Cosa imparerai in questo articolo
- Per “appropriazione indebita di un account aziendale” si intende l’accesso non autorizzato a un account aziendale legittimo utilizzato nell’ambito delle operazioni aziendali.
- Può interessare le caselle di posta elettronica dei dirigenti, gli account finanziari, quelli amministrativi, gli account dei servizi condivisi e i sistemi a contatto con i clienti.
- L'impatto aziendale comprende spesso casi di frode, usurpa di identità interna, fuga di dati, abuso dei servizi SaaS e interruzione dei flussi di lavoro sensibili.
- Tra i metodi di attacco più comuni figurano il phishing, l’ingegneria sociale, il “password spraying”, il “credential stuffing” e gli attacchi “man-in-the-middle”.
- Un'autenticazione più rigorosa, procedure di recupero protette e il monitoraggio delle attività insolite sugli account sono elementi fondamentali per la prevenzione.
La compromissione degli account aziendali su non è solo un problema di password rubate. È la compromissione di un’identità aziendale affidabile all’interno dei sistemi, dei flussi di lavoro e delle comunicazioni che garantiscono il funzionamento di un’organizzazione.
Quando gli autori degli attacchi riescono ad accedere a un account aziendale legittimo, possono approfittare di tale fiducia per commettere frodi, divulgare informazioni sensibili sui clienti , interferire con le procedure di approvazione e penetrare più in profondità nelle applicazioni aziendali. Ecco perché i team di sicurezza informatica aziendale ( ) devono considerare la compromissione degli account come un rischio operativo, e non semplicemente come un evento isolato legato all’accesso.
Che cos’è la compromissione di un account aziendale?
Per "appropriazione indebita di un account aziendale" si intende l'accesso non autorizzato a un account aziendale legittimo. Tra questi possono figurare un account di un dipendente, un account della divisione finanziaria o di tesoreria, una casella di posta elettronica di un dirigente, un account amministrativo o un’applicazione aziendale condivisa collegata alle operazioni quotidiane.
In che modo si differenzia dal furto di account in generale
Ciò che distingue questo caso dal normale furto di credenziali è il contesto aziendale. La compromissione di un conto personale può comportare il furto d’identità o attività fraudolente a danno del titolare del conto.
L’appropriazione indebita di un account aziendale può compromettere contemporaneamente più account, le approvazioni aziendali, i servizi rivolti ai clienti, i flussi di lavoro condivisi e la fiducia nell’organizzazione. Può essere utilizzato per:
- Effettuare transazioni non autorizzate
- Imitare la leadership
- Rivelare le informazioni relative all'account
- Abuso dell'accesso al SaaS
- Compromettono importanti processi organizzativi
Il rischio non consiste semplicemente nel furto di credenziali preso isolatamente. Si tratta dell’uso improprio di un account aziendale di fiducia all’interno dei sistemi su cui le persone già fanno affidamento.
In quali ambiti l’appropriazione indebita degli account aziendali comporta rischi per l’azienda?
L’appropriazione indebita di account aziendali tende a causare i danni maggiori proprio laddove si intrecciano fiducia, denaro e accesso. Nella maggior parte delle organizzazioni , ciò significa che il rischio è più elevato in alcune aree chiave.
- Flussi di lavoro finanziari e di pagamento: gli account relativi alla gestione finanziaria possono esporre a rischi di frode fatture, approvazioni, transazioni ACH, e autorizzazioni alle transazioni. Qualora gli autori degli attacchi riuscissero ad accedere a un conto aziendale utilizzato per i pagamenti, essi potrebbero dirottare fondi, manipolare una transazione o favorire frodi di appropriazione indebita del conto tramite l’usurpazione di identità all’interno dell’organizzazione.
- Comunicazioni dirigenziali: gli account e-mail e i canali di messaggistica dei dirigenti godono di un elevato livello di fiducia. Un attacco di tipo “ ” in questo contesto può favorire richieste di pagamento urgenti, false approvazioni o esercitare pressioni sociali sui dipendenti che ritengono che la comunicazione sia legittima.
- Account rivolti ai clienti: i portali di assistenza clienti, le caselle di posta dedicate all’assistenza e altri account aziendali rivolti all’esterno influiscono sulla fiducia e sulla continuità. Un'appropriazione indebita può comportare la divulgazione di informazioni sensibili sui clienti, l'interruzione del servizio o causare un danno alla reputazione qualora l'account venga utilizzato per attività fraudolente.
- Applicazioni aziendali condivise: gli strumenti condivisi spesso consentono un ampio accesso ai sistemi interni e alle informazioni sensibili. Se gli aggressori riuscissero ad accedere a un account aziendale condiviso, potrebbero muoversi all’interno dei flussi di lavoro con maggiore facilità rispetto a quanto potrebbero fare tramite un account individuale standard.
È proprio in questo contesto che la compromissione degli account aziendali diventa un rischio aziendale più ampio, anziché un semplice problema di sicurezza isolato. Quanto più un account è strettamente legato al denaro, alla fiducia o all’accesso condiviso, tanto maggiore è il danno che un’acquisizione di controllo può causare.
