I ricercatori di Barracuda ultimamente hanno registrato un significativo aumento degli account takeover. Alcuni consigli per proteggere gli account Office 365. Gli hacker eseguono gli attacchi di account takeover usando diversi metodi. In alcuni casi usano nomi utente e password sottratti in seguito a violazioni precedenti. Poiché le persone spesso usano la stessa password per i propri differenti account, gli hacker hanno potuto riutilizzare le credenziali rubate per guadagnare l’accesso ad altri account.
Gli hacker usano anche password rubate per le email personali, cercando di conquistare l’accesso alla mail aziendale dall’account personale. Gli attacchi di “forza bruta” sono un altro metodo utilizzato per l’account takeover, in quanto le persone usano spesso password molto semplici, facili da indovinare e che non vengono cambiate con la necessaria frequenza. Gli attacchi possono anche avvenire via web e tramite le applicazioni aziendali, oltre che mediante Sms.
La minaccia Account takeover. I cybercriminali usano tecniche di brand impersonation, social engineering e phishing per rubare credenziali e accedere agli account Office 365.
I dettagli L’attacco di account takeover inizia con l’infiltrazione. Il cybercriminale finge di essere Microsoft e usa tattiche di social engineering per cercare di spingere la vittima a visitare un sito di phishing e svelare la proprie credenziali. Una volta compromesso l’account, è raro che gli hacker lancino immediatamente l’attacco. Monitorano la mail, osservano l’attività dell’azienda, con l’obiettivo di massimizzare le probabilità di portare a termine l’attacco con successo. Completata la fase di esplorazione, i cybercriminali usano le credenziali raccolte per puntare altri account di valore, soprattutto manager e personale dell’area finanza, e sottrarre le loro credenziali mediante tecniche di spear phishing e di brand impersonation. Gli hacker, inoltre, usano gli account compromessi per monetizzare gli attacchi rubando dati personali, finanziari e riservati da usare per commettere furti di identità, frodi o altri reati. Gli account compromessi possono anche essere usati per lanciare attacchi a partner e clienti.
Come proteggere l’azienda L’intelligenza artificiale Poiché gli scammer adottano tattiche che permettono loro di aggirare i gateway e filtri antispam, è necessario disporre di una soluzione capace di riconoscere e proteggere dagli attacchi di spear phishing, quali la compromissione delle email e la brand impersonation. L’uso di tecniche di machine learning che analizzano i normali modelli di comunicazione all’interno dell’azienda permettono alla soluzione di individuare le anomalie che possono indicare un attacco.
Protezione anti account takeover Alcuni degli attacchi di spear phishing più devastanti hanno origine da account compromessi. E’ opportuno utilizzare tecnologie che usano l’intelligenza artificiale per capire quando un account è stato compromesso e che avvisino l’utente in tempo reale e rimuovano le email pericolose inviate agli account compromessi.
Autenticazione multifattore L’autenticazione multifattore (MFA), l’autenticazione a due fattori e la verifica in due passaggi offrono un ulteriore livello di sicurezza oltre lo username e password, così come un codice di autenticazione, l’impronta digitale o la scansione della retina.
Controllo delle regole e di login sospetti E’ consigliabile l’uso di tecnologie per l’identificazione delle attività sospette. E’ bene inoltre controllare regolarmente gli account per verificare la presenza di regole sospette, che è spesso una delle componenti di un attacco.
Insegnare al personale come riconoscere e segnalare un attacco E’ fondamentale formare gli utenti sul riconoscimento degli attacchi di spear phishing nell’ambito dei programmi di formazione sulla sicurezza. Occorre essere certi che il personale sappia riconoscere questi attacchi, ne comprenda la natura fraudolenta e sappia come segnalarli.
