Che cos'è il Credential Stuffing?

Il Credential stuffing ha dominato le cronache degli ultimi anni ed è diventato rapidamente il metodo di attacco preferito dai criminali informatici.

Tra il 1° gennaio 2018 e il 31 dicembre 2019, Akamai Technologies ha registrato oltre 88 miliardi di attacchi in tutti i settori. Questa cifra è destinata a salire con l’aumento delle violazioni dei dati e il massiccio passaggio ai servizi online durante la pandemia di Covid-19.

Gli attacchi di credential stuffing si verificano quando i criminali utilizzano grandi quantità di nomi utente e password rubati per ottenere fraudolentemente l’accesso agli account degli utenti. Queste informazioni sono in genere ottenute sul dark web come risultato di una delle tante violazioni di dati aziendali.

Utilizzando bot su larga scala e strumenti di automazione specializzati, gli hacker possono poi utilizzare queste credenziali rubate per tentare molteplici richieste di accesso su vari siti. Questo tipo di attacco è relativamente facile da eseguire e si basa molto sul fatto che le persone riutilizzano la stessa password.

Si tratta di un tipo di attacco a forza bruta, ma invece di indovinare combinazioni di password casuali, utilizza credenziali legittime, migliorando così la percentuale di successo complessiva.

Come la maggior parte degli attacchi informatici, la motivazione principale è di tipo finanziario. Gli hacker cercheranno di monetizzare gli account compromessi ottenendo l’accesso ai conti bancari collegati, oppure utilizzeranno i dati personali per commettere un furto d’identità.

Cosa sta alimentando la crescita degli attacchi di Credential Stuffing?

Semplicemente, si tratta di miliardi di credenziali compromesse che sono facilmente acquistabili sul dark web. Il sito HaveIBeenPwned.com tiene traccia di oltre 8,5 miliardi di credenziali compromesse provenienti da oltre 400 violazioni di dati e alcune di queste violazioni sono assolutamente colossali.

L’esempio più significativo è la mega violazione di Collection #1. La violazione è venuta alla luce nel 2019, esponendo 1,2 miliardi di combinazioni di indirizzi e-mail e password uniche, 773 milioni di indirizzi e-mail unici e 21 milioni di password.

Questo facile accesso a grandi quantità di dati permette agli hacker di testare milioni di combinazioni diverse di email e password nella speranza che gli utenti abbiano riutilizzato la stessa password.

La crescente sofisticazione degli strumenti che gli hacker utilizzano per sferrare questi attacchi ha anche reso più facile tentare più volte di effettuare il login sembrando provenire da indirizzi IP diversi.

Quali sono i settori interessati dagli attacchi di Credential Stuffing?

Tutti i settori sono bersaglio di attacchi di credential stuffing, ma alcuni sono più suscettibili di altri. I più bersagliati sono l’e-commerce, la vendita al dettaglio, i servizi finanziari, l’intrattenimento, l’istruzione superiore e i servizi sanitari.

L’industria dei servizi finanziari è stata particolarmente colpita e a settembre di quest’anno l’FBI ha lanciato un avvertimento alle organizzazioni del settore finanziario sull’aumento di questi attacchi. L’agenzia ha rilevato che il 41% di tutti gli attacchi al settore finanziario tra il 2017 e il 2020 sono stati causati da credential stuffing, con conseguente perdita di milioni di dollari.

Questi tipi di attacchi possono avere conseguenze devastanti per le aziende, tra cui: perdita di fatturato, tempi di inattività operativa, danni alla reputazione, sanzioni finanziarie e perdita di clienti.

Esempi di attacchi recenti di Credential Stuffing

C’è stato un notevole aumento del numero di violazioni di dati derivanti da attacchi alle credenziali. Alcuni esempi recenti sono:

• Dunkin Donuts – Nel febbraio 2019, Dunkin Donuts ha confermato di aver subito un attacco di credential stuffing, il secondo avvenuto nell’arco di tre mesi. In entrambi gli attacchi, gli hacker hanno utilizzato credenziali rubate e trapelate da altri siti per accedere agli account dei premi DD Perks. Una volta entrati, hanno potuto accedere a nome e cognome, indirizzo e-mail, numeri di conto DD Perks e codice QR DD Perks. In questo specifico attacco, gli hacker non cercavano le informazioni personali dell’utente, ma l’account stesso, che hanno poi venduto sul dark web.
• Nintendo – Nell’aprile 2020, Nintendo ha annunciato che 160.000 account sono stati violati in un attacco di credential stuffing. Utilizzando ID utente e password precedentemente esposti, gli hacker sono riusciti ad accedere agli account degli utenti, consentendo loro di acquistare articoli digitali utilizzando le carte memorizzate. Hanno anche potuto visualizzare dati sensibili come nome, indirizzo e-mail, data di nascita, sesso e paese.

