What is Account Takeover (ATO)?

In un attacco ATO (Account Takeover), un utente malintenzionato ottiene l'accesso non autorizzato alle credenziali dell'account online di un utente. Questo accesso può quindi essere utilizzato per furti di identità, frodi e per consentire altri attacchi informatici, come l'utilizzo dell'accesso alle credenziali aziendali di un utente per accedere e installare ransomware all'interno della rete aziendale.

Richiedi una Demo

What is Account Takeover (ATO)?

Come funziona l'acquisizione di account?

La maggior parte dei sistemi di autenticazione sono basati su password e le password sono notoriamente non sicure. La maggior parte delle persone utilizzerà la stessa password per più account e questa password è in genere debole e facilmente indovinabile. Anche se un'organizzazione dispone di criteri per applicare password complesse (lunghezza, caratteri obbligatori, ecc.), i dipendenti spesso modificano le password in modi prevedibili.

Lo sfruttamento di password deboli è un mezzo comune di acquisizione dell'account, ma non è l'unico. Altre tecniche, come l'uso di pagine Web dannose e l'ingegneria sociale, forniscono all'aggressore una password dell'account senza la necessità di indovinare.

I tipi di acquisizione dell'account

Gli attacchi di acquisizione di account sono una minaccia comune per la sicurezza informatica e si presentano in una varietà di forme diverse. Alcuni dei tipi più comuni di acquisizione di account includono:

  • Violazioni dei dati: Le violazioni dei dati sono una fonte comune di informazioni di autenticazione trapelate. Se gli hash delle password sono inclusi in una violazione dei dati, i criminali informatici possono utilizzarli per testare le password degli account.
  • Indovinare la password: Le password deboli consentono ai criminali informatici di indovinare facilmente le credenziali corrette per gli account online. Quando Quasi il 10% delle password esposte sono 123456, non ci vuole molto per indovinare la password di molti account online.
  • Credential Stuffing: Molte persone riutilizzano la stessa password su più account, un errore di cui i criminali informatici sono felici di approfittare. Quando la password di un utente viene violata per un account, gli aggressori proveranno le stesse credenziali su altri siti per sfruttare la password riutilizzata.
  • Pagine Web dannose: Phishing Le pagine o le pagine legittime compromesse possono contenere codice dannoso progettato per raccogliere e trasmettere le credenziali dell'utente all'utente malintenzionato.
  • Ingegneria sociale: Attacchi di phishing e altre tecniche di ingegneria sociale possono essere utilizzati per indurre gli utenti a fornire le proprie credenziali a un utente malintenzionato.

Segnali di avvertimento di attacchi di acquisizione di account

Gli attacchi di acquisizione dell'account possono essere difficili da rilevare all'inizio perché le credenziali dell'utente possono essere compromesse in un'area in cui l'organizzazione non ha visibilità. Ad esempio, l'esposizione di una password riutilizzata a causa di una violazione di un account online diverso non è rilevabile da un'organizzazione.

Tuttavia, un'organizzazione può monitorare i segnali di avvertimento che indicano che l'account di un dipendente è stato compromesso. Alcuni indicatori chiave includono:

  • Accessi non riusciti: Gli attacchi di acquisizione di account che tentano di indovinare o inserire le credenziali nei portali online possono generare un gran numero di rilevamenti falliti. Il monitoraggio di questi tentativi di accesso non riusciti può aiutare a rilevare alcuni tipi di minacce di acquisizione dell'account.
  • Analisi degli utenti: Gli utenti in genere hanno determinati modelli di comportamento, accedendo in determinati orari da luoghi specifici, ecc. I tentativi di accesso che interrompono questi modelli di comportamento possono essere segnali di avvertimento di un account compromesso.
  • Configurazioni non sicure: I criminali informatici in genere disabilitano i controlli di sicurezza e impostano configurazioni insolite come il filtraggio e l'inoltro della posta. Questi tipi di modifiche possono indicare che un account utente è stato compromesso.

Attività dannose: I criminali informatici possono utilizzare un account compromesso per inviare e-mail di phishing o tentare di esfiltrare informazioni sensibili dai sistemi e dalla rete di un'organizzazione. Un account che presenta questi comportamenti dannosi potrebbe essere stato compromesso da un utente malintenzionato.

Come proteggersi dall'acquisizione dell'account

Gli attacchi di acquisizione dell'account possono essere effettuati in vari modi. Le aziende possono proteggersi da questi attacchi implementando determinate protezioni, tra cui:

  • Formazione sulla consapevolezza informatica: Molte strategie di acquisizione dell'account prevedono l'inganno del dipendente o l'approfittamento dei suoi errori di sicurezza. La formazione dei dipendenti sulle migliori pratiche di sicurezza informatica può aiutare a prevenire questi attacchi.
  • Anti-Phishing Soluzioni: Le e-mail di phishing sono un metodo comune con cui i criminali informatici rubano le password degli account. Anti-Phishing soluzioni può aiutare a rilevare e bloccare i contenuti di phishing prima che raggiungano la destinazione prevista.
  • Criteri per le password: Molte strategie di acquisizione di account sfruttano password deboli e riutilizzate. L'implementazione di criteri per le password complesse può contribuire a rendere le password dei dipendenti più difficili da indovinare.
  • Multi-Factor Authentication: L'autenticazione a più fattori (MFA) richiede sia una password che altri fattori per l'autenticazione dell'utente. L'implementazione dell'autenticazione a più fattori in tutta l'azienda consente di limitare l'impatto delle credenziali compromesse.

Monitoraggio dell'account: Un account utente compromesso può sollevare una serie di campanelli d'allarme. Il monitoraggio di questi segnali di avvertimento consente a un'organizzazione di rilevare e correggere questi account compromessi.

Proteggiti dall'ATO con Check Point

Gli attacchi di acquisizione di account rappresentano un rischio significativo per le aziende cybersecurity perché forniscono a un utente malintenzionato l'accesso e le autorizzazioni assegnate al legittimo proprietario dell'account. Una volta che un utente malintenzionato ha accesso all'account di un utente, può immediatamente consolidare tale accesso e sfruttarlo per causare danni all'organizzazione.

Check Point e Avanan adottano un approccio incentrato sulla prevenzione per gestire gli attacchi di furto degli account, rilevando e bloccando l'accesso non autorizzato all'account prima che rappresenti un rischio per l'organizzazione. Per saperne di più sulla gestione del rischio di attacchi di acquisizione di account, leggi questo libro bianco. È anche il benvenuto a Si registri per una demo gratuita per scoprire come l'organizzazione può proteggersi meglio dall'accesso non autorizzato alle risorse aziendali.

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK