Account email compromessi e cyber criminali svaniti nel nulla. Un copione piuttosto frequente in quello che in gergo tecnico viene definito account takeover. Per capire com'è possibile, i ricercatori di Barracuda e dell’Università di Berkeley, in California, hanno condotto uno studio su vasta scala. I risultati sono interessanti perché svelano quello che fanno i cyber criminali per preparare l'attacco e scegliere le vittime. Inoltre, rivelano quali sono i comportamenti online che favoriscono il lavoro dei criminali.

Username a password

Gli attacchi provengono da IP collegati a regioni e Paesi simili a quelli dell’account violato. Il lasso temporale dell'attacco non è necessariamente concomitante con la compromissione dell’account. Anzi, spesso non lo è per non destare sospetti. Da notare che gli indirizzi IP utilizzati sono per lo più anonimi, appartenenti a ISP diversi dal provider dell’account colpito.

Spesso i cyber criminali si servono di username e password acquisiti in precedenti violazioni di dati. In alternativa sfruttano il fatto che molti utenti usano la stessa password per più account. Questo permette ai criminali informatici di riutilizzare le credenziali rubate e accedere ad altri account. Inoltre, fanno uso delle password rubate per le email private e le usano per accedere alle email aziendali. 
In mancanza di password, tentano attacchi di brute force, partendo dal presupposto che molti utenti usano password simili per più account. Oppure sfruttano note tecniche di brand impersonation, social engineering e phishing per sottrarre le credenziali. Gli attacchi provengono dal web, da applicazioni aziendali o via SMS.

Una volta che l’account è compromesso, gli hacker ne monitorano e tracciano l’attività. È così facendo che apprendono le modalità di lavoro di un'azienda o le firme utilizzate nelle email. L'obiettivo è comprendere come vengono gestite le transazioni economiche, così da architettare successivi attacchi di phishing mirati.

Cosa fare per proteggersi

Monitorare l'accesso all’account. È necessario usare soluzioni tecnologiche in grado di individuare attività sospette. Ad esempio, autenticazioni ad orari insoliti o provenienti da località e indirizzi IP inconsueti. Infatti, l'account takeover è sempre contraddistinto da autenticazioni e accessi falliti da dispositivi sospetti.

Monitorare le regole della casella in ingresso. Spesso, una volta avuto accesso all'account, i cybercriminali creano regole di inoltro dei messaggi. Inoltre nascondono o cancellano le email inviate per nascondere le proprie tracce.

Attivare l’autenticazione multi-fattore. Aggiunge un livello di controllo ulteriore oltre a nome utente e della password, complicando il lavoro dei criminali informatici e spesso ostacolandolo.

Sfruttate l’Intelligenza Artificiale. Costituisce una difesa efficace contro gli scammer e gli attacchi di spear phishing, come appunto l’account takeover. Più che un software efficace nella ricerca di link sospetti, ne serve uno che faccia uso del machine learning. Deve operare l’analisi dei modelli di comunicazione aziendale e il rilevamento di anomalie. L'AI può essere una buona alleata anche per comprendere se i cyber criminali stiano usando la propria azienda come base da cui sferrare gli attacchi. Un'allerta in tempi brevi può essere di fondamentale importanza.

L'ultimo consiglio è ormai universale: è necessario formare il personale affinché riconosca gli attacchi e li segnali. A tal proposito esistono simulazioni molto realistiche sia per far comprendere i segnali sia per mettere alla prova il personale.