Spiegazione degli attacchi di riempimento delle credenziali (e come prevenirli)

Aggiornato: 2022-04-25 / Articolo di: Gene Fay
Come funzionano gli attacchi di ripieno di credenziali

La chiave per sapere come prevenire gli attacchi di credential stuffing è capire cosa sono, come vengono eseguiti e come possono influenzare la tua attività e i tuoi dati.

In poche parole, un attacco di credential stuffing è una corrispondenza automatizzata di nomi utente e password rubati che i criminali possono utilizzare per trovare combinazioni di credenziali di accesso valide. Questo approccio guida gli attacchi di acquisizione di account e di solito tende a precederli. I criminali devono prima accedere agli account prima di poterli prendere in consegna e utilizzarli per i propri scopi.

Gli attacchi di riempimento delle credenziali costituiscono una percentuale significativa di tutti i tipi di attacchi online, infatti, quasi il 5% di tutto il traffico digitale riguarda questi attacchi.

Il recente aumento degli attacchi di credential stuffing è dovuto a un furto in corso, e in alcuni casi altamente redditizio, delle informazioni personali dei consumatori attraverso violazioni regolari dei dati. I consumatori che riutilizzano e riciclano le password nei loro account online sono particolarmente a rischio.

In sostanza, ciò significa che se un utente malintenzionato può accedere a un'unica combinazione valida di nome utente e password utilizzata da una singola persona su più account online, questi account possono essere tutti compromessi facilmente e in un lasso di tempo relativamente breve.

Come funzionano gli attacchi di riempimento delle credenziali?

Ci sono tre fasi principali in qualsiasi attacco di credential stuffing:

  1. Raccolta dei dati
  2. Corrispondenza delle credenziali
  3. Monetizzazione di un attacco

Gli aggressori spesso utilizzano i bot per automatizzare il processo di convalida delle credenziali e trovare combinazioni valide di nomi utente e password. Questi potenti bot possono abbinare migliaia di password ai nomi utente per trovare combinazioni valide che possono essere utilizzate per ottenere l'accesso indesiderato agli account digitali. Questo approccio consente agli aggressori di scalare i propri sforzi e aumentare il ROI, provocando danni considerevoli sia alle aziende che ai privati.

Quanto sono comuni gli attacchi di riempimento delle credenziali?

Questi attacchi digitali sono molto comuni e diffusi in un'ampia gamma di settori e domini online. A volte vengono persino eseguiti da robot automatizzati anziché da individui umani. I bot altamente avanzati con capacità di intelligenza artificiale sono facilmente e prontamente disponibili per gli aggressori, che possono persino accedere ai servizi di supporto per assisterli nei loro attacchi. Questa tecnologia rende semplice per gli aggressori eseguire attacchi su larga scala utilizzando i bot a un costo minimo per se stessi.

Molti attaccanti conoscono anche le tecniche di base per la difesa dalle frodi e possono utilizzare queste conoscenze per circumnavigare e sfruttare i sistemi tecnologici a proprio vantaggio. Dopo aver violato una rete, possono utilizzare i bot per esplorare internamente, rubando dati privati ​​e interrompendo le operazioni e i sistemi di sicurezza delle aziende.

Capire le statistiche

Piattaforma di notifica di violazione dei dati gratuita HaveIBeenPwnd.com tiene traccia di oltre 8.5 miliardi di credenziali compromesse da oltre 400 eventi di violazione dei dati. Il servizio tiene traccia delle credenziali solo da set di dati aperti al pubblico o ampiamente distribuiti utilizzando piattaforme sotterranee. Molti dump del database sono privati ​​e solo piccoli gruppi di hacker possono accedervi.

