Che cos'è il Credential Stuffing?
Pubblicato su: 27 Ott 2020
Ultima modifica il: 21 Gen 2026
Il Credential stuffing ha dominato i titoli dei giornali di cybersecurity negli ultimi anni ed è diventato rapidamente uno dei metodi di attacco più comuni utilizzati dai criminali informatici di tutto il mondo.
Un attacco di credential stuffing si verifica quando gli aggressori utilizzano grandi quantità di nomi utente e password rubati per ottenere un accesso non autorizzato agli account online. Queste credenziali provengono in genere dal dark web a seguito di gravi violazioni di dati che colpiscono organizzazioni di ogni settore.
Utilizzando bot automatizzati e strumenti specializzati, i criminali informatici testano i dati di accesso rubati su più siti web su larga scala. Poiché molte persone riutilizzano la stessa password su piattaforme diverse, questo metodo di attacco è molto efficace e relativamente facile da eseguire.
Il Credential stuffing è una forma di attacco a forza bruta, ma invece di indovinare combinazioni di password casuali, gli aggressori si basano su credenziali legittime. Questo aumenta notevolmente la percentuale di successo e rende l’attacco più difficile da rilevare.
La motivazione principale degli attacchi di credential stuffing è il guadagno economico. Una volta compromessi gli account, gli aggressori possono accedere ai conti bancari collegati, rivendere gli account sul dark web o sfruttare i dati personali per commettere un furto d’identità.
Cosa sta alimentando la crescita degli attacchi di Credential Stuffing?
Il rapido aumento degli attacchi di credential stuffing è in gran parte determinato dall’enorme quantità di credenziali compromesse disponibili online. Attualmente HaveIBeenPwned.com tiene traccia di oltre 8,5 miliardi di credenziali esposte da più di 400 violazioni di dati, molte delle quali riguardano milioni di record.
Uno degli incidenti più significativi è stata la violazione Collection #1, emersa nel 2019. Questa violazione ha esposto 1,2 miliardi di combinazioni di nomi utente e password, tra cui 773 milioni di indirizzi e-mail unici e 21 milioni di password uniche.
L’accesso a questi grandi set di dati consente agli aggressori di testare rapidamente milioni di combinazioni di email e password, sfruttando l’abitudine diffusa di riutilizzare le password.
Allo stesso tempo, strumenti di automazione sempre più sofisticati consentono agli aggressori di distribuire i tentativi di accesso su più indirizzi IP, rendendo gli attacchi di credential stuffing più difficili da identificare e bloccare.
Quali sono i settori interessati dagli attacchi di Credential Stuffing?
Gli attacchi di credential stuffing possono colpire qualsiasi organizzazione con funzionalità di login per gli utenti. Tuttavia, i settori che conservano dati finanziari o informazioni personali di alto valore sono particolarmente vulnerabili.
I settori più comunemente presi di mira sono l’e-commerce, la vendita al dettaglio, i servizi finanziari, l’intrattenimento, l’istruzione superiore e la sanità.
Le organizzazioni di servizi finanziari sono state particolarmente colpite. L’FBI ha avvertito che il credential stuffing ha rappresentato il 41% dei cyberattacchi del settore finanziario tra il 2017 e il 2020, con perdite per milioni di dollari.
Oltre alle perdite finanziarie, l’impatto del credential stuffing può includere interruzioni operative, sanzioni normative, danni alla reputazione e perdita di fiducia a lungo termine da parte dei clienti.
Esempi di attacchi recenti di Credential Stuffing
Diverse organizzazioni di alto profilo hanno subito violazioni di dati causate da attacchi di credential stuffing, tra cui:
- Dunkin’ Donuts – Nel 2019, Dunkin’ Donuts ha confermato diversi attacchi di credential stuffing che hanno preso di mira il suo programma di ricompense DD Perks. Gli aggressori hanno avuto accesso agli account degli utenti utilizzando le credenziali trapelate da altre violazioni e hanno venduto gli account compromessi sul dark web.
- Nintendo – Nel 2020, Nintendo ha reso noto che 160.000 account di utenti sono stati compromessi tramite credential stuffing. Gli aggressori hanno utilizzato credenziali riutilizzate per accedere agli account, effettuare acquisti non autorizzati e visualizzare informazioni personali sensibili.
Come prevenire gli attacchi di credential stuffing
Usa password forti e uniche
Nonostante la consapevolezza diffusa, il riutilizzo delle password rimane comune. Un’indagine di Google sulla sicurezza ha rilevato che il 65% delle persone riutilizza la stessa password su più account.
Questo comportamento aumenta in modo significativo il rischio di credential stuffing. L’utilizzo di password forti e uniche per ogni account è essenziale per ridurre l’esposizione.
Creare una passphrase è un approccio efficace. Una passphrase combina più parole memorabili e può essere ulteriormente rafforzata aggiungendo numeri e simboli.
Usa un gestore di password
I gestori di password memorizzano e criptano in modo sicuro tutte le tue credenziali di accesso, permettendoti di utilizzare password forti e uniche senza doverle ricordare tutte.
La maggior parte dei gestori di password inserisce automaticamente i dati di accesso solo sui siti web legittimi, aiutando a proteggersi dagli attacchi di phishing e dal riempimento di credenziali.
Implementa l’autenticazione a più fattori (MFA)
L’autenticazione a più fattori aggiunge un ulteriore livello di sicurezza richiedendo una verifica aggiuntiva rispetto al nome utente e alla password.
Anche se le credenziali sono compromesse, l’MFA può impedire agli aggressori di accedere agli account senza il secondo fattore di autenticazione.
Monitorare e bloccare i tentativi di accesso sospetti
Gli attacchi di credential stuffing spesso generano un elevato volume di tentativi di login falliti in un breve periodo di tempo.
Le organizzazioni possono ridurre il rischio implementando la limitazione del tasso, monitorando i modelli di accesso e bloccando gli indirizzi IP associati ad attività sospette o fraudolente.
Scopri di più sulle soluzioni MetaCompliance
Per prevenire il credential stuffing non bastano i controlli tecnici. Per proteggere gli account e i dati sensibili dall’uso improprio, è fondamentale creare dipendenti consapevoli e ridurre il rischio umano.
Esplora la nostra suite completa di soluzioni progettate per proteggere la tua organizzazione, ridurre il rischio umano e migliorare la resilienza informatica. La nostra piattaforma di gestione del rischio umano comprende:
- Security Awareness automatizzata
- Simulazioni avanzate di phishing
- Risk Intelligence & Analytics
- Compliance Management
Per vedere come queste soluzioni possono aiutare a mitigare gli attacchi basati sulle credenziali e a rafforzare la sicurezza della tua organizzazione, contattaci oggi stesso per prenotare una demo.
Domande frequenti sull'imbottitura delle credenziali
Che cos'è il credential stuffing?
Il Credential stuffing è un attacco informatico in cui nomi utente e password rubati vengono riutilizzati per ottenere l’accesso a più account online.
Perché il credential stuffing è così efficace?
Il Credential stuffing sfrutta il riutilizzo delle password, consentendo agli aggressori di utilizzare credenziali legittime piuttosto che indovinare le password.
Come fanno gli aggressori a ottenere le credenziali di accesso?
Le credenziali vengono solitamente acquistate sul dark web in seguito a violazioni di dati su larga scala.
Quali sono i settori più a rischio?
I servizi finanziari, la vendita al dettaglio, l’e-commerce, la sanità e l’istruzione sono obiettivi frequenti.