Indietro
Formazione Cybersecurity per Aziende | MetaCompliance

Prodotti

Scoprite la nostra suite di soluzioni di Security Awareness Training personalizzate, progettate per potenziare e formare il vostro team contro le moderne minacce informatiche. Dalla gestione delle policy alle simulazioni di phishing, la nostra piattaforma fornisce alla vostra forza lavoro le conoscenze e le competenze necessarie per salvaguardare la vostra organizzazione.

Cybersecurity eLearning

Cyber Security eLearning per esplorare la nostra premiata biblioteca eLearning, su misura per ogni dipartimento

Automazione della consapevolezza della sicurezza

Programmate la vostra campagna di sensibilizzazione annuale in pochi clic

Simulazione di phishing

Fermate gli attacchi di phishing sul nascere con il pluripremiato software per il phishing

Gestione delle politiche

Centralizzare le politiche in un unico luogo e gestire senza problemi i cicli di vita delle politiche

Gestione della privacy

Controllo, monitoraggio e gestione della conformità in modo semplice

Gestione degli incidenti

Assumere il controllo degli incidenti interni e rimediare a ciò che è importante

Indietro
Industria

Industrie

Scoprite la versatilità delle nostre soluzioni in diversi settori. Dal dinamico settore tecnologico a quello sanitario, scoprite come le nostre soluzioni si stanno affermando in diversi settori. 


Formazione in cybersicurezza per i servizi finanziari

Creare una prima linea di difesa per le organizzazioni di servizi finanziari

Governi

Una soluzione di sensibilizzazione alla sicurezza per le amministrazioni pubbliche

Formazione in cybersicurezza per le aziende

Una soluzione di formazione sulla consapevolezza della sicurezza per le grandi imprese

Formazione in cybersecurity per il lavoro smart

Incorporare una cultura di consapevolezza della sicurezza, anche in casa

Cybersecurity training per il settore dell'istruzione

Formazione coinvolgente sulla consapevolezza della sicurezza per il settore dell'istruzione

Formazione cybersecurity per gli operatori sanitari

Scoprite la nostra sensibilizzazione alla sicurezza su misura per gli operatori sanitari

Formazione cybersicurezza per il settore tecnologico

Trasformare la formazione sulla consapevolezza della sicurezza nel settore tecnologico

Conformità NIS2

Sostenete i vostri requisiti di conformità Nis2 con iniziative di sensibilizzazione sulla sicurezza informatica

Indietro
Risorse

Risorse

Dai poster alle politiche, dalle guide definitive ai casi di studio, le nostre risorse gratuite per la sensibilizzazione possono essere utilizzate per migliorare la consapevolezza della sicurezza informatica all'interno della vostra organizzazione.

Consapevolezza della sicurezza informatica per i manichini

Una risorsa indispensabile per creare una cultura della consapevolezza informatica

Guida Dummies alla sicurezza informatica Elearning

La guida definitiva all'implementazione di un efficace Elearning sulla sicurezza informatica

Guida definitiva al phishing

Istruire i dipendenti su come individuare e prevenire gli attacchi di phishing

Poster di sensibilizzazione gratuiti

Scarica questi poster gratuiti per migliorare la vigilanza dei dipendenti

Politica anti-phishing

Creare una cultura consapevole della sicurezza e promuovere la consapevolezza delle minacce alla sicurezza informatica

Casi di studio

Scoprite come aiutiamo i nostri clienti a promuovere comportamenti positivi nelle loro organizzazioni

Terminologia di sicurezza informatica dalla A alla Z

Un glossario dei termini indispensabili per la sicurezza informatica

Modello di maturità comportamentale per la sicurezza informatica

Verificate la vostra formazione di sensibilizzazione e fate un benchmark della vostra organizzazione rispetto alle migliori pratiche

Roba gratis

Scaricate i nostri asset di sensibilizzazione gratuiti per migliorare la consapevolezza della sicurezza informatica nella vostra organizzazione

Indietro
MetaCompliance | Formazione Cybersicurezza per Aziende

Informazioni su

Con oltre 18 anni di esperienza nel mercato della Cyber Security e della Compliance, MetaCompliance offre una soluzione innovativa per la sensibilizzazione del personale alla sicurezza informatica e l'automazione della gestione degli incidenti. La piattaforma MetaCompliance è stata creata per soddisfare le esigenze dei clienti di un'unica soluzione completa per la gestione dei rischi legati alla sicurezza informatica, alla protezione dei dati e alla conformità.

