Vai al contenuto
LEARN

Che cos'è il furto di account (ATO)?

Il furto di account, o ATO (account takeover), è una forma di frode in cui un aggressore ottiene il controllo non autorizzato dell'account di un utente legittimo — usando credenziali rubate, phishing o session hijacking — e poi lo sfrutta per furto, ulteriori frodi o rivendita.

L'ATO è particolarmente dannoso perché l'aggressore opera come un utente fidato e già verificato: l'account supera ogni controllo che presume che chi effettua l'accesso sia il suo proprietario. Le perdite si propagano a cascata, dai saldi prosciugati e gli acquisti fraudolenti al danno reputazionale e ai costi di supporto. Questa guida spiega come si svolgono gli attacchi ATO, da dove provengono le credenziali, i segnali d'allarme e perché i segnali basati sul dispositivo sono tra le difese più efficaci.

Che cos'è il furto di account?

Il furto di account è l'accesso non autorizzato e il controllo di un account che appartiene legittimamente a qualcun altro. Il tratto distintivo è che l'aggressore usa l'account reale anziché crearne uno falso, ed è ciò che rende l'ATO così difficile da intercettare con i soli controlli d'identità.

Una volta dentro, l'aggressore eredita la posizione dell'account: i suoi metodi di pagamento, il valore memorizzato, la cronologia degli acquisti, i contatti e la fiducia. Può prosciugare fondi, effettuare acquisti fraudolenti, raccogliere dati personali, riciclare denaro o tenere l'account per la rivendita. Poiché l'account stesso è legittimo, le regole antifrode tradizionali che cercano nuove identità sospette non vedono nulla di sbagliato.

L'ATO è distinto dalla frode con nuovi account, in cui l'aggressore fabbrica un'identità da zero. Nell'ATO l'identità è genuina e le credenziali sono valide — la frode sta in chi le sta impugnando. Questo sposta il problema del rilevamento da «questa identità è reale?» a «è il vero proprietario?», che è una domanda sul dispositivo e sul comportamento, non sull'account.

Come funziona un attacco di furto di account?

Un attacco ATO funziona in tre fasi: l'aggressore ottiene le credenziali, le convalida su vasta scala contro un endpoint di login e poi monetizza gli account che funzionano. L'automazione guida la fase centrale, ed è lì che i segnali di dispositivo e di bot hanno la migliore occasione per intervenire.

Nella fase di acquisizione, le credenziali provengono da violazioni di dati, campagne di phishing, malware o acquisti su mercati criminali. Poiché le persone riutilizzano le password, un insieme di credenziali trafugato da un servizio spesso sblocca account su molti altri — il riutilizzo è l'intera premessa dell'ATO su vasta scala.

Nella fase di convalida, gli aggressori usano l'automazione per testare le credenziali contro gli endpoint di login, un'attività che si sovrappone ampiamente al credential stuffing. Le coppie funzionanti vengono poi consegnate alla fase di monetizzazione, in cui l'aggressore cambia i dati di contatto, aggiunge metodi di pagamento ed estrae valore — spesso in fretta, prima che il vero proprietario se ne accorga.

Dove ottengono le credenziali gli aggressori?

Gli aggressori ottengono le credenziali da quattro fonti principali: violazioni di dati, phishing, malware e mercati criminali che aggregano tutte e tre. Il volume disponibile fa sì che quasi ogni ampia base utenti si sovrapponga a qualche dataset trafugato.

Le violazioni di dati sono la fonte più abbondante. Quando un servizio viene compromesso, le sue coppie di username e password circolano ampiamente, e il riutilizzo delle password trasforma la violazione di un sito in una minaccia per ogni sito toccato dagli stessi utenti. Il phishing aggiunge credenziali fresche ingannando gli utenti a inserirle su pagine di login false, e il malware le raccoglie direttamente dai dispositivi infetti.

Questi flussi convergono nei mercati criminali, dove le credenziali sono impacchettate, convalidate e vendute — a volte come liste grezze, a volte come account «validi» già testati e pronti a essere monetizzati. L'economia è il motivo per cui l'ATO persiste: le credenziali sono a buon mercato, abbondanti e continuamente rifornite.

Quali sono i segnali d'allarme del furto di account?

I segnali d'allarme più chiari sono un login da un dispositivo o una posizione non riconosciuti, un cambiamento improvviso ai dati di contatto o di sicurezza dell'account e un'attività insolita che rompe lo schema consolidato dell'account. I segnali del dispositivo fanno emergere il primo indizio prima di qualsiasi altra cosa.

Un login da un dispositivo che l'account non ha mai usato prima è il singolo indicatore precoce più rivelatore, perché l'insieme di dispositivi di un proprietario legittimo cambia lentamente mentre il dispositivo di un aggressore è quasi sempre nuovo per l'account. Le anomalie di posizione e di rete — un nuovo Paese, un IP di data center, un proxy — rafforzano il segnale.

