La compromissione degli account aziendali è fra le maggiori cause di cyber attacchi ai danni delle imprese. L'account takeover è il primo passo di una lunga catena che porta alla rivendita delle informazioni sensibili sul dark web, e al loro successivo reimpiego per foraggiare campagne di phishing mirato, attacchi malware e ransomware.

A dare una misura del fenomeno è il report del Ponemon Institute “2019 Global State of Cybersecurity in Small and Medium-Sized Businesses”, da cui emerge che il 63 percento delle aziende ha riportato un incidente che ha comportato la perdita di informazioni sensibili relative a clienti e dipendenti.

Come abbiamo già avuto modo di sottolineare, individuare i responsabili è pressoché impossibile. Il lasso temporale dell'attacco non è necessariamente concomitante con la compromissione dell’account. Anzi, spesso non lo è per non destare sospetti.


Inoltre, gli indirizzi IP utilizzati sono per lo più anonimi, appartenenti a ISP diversi dal provider dell’account colpito. Le attività sul dark web poi non sono tracciabili perché i siti su cui avvengono le contrattazioni nascondono i loro indirizzi IP per impedire di identificare e tracciare l'host. 

Quello che si può e si deve fare per evitare brutte sorprese è controllare a cadenza regolare che gli account dei dipendenti non siano compromessi. Per farlo oggi c'è il nuovo strumento Dark Web Scan di Watchguard Technolgies, online alla pagina web https://www.watchguard.com/wgrd-resource-center/dark-web-scan. Qui è sufficiente inserire il dominio dell'azienda per scoprire quanti dei suoi account email sono stati esposti in violazioni pubbliche di dati e richiedere un report gratuito. WatchGuard garantisce che non memorizzerà né condividerà alcun dominio.

Nel caso in cui le credenziali dell'azienda siano state esposte sul dark web, la prima azione da fare è reimpostare le password di tutta l'azienda. In secondo luogo, è necessario verificare la presenza di minacce aggiuntive mediante un security audit.

Questo passaggio è importante perché consente di identificare le vulnerabilità che potrebbero essersi verificate a causa di una violazione di dati, che come visto sopra può essere slegata dal problema originario sia sul piano temporale sia su quello cyber.


Per scongiurare il ripetersi del problema, è meglio attivare l’autenticazione multi-fattore. Aggiunge un livello di controllo ulteriore oltre a nome utente e della password, complicando il lavoro dei criminali informatici e spesso ostacolandolo.

Ultima e importante azione è quella di promuovere l'attività di sensibilizzazione degli utenti, mediante corsi di formazione periodica. È importante che tutti i dipendenti conoscano le pratiche di sicurezza da adottare per accedere alle piattaforme e alle informazioni aziendali.