Il credential stuffing è una particolare tecnica di attacco informatico che, basandosi sul fatto che gli utenti usano spesso la stessa combinazione username e password per accedere a diversi servizi e applicazioni, consente ai criminal hacker di compromettere facilmente moltissimi altri account utilizzando le credenziali rubate in precedenza durante uno dei sempre più numerosi data breach.
L’esempio recente più famoso di credential stuffing ha coinvolto migliaia di account TeamViewer e Dropbox sui quali sono stati registrati numerosi accessi non autorizzati effettuati sfruttando il miliardo e mezzo di credenziali rubate durante un data breach di cui è rimasta vittima Yahoo lo scorso anno.
In pratica, quindi, i criminal hacker acquisiscono prima i dettagli degli account rubati da una piattaforma e poi implementano i bot necessari per automatizzare l’accesso a molti altri account con le stesse credenziali. Una sorta di attacco brute force in cui il dizionario è sostituito da un enorme elenco di credenziali pronte all’uso.
Indice degli argomenti
Credential stuffing: una nuova piaga per le aziende
Una volta trovato il modo di accedere, i criminal hacker hanno gioco facile a compromettere l’account effettuando acquisti fraudolenti o sottraendo informazioni riservate, fino a quando il relativo proprietario non se ne accorge.
Senza dire che, nel caso delle aziende, un’altra grave conseguenza di un attacco credential stuffing è che i server che gestiscono il sito Web, le applicazioni per lo smart working e gli accessi dei dipendenti si ritrovano a gestire un traffico dati eccessivo con evidenti conseguenze sulla produttività, spingendo gli amministratori IT a ridimensionare l’infrastruttura di rete, con un aumento dei costi che potrebbe incidere non poco sul bilancio dell’azienda stessa.
Costi e conseguenza dei nuovi attacchi
Gli esperti segnalano, ora, che gli attacchi di credential stuffing attraverso “bot” stanno aumentando, sia in termini di volume, che di gravità: le aziende subiscono in media 11 attacchi al mese, per una media di 1.041 account. Un danno quantificabile in 4 milioni di dollari l’anno. Sono questi i numeri preoccupanti che emergono da uno studio del Ponemon Insitute realizzato per conto di Akamai.
Downtime delle applicazioni, perdita di clienti e coinvolgimento dell’infrastruttura di sicurezza le tre principali evidenze: il costo annuale medio per azienda, per le tre tipologie appena elencate vale 1,2 milioni, 1,6 milioni e 1,2 milioni di dollari, oltre ai costi diretti correlati alle frodi.
Analizzando il report si evince, inoltre, che la maggior parte delle organizzazioni offre una superficie di attacco abbastanza complessa per quel che riguarda l’abuso di credenziali. Le aziende, infatti, hanno mediamente 26,5 siti Web accessibili dai loro clienti, esponendo quindi altrettanti punti di accesso per un attacco effettuato con bot.
Il tutto complicato dal fatto di dover fornire credenziali di accesso a diversi tipi di clienti, che comprendono accessi da desktop o portatili (87%), da browser web mobili (65%), da terze parti (40%) e da app mobile (36%).
Solo un terzo delle aziende afferma di avere una buona visibilità sugli attacchi di credential stuffing (35%) e sempre solo un terzo riesce a individuare e risolvere rapidamente gli attacchi contro i propri siti web (36%).
E purtroppo, viste le caratteristiche di un attacco di tipo credential stuffing, non è facile identificare gli impostori: una difficoltà confermata dal fatto che la maggior parte degli intervistati concorda sul fatto che sia difficile distinguere i veri dipendenti e clienti, da intrusi malintenzionati (88%).
Come difendersi dagli attacchi di tipo credential stuffing
Al momento, purtroppo, non ci sono molte soluzioni che possano in qualche modo mitigare i rischi che le aziende corrono a causa di questo tipo di attacchi.
Sarebbe ovviamente opportuno istruire i propri dipendenti sul rischio che si ha nell’utilizzare le stesse credenziali di accesso per servizi diversi. Soprattutto è importante non utilizzare mai lo stesso account sia per scopi personali sia per l’accesso alle infrastrutture di rete della propria azienda.
Si potrebbe poi utilizzare un bot manager per cercare di identificare e bloccare eventuali accessi automatizzati agli account aziendali. Ma purtroppo anche questa è una soluzione di difficile applicazione. Il traffico bot, infatti, comprende naturalmente sia bot legittimi che svolgono attività di business essenziali, come gli indicizzatori dei motori di ricerca, e bot nocivi che eseguono attività dannose, come lo scraping di prezzi e contenuti.
La soluzione migliore per battere un bot, secondo Jay Coley, Senior Director Security Planning and Strategy di Akamai Technologies, “è trattarlo per ciò che è: non umano”.
“La maggior parte dei bot si comporta come una persona reale, ma i loro metodi stanno diventando sempre più sofisticati. È per questo motivo che le aziende hanno bisogno di strumenti di gestione dei bot tali da monitorare i comportamenti e distinguere i bot da autentici tentativi di login. Al contrario dei sistemi di accesso standard, che si limitano a verificare la corrispondenza di un nome utente e una password, le aziende devono verificare gli schemi di pressione dei tasti, i movimenti del mouse e, persino, l’orientamento di un dispositivo mobile”.