How do attackers exploit account recovery processes?

Attackers call help desks or use self-service portals to reset passwords on accounts they do not own. They use pretexting, impersonating the legitimate user with information gathered from social media, data breaches, or corporate directories. The 2023 MGM Resorts breach began with a social engineering call to the IT help desk that took only 10 minutes. Common tactics include urgency claims, name-dropping managers, and providing partial information that sounds convincing.

What makes account recovery questions insecure?

Traditional security questions like "mother's maiden name" or "city you were born in" are easily researched through social media, public records, and data broker sites. Answers are also often shared across multiple services, so a breach at one company exposes recovery credentials everywhere. Organizations should use identity verification methods that cannot be researched, such as one-time codes to registered devices, manager-approved verification workflows, or in-person identity checks.

Sicurezza del Recupero Account

Defend account recovery from social engineering.

Cos’è Sicurezza del Recupero Account?

Il recupero account è uno degli anelli più deboli nella sicurezza organizzativa, e gli aggressori lo sanno. In questa simulazione, interpreti il ruolo di un analista dell'help desk che riceve una richiesta urgente di recupero account da qualcuno che afferma di essere un dipendente bloccato. Il chiamante ha fatto i suoi compiti. Conosce il nome completo del dipendente, il dipartimento e il responsabile. Fa riferimento a un recente evento aziendale per costruire credibilità. Il tuo compito è seguire le procedure corrette di verifica dell'identità sotto pressione, anche quando il chiamante diventa frustrato o alza i toni emotivamente. Lavorerai attraverso gli esatti punti decisionali che il personale reale dell'help desk affronta: quali domande di verifica confermano effettivamente l'identità, quando fermarsi e coinvolgere un supervisore, e come documentare l'interazione. L'esercizio copre anche i flussi di recupero self-service, mostrando come domande di sicurezza configurate in modo scadente e impostazioni di email di backup creino varchi che gli aggressori sfruttano attraverso OSINT e ricognizione sui social media.

Cosa imparerai in Sicurezza del Recupero Account

Identificare i segnali d'allarme di social engineering nelle richieste di recupero account, incluse la pressione emotiva e l'eccessiva familiarità
Applicare una checklist strutturata di verifica dell'identità prima di reimpostare qualsiasi credenziale o concedere l'accesso
Riconoscere come gli aggressori utilizzano l'intelligence open-source (OSINT) per rispondere alle domande di sicurezza e aggirare i flussi di recupero
Sottoporre a escalation le richieste di recupero sospette ai team di sicurezza con documentazione adeguata
Valutare le configurazioni di recupero self-service per le debolezze come domande di sicurezza indovinabili e email di backup non protette

Sicurezza del Recupero Account — Fasi della formazione

Un lunedì mattina impegnativo

È lunedì mattina e hai davanti a te un'intera giornata di consultazioni con i pazienti. Ti siedi alla scrivania del tuo ufficio a casa e ti prepari ad accedere al sistema di gestione dei pazienti.
La reimpostazione imprevista della password

Prima ancora che tu possa aprire il browser, viene visualizzata una notifica sul desktop. È arrivata una nuova email: una richiesta di reimpostazione della password per il tuo account di lavoro. Strano. Non hai richiesto la reimpostazione della password. Ma ultimamente l’IT ha implementato nuove policy di sicurezza, quindi forse anche questo rientra in questo contesto.
La pressione per agire

L'e-mail sembra ufficiale. Il logo sembra corretto e il messaggio è urgente: la sospensione dell'account significherebbe che non potresti accedere alle cartelle cliniche dei pazienti per tutto il giorno. È necessario reimpostare rapidamente la password prima della prima visita con il paziente. Non c'è tempo per indagare.
Immissione delle credenziali attuali

Viene caricata la pagina di reimpostazione della password. Richiede la tua password attuale per verificare la tua identità prima di consentirti di impostarne una nuova. Sembra una misura di sicurezza ragionevole: dopo tutto, chiunque potrebbe fare clic su un collegamento di ripristino.
Il messaggio di errore

Dopo l'invio, la pagina visualizza un errore: 'Impossibile elaborare la richiesta. Riprova più tardi o contatta il supporto IT.' Frustrata, Alice chiude il browser e decide invece di provare la normale pagina di accesso. Almeno sa che la sua vecchia password funziona ancora.
Una scoperta preoccupante

Venti minuti dopo, Alice riceve una marea di notifiche via email. La password è cambiata. E-mail di recupero aggiornata. Domande di sicurezza modificate. Tenta di accedere con la sua vecchia password. Accesso negato. Prova la nuova password che ha appena impostato. Anche negato. Il suo account è stato completamente preso in consegna.
Realizzare l'attacco

Il cuore di Alice sprofonda. L'e-mail di IT Security conferma i suoi peggiori timori: il suo account è stato completamente compromesso. La password, l'e-mail di recupero e le domande di sicurezza sono state tutte modificate da qualcun altro.
Analisi dell'e-mail di phishing

Ora Alice ripensa all'e-mail originale di reimpostazione della password con occhi nuovi. Quali segnali d'allarme le sono sfuggiti?
Controllo del collegamento

L'e-mail conteneva un collegamento per reimpostare la password. Esaminiamo dove porta effettivamente quel collegamento.
Contattare la sicurezza informatica

Alice deve agire in fretta. Prende il telefono per chiamare la sicurezza IT utilizzando il numero dei suoi contatti, non un numero qualsiasi delle e-mail sospette.

Cos’è Sicurezza del Recupero Account?

Cosa imparerai in Sicurezza del Recupero Account

Sicurezza del Recupero Account — Fasi della formazione

Un lunedì mattina impegnativo

La reimpostazione imprevista della password

La pressione per agire

Immissione delle credenziali attuali

Il messaggio di errore

Una scoperta preoccupante

Realizzare l'attacco

Analisi dell'e-mail di phishing

Controllo del collegamento

Contattare la sicurezza informatica