Il comportamento successivo all'accesso lo conferma: cambiamenti rapidi a email, telefono o password (che escludono il vero proprietario), nuovi metodi di pagamento e transazioni che non si adattano alla cronologia dell'account. Il valore del rilevamento basato sul dispositivo è che può segnalare il login rischioso prima che il danno sia fatto, anziché dopo la comparsa delle anomalie comportamentali.

  • Login da un dispositivo mai prima associato all'account.
  • Origine di rete nuova o anomala — Paese sconosciuto, IP di data center, VPN o proxy.
  • Cambiamenti rapidi a email, telefono, password o opzioni di recupero.
  • Nuovi metodi di pagamento seguiti da immediata attività ad alto valore.
  • Comportamento incoerente con lo schema consolidato dell'account.

Quali danni causa il furto di account?

Il furto di account causa perdite finanziarie dirette, frodi a valle e danni reputazionali e operativi duraturi. I costi si estendono ben oltre il valore rubato in un singolo incidente.

La perdita immediata è il furto: saldi prosciugati, acquisti fraudolenti, premi riscattati e metodi di pagamento memorizzati usati impropriamente. Ma l'account compromesso è anche un trampolino — i suoi dati alimentano ulteriore phishing e frode, e il suo status fidato può essere usato per attaccare altri utenti o sistemi a esso collegati.

I costi indiretti spesso superano quelli diretti. Le vittime perdono fiducia e talvolta se ne vanno; i team di supporto assorbono il peso della remediation e dei rimborsi; e la piattaforma eredita danni reputazionali e, nei settori regolamentati, una potenziale esposizione alla conformità. Un singolo incidente ATO può costare molto più dei fondi sottratti all'account.

Come ferma il furto di account l'intelligence dei dispositivi?

L'intelligence dei dispositivi ferma l'ATO riconoscendo il dispositivo dietro ogni login e segnalando l'accesso da dispositivi non familiari o ad alto rischio prima che l'aggressore possa agire — un controllo che le sole credenziali valide non possono superare. Poiché l'aggressore raramente possiede il dispositivo reale del proprietario, il dispositivo diventa il fattore che non può fornire.

Quando arriva un login, il sistema confronta il dispositivo che si connette con l'insieme di dispositivi che l'account ha usato in precedenza. Un dispositivo noto e fidato passa silenziosamente; uno non riconosciuto alza il rischio e può attivare un'autenticazione rafforzata (step-up), una verifica aggiuntiva o un blocco. Questo trasforma il login stesso in un checkpoint che le password rubate non superano.

L'intelligence dei dispositivi si compone anche con il quadro di rete e comportamentale: un nuovo dispositivo che si connette tramite un IP di data center con un fingerprint TLS da bot è un segnale molto più forte insieme che qualsiasi parte presa singolarmente. E poiché l'identità persiste tra sessioni e cancellazioni di cookie, lo stesso dispositivo di frode è riconoscibile anche mentre l'aggressore ruota credenziali e IP — smascherando la rete, non solo il singolo tentativo.

Come possono le aziende prevenire il furto di account?

Le aziende prevengono l'ATO stratificando le difese: autenticazione basata sul rischio guidata dai segnali del dispositivo, monitoraggio dei segnali d'allarme e attrito applicato solo quando il rischio è elevato. Nessun singolo controllo basta, ma la combinazione alza nettamente il costo per l'aggressore.

Il fondamento è l'autenticazione basata sul rischio — valutare i segnali di dispositivo, rete e comportamento al login e richiedere una verifica aggiuntiva solo quando qualcosa appare sbagliato. Questo tiene l'attrito lontano dalla stragrande maggioranza dei login legittimi concentrando lo scrutinio sulla minoranza rischiosa, ed è ciò che rende una sicurezza forte compatibile con una buona conversione.

Attorno a questo nucleo stanno le misure di supporto: monitorare i pattern di credential stuffing che precedono l'ATO, avvisare sui cambiamenti sensibili come gli aggiornamenti di contatto e di pagamento, incoraggiare o imporre password forti e uniche e l'autenticazione a più fattori e sorvegliare il ripetersi di dispositivi di frode noti tra gli account. Insieme chiudono le fasi dell'attacco che il solo controllo del dispositivo non copre.

Non conosce un termine in questa pagina? Ogni concetto qui sopra è definito nel nostro glossario dell'intelligence dei dispositivi.

Preferisce una definizione concisa? Consulti Furto di account (ATO) nel glossario.

FAQ

Domande frequenti

Fermi i furti al login, non dopo

TRACIO segnala i login da dispositivi non riconosciuti in meno di 50ms, così password rubate non equivalgono ad account rubati. Inizi gratis e aggiunga il rischio basato sul dispositivo al suo flusso di autenticazione.