Il credential stuffing ha dominato i titoli dei giornali negli ultimi anni ed è diventato rapidamente il metodo di attacco preferito dai criminali informatici.
Tra il 1° gennaio 2018 e il 31 dicembre 2019, Akamai Technologies ha registrato oltre 88 miliardi di attacchi in tutti i settori. Questa cifra è destinata ad aumentare con l'aumento delle violazioni dei dati e il massiccio passaggio ai servizi online durante la pandemia di Covid-19.
Gli attacchi di credential stuffing si verificano quando i criminali utilizzano grandi quantità di nomi utente e password rubate per ottenere fraudolentemente l'accesso agli account degli utenti. Queste informazioni sono tipicamente ottenute sul dark web come risultato di una delle tante violazioni dei dati aziendali.
Utilizzando bot su larga scala e strumenti di automazione specializzati, gli hacker possono quindi utilizzare queste credenziali rubate per tentare più richieste di accesso su vari siti. Questo tipo di attacco è relativamente facile da eseguire e si basa molto sulle persone che riutilizzano la stessa password.
È davvero un tipo di attacco a forza bruta, ma invece di indovinare combinazioni di password casuali, usa credenziali legittime, migliorando così il tasso di successo complessivo.
Come la maggior parte degli attacchi informatici, la motivazione principale è finanziaria. Gli hacker cercheranno di monetizzare gli account compromessi ottenendo l'accesso ai conti bancari collegati, o useranno i dati personali per commettere il furto di identità.
Cosa sta alimentando la crescita degli attacchi di Credential Stuffing?
Molto semplicemente, sono i miliardi di credenziali compromesse che sono facilmente acquistabili sul dark web. Il sito HaveIBeenPwned.com tiene traccia di oltre 8,5 miliardi di credenziali compromesse da oltre 400 violazioni di dati, e alcune di queste violazioni sono assolutamente colossali.
L'esempio più notevole di questo è la mega violazione di Collection #1. La violazione è venuta alla luce nel 2019, esponendo 1,2 miliardi di indirizzi email unici e combinazioni di password, 773 milioni di indirizzi email unici e 21 milioni di password.
Questo facile accesso a grandi quantità di dati permette agli hacker di testare milioni di diverse combinazioni di email e password nella speranza che gli utenti abbiano riutilizzato la stessa password.
La crescente sofisticazione degli strumenti che gli hacker stanno ora utilizzando per lanciare questi attacchi ha anche reso più facile tentare tentativi multipli di accesso, mentre sembrano provenire da diversi indirizzi IP.
Quali industrie sono colpite dagli attacchi di Credential Stuffing?
Tutte le industrie sono bersaglio di attacchi di credenziali, ma alcune sono più suscettibili di altre. I più bersagliati includono e-commerce, vendita al dettaglio, servizi finanziari, intrattenimento, istruzione superiore e servizi sanitari.
L'industria dei servizi finanziari è stata colpita in modo particolarmente duro e a settembre di quest'anno l'FBI ha lanciato un allarme alle organizzazioni del settore finanziario sull'aumento di questi attacchi. L'agenzia ha riscontrato che il 41% di tutti gli attacchi al settore finanziario tra il 2017 e il 2020 sono dovuti a credential stuffing, con conseguente perdita di milioni di dollari.
Questi tipi di attacchi possono avere conseguenze devastanti per le imprese, tra cui: perdita di entrate, tempi di inattività operativa, danni alla reputazione, sanzioni finanziarie e perdita di clienti.
Esempi di recenti attacchi di Credential Stuffing
C'è stato un notevole aumento nel numero di violazioni di dati derivanti da attacchi alle credenziali. Alcuni esempi recenti includono:
- Dunkin Donuts - Nel febbraio 2019, Dunkin Donuts ha confermato di aver subito un attacco di credential stuffing, il secondo a verificarsi nel giro di tre mesi. In entrambi gli attacchi, gli hacker hanno usato credenziali rubate che sono trapelate da altri siti per ottenere l'accesso agli account di ricompensa DD Perks. Una volta entrati, sono stati in grado di accedere a nome e cognome degli utenti, indirizzo email, numeri di conto DD Perks e il codice QR DD Perks. In questo specifico attacco, non erano le informazioni personali dell'utente che gli hacker cercavano, ma l'account stesso, che hanno poi venduto sul dark web.
