Account Social Compromessi: Compromise Accounts – Social Media Accounts (T1586.001)

La simulazione di questa tecnica in un engagement red team richiede cautela legale estrema: non si compromettono account reali di terzi. L'approccio corretto è creare un ambiente controllato in cui dimostrare al cliente quanto sia semplice ottenere e sfruttare credenziali social, e quanto siano deboli le difese organizzative contro il social engineering via profili fidati.

Il primo passo è verificare l'esposizione dell'organizzazione. Con SpiderFoot (open source) puoi lanciare una scansione OSINT completa partendo dal dominio target. L'interfaccia a riga di comando permette di enumerare account social associati ai dipendenti dell'organizzazione, identificare email esposte in breach noti e valutare quali profili sarebbero bersagli credibili. Un'alternativa complementare è theHarvester (open source), che raccoglie email, nomi e sotto-domini da fonti pubbliche tramite il comando:

theHarvester -d dominio-target.com -b linkedin

Per verificare se le credenziali dei dipendenti sono finite in data breach, h8mail (open source) permette interrogazioni aggregate contro database di breach pubblici:

h8mail -t email@dominio-target.com

Una volta dimostrata l'esposizione, il passo successivo è il credential stuffing simulato. In ambiente lab — mai contro servizi di produzione senza autorizzazione scritta — puoi usare Hydra (open source) per testare la robustezza delle credenziali su servizi di autenticazione controllati. Lo scopo non è violare account reali, ma dimostrare che password riutilizzate da breach renderebbero la compromissione banale.

Per la componente social engineering, Gophish (open source) consente di simulare campagne di phishing che replicano le notifiche dei principali social network, misurando quanti dipendenti inserirebbero le proprie credenziali in una pagina di login fasulla. Questo dato, presentato al cliente, dimostra il rischio concreto: se un attaccante reale usasse lo stesso approccio, otterrebbe accesso a profili con cui poi condurre spearphishing laterale.

La catena d'attacco simulata si articola così:

1. Raccolta OSINT con SpiderFoot e theHarvester per mappare profili social dei dipendenti
2. Verifica esposizione credenziali con h8mail
3. Campagna phishing simulata con Gophish che mima notifiche social
4. Report al cliente con percentuali di click-through, credenziali esposte e raccomandazioni MFA

La detection diretta della compromissione di un account social è fuori dal perimetro del SOC tradizionale — l'azione avviene su piattaforme di terze parti. Ma il SOC può e deve intercettare il momento in cui quell'account compromesso viene usato contro l'organizzazione, e costruire una rete di sensori che rilevi le anomalie correlate.

Il primo livello di monitoraggio è il traffico di rete. Quando un dipendente riceve un messaggio di spearphishing via servizio social (LinkedIn InMail, Facebook Messenger, DM su X), il click sul link malevolo genera traffico HTTP/S verso domini esterni. Configurare il proxy o il firewall next-gen per ispezionare il traffico SSL/TLS in uscita e correlare con liste di IoC aggiornate permette di intercettare il momento critico. Le log source fondamentali sono i Network Traffic Content e i Network Traffic Flow dal firewall perimetrale.

Il secondo livello riguarda le anomalie nei pattern di autenticazione. Se un attaccante compromette l'account social di un dipendente, potrebbe tentare credential stuffing anche sui servizi aziendali con le stesse credenziali. Monitora i log di Azure AD o del tuo Identity Provider per accessi anomali — geolocalizzazioni inusuali, user-agent incongruenti, tentativi multipli falliti seguiti da un successo. Un alert su EventCode 4625 (logon fallito) con soglia > 5 tentativi in 10 minuti sullo stesso account, seguito da un EventCode 4624 (logon riuscito), segnala potenziale credential stuffing.

Il terzo livello è il monitoraggio OSINT proattivo. Strumenti come SpiderFoot (open source) possono essere schedulati per eseguire scansioni periodiche alla ricerca di nuovi profili social che impersonano l'organizzazione o suoi dipendenti. Anche la detection indicata nei dati merita attenzione: monitora l'attività social media correlata alla tua organizzazione, prestando attenzione a profili che dichiarano appartenenza aziendale o che inviano richieste di connessione massiva verso dipendenti.

Per la gestione dei falsi positivi, il contesto è tutto. Un dipendente che accede a LinkedIn da una VPN personale non è un attacco. Correla sempre con il volume: un singolo profilo che invia richieste di connessione a dieci o più dipendenti in pochi giorni, specialmente se il profilo è stato modificato di recente, è un indicatore comportamentale significativo che merita escalation al team Threat Intelligence.

Quando l'indagine punta verso un initial access originato da un social media account compromesso, il forensic analyst deve lavorare su due fronti: le fonti esterne per ricostruire la compromissione dell'account e gli artefatti endpoint per documentare l'impatto sull'organizzazione vittima.

