficienti per accedere a un account.
- Migliorate le vostre pratiche relative alle password: utilizzate una password diversa per ogni servizio importante. Un gestore di password aiuta gli utenti a creare e a conservare una password sicura senza dover fare affidamento sulla memoria o ricorrere a un riutilizzo non sicuro.
- Rafforzare le difese contro il phishing: molti attacchi hanno origine da e-mail di phishing, pertanto la prevenzione deve includere sia la sensibilizzazione degli utenti sia misure tecniche. Una maggiore sicurezza della posta elettronica può ridurre l’esposizione a contenuti sospetti, link dannosi e messaggi fraudolenti finalizzati al furto delle credenziali.
- Monitorare gli accessi e i comportamenti: il monitoraggio può aiutare a individuare modelli di accesso insoliti, comportamenti sospetti e attività anomale sull’account prima che la violazione si diffonda. Ciò è particolarmente importante per i sistemi aziendali e per i conti di alto valore .
- Flussi di recupero sicuri: procedure di recupero dell’account inadeguate possono consentire agli aggressori di assumere il controllo anche quando la password originale rimane segreta. I metodi di ripristino devono essere rigorosamente protetti, sottoposti a revisione periodica e non devono essere lasciati interamente nelle mani di un unico fornitore esterno.
Nel loro insieme, queste misure rendono più difficile per gli autori degli attacchi ottenere l’accesso e più facile per i team individuare le violazioni degli account prima che causino danni più estesi. L'obiettivo non è solo quello di bloccare un singolo tentativo di accesso, ma di ridurre le probabilità che si verifichino ripetuti abusi di tipo " " nel corso dell'intero ciclo di vita dell'account.
Come recuperare un account già compromesso
Una volta rilevata una violazione, la rapidità è fondamentale. Un intervento rapido e mirato può contribuire a limitare i danni, a proteggere i servizi collegati e a ridurre il rischio di ulteriori abusi.
Revoca immediatamente l'accesso
Chiudano tutte le sessioni attive, rimuovano i dispositivi sconosciuti e blocchino gli accessi non autorizzati il più rapidamente possibile. Ciò contribuisce a contenere l'incidente prima che gli autori dell'attacco possano causare ulteriori danni.
Reimpostare le credenziali
Modifichi la password con una password univoca, riconfiguri l'autenticazione a più fattori (MFA) e aggiorni le opzioni di ripristino. Se una password è stata riutilizzata, verifichi se esistono altri account che potrebbero utilizzarla.
Verificare l'attività dell'account
Controlli l'attività dell'account per individuare accessi sospetti, modifiche alle autorizzazioni, transazioni, messaggi e servizi collegati. Questo documento aiuta a chiarire come sia stato utilizzato l'account e quali elementi possano essere stati compromessi.
Informare le parti interessate
Qualora l'account sia stato utilizzato per inviare messaggi e-mail di phishing, commettere frodi o divulgare informazioni sensibili, si prega di informare l' , nonché gli utenti, i clienti, i colleghi o i fornitori di servizi interessati.
Analizzare e rafforzare la sicurezza
Individuare la causa probabile, che si tratti di phishing, malware, condivisione di password o credential stuffing. Rafforzi quindi il punto debole che ha permesso la violazione della sicurezza in primo luogo.
Le aziende dovrebbero inoltre evitare di affidarsi esclusivamente a un fornitore di servizi IT per la gestione delle password e il recupero degli account. Le organizzazioni dovrebbero mantenere la titolarità diretta degli account critici, dei metodi di ripristino e degli accessi amministrativi. Se un fornitore esterno perde il controllo dell , non è più disponibile o gestisce in modo improprio le credenziali, il ripristino diventa molto più difficile.
Prevenire i rischi legati alla compromissione degli account
Un account compromesso non è solo un problema di accesso. Si tratta di un’identità attendibile che viene utilizzata in modo improprio per facilitare frodi, furti di identità , fughe di dati e problemi di sicurezza più ampi. Ecco perché la prevenzione deve andare oltre le semplici password e includere un’autenticazione più sicura , un monitoraggio più efficace, procedure di ripristino più sicure e controlli che riducano il rischio umano.
Mimecast aiuta le organizzazioni a ridurre il rischio di compromissione degli account attraverso soluzioni di sicurezza della posta elettronica, protezione dalle minacce e funzionalità di gestione del rischio umano , progettate per limitare il phishing, individuare comportamenti sospetti e rafforzare la protezione degli account più presi di mira dagli aggressori.