RSA, come si stanno evolvendo i furti di account?

RSA, come si stanno evolvendo i furti di account?

RSA lancia un allarme riguardante i casi di frode as-a-service, che negli ultimi 2 anni si sono velocemente evoluti a causa anche dei molti furti di password. Recentemente RSA ha identificato una piattaforma online per lo sviluppo di account checker in grado di attaccare qualsiasi sito web. Oltre a facilitare la creazione di nuovi checker, il sito ha anche generato una nuova fonte di reddito per i truffatori, perché le entrate provenienti da ogni checker vengono spartite tra il proprietario del sito e lo sviluppatore.

Come si comportano i checking di account
Gli account checker sono strumenti automatici utilizzati dai truffatori per testare le combinazioni nome utente-password e verificarne la validità. La maggior parte di questi tool è relativamente semplice: ricevono un elenco di credenziali in un formato predeterminato come input, quindi eseguono un'iterazione per determinare quali funzionano. Per anni gli account checker sono stati relativamente rari, perché i truffatori si concentravano sullo sfruttamento di carte di credito compromesse.

I pochi account checker disponibili si focalizzavano su servizi online di grandi dimensioni come eBay e PayPal. Tuttavia, negli ultimi anni RSA ha osservato un cambiamento nella rete criminale per cui sempre più truffatori si stanno concentrando sull'acquisizione di account. Innanzitutto perché i metodi avanzati di sicurezza implementati dalle istituzioni finanziarie hanno creato enormi barriere. Inoltre, molti conti sono usati come infrastrutture per frodare ulteriormente individui e organizzazioni.

Una piattaforma di account checking
I tradizionali siti web di account checking offrono un elenco di checker per centinaia di siti web diversi. Recentemente, RSA ha scoperto un sito per l’account checking che include anche una piattaforma per consentire ai truffatori di sviluppare il proprio checker di account, non disponibile tra quelli elencati. Il sito divide i guadagni del checker con il suo sviluppatore, offrendo un incentivo ai truffatori a utilizzare lo studio aumentando la selezione di strumenti a disposizione.

Lo studio offre un'interfaccia utente per la progettazione di un nuovo checker, che permette all'utente di definire i diversi passaggi per il controllo di un account. Ogni passaggio è costituito da richieste di pagine POST e GET inviate dal browser durante la comunicazione con il sito web. Una volta definiti i diversi passaggi, il checker è pronto per essere utilizzato; restituirà TRUE su un account valido e FALSE su un account non valido. Gli sviluppatori hanno una dashboard designata sul sito attraverso la quale possono tracciare le prestazioni dei propri checker.

Mentre gli altri siti di account checking sono limitati dalla quantità di lavoro che i i propri operatori devono svolgere, questa nuova piattaforma abilita la creazione di checker di account da parte di tutta la comunità dei truffatori. Di conseguenza, il numero e la varietà di siti web che dispongono di checker dedicati sul dark web sono cresciuti in modo esponenziale e RSA prevede che questo numero crescerà man mano che i siti guadagneranno più popolarità.

Superare la combinazione nome utente/password
Può essere difficile individuare gli attacchi automatici perché gli strumenti legacy non sono progettati o architettati per cercarli. I checker degli account si basano su script che seguono un set specifico di richieste di pagine e generano pattern che possono essere identificati durante l'analisi dei log delle attività. Questi schemi possono aiutare a bloccare i tentativi di accesso successivi condotti da uno stesso checker. Inoltre, dal momento che molti checker utilizzano server proxy, questi modelli non dovrebbero basarsi esclusivamente su indirizzi IP, ma piuttosto su intestazioni specifiche o caratteristiche uniche che possono verificarsi durante il login.

L'adozione di tecnologie che sfruttano l'analisi del comportamento può assicurare agli utenti autenticati e agli ospiti anonimi di interagire con le applicazioni nei modi previsti. La vecchia combinazione nome utente/password non è più sufficiente come forma di autenticazione da parte dell’utente. L'uso dell'autenticazione multi-fattore, dell'autenticazione adattiva e dell'analisi dei rischi delle transazioni per controllare i segnali di frode basati su dispositivo, comportamento degli utenti e altri indicatori rappresenta un’altra modalità fondamentale di prevenzione degli attacchi di account takeover in caso un tentativo di login vada a buon fine.