Sul fronte esterno, le piattaforme social mantengono log di accesso che possono essere ottenuti tramite richiesta legale o cooperazione con il provider. La prima azione è richiedere i dati di login dell'account sospetto: indirizzi IP, timestamp, dispositivi utilizzati. Un cambio improvviso di geolocalizzazione o user-agent nel profilo compromesso indica il momento della presa di controllo. Se l'account era di un dipendente, verifica anche i log del servizio email aziendale per eventuali reset password originati dalla piattaforma social (potenziale vettore di compromissione iniziale).

Le ricerche WHOIS storiche e passive DNS risultano utili quando l'attaccante ha usato l'account compromesso per distribuire link malevoli. Servizi come DomainTools (a pagamento) e PassiveTotal di RiskIQ (freemium) permettono di ricostruire la catena: dal messaggio social al dominio di phishing, dal dominio all'infrastruttura di hosting, dall'hosting ad altri indicatori correlati.

Sugli endpoint aziendali, gli artefatti da cercare dipendono dal vettore utilizzato. Se il dipendente ha cliccato un link ricevuto via social, la browser forensics diventa centrale. Esamina i database della cronologia del browser — per Chrome il file History in formato SQLite nella directory del profilo utente, per Edge il percorso analogo sotto Edge/User Data. Cerca:

• URL visitati con timestamp che correlino con il messaggio social
• Download eseguiti subito dopo la visita al link sospetto
• Cookie e credenziali eventualmente inserite in pagine di phishing

I file Prefetch di Windows (C:\Windows\Prefetch) documentano l'esecuzione di eventuali payload scaricati. Analizzali con PECmd di Eric Zimmerman (open source) per ottenere timestamp di prima e ultima esecuzione. Se il link portava a un documento armato, cerca tracce nei file Recent (%APPDATA%\Microsoft\Windows\Recent) e nei Jump List.

La timeline si costruisce incrociando questi elementi: data di compromissione dell'account social (dai log del provider), data di invio dei messaggi malevoli, timestamp del click sul link (browser history), esecuzione del payload (Prefetch, Amcache), ed eventuale attività post-compromissione nei log di sistema.

Due gruppi APT documentati impiegano la compromissione di account social come tecnica di Resource Development, con finalità e modalità operative distinte che rivelano pattern analitici significativi.

Sandworm Team (G0034), attribuito al GRU russo (Unità 74455), crea pagine di cattura credenziali per compromettere account social media legittimi. Questo approccio è coerente con il profilo operativo del gruppo: costruire infrastruttura di supporto attraverso il furto di identità digitali piuttosto che l'acquisto. Sandworm è noto per operazioni distruttive su larga scala, il che suggerisce che la compromissione social serva come vettore iniziale per campagne di spearphishing mirato verso settori critici — energia, governo, media. L'uso di credential capture pages indica capacità di sviluppo web e gestione di infrastruttura di phishing dedicata.

Leviathan (G0065), gruppo associato alla Cina, ha compromesso account social media specificamente per condurre attacchi di social engineering. Il focus sull'ingegneria sociale indica un approccio orientato all'intelligence gathering piuttosto che alla distruzione. Leviathan punta tipicamente ai settori difesa, marittimo e governativo — contesti in cui le relazioni professionali su piattaforme come LinkedIn sono particolarmente dense e sfruttabili.

Il pattern geografico è chiaro: questa tecnica attrae gruppi state-sponsored di alto livello che investono in operazioni a lungo termine. La compromissione di un account reale richiede pazienza ma offre un ritorno superiore rispetto ai profili creati da zero, perché eredita fiducia sociale immediata.

Per il TI Officer, il dato operativamente rilevante è che entrambi i gruppi usano questa tecnica come abilitatore, non come fine. L'account compromesso è una risorsa che alimenta fasi successive. Monitorare le connessioni anomale verso dipendenti chiave dell'organizzazione — in particolare figure con accesso a informazioni classificate, proprietà intellettuale o sistemi critici — è il punto di intersezione tra intelligence e protezione attiva. Integra i feed di threat intelligence con gli alert del SOC sulle richieste di connessione social sospette per chiudere il cerchio tra attribuzione e detection.

Framework MITRE ATT&CK v16 — T1586.001 (Compromise Accounts: Social Media Accounts), TA0042 (Resource Development). Gruppi: G0034, G0065. Mitigazione: M1056. Detection: DET0870, AN2002. Tool di detection e simulazione: SpiderFoot, theHarvester, h8mail, Gophish, PECmd, DomainTools, PassiveTotal. Integrato con conoscenza professionale per tool e procedure operative.