Tipi comuni di attacchi finalizzati alla compromissione degli account aziendali
Gli attacchi volti al furto di account aziendali iniziano solitamente con una tecnica che sfrutta la fiducia, un sistema di autenticazione debole o credenziali esposte. Tra gli esempi più comuni figurano sia strategie di natura tecnica che incentrate sulle persone.
Phishing
Il phishing rimane una delle vie più comuni per l'appropriazione indebita di account. E-mail fraudolente, pagine di accesso contraffatte o altre tecniche di inganno sui social inducono un dipendente a inserire le credenziali di accesso a un account aziendale.
Ingegneria sociale
L'ingegneria sociale si basa sull'urgenza, sulla fiducia o sull'usurpazione d'identità. Gli autori degli attacchi potrebbero spacciarsi per dirigenti, colleghi, fornitori, o persino per un istituto finanziario al fine di indurre qualcuno a concedere l’accesso, reimpostare una password o approvare un’azione .
Attacco di tipo "password spraying"
Il “password spraying” consiste nel provare un numero limitato di password comuni su numerosi account. È stato progettato per evitare i blocchi del servizio " " e per individuare le pratiche di autenticazione inadeguate in un ambiente aziendale.
Credential stuffing
Il “credential stuffing” consiste nell’utilizzare credenziali rubate in occasione di precedenti violazioni per tentare di ottenere l’accesso su larga scala. Se i dipendenti riutilizzano le stesse password sia per gli account personali che per quelli aziendali, la compromissione di una sola serie di credenziali può comportare un rischio per più account .
Attacchi "man-in-the-middle"
Un attacco "man-in-the-middle" può intercettare le sessioni di accesso, acquisire i token di sessione o monitorare le comunicazioni in transito. Negli ambienti aziendali, ciò può consentire ai criminali informatici di accedere ai sistemi aziendali anche senza rubare direttamente la password originale.
Questi metodi di attacco possono differire dal punto di vista tecnico, ma tutti prendono di mira lo stesso punto debole: l’accesso aziendale autorizzato. Ecco perché la prevenzione deve concentrarsi sia su controlli più rigorosi sia su una diagnosi precoce a livello di conti aziendali.
Quali sono i segnali più comuni di un'appropriazione indebita di un account aziendale?
I team di sicurezza spesso individuano le intrusioni grazie a piccoli segnali prima ancora di poter confermare la portata complessiva della violazione. L' e fondamentale è riconoscere i comportamenti anomali con sufficiente anticipo per poterli approfondire.
-
Comportamenti insoliti durante l'accesso: un tentativo di accesso sospetto, ripetuti tentativi falliti di accesso o modelli di accesso che non corrispondono alla normale attività dell'utente possono tutti indicare un'appropriazione dell'account. L'accesso da luoghi, reti o dispositivi insoliti costituisce un altro segnale significativo.
-
Reimpostazioni impreviste della password: reimpostazioni non pianificate della password o richieste di recupero insolite potrebbero indicare che alcuni malintenzionati stiano tentando di assumere il controllo dell'account. Ciò è particolarmente importante quando il cambiamento non è stato avviato dal dipendente stesso.
-
Modifiche alle regole della posta in arrivo: le modifiche alle regole della posta in arrivo sono un segnale comune della compromissione dell’account di un dirigente o di un responsabile finanziario. Gli autori degli attacchi potrebbero creare regole nascoste di inoltro o cancellazione per poter monitorare i messaggi senza essere scoperti.
-
Attività di invio anomala: se un account inizia a inviare messaggi che l’utente non ha avviato, in particolare messaggi relativi ad approvazioni, richieste di bonifico o informazioni sensibili sull’account, è possibile che l’account sia già sotto il controllo di un malintenzionato .
-
Dispositivi o sessioni insoliti: le sessioni provenienti da endpoint o ambienti browser non noti possono indicare un sospetto tentativo di appropriazione. Ciò assume ancora maggiore importanza quando l’account dispone di accesso privilegiato o è collegato a servizi di online banking, a sistemi finanziari o a flussi di lavoro rivolti ai clienti.
Questi segnali, di per sé, non dimostrano una presa di controllo, ma dovrebbero dare luogo a un’immediata verifica. Negli ambienti di “ ” aziendali, un’indagine rapida può fare la differenza tra il contenimento del problema e un’interruzione più estesa delle attività.
In che modo le organizzazioni possono prevenire il furto di identità degli account aziendali?
La prevenzione consiste nel rendere più difficile l’accesso agli autori degli attacchi e più agevole per i team di sicurezza individuare rapidamente eventuali abusi . In ambito aziendale, alcuni controlli rivestono un’importanza maggiore rispetto alla maggior parte degli altri.
Implementare l'autenticazione a più fattori (MFA)
L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di autenticazione, per cui le credenziali rubate da sole non sono sufficienti per ottenere l'accesso. Questo è uno dei modi più efficaci per ridurre i tentativi di appropriazione indebita degli account nei sistemi aziendali.
