Aggiornamenti recenti Dicembre 3rd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Vulnerabilità 0-day in Windows Server 2012: 0patch rilascia una fix gratuita
- In Italia raddoppiano gli attacchi contro l’istruzione e il settore governativo e militare
- CERT-AGID 23 – 29 novembre: è assalto all’INPS e alle PEC
- Per limitare le perdite finanziarie più investimenti in sicurezza
- Zscaler estende l’architettura Zero Trust a filiali, stabilimenti e cloud
Proteggersi dal furto di account rendendo più sicuro il browser
Gli attacchi di furto di account (account takeover) sono ancora molto diffusi e la ragione per cui hanno successo è legata alle debolezze insiste nei browser. I browser sono ricchi di punti ciechi che gli attaccanti possono sfruttare per sottrarre le credenziali delle vittime e prendere il controllo degli account.
Pixabay
In un recente report, LayerX ha analizzato questo tipo di attacchi sottolineando che la diffusione delle moderne applicazioni SaaS ha reso più semplice prendere il controllo degli account cloud-based rispetto alla controparte on-premise. “Le applicazioni basate su SaaS si trovano nel cloud, al di fuori del perimetro fisico dell’organizzazione, dove non sono protette da alcun perimetro, consentendo così l’accesso diretto da qualsiasi parte del mondo” si legge nell’analisi.
Alle applicazioni SaaS si può accedere da qualsiasi browser; essendo i browser pieni di vulnerabilità, gli attaccanti hanno la strada (quasi) spianata per sottrarre le credenziali degli utenti ed eseguire nuovi attacchi da una posizione privilegiata.
Le tecniche e tattiche dietro il furto di account
Uno dei metodi più usati dagli attaccanti per prendere il controllo degli account delle vittime è il phishing. Esistono diversi modi per eseguire questo attacco, ma l’obiettivo è sempre lo stesso: il furto di credenziali per accedere agli account. In questo caso i cybercriminali abusano del flusso di esecuzione delle pagine web per presentare agli utenti finte pagine di login o per intercettare l’esecuzione di una pagina legittima (attacchi man-in-the-middle).
Le soluzioni di Security Service Edge (SSE) o i firewall non sono in grado di bloccare questi attacchi: questi servizi analizzano il traffico cifrato, ma non sono in grado di individuare i componenti malevoli della pagina; in questo modo, il codice malevolo riesce a entrare nel perimetro dell’organizzazione e venire eseguito dal browser.
Un’altra tattica ampiamente usata dagli attaccanti per sottrarre le credenziali utente è l’abuso delle estensioni del browser, in particolare quelle con permessi elevati. I cybercriminali pubblicano un’estensione malevola sullo store di Chrome o ne acquistano una esistente per inserirvi il codice malevolo; una volta installata, l’estensione è in grado di accedere allo storage di credenziali e raccogliere password, cookie e token.
In questo caso, le piattaforme di protezione degli endpoint (EPP/EDR) considerano affidabili tutti i processi dei browser, comprese le estensioni, e gli permettono di eseguire senza limitazioni; ciò rende i plug-in un altro punto cieco dei browser.
Una volta ottenute le credenziali in uno o nell’altro modo, l’attaccante può accedere all’account della vittima, prenderne il controllo ed eseguire ulteriori attacchi. L’autenticazione multi-fattore è in grado di limitare questi accessi, ma, come sappiamo bene, non è ancora diffusa come dovrebbe.
“Le percentuali di successo degli attacchi di account takeover indicano chiaramente che l’attuale approccio alla sicurezza dell’identità semplicemente non funziona” si legge nel report. Il browser è il punto più rischioso che consente l’esecuzione degli attacchi; per questo è fondamentale affidarsi a una piattaforma per la sicurezza del browser.
Questo tipo di soluzioni offrono maggiore visibilità sul flusso di esecuzione del browser e sono in grado di analizzare il singolo componente coinvolto, identificando eventualmente quelli legati a operazioni di phishing e bloccandone il caricamento in pagina. La piattaforma si occupa inoltre scansionare periodicamente le estensioni del browser, identificare quelle più rischiose sulla base dei permessi che hanno e disabilitare automaticamente quelle malevole.
Infine, la soluzione monitora le credenziali salvate nel browser e si integra con i provider di identità per fare in modo che l’utente possa accedere solo dal proprio browser, riducendo così il rischio di abuso di credenziali compromesse.
In questo modo, spiega LayerX, il browser non è più un elemento critico, ma diventa un’arma per contrastare gli attacchi di furto di account, furto di credenziali e abuso di identità.
Condividi l'articolo
Il settore dell'istruzione è tra i principali bersagli degli attacchi informatici
Cybercriminali usano software GlobalProtect falsi per distribuire il malware WikiLoader
Articoli correlati
Altro in questa categoria
Approfondimenti
-
In Italia raddoppiano gli attacchi contro... L’Italia continua a essere uno dei Paesi più colpiti... -
Ingecom Ignition: “Siamo più forti, ma dobbiamo... Ingecom, fondata nel 1996 a Bilbao, è un distributore a... -
Oltre 400.000 sistemi sono esposti alle vulnerabilità più... Di recente CISA ha pubblicato la classifica delle... -
Convergenza tra IA e cybersecurity: le previsioni di Palo... Ora che l’intelligenza artificiale è entrata a far... -
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Vulnerabilità 0-day in Windows Server 2012: 0patch... I ricercatori di 0patch, piattaforma per la distribuzione... -
In Italia raddoppiano gli attacchi contro... L’Italia continua a essere uno dei Paesi più colpiti...
-
CERT-AGID 23 – 29 novembre: è assalto all’INPS e alle... Nel corso di questa settimana, il CERT-AGID ha identificato... -
Per limitare le perdite finanziarie più investimenti in... Le crescenti perdite finanziarie dovute ai cyber-attacchi... -
Zscaler estende l’architettura Zero Trust a filiali,... Zscaler ha annunciato la sua soluzione di segmentazione...
Ransomware: la serie
No posts found.