Perché scegliere noi

Scoprite perché Metacompliance è il partner di fiducia per la formazione sulla consapevolezza della sicurezza

Specialisti del coinvolgimento dei dipendenti

Rendiamo più semplice il coinvolgimento dei dipendenti e la creazione di una cultura di consapevolezza informatica

Automazione della consapevolezza della sicurezza

Automatizzare facilmente la formazione di sensibilizzazione alla sicurezza, il phishing e le politiche in pochi minuti

MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Cos'è il Credential Stuffing?

Cos'è il Credential Stuffing

sull'autore

Condividi questo post

Il credential stuffing ha dominato i titoli dei giornali negli ultimi anni ed è diventato rapidamente il metodo di attacco preferito dai criminali informatici.

Tra il 1° gennaio 2018 e il 31 dicembre 2019, Akamai Technologies ha registrato oltre 88 miliardi di attacchi in tutti i settori. Questa cifra è destinata ad aumentare con l'aumento delle violazioni dei dati e il massiccio passaggio ai servizi online durante la pandemia di Covid-19.

Gli attacchi di credential stuffing si verificano quando i criminali utilizzano grandi quantità di nomi utente e password rubate per ottenere fraudolentemente l'accesso agli account degli utenti. Queste informazioni sono tipicamente ottenute sul dark web come risultato di una delle tante violazioni dei dati aziendali.

Utilizzando bot su larga scala e strumenti di automazione specializzati, gli hacker possono quindi utilizzare queste credenziali rubate per tentare più richieste di accesso su vari siti. Questo tipo di attacco è relativamente facile da eseguire e si basa molto sulle persone che riutilizzano la stessa password.

È davvero un tipo di attacco a forza bruta, ma invece di indovinare combinazioni di password casuali, usa credenziali legittime, migliorando così il tasso di successo complessivo.

Come la maggior parte degli attacchi informatici, la motivazione principale è finanziaria. Gli hacker cercheranno di monetizzare gli account compromessi ottenendo l'accesso ai conti bancari collegati, o useranno i dati personali per commettere il furto di identità.

Cosa sta alimentando la crescita degli attacchi di Credential Stuffing?

Cosa sta alimentando la crescita degli attacchi di credenziali

Molto semplicemente, sono i miliardi di credenziali compromesse che sono facilmente acquistabili sul dark web. Il sito HaveIBeenPwned.com tiene traccia di oltre 8,5 miliardi di credenziali compromesse da oltre 400 violazioni di dati, e alcune di queste violazioni sono assolutamente colossali.

L'esempio più notevole di questo è la mega violazione di Collection #1. La violazione è venuta alla luce nel 2019, esponendo 1,2 miliardi di indirizzi email unici e combinazioni di password, 773 milioni di indirizzi email unici e 21 milioni di password.

Questo facile accesso a grandi quantità di dati permette agli hacker di testare milioni di diverse combinazioni di email e password nella speranza che gli utenti abbiano riutilizzato la stessa password.

La crescente sofisticazione degli strumenti che gli hacker stanno ora utilizzando per lanciare questi attacchi ha anche reso più facile tentare tentativi multipli di accesso, mentre sembrano provenire da diversi indirizzi IP.

Quali industrie sono colpite dagli attacchi di Credential Stuffing?

Tutte le industrie sono bersaglio di attacchi di credenziali, ma alcune sono più suscettibili di altre. I più bersagliati includono e-commerce, vendita al dettaglio, servizi finanziari, intrattenimento, istruzione superiore e servizi sanitari.

L'industria dei servizi finanziari è stata colpita in modo particolarmente duro e a settembre di quest'anno l'FBI ha lanciato un allarme alle organizzazioni del settore finanziario sull'aumento di questi attacchi. L'agenzia ha riscontrato che il 41% di tutti gli attacchi al settore finanziario tra il 2017 e il 2020 sono dovuti a credential stuffing, con conseguente perdita di milioni di dollari.

Questi tipi di attacchi possono avere conseguenze devastanti per le imprese, tra cui: perdita di entrate, tempi di inattività operativa, danni alla reputazione, sanzioni finanziarie e perdita di clienti.