Rafforzare le politiche di autenticazione
Le organizzazioni dovrebbero rafforzare i requisiti di accesso, i controlli delle sessioni, le regole di accesso condizionato e le politiche relative alle password su tutti gli account aziendali sensibili. Un’autenticazione più rigorosa riduce la probabilità che un semplice attacco basato sulla password si trasformi in un’appropriazione di controllo riuscita.
Proteggere i flussi di recupero
Procedure di recupero deboli possono vanificare anche le difese più solide relative all'accesso. Le procedure di reimpostazione della password e di recupero dell'account devono essere protette in modo che gli autori di attacchi di tipo " " non possano sfruttare pratiche di verifica inadeguate per assumere il controllo di un account.
Monitorare i comportamenti anomali degli account
Il monitoraggio dovrebbe concentrarsi sulle attività sospette relative agli account, sui cambiamenti insoliti, sui modelli di accesso anomali e sui comportamenti di invio di e- i che esulano dal normale ruolo dell’utente. La individuazione tempestiva è fondamentale poiché molti attacchi di appropriazione di account riescono a portare a termine il loro obiettivo mimetizzandosi all’interno di flussi di lavoro legittimi.
Per prevenire l'appropriazione indebita degli account aziendali è necessario ricorrere a più di una misura di controllo. Le difese più efficaci combinano un’autenticazione più rigorosa , percorsi di ripristino protetti e una visibilità tempestiva sui comportamenti sospetti degli account.
Valutazione del rischio di appropriazione indebita degli account aziendali
Una valutazione dei rischi efficace dovrebbe concentrarsi sull’impatto sull’attività aziendale, non solo sull’esposizione tecnica. L'obiettivo è comprendere quali aspetti siano più rilevanti, dove si trovino i punti deboli e quali problemi debbano essere risolti per primi.
-
Fase 1: Inventario degli account aziendali sensibili: iniziate con gli account relativi ai dirigenti, alla finanza, all’amministrazione, agli account condivisi e a quelli a contatto con i clienti . Se compromessi, questi account comportano solitamente il rischio aziendale più elevato.
-
Fase 2: Verifica delle misure di protezione attuali: Verificare la copertura dell’autenticazione a più fattori (MFA), le regole di autenticazione, le misure di protezione per il ripristino, il monitoraggio e l’eventuale utilizzo del doppio controllo nei flussi di lavoro relativi ai pagamenti o alle approvazioni. Ciò contribuisce a evidenziare quali account aziendali dispongano già di solide misure di protezione e quali no.
-
Fase 3: Individuare le vulnerabilità sfruttabili: individuare regole di accesso carenti, scarsa visibilità, accessi condivisi a rischio, credenziali riutilizzate e processi di ripristino che si basano su procedure di verifica inadeguate. Spesso sono proprio queste le condizioni che facilitano un’ acquisizione.
-
Fase 4: Valutazione dell’impatto aziendale: valutare le probabili conseguenze nel caso in cui un account di alto valore venisse compromesso. Tale dovrebbe includere frodi, perdite finanziarie, divulgazione di dati, interruzione dei flussi di lavoro ed eventuali problemi di conformità.
-
Fase 5: Date priorità alle misure di mitigazione: concentratevi innanzitutto sui punti in cui le difese più deboli coincidono con un elevato impatto aziendale. Queste sono le aree in cui un single attacco finalizzato all’appropriazione di un account rischia maggiormente di trasformarsi in un problema aziendale di più ampia portata.
-
Fase 6: Monitoraggio e rivalutazione: il rischio non rimane immutato. Man mano che gli utenti, i sistemi e i flussi di lavoro cambiano, le organizzazioni dovrebbero rivalutare l’esposizione al rischio e adeguare regolarmente i controlli.
Questo tipo di analisi aiuta le organizzazioni a concentrarsi sui clienti e sui flussi di lavoro più importanti. Inoltre, rende più semplice stabilire le priorità tra le correzioni, in modo da ridurre innanzitutto i rischi aziendali effettivi.
Perché il furto di identità aziendale è importante per la sicurezza delle imprese
La compromissione degli account aziendali comporta un rischio aziendale più ampio, poiché trasforma l’accesso aziendale, di cui ci si fida, in uno strumento per frodi di tipo “ ”, furti d’identità e interruzioni dell’attività. Un solo account compromesso può dare origine a transazioni non autorizzate, esporre informazioni sensibili relative ai clienti, interferire con le comunicazioni dei dirigenti o causare furti e perdite finanziarie a cascata lungo l’intera catena dei flussi di lavoro collegati .
Ecco perché le organizzazioni devono considerare l’usurpazione dell’identità come qualcosa di più di un semplice problema legato alle credenziali. Mimecast aiuta le aziende a migliorare la visibilità, a rafforzare la capacità di risposta e a ridurre il rischio di compromissione degli account grazie a una protezione più efficace dell’ e contro il phishing, l’usurpazione d’identità e le attività sospette sugli account aziendali affidabili.