Account Takeover – Cos’è e come proteggere le email aziendali

L’Account Takeover è un tipo di attacco con il quale i criminali riescono a rubare l’identità della vittima mediante il furto delle sue credenziali di accesso.

Nelle email questo furto di identità è utilizzato per inviare email di spam, a nome della vittima, o per mettere in campo truffe più articolate volte a intercettare e modificare l’IBAN di una fattura al fine di dirottare un eventuale bonifico verso il conto corrente del truffatore.

Come funziona

Anche se il nome può suonare recente, l’attacco di tipo Account Takeover è presente ormai da anni. L’obbiettivo dell’attaccante è quello di entrare in possesso dell’identità, virtuale, di una o più vittime, per poi sfruttarle lui stesso o rivenderle ad altri. Per fare questo gli hacker puntano a rubare o indovinare la password per accedere alle caselle email delle loro vittime.

Il furto di password può avvenire in diversi modi ma i più utilizzati sono:

• infettare il computer o lo smartphone della vittima mediante un Trojan
• indovinare la password con attacchi di brute force lanciati da botnet
• farsi fornire direttamente dall’utente le credenziali mediante Phishing
• usare password già rubate in precedenti attacchi sperando che l’utente usi la stessa anche per servizi diversi
• studiare la persona “target” dell’attacco sui social network o tramite altre fonti pubbliche

I primi tipi di attacchi puntano a recuperare in maniera automatizzata un grande numero di credenziali per poi rivenderle nel dark web ad altri criminali oppure lanciare nuovi attacchi ad esempio inviando email di phishing per recuperare ulteriori nuove credenziali.

L’ultimo tipo di attacco, quello dove invece si studia la vittima, è potenzialmente il più pericoloso in quanto è mirato a entrare in possesso delle credenziali di utenti che nella loro organizzazione hanno accesso alla gestione del denaro, con l’obbiettivo di dirottare bonifici su conti dei criminali. Da qui si sviluppa poi la “truffa del falso CEO“.

Come difendersi

Difendersi da questo tipo di truffe richiede di prendere in considerazione due aspetti principali.

Fattore umano
Le persone che lavorano o collaborano con l’azienda devono essere formate al fine di conoscere i rischi di queste truffe e riconosce certi segnali sospetti, tipo il vostro Amministratore Delegato che vi chiede un bonifico urgente e vi invita a non disturbarlo per ulteriori chiarimenti perchè sta giocando a Golf.

Deve essere spiegato ai collaboratori aziendali che è sempre bene essere sospettosi di fronte a richieste strane che arrivano via email, anche se queste sembrano arrivare da persone fidate.

Inoltre è necessario far capire agli utenti l’importanza di una corretta gestione delle password evitando password troppo semplici o il riuso delle stesse su più servizi.

Fattore tecnologico
In azienda devono essere adottate adeguate misure di sicurezza volte a proteggere gli account email, ed in generale qualsiasi accesso a pannelli amministrativi, mediante misure di sicurezza adeguate, ad esempio autenticazione a due fattori o accessi ristretti solo da Indirizzi IP fidati.

Inoltre le postazioni di lavoro e gli smartphone devono essere protetti mediante adeguati sistemi di sicurezza antivirus ed anche la rete aziendale deve essere protetta da un firewall di nuova generazione Next Generation Firewall cioè un firewall che non si limita solo ad aprire e chiudere le porte ma analizza il traffico di rete per intercettare potenziali rischi durante la navigazione sul web o la lettura delle email.

Più misure e livelli di sicurezza si implementano, siano queste procedurali che tecniche, più si rende difficile questo tipo di attacchi.

E’ necessario però che anche i fornitore di servizi esterni, a cui l’azienda si affida, siano dotati di adeguate misure di sicurezza e protezione contro questo tipo di truffe, infatti in certi casi l’attacco avviene totalmente al di fuori del perimetro aziendale e non può essere in alcun modo rilevato dai sistemi di sicurezza aziendale se non quando ha già causato un danno.

Come funziona la Account Takeover Protection di Qboxmail

Il servizio di gestione delle email aziendali in cloud di Qboxmail include già un sistema di Account Takeover Protection all’intero del proprio sistema di Email Security.

La protezione è composta da vari livelli di analisi e procedure. Vengono costantemente monitorati gli accessi alla caselle email e qualora anomali, per via dell’orario o della provenienza possono far scattare un allarme. Inoltre sono monitorati anche alcuni tipi di azione, come invii di email con materiale sospetto o volumi di invio anomali.

Viene inoltre segnalato all’utente se sulla sua casella email è impostato un inoltro delle sue email verso un indirizzo esterno, altro tipo di azione che gli hacker impostano per spiare silenziosamente le email della vittima.

Nel momento in cui viene individuata un attività sospetta questa viene notifica automaticamente sia all’utente che al suo responsabile e l’attività anomala viene inibita immediatamente.

Tramite il pannello di controllo di Qboxmail è possibile analizzare queste attività sospette mediante Etlive, il nostro sistema di analisi dei log del traffico email in tempo reale, ed è possibile applicare misure di sicurezza aggiuntive come l’autenticazione a due fattori, il blocco del riusco delle vecchie password, o restringere l’accesso agli account email solo dagli indirizzi IP fidati o dalle VPN aziendali.