Proteggersi dal furto di account rendendo più sicuro il browser

Gli attacchi di furto di account (account takeover) sono ancora molto diffusi e la ragione per cui hanno successo è legata alle debolezze insiste nei browser. I browser sono ricchi di punti ciechi che gli attaccanti possono sfruttare per sottrarre le credenziali delle vittime e prendere il controllo degli account.

Pixabay

In un recente report, LayerX ha analizzato questo tipo di attacchi sottolineando che la diffusione delle moderne applicazioni SaaS ha reso più semplice prendere il controllo degli account cloud-based rispetto alla controparte on-premise. “Le applicazioni basate su SaaS si trovano nel cloud, al di fuori del perimetro fisico dell’organizzazione, dove non sono protette da alcun perimetro, consentendo così l’accesso diretto da qualsiasi parte del mondo” si legge nell’analisi.

Alle applicazioni SaaS si può accedere da qualsiasi browser; essendo i browser pieni di vulnerabilità, gli attaccanti hanno la strada (quasi) spianata per sottrarre le credenziali degli utenti ed eseguire nuovi attacchi da una posizione privilegiata.

Le tecniche e tattiche dietro il furto di account

Uno dei metodi più usati dagli attaccanti per prendere il controllo degli account delle vittime è il phishing. Esistono diversi modi per eseguire questo attacco, ma l’obiettivo è sempre lo stesso: il furto di credenziali per accedere agli account. In questo caso i cybercriminali abusano del flusso di esecuzione delle pagine web per presentare agli utenti finte pagine di login o per intercettare l’esecuzione di una pagina legittima (attacchi man-in-the-middle).

Le soluzioni di Security Service Edge (SSE) o i firewall non sono in grado di bloccare questi attacchi: questi servizi analizzano il traffico cifrato, ma non sono in grado di individuare i componenti malevoli della pagina; in questo modo, il codice malevolo riesce a entrare nel perimetro dell’organizzazione e venire eseguito dal browser.

Un’altra tattica ampiamente usata dagli attaccanti per sottrarre le credenziali utente è l’abuso delle estensioni del browser, in particolare quelle con permessi elevati. I cybercriminali pubblicano un’estensione malevola sullo store di Chrome o ne acquistano una esistente per inserirvi il codice malevolo; una volta installata, l’estensione è in grado di accedere allo storage di credenziali e raccogliere password, cookie e token.

In questo caso, le piattaforme di protezione degli endpoint (EPP/EDR) considerano affidabili tutti i processi dei browser, comprese le estensioni, e gli permettono di eseguire senza limitazioni; ciò rende i plug-in un altro punto cieco dei browser.

Una volta ottenute le credenziali in uno o nell’altro modo, l’attaccante può accedere all’account della vittima, prenderne il controllo ed eseguire ulteriori attacchi. L’autenticazione multi-fattore è in grado di limitare questi accessi, ma, come sappiamo bene, non è ancora diffusa come dovrebbe.

“Le percentuali di successo degli attacchi di account takeover indicano chiaramente che l’attuale approccio alla sicurezza dell’identità semplicemente non funziona” si legge nel report. Il browser è il punto più rischioso che consente l’esecuzione degli attacchi; per questo è fondamentale affidarsi a una piattaforma per la sicurezza del browser.

Questo tipo di soluzioni offrono maggiore visibilità sul flusso di esecuzione del browser e sono in grado di analizzare il singolo componente coinvolto, identificando eventualmente quelli legati a operazioni di phishing e bloccandone il caricamento in pagina. La piattaforma si occupa inoltre scansionare periodicamente le estensioni del browser, identificare quelle più rischiose sulla base dei permessi che hanno e disabilitare automaticamente quelle malevole.

Infine, la soluzione monitora le credenziali salvate nel browser e si integra con i provider di identità per fare in modo che l’utente possa accedere solo dal proprio browser, riducendo così il rischio di abuso di credenziali compromesse.

In questo modo, spiega LayerX, il browser non è più un elemento critico, ma diventa un’arma per contrastare gli attacchi di furto di account, furto di credenziali e abuso di identità.