Come prevenire il Credential Stuffing

Forte sicurezza della password

Tutti conosciamo l’importanza di utilizzare password forti e uniche, ma secondo un recente sondaggio sulla sicurezza condotto da Google, il 65% delle persone utilizza la stessa password per più account.

Si tratta di una pratica estremamente rischiosa, poiché gli attacchi di credential stuffing si basano molto sull’utilizzo delle stesse vecchie password riutilizzate. Forse è una cosa che non hai ancora deciso di fare, ma vale la pena fare un po’ di pulizia digitale e creare password uniche per tutti i tuoi account online.

Un ottimo modo per creare una password più lunga e complessa è quello di utilizzare una passphrase. Una passphrase è una frase simile a una stringa di parole che è memorabile per te ma difficile da decifrare per chiunque altro. La prima lettera di ogni parola costituirà la base della tua password e le lettere possono essere sostituite da numeri e simboli per renderla ancora più sicura.

Usa un gestore di password

Se il pensiero di dover ricordare più password ti terrorizza, allora un gestore di password può essere la soluzione. Un gestore di password è un luogo centralizzato e crittografato che tiene al sicuro tutte le tue password.

I gestori di password memorizzano i dati di accesso di tutti i siti web che utilizzi e ti registrano automaticamente ogni volta che torni su un sito. Il primo passo da fare quando si utilizza un gestore di password è creare una password principale. La password principale controllerà l’accesso a tutto il tuo database di password. Questa password è l’unica che dovrai ricordare, quindi è importante che sia il più forte e sicura possibile.

I gestori di password possono anche proteggerti dagli attacchi di phishing in quanto compilano le informazioni del conto in base agli indirizzi web registrati. Questo significa che se pensi di essere sul sito della tua banca, ma il gestore di password non ti fa accedere automaticamente, potresti essere finito inavvertitamente su un sito di phishing.

Implementa l’autenticazione a più fattori

L’autenticazione a più fattori, altrimenti nota come MFA, è uno dei modi migliori per proteggere la sicurezza dei tuoi account online. Infatti, secondo Microsoft, il tuo account ha più del 99,9% di probabilità di essere compromesso se usi l’MFA.

Invece di confermare la tua identità con un semplice nome utente e una password, dovrai fornire due o più fattori di autenticazione a cui solo tu potrai accedere. In questo modo si riduce la possibilità che un hacker possa accedere facilmente ai tuoi account.

Esistono diverse tecnologie di autenticazione che possono essere utilizzate per confermare la tua identità e di solito si basano su: qualcosa che conosci, qualcosa che hai o qualcosa che sei.

Alcuni di questi metodi di verifica sono indubbiamente più sicuri di altri, ma essenzialmente significa che anche se qualcuno ruba o indovina la tua password, non potrà accedere al tuo account senza un altro fattore di autenticazione.

Monitorare e bloccare i tentativi di accesso sospetti

Quando gli hacker tentano di compromettere gli account attraverso il credential stuffing, spesso utilizzano bot o altri strumenti automatizzati per inserire migliaia di credenziali in rapida successione. Di solito queste sono distribuite su più indirizzi IP, il che rende difficile stabilire se si tratta di tentativi di accesso legittimi o di segni di un attacco coordinato.

Tuttavia, se si verificano diversi tentativi di accesso falliti in un periodo di tempo relativamente breve, questo può essere il segno che si sta verificando un attacco di credential stuffing. Per evitare che ciò accada, i reparti IT possono impostare un limite al numero di tentativi di accesso che un singolo indirizzo IP può effettuare in un determinato lasso di tempo. Possono anche tenere traccia dei login che risultano fraudolenti e inserire questi indirizzi IP in una lista nera.