ALLERTA PERICOLI INFORMATICI Articoli in Evidenza

Frode dell’Account Takeover : come fermarla prima che danneggi la tua azienda e gli utenti

Frode dell’Account Takeover : come fermarla prima che danneggi la tua azienda e gli utenti
Scritto da gestore

La frode di acquisizione dell’account (ATO), chiamata ACCOUNT TAKEOVER FRAUD, costa alle aziende più di quanto si immagini. In questo articolo prettamente per gli addetti ai lavori, vedremo come evitare che accada.

Cos’è un attacco di acquisizione dell’account o account takeover ?
Una frode di acquisizione dell’account o un attacco ATO ( account takeover ) si verifica quando un truffatore accede all’account di qualcun altro. Gli obiettivi sono prosciugarlo di fondi, carpire informazioni personali, aziendali e/o finanziarie o rivendere semplicemente l’account sulla darknet. La pratica del furto di identità digitale, è anche nota come credential stuffing e costa alle organizzazioni milioni di euro ogni anno.

Intermezzo promozionale ... continua la lettura dopo il box:

Ecco i segnali più eloquenti che potrebbero indicarci di essere oggetto di un attacco in corso di ATO :

  • Richieste di reimpostazione della password: la prima cosa che i truffatori faranno dopo che un ATO riuscito è cambiare la password. Tieni d’occhio strane richieste di reimpostazione della password.
  • Stai ricevendo un numero insolitamente alto di richieste di storno di addebito: qualcuno sta acquistando articoli con l’account di qualcun altro.
  • Decine di tentativi di accesso su un account: un altro segno che potrebbe esservi qualcosa di strano. Se l’utente non ricorda il proprio login e password, perché non si mette in contatto con l’assistenza?
  • Cambiamenti dell’indirizzo di spedizione: sebbene accadano continuamente, non dovrebbero diminuire i sospetti.
  • Acquisti molto grandi: ancora una volta, non un chiaro indicatore di frode, ma un buon motivo per tenere d’occhio i dettagli della transazione.
  • Più modifiche a un account in una sessione: uno dei segnali più chiari che potrebbe accadere qualcosa di sbagliato. Ad esempio, gli utenti raramente hanno bisogno di modificare contemporaneamente password, dettagli della carta di credito e informazioni di spedizione.
  • Accreditamento di un gran numero di punti premio: bonus e ricompense attirano i truffatori che prendono il controllo degli account per prosciugarli.
  • Indirizzi IP sospetti: ad esempio più utenti che condividono lo stesso indirizzo o dispositivo, IP che puntano a proxy, come l’utilizzo di VPN o TOR.
  • Strano comportamento dei dispositivi: osservare la velocità dei tasti, i movimenti del mouse, lo scorrimento e l’orientamento del dispositivo può fare molto per individuare attacchi bot progettati per aggirare le verifiche Captcha.

Vi sono molti modi in cui i truffatori possono accedere agli account degli utenti:

  • Protezione con password debole: nonostante i numerosi avvisi, gli studi dimostrano che oltre il 52% delle persone riutilizza ancora le password su più siti e app . Un lotto di informazioni compromesse può quindi potenzialmente sbloccare account in tutto il Web per la stessa persona, consentendo l’accesso ai numeri di carta di credito o altre informazioni finanziarie.
  • Forza bruta: il metodo per tentativi ed errori può funzionare, soprattutto con utenti che dispongono di password non sicure e comunemente usate come “123456” o “qwerty”. Questa operazione può essere eseguita su larga scala con i bot.
  • Phishing: i truffatori inviano un’e-mail che collega gli utenti a una falsa landing page o “pagina di atterraggio”. Ai destinatari dell’e-mail viene chiesto di effettuare il login e il sito Web memorizza tali informazioni, ad esempio i dati della carta di credito. Oppure possono semplicemente passare come mittente dell’e-mail e chiedere manualmente l’e-mail, il che conta come una forma di ingegneria sociale.
  • Software dannoso: keylogger, virus trojan, spyware e vari altri tipi di software dannoso vengono utilizzati dai truffatori per intercettare o raccogliere informazioni sensibili come le informazioni sulla carta di credito.
  • Dirottamento della SIM: una tecnica preoccupante a causa dell’aumento dell’autenticazione tramite SMS. I truffatori chiedono agli operatori di telefonia mobile di trasferire un numero di telefono a un’altra scheda SIM sotto il loro controllo. Quindi accedono a tutti gli account online legati al numero di telefono e ai messaggi SMS in arrivo, consentendo loro di bypassare facilmente la 2FA (autenticazione a due fattori).
  • Dirottamento del telefono avanzato: metodi più sofisticati vedranno i truffatori atteggiarsi a falsi hotspot WiFi pubblici o persino torri cellulari per intercettare i dati mobili.
    Infine, se i truffatori riescono a ottenere le informazioni e-mail di qualcuno, possono utilizzare i sistemi di ripristino del cloud per reimpostare il login e la password di un account e prenderne il controllo.

I migliori strumenti per prevenire le frodi sulle acquisizioni di account ATO :

  • La migliore strategia, dal punto di vista di un amministratore di sistema, è presumere che gli ATO avvengano. Quindi, prima di tutto, ci deve essere uno sforzo per educare tutti gli utenti sul valore dei loro dettagli di accesso.
  • Puoi spingerli verso l’utilizzo di un gestore di password, utilizzando metodi di autenticazione più forti e vigilando. In effetti, puoi persino assicurarti che non utilizzino una password che è già stata trovata in una violazione del database, utilizzando uno strumento come HaveIBeenPwned. Ne parliamo nell’articolo ALTO LIVELLO DI SICUREZZA : tutti i test gratuiti che è possibile fare online per controllare la propria sicurezza informatica
  • Analisi IP: il modo più semplice ed economico per scoprire un utilizzo sospetto è esaminare gli indirizzi IP. Saprai immediatamente se qualcuno sta usando TOR o una VPN per connettersi al tuo sito o alla tua app web. Sebbene non tutti i metodi di spoofing IP siano un segno di frode, è un buon punto di partenza.
  • Rilevamento delle impronte digitali del dispositivo: per analisi più sofisticate è utile esaminare la combinazione di software e hardware degli utenti. Ogni combinazione può essere registrata tramite un hash o ID univoco, che ti consente di sapere quando qualcuno inizia a utilizzare un nuovo dispositivo o browser web.
  • Possono essere rilevati anche emulatori e macchine virtuali, soluzioni spesso utilizzate per attacchi bot ATO.
  • Regole di velocità: utilizza algoritmi che esaminano il comportamento dell’utente nel tempo. Ad esempio, troppi tentativi di accesso o di transazioni durante un determinato periodo di tempo possono aumentare i sospetti. Potresti anche esaminare dettagli molto granulari come la quantità di scorrimento o la velocità delle sequenze di tasti per avere una buona idea di chi hai a che fare.
  • Attrito dinamico: un livello di sicurezza invisibile che ti consente di rimuovere i sospetti senza renderlo troppo frustrante per gli utenti legittimi. Ad esempio, se il motore di prevenzione delle frodi rileva che ci sono troppe bandiere rosse durante un accesso, puoi utilizzare l’attrito dinamico per attivare metodi di autenticazione aggiuntivi, ad esempio la verifica dell’email.

Informatica in Azienda diretta dal Dott. Emanuel Celano