Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Set 05, 2024 Marina Londei Approfondimenti, Attacchi, Attacchi, In evidenza, Minacce, News, RSS, Software 0
Gli attacchi di furto di account (account takeover) sono ancora molto diffusi e la ragione per cui hanno successo è legata alle debolezze insiste nei browser. I browser sono ricchi di punti ciechi che gli attaccanti possono sfruttare per sottrarre le credenziali delle vittime e prendere il controllo degli account.
In un recente report, LayerX ha analizzato questo tipo di attacchi sottolineando che la diffusione delle moderne applicazioni SaaS ha reso più semplice prendere il controllo degli account cloud-based rispetto alla controparte on-premise. “Le applicazioni basate su SaaS si trovano nel cloud, al di fuori del perimetro fisico dell’organizzazione, dove non sono protette da alcun perimetro, consentendo così l’accesso diretto da qualsiasi parte del mondo” si legge nell’analisi.
Alle applicazioni SaaS si può accedere da qualsiasi browser; essendo i browser pieni di vulnerabilità, gli attaccanti hanno la strada (quasi) spianata per sottrarre le credenziali degli utenti ed eseguire nuovi attacchi da una posizione privilegiata.
Uno dei metodi più usati dagli attaccanti per prendere il controllo degli account delle vittime è il phishing. Esistono diversi modi per eseguire questo attacco, ma l’obiettivo è sempre lo stesso: il furto di credenziali per accedere agli account. In questo caso i cybercriminali abusano del flusso di esecuzione delle pagine web per presentare agli utenti finte pagine di login o per intercettare l’esecuzione di una pagina legittima (attacchi man-in-the-middle).
Le soluzioni di Security Service Edge (SSE) o i firewall non sono in grado di bloccare questi attacchi: questi servizi analizzano il traffico cifrato, ma non sono in grado di individuare i componenti malevoli della pagina; in questo modo, il codice malevolo riesce a entrare nel perimetro dell’organizzazione e venire eseguito dal browser.
Un’altra tattica ampiamente usata dagli attaccanti per sottrarre le credenziali utente è l’abuso delle estensioni del browser, in particolare quelle con permessi elevati. I cybercriminali pubblicano un’estensione malevola sullo store di Chrome o ne acquistano una esistente per inserirvi il codice malevolo; una volta installata, l’estensione è in grado di accedere allo storage di credenziali e raccogliere password, cookie e token.
In questo caso, le piattaforme di protezione degli endpoint (EPP/EDR) considerano affidabili tutti i processi dei browser, comprese le estensioni, e gli permettono di eseguire senza limitazioni; ciò rende i plug-in un altro punto cieco dei browser.
Una volta ottenute le credenziali in uno o nell’altro modo, l’attaccante può accedere all’account della vittima, prenderne il controllo ed eseguire ulteriori attacchi. L’autenticazione multi-fattore è in grado di limitare questi accessi, ma, come sappiamo bene, non è ancora diffusa come dovrebbe.
“Le percentuali di successo degli attacchi di account takeover indicano chiaramente che l’attuale approccio alla sicurezza dell’identità semplicemente non funziona” si legge nel report. Il browser è il punto più rischioso che consente l’esecuzione degli attacchi; per questo è fondamentale affidarsi a una piattaforma per la sicurezza del browser.
Questo tipo di soluzioni offrono maggiore visibilità sul flusso di esecuzione del browser e sono in grado di analizzare il singolo componente coinvolto, identificando eventualmente quelli legati a operazioni di phishing e bloccandone il caricamento in pagina. La piattaforma si occupa inoltre scansionare periodicamente le estensioni del browser, identificare quelle più rischiose sulla base dei permessi che hanno e disabilitare automaticamente quelle malevole.
Infine, la soluzione monitora le credenziali salvate nel browser e si integra con i provider di identità per fare in modo che l’utente possa accedere solo dal proprio browser, riducendo così il rischio di abuso di credenziali compromesse.
In questo modo, spiega LayerX, il browser non è più un elemento critico, ma diventa un’arma per contrastare gli attacchi di furto di account, furto di credenziali e abuso di identità.
Set 16, 2024 0
Set 10, 2024 0
Set 09, 2024 0
Set 06, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...