Gli attacchi di account takeover sono tornati sotto alle luci della ribalta dopo che sui forum criminali, è stata pubblicata una raccolta di 16 miliardi di credenziali rubate, in gran parte frutto di violazioni vecchie e di dump già noti. Nulla di nuovo, eccetto il numero mostruoso e il fatto che questa miniera di password, poco importa se ridondanti o obsolete, ha alimentato campagne di credential stuffing e password spraying contro bersagli di ogni tipo.

Da tempo gli esperti allertano sul fatto che l’identità è il nuovo perimetro e la protezione delle identità è fondamentale, ma il problema resta diffuso. Anche se l’account takeover non necessita di presentazioni, ricordiamo che si tratta di un attacco in cui un cyber criminale riesce a impadronirsi di un account aziendale legittimo e lo usa per rubare dati, muoversi lateralmente e orchestrare ulteriori frodi e campagne di phishing. La criticità di questo tipo di attacco sta nel fatto che sfrutta credenziali valide e flussi di autenticazione regolari, quindi è difficile da individuare.​

I numeri raccolti da Proofpoint mostrano quanto il fenomeno sia diffuso: il 99% delle organizzazioni analizzate ha subìto tentativi di account takeover; il 62% ha registrato almeno una compromissione effettiva di un account; nel 65% dei casi l’account violato aveva già la MFA abilitata. Quest’ultimo però è ormai un ostacolo relativo: i threat actor aggirano l’autenticazione multi‑fattore con strategie sofisticate come gli attacchi di MFA fatigue, che puntano a stremare l’utente con richieste di approvazione ripetute fino a quando non cede.

A questo si aggiungono gli attacchi adversary‑in‑the‑middle (AiTM), in cui un sito di phishing con proxy inverso replica una pagina di login legittima e, intercettando credenziali e cookie di sessione, consente di dirottare l’intera sessione autenticata, a prescindere dal fattore aggiuntivo utilizzato. Pare evidente che la presenza di una MFA non basta più a garantire la sicurezza degli account.​

Come affrontare il problema

Per affrontare quella che Proofpoint definisce una minaccia ormai permanente occorre un approccio strutturato. Il primo pilastro resta l’adozione di policy di autenticazione robuste: la MFA andrebbe attivata per tutti gli utenti, con particolare attenzione ad email, VPN e applicazioni cloud critiche, privilegiando metodi resistenti al phishing come le chiavi di sicurezza FIDO2 o le app di autenticazione, rispetto agli SMS o alle telefonate. È altrettanto importante verificare regolarmente la configurazione dei meccanismi MFA per individuare eventuali anomalie o modifiche non autorizzate.​

Un secondo tassello è l’uso sistematico delle policy di accesso condizionale messe a disposizione dai principali provider di identità, come Microsoft Entra ID (ex Azure AD), Okta,  Ping Identity. Queste piattaforme, che già orchestrano autenticazione e autorizzazione, possono imporre criteri avanzati come il blocco degli accessi da reti TOR, dispositivi sconosciuti o non gestiti, e la richiesta di MFA aggiuntiva o basata sul rischio per i tentativi considerati più sospetti. In questo modo diventa più difficile sfruttare credenziali rubate in modo indisturbato, perché l’accesso viene continuamente ricalibrato in base al contesto.​

Parallelamente, è necessario rafforzare e controllare periodicamente l’ambiente cloud: audit di sicurezza regolari sui tenant e sui provider di identità aiutano a individuare account inutilizzati o configurati in modo errato, privilegi eccessivi, integrazioni di terze parti abilitate ma non monitorate. Eliminare gli account shadow admin, applicare in modo rigoroso il principio del minimo privilegio e rimuovere credenziali memorizzate nella cache o vecchie concessioni OAuth riduce la superficie di attacco che gli attori malevoli possono sfruttare una volta ottenuto l’accesso. Anche le applicazioni autorizzate in passato, ma non più necessarie, possono rappresentare un punto debole se restano collegate agli account senza controllo.​

La sola analisi di eventi di login anomali non è più sufficiente per cogliere la sofisticazione delle tecniche attuali, che spesso si muovono all’interno di pattern di comportamento apparentemente leciti. Proofpoint consiglia strumenti di monitoraggio in grado di segnalare in tempo reale sia i tentativi di accesso sospetti sia le attività post‑accesso, che fanno uso di machine learning, analisi comportamentale e una telemetria ampia di threat intelligence. L’obiettivo è riuscire a riconoscere deviazioni significative rispetto al comportamento abituale degli utenti, anche quando l’accesso avviene da un dispositivo o da un luogo attesi.​

Altro elemento cruciale è l’automazione della risposta, per ridurre il tempo di permanenza dell’attaccante all’interno dell’ambiente compromesso. Quando viene rilevato un Account TakeOver, a fare la differenza è la presenza di una soluzione capace di sospendere automaticamente gli account esposti, ripristinare le credenziali, eliminare regole di posta malevole e revocare le applicazioni OAuth non autorizzate.​

Non meno importante è la componente umana. Secondo Proofpoint, la formazione dev’essere mirata e contestuale, calibrata su comportamento, ruolo e livello di esposizione di ciascun utente, e affiancata da strumenti semplici per segnalare email sospette. Rendere le persone consapevoli del rischio di account takeover significa trasformarle da potenziali anelli deboli in una componente attiva del sistema di difesa.​

Infine, una strategia efficace richiede una pianificazione specifica della risposta agli incidenti legati agli account takeover. Un piano dedicato dovrebbe definire in dettaglio come indagare e contenere un attacco: dalla verifica dello stato dell’account alle impostazioni MFA, dalle regole della casella di posta alle autorizzazioni sui dati, fino alle concessioni OAuth e ad altri elementi che possono indicare movimenti laterali o persistenza. Nel caso in cui sia necessario comunicare l’accaduto a partner, clienti o al pubblico, sarà essenziale disporre di processi per ricostruire rapidamente quali email e quali file possano essere stati esposti, così da gestire in modo responsabile eventuali obblighi di notifica.​