- Nintendo - Nell'aprile 2020, Nintendo ha annunciato che 160.000 account erano stati violati in un attacco di credential stuffing. Utilizzando ID utente e password precedentemente esposti, gli hacker sono stati in grado di ottenere l'accesso agli account degli utenti, consentendo loro di acquistare oggetti digitali utilizzando le carte memorizzate. Sono stati anche in grado di visualizzare i dati sensibili tra cui nome, indirizzo e-mail, data di nascita, sesso e paese.
Come prevenire il Credential Stuffing
Forte sicurezza delle password
Tutti conosciamo l'importanza di usare password forti e uniche, ma secondo un recente sondaggio sulla sicurezza di Google, il 65% delle persone usa la stessa password su più account.
Questa è una pratica estremamente rischiosa in quanto gli attacchi di credential stuffing si basano molto sull'utilizzo delle stesse vecchie password riutilizzate. Potrebbe essere qualcosa che continui a voler fare, ma vale la pena fare una pulizia digitale e creare password uniche per ogni tuo account online.
Un ottimo modo per creare una password più lunga e complessa è usare una passphrase. Una passphrase è una frase come una stringa di parole che è memorabile per te ma difficile da decifrare per chiunque altro. La prima lettera di ogni parola costituirà la base della tua password e le lettere possono essere sostituite da numeri e simboli per renderla ancora più sicura.
Utilizzare un gestore di password
Se il pensiero di ricordare più password ti riempie di paura, allora un gestore di password può essere la soluzione. Un gestore di password fornisce un luogo centralizzato e criptato che terrà un registro di tutte le tue password al sicuro.
I gestori di password memorizzano i dettagli di login per tutti i siti web che usi e poi ti fanno accedere automaticamente ogni volta che torni su un sito. Il primo passo quando si usa un gestore di password è quello di creare una password principale. La password principale controllerà l'accesso a tutto il tuo database di password. Questa password è l'unica che dovrai ricordare, quindi è importante renderla il più forte e sicura possibile.
I gestori di password possono anche proteggere contro gli attacchi di phishing in quanto compilano le informazioni dell'account sulla base dei vostri indirizzi web registrati. Questo significa che se pensate di essere sul sito della vostra banca, ma il gestore di password non vi fa accedere automaticamente, potreste essere inavvertitamente finiti su un sito di phishing.
Implementare l'autenticazione a più fattori
L'autenticazione a più fattori, altrimenti nota come MFA, è uno dei modi migliori per proteggere la sicurezza dei tuoi account online. Infatti, secondo Microsoft, il tuo account ha più del 99,9% di probabilità in meno di essere compromesso se usi l'MFA.
Invece di confermare la vostra identità con un semplice nome utente e una password, dovrete fornire due o più fattori di autenticazione a cui solo voi potete accedere. Questo riduce la possibilità che un hacker possa accedere facilmente ai vostri conti.
Ci sono molte tecnologie di autenticazione diverse che possono essere utilizzate per confermare la vostra identità e queste sono solitamente basate su: qualcosa che sapete, qualcosa che avete, o qualcosa che siete.
Alcuni di questi metodi di verifica sono senza dubbio più sicuri di altri, ma essenzialmente significa che anche se qualcuno ruba o indovina la tua password, non sarà in grado di accedere al tuo account senza un altro fattore di autenticazione.
Monitorare e bloccare i tentativi di accesso sospetti
Quando gli hacker tentano di compromettere gli account tramite il credential stuffing, spesso usano bot o altri strumenti automatici per inserire migliaia di credenziali in rapida successione. Questi sono di solito sparsi su più indirizzi IP, il che rende difficile determinare se sono tentativi di login legittimi o segni di un attacco coordinato.
Tuttavia, se ci sono diversi tentativi di accesso falliti in un periodo di tempo relativamente breve, questo può essere un segno che un attacco di credenziali sta avendo luogo. Per evitare che questo accada, i dipartimenti IT possono impostare un limite sul numero di tentativi di accesso che ogni singolo indirizzo IP può fare in un certo lasso di tempo. Possono anche tracciare i login che risultano in una frode e inserire questi indirizzi IP in una lista nera.