Esempi di recenti attacchi di Credential Stuffing

C'è stato un notevole aumento nel numero di violazioni di dati derivanti da attacchi alle credenziali. Alcuni esempi recenti includono:

  • Dunkin Donuts - Nel febbraio 2019, Dunkin Donuts ha confermato di aver subito un attacco di credential stuffing, il secondo a verificarsi nel giro di tre mesi. In entrambi gli attacchi, gli hacker hanno usato credenziali rubate che sono trapelate da altri siti per ottenere l'accesso agli account di ricompensa DD Perks. Una volta entrati, sono stati in grado di accedere a nome e cognome degli utenti, indirizzo email, numeri di conto DD Perks e il codice QR DD Perks. In questo specifico attacco, non erano le informazioni personali dell'utente che gli hacker cercavano, ma l'account stesso, che hanno poi venduto sul dark web.
  • Nintendo - Nell'aprile 2020, Nintendo ha annunciato che 160.000 account erano stati violati in un attacco di credential stuffing. Utilizzando ID utente e password precedentemente esposti, gli hacker sono stati in grado di ottenere l'accesso agli account degli utenti, consentendo loro di acquistare oggetti digitali utilizzando le carte memorizzate. Sono stati anche in grado di visualizzare i dati sensibili tra cui nome, indirizzo e-mail, data di nascita, sesso e paese.

Come prevenire il Credential Stuffing

Forte sicurezza delle password

Prevenire il Credential Stuffing di password forti

Tutti conosciamo l'importanza di usare password forti e uniche, ma secondo un recente sondaggio sulla sicurezza di Google, il 65% delle persone usa la stessa password su più account.

Questa è una pratica estremamente rischiosa in quanto gli attacchi di credential stuffing si basano molto sull'utilizzo delle stesse vecchie password riutilizzate. Potrebbe essere qualcosa che continui a voler fare, ma vale la pena fare una pulizia digitale e creare password uniche per ogni tuo account online.

Un ottimo modo per creare una password più lunga e complessa è usare una passphrase. Una passphrase è una frase come una stringa di parole che è memorabile per te ma difficile da decifrare per chiunque altro. La prima lettera di ogni parola costituirà la base della tua password e le lettere possono essere sostituite da numeri e simboli per renderla ancora più sicura.

Utilizzare un gestore di password

Se il pensiero di ricordare più password ti riempie di paura, allora un gestore di password può essere la soluzione. Un gestore di password fornisce un luogo centralizzato e criptato che terrà un registro di tutte le tue password al sicuro.

I gestori di password memorizzano i dettagli di login per tutti i siti web che usi e poi ti fanno accedere automaticamente ogni volta che torni su un sito. Il primo passo quando si usa un gestore di password è quello di creare una password principale. La password principale controllerà l'accesso a tutto il tuo database di password. Questa password è l'unica che dovrai ricordare, quindi è importante renderla il più forte e sicura possibile.

I gestori di password possono anche proteggere contro gli attacchi di phishing in quanto compilano le informazioni dell'account sulla base dei vostri indirizzi web registrati. Questo significa che se pensate di essere sul sito della vostra banca, ma il gestore di password non vi fa accedere automaticamente, potreste essere inavvertitamente finiti su un sito di phishing.

Implementare l'autenticazione a più fattori

Prevenire il Credential Stuffing MFA

L'autenticazione a più fattori, altrimenti nota come MFA, è uno dei modi migliori per proteggere la sicurezza dei tuoi account online. Infatti, secondo Microsoft, il tuo account ha più del 99,9% di probabilità in meno di essere compromesso se usi l'MFA.

Invece di confermare la vostra identità con un semplice nome utente e una password, dovrete fornire due o più fattori di autenticazione a cui solo voi potete accedere. Questo riduce la possibilità che un hacker possa accedere facilmente ai vostri conti.

Ci sono molte tecnologie di autenticazione diverse che possono essere utilizzate per confermare la vostra identità e queste sono solitamente basate su: qualcosa che sapete, qualcosa che avete, o qualcosa che siete.

Alcuni di questi metodi di verifica sono senza dubbio più sicuri di altri, ma essenzialmente significa che anche se qualcuno ruba o indovina la tua password, non sarà in grado di accedere al tuo account senza un altro fattore di autenticazione.

Monitorare e bloccare i tentativi di accesso sospetti

Quando gli hacker tentano di compromettere gli account tramite il credential stuffing, spesso usano bot o altri strumenti automatici per inserire migliaia di credenziali in rapida successione. Questi sono di solito sparsi su più indirizzi IP, il che rende difficile determinare se sono tentativi di login legittimi o segni di un attacco coordinato.

Tuttavia, se ci sono diversi tentativi di accesso falliti in un periodo di tempo relativamente breve, questo può essere un segno che un attacco di credenziali sta avendo luogo. Per evitare che questo accada, i dipartimenti IT possono impostare un limite sul numero di tentativi di accesso che ogni singolo indirizzo IP può fare in un certo lasso di tempo. Possono anche tracciare i login che risultano in una frode e inserire questi indirizzi IP in una lista nera.

Consapevolezza della sicurezza informatica per i manichini

Cyber Security Awareness Training – Altri articoli che potresti trovare interessanti