Vai al contenuto
Tipi di frode

Furto di account (ATO)

Il furto di account (ATO, account takeover) è una forma di frode in cui un aggressore ottiene il controllo non autorizzato dell'account di un utente legittimo e lo utilizza per rubare, commettere ulteriori frodi o rivenderlo. Di solito avviene in seguito alla compromissione delle credenziali di accesso, anziché tramite la creazione di un nuovo account falso.

Come funziona

Come funziona Furto di account (ATO)

Il furto di account inizia quando l'aggressore ottiene credenziali valide. La fonte più comune è una violazione dei dati: coppie di nome utente e password trapelate da un servizio vengono riprovate su molti altri, sfruttando il fatto che le persone riutilizzano le password. Gli aggressori raccolgono credenziali anche tramite pagine di phishing, malware di tipo infostealer che estrae le password salvate nel browser e l'ingegneria sociale del processo di recupero dell'account.

Con le credenziali a disposizione, l'aggressore automatizza i tentativi di accesso su larga scala. Gli strumenti di credential stuffing (riprova automatizzata di credenziali trafugate) scorrono milioni di coppie, spesso distribuite su grandi insiemi di proxy residenziali affinché nessun indirizzo IP mostri un tasso di accesso anomalo. Quando un accesso va a buon fine, la sessione viene utilizzata immediatamente oppure la credenziale funzionante viene rivenduta. Per aggirare l'autenticazione a più fattori, gli aggressori possono intercettare i codici monouso tramite SIM swap, proxy di phishing in tempo reale o il bombardamento di richieste MFA (MFA-fatigue).

Una volta all'interno, l'aggressore agisce rapidamente per monetizzare l'accesso prima che il vero proprietario se ne accorga. Le azioni tipiche includono lo svuotamento di saldi e punti fedeltà memorizzati, la modifica dell'email e della password registrate per estromettere il proprietario, l'aggiunta di nuovi beneficiari di pagamento, l'invio di ordini a un indirizzo di ricezione controllato o l'uso dell'account affidabile come trampolino per ulteriore phishing. La cronologia e la reputazione dell'account compromesso fanno apparire legittime queste azioni ai sistemi a valle.

Le campagne ATO sofisticate cercano di imitare il comportamento normale della vittima per rimanere al di sotto delle soglie di rilevamento, replicando il tipo di dispositivo abituale, la posizione approssimativa e gli orari di accesso. È per questo che le regole statiche da sole faticano: le credenziali sono corrette e ogni singola azione può sembrare plausibile.

Perché conta

Perché Furto di account (ATO) conta per la prevenzione delle frodi

Il furto di account è una delle categorie di frode online più dannose perché sfrutta la fiducia che l'azienda ha già accordato a un cliente reale. Le perdite dirette includono fondi rubati, acquisti fraudolenti e saldi fedeltà abusati, ma i costi indiretti sono spesso maggiori: chargeback, carico di lavoro di assistenza e ripristino, esposizione normativa quando si accede a dati personali ed erosione duratura della fiducia del cliente quando le persone percepiscono che i loro account non sono sicuri. Poiché gli account compromessi superano l'autenticazione ordinaria, l'ATO aggira spesso le difese progettate solo per fermare le registrazioni palesemente false.

Con TRACIO

Come lo gestisce TRACIO

TRACIO aiuta a rilevare il furto di account riconoscendo il dispositivo e l'ambiente dietro ogni accesso, anziché fidarsi solo delle credenziali. Il prodotto Identification assegna un ID visitatore stabile a partire da oltre 130 segnali del dispositivo, così un accesso da un dispositivo mai associato a un account, oppure un cambio improvviso di dispositivo, browser e rete su un account fino ad allora stabile, diventa un forte indicatore di rischio. Bot Detection segnala i framework di automazione e i browser headless dietro le campagne di credential stuffing, e Smart Signals espone i proxy residenziali, le VPN e i nodi di uscita Tor che gli aggressori usano per distribuire i loro tentativi. I controlli di velocità sul grafo dei dispositivi rivelano un singolo dispositivo che tenta di raggiungere molti account diversi. Questi segnali possono essere forniti al momento dell'autenticazione con bassa latenza, così una verifica aggiuntiva viene attivata solo quando il rischio è reale.

FAQ

Domande frequenti

Identifichi ogni dispositivo con sicurezza

Inizi con un piano gratuito di 2.500 chiamate API al mese. Nessuna carta di credito richiesta.