Gli attacchi di riempimento delle credenziali sono supportati da un'economia clandestina completa incentrata sulla vendita di credenziali rubate e strumenti di supporto personalizzati per aiutare gli aggressori nei loro sforzi. Questi strumenti utilizzano "liste combinate" che vengono raccolte da diversi set di dati dopo che le password con hash trovate nei set di dati trapelati vengono violate. In sostanza, l'avvio di attacchi di credential stuffing non richiede alcuna conoscenza o abilità specializzata. Chiunque abbia abbastanza soldi per acquistare i dati e gli strumenti di cui ha bisogno può eseguire un attacco.

Gli attacchi di riempimento delle credenziali sono diventati convenienti, a partire da $ 200 per 100,000 acquisizioni di account (source).

L'azienda di sicurezza e distribuzione di contenuti Akamai ha scoperto 193 miliardi di attacchi di credential stuffing su scala globale nel solo 2020. Questo numero è arrivato come a Aumento del 360% rispetto ai dati del 2019. Sebbene parte di questo aumento possa essere attribuito a un monitoraggio più ampio di più clienti. Alcuni settori, come quello dei servizi finanziari, sono stati presi di mira particolarmente spesso. Il rapporto di Akamai del maggio 2021 ha citato diversi picchi nei volumi di questi attacchi, incluso un solo giorno alla fine del 2020 che ha visto il lancio di oltre un miliardo di attacchi.

Come individuare gli attacchi

Gli attacchi di riempimento delle credenziali vengono lanciati tramite strumenti automatizzati e botnet che consentono l'uso di proxy che distribuiscono richieste non autorizzate su una serie di indirizzi IP diversi. Gli aggressori spesso configurano anche i loro strumenti preferiti per imitare gli user agent autentici, le intestazioni che identificano i sistemi operativi e i browser in cui sono composte le richieste web.

Tutto ciò rende difficile distinguere tra attacchi e veri tentativi di accesso. Soprattutto su siti web con alti livelli di traffico su cui un'ondata improvvisa di richieste di accesso non si distingue dal solito comportamento di accesso. Detto questo, un aumento dei tassi di errore di accesso in un breve periodo di tempo può indicare che è stato lanciato un attacco di credential stuffing contro un sito Web.

Esistono molti firewall per applicazioni Web e servizi simili che utilizzano la diagnostica comportamentale avanzata per rilevare comportamenti di accesso sospetti. Più, i proprietari di siti web possono prendere le proprie misure per prevenire futuri attacchi.

Continua a leggere...

Come prevenire gli attacchi di riempimento delle credenziali

Sei un robot?

Gli attacchi di riempimento delle credenziali sono oggi una delle minacce più significative per gli account digitali degli utenti di Internet e questo vale anche per le aziende. Le organizzazioni, le piccole imprese e tutti gli altri dovrebbero adottare misure di protezione contro queste minacce per garantire che i loro dati personali e organizzativi siano al sicuro.

Alcuni dei più popolari prevenzione del riempimento delle credenziali le tecniche includono:

