ACCOUNT TAKEOVER (ATO): cos’è e come proteggersi

Con il termine Account Takeover (ATO) si indica una forma di furto di identità e frode, con cui i cybercriminali si appropriano di un account rubando i relativi dati di accesso acquistandoli da siti di mercato nero oppure ottenendoli con campagne di phishing mirate.


Come avviene questo attacco?

L’attacco può avvenire manualmente tramite individui, o gruppi di hacker, o su larga scala tramite bot. Fino al 2020, quando l’ultima rinominata Necrus è stata eliminata da Microsoft, le botnet venivano utilizzate per distribuire enormi volumi di spam; questo metodo era il più utilizzato ed era responsabile del 90% dei malware diffusi in tutto il mondo. In questi due anni le botnet si sono evolute e sono attualmente utilizzate per inviare credenziali con lo scopo di ottenere il controllo di account legittimi, questo ha portato ad un notevole aumento di attacchi ATO, che dal 2019 sono aumentati del 300%.

I criminali informatici prediligono questo di tipo di attacco perché risulta essere particolarmente proficuo. Una volta che si ha il pieno controllo di un account è possibile sferrare altri tipi di attacco:

  • PHISHING INTERNO: invio di email tra utenti della stessa società attraverso l’utilizzo di un account aziendale compromesso
  • SUPPLY-CHAIN PHISHING: la posta elettronica è lo strumento più utilizzato dalle aziende, per questo motivo se un hacker ottiene l’accesso ad un account aziendale è in grado di truffare i relativi clienti e partners commerciali
  • ATTACCHI BEC (Business email Compromise): l’Account Takeover è il modo più efficace per impersonare qualcuno, questi attacchi sono quindi in grado di bypassare i controlli di autenticazione delle email e riescono a sfuggire anche ai controlli degli strumenti anti spoofing
  • FURTO DI DATI: ottenere l’accesso alle caselle email significa anche avere accesso ai dati salvati sul calendario, ai contatti e a tutto ciò che è contenuto nelle cartelle condivise
  • TRUFFE FINANZIARIE: se un hacker si impossessa di un conto bancario o di altri servizi finanziari, è in grado di trasferire il denaro su altri conti o di effettuare acquisti con i soldi della vittima


Inviare un’email da un account di posta legittimo significa che difficilmente l’attività verrà segnalata come sospetta dai software anti-phishing e allo stesso tempo è più probabile che i destinatari non abbiano dubbi in merito alle richieste del mittente. Una volta ottenuto l’accesso, inoltre, gli attaccanti possono fare qualsiasi tipo di modifica in merito all’utilizzo dell’account, come per esempio domande di sicurezza, password, impostazioni di crittografica e nomi utente, rendendo quindi impossibile l’accesso al proprio account.


Chi sono i bersagli di questi attacchi?

L’accesso fraudolento è sempre stato un tipo di attacco rivolto agli istituti finanziari; oggi è diventato un problema che può colpire qualsiasi tipo di organizzazione, perché lo scopo è quello di raccogliere informazioni di identificazione personale che potrebbero successivamente essere utilizzate nelle campagne di phishing e spam, per rendere più verosimili le comunicazioni inviate e fare in modo che gli attacchi vadano a buon fine.


Quali sono le best practices da adottare?

  • PASSWORD COMPLESSE: spesso gli account vengono violati senza difficoltà perché protetti da password troppo deboli. Consigliamo di utilizzare sempre password complesse formate da più parole, lettere maiuscole e minuscole, simboli e numeri o di crearle tramite un gestore di password
  • VERIFICARE LA PRESENZA DI CREDENZIALI COMPROMESSE: confrontare periodicamente le nuove credenziali utente con i database delle credenziali violate
  • IMPOSTARE LIMITI DI VELOCITÀ SUI TENTATIVI DI ACCESSO: è possibile impostare limiti di velocità sui tentativi di accesso in base a nome utente, indirizzo IP e dispositivo, per prevenire il buon fine di questo tipo di attacco
  • UTILIZZARE L’AUTENTICAZIONE A Più FATTORI: un metodo di verifica che aggiunge livelli di sicurezza in più e che va oltre la semplice combinazione utente/password, permettendo di impostare ulteriori metodi di autenticazione come OTP, codice QR, autenticazione push o token
  • INVIARE AGLI UTENTI NOTIFICHE DI MODIFICA ALL’ACCOUNT: impostare l’invio agli utenti di notifiche che indicano le modifiche apportate al proprio account, in questo modo è possibile notare immediatamente quando un account è stato compromesso


Noi ci affidiamo a Libraesva ESG che, in tempo reale, fornisce monitoraggio e intelligence per limitare questi tentativi di frode prima che abbiano impatto sull’azienda, senza interrompere le attività del cliente. Le sue funzionalità si basano sulla tecnologia Adaptive Trust Engine (ATE) che utilizza l’apprendimento automatico e l’intelligenza artificiale insieme all’analisi dei dati storici per tracciare e monitorare tutte le comunicazioni, per misurare la fiducia, analizzare chi comunica solitamente all’interno delle organizzazioni e identificare attività insolite nelle cassette postali, come invii massivi a contatti esistenti o messaggi a destinatari nuovi, mantenendo in attesa i messaggi sospetti durante l’invio della notifica all’utente.

Sfruttando le informazioni dell’Adaptive Trust Engine, è possibile avvertire gli utenti solo quando è necessario. Quando viene ricevuta una comunicazione da un nuovo mittente che non ha alcuna relazione con l’utente o con l’organizzazione, si attiva il rilevamento del mittente per la prima volta:

  • MITTENTE PER LA PRIMA VOLTA: Individuazione dei mittenti che saltano la coda e arrivano direttamente nella casella di posta
  • FORZA DELLA RELAZIONE: Valutazione della relazione individuale di un mittente con il destinatario e della relazione generale del dominio del mittente con gli altri nell’organizzazione del destinatario.
  • MODELLI DI COMUNICAZIONE: Valutazione della frequenza delle email del mittente, il volume, i destinatari, i modelli di invio e altro per stabilire i modelli di comunicazione.
  • RILEVAMENTO DI SPOOFING: Confronto con indirizzi email noti e analisi dei modelli di comunicazione per semplificare il rilevamento dello spoofing



Credits: LIBRAESVA