  • CAPTCHA
    I CAPTCHA sono una forma di bot comune utilizzata per prevenire gli attacchi guidati da altri bot. Richiedono agli utenti di Internet di risolvere enigmi al momento dell'accesso per assicurarsi che siano umani. I CAPTCHA sono disponibili in una varietà di versioni, tra cui immagini, testo, audio, somma matematica e altro.
  • Login biometrico comportamentale
    Alcune aziende sono ricorse all'analisi del comportamento tipico degli utenti e dei modelli di traffico web per rilevare le minacce. Possono utilizzare questi dati per individuare comportamenti anomali e possibile sfruttamento dei loro sistemi.
  • Blocco dell'indirizzo IP
    Molte aziende hanno bloccato gli indirizzi IP a causa di attività sospette e altre scelgono di mettere in quarantena le richieste sospette finché non possono essere esaminate e verificate.
  • Autenticazione a due e più fattori
    2FA e MFA forniscono livelli aggiuntivi di sicurezza e autenticazione utilizzando informazioni aggiuntive che solo l'utente dovrebbe conoscere o a cui avere accesso. Questa autenticazione può avvenire sotto forma di PIN, SMS, domande di sicurezza o letture biometriche come un'impronta digitale o una scansione facciale.
  • Intelligenza del dispositivo e impronte digitali
    L'intelligence del dispositivo consiste in dati come sistemi operativi, indirizzi IP, tipi di browser e altro ancora. Questi dati aiutano a creare un'identità univoca che può essere collegata a un dispositivo specifico. La deviazione da questi dati tipici può segnalare comportamenti sospetti e consentire alle aziende e alle persone di agire in modo proattivo e introdurre più misure di autenticazione.
  • Password e igiene della sicurezza
    L'igiene delle password dovrebbe far parte della formazione di sensibilizzazione alla sicurezza di ogni azienda per i membri del personale. Il riutilizzo delle password è il principale fattore abilitante degli attacchi di credential stuffing, quindi le aziende devono scoraggiare questa pratica e assicurarsi che il proprio personale sappia quanto sia importante utilizzare password complesse e univoche, sia sul lavoro che nelle proprie capacità personali.
    Gli utenti Web possono utilizzare gestori di password sicuri per generare password complesse e imprevedibili per ogni account online di cui dispongono. I gestori di password memorizzeranno automaticamente queste password e potrebbero anche avvisare gli utenti se i loro indirizzi e-mail vengono visualizzati in dump di dati pubblici.

Alcune aziende più grandi hanno iniziato ad adottare misure proattive analizzando e monitorando i dump di dati pubblici per vedere se gli indirizzi e-mail interessati sono presenti anche nei propri sistemi. Per gli account che si trovano sui loro server, richiedono la reimpostazione della password e suggeriscono di abilitare l'autenticazione a più fattori per proteggere i consumatori i cui dati potrebbero essere già stati compromessi.

Quanto sono efficaci queste misure preventive?

Molte aziende utilizzano uno o più dei metodi di difesa sopra menzionati per proteggere se stessi e i propri dati dagli attacchi di credential stuffing. Tuttavia, questi approcci non sono efficaci al 100%. Presentano carenze che si dimostrano solo parzialmente efficaci nel fornire una protezione continua contro attacchi in evoluzione.

Queste misure preventive pongono sfide di integrazione e si aggiungono ai costi tecnici, il tutto complicando la decisione sui rischi, che può ostacolare ulteriormente gli sforzi di prevenzione delle frodi. Ad esempio, l'autenticazione a più fattori è sia costosa da implementare che soggetta a SMS e OTP ritardati o persi.

Allo stesso modo, il blocco degli indirizzi IP in base a cambiamenti comportamentali può portare le aziende a bloccare inconsapevolmente clienti e lead legittimi. L'intelligenza dei dispositivi non può essere utilizzata come soluzione di sicurezza autonoma, poiché la maggior parte degli utenti oggi ha molti dispositivi e browser installati. I CAPTCHA sono rimasti indietro rispetto alle tecnologie dei bot in continua evoluzione. Vengono rapidamente resi inefficaci poiché spesso ostacolano inutilmente gli utenti di Internet senza fermare gli attacchi.

The Takeaway: la deterrenza è la chiave

In un'epoca in cui il problema degli attacchi di credential stuffing è una minaccia crescente, le aziende di tutte le dimensioni si batteranno per bilanciare l'aumento dei costi di riparazione con misure di sicurezza efficaci che producano un ROI fattibile. Questi attacchi sono estremamente convenienti per gli aggressori. Ma possono lasciare le aziende paralizzate a causa di perdite finanziarie e danni alla reputazione.

In breve, la mitigazione degli attacchi di credential stuffing potrebbe non essere sufficiente per proteggere le aziende dai danni. Devono invece concentrarsi sulla deterrenza dei criminali al fine di mantenere i loro dati al sicuro. È necessario un approccio innovativo alla deterrenza delle frodi per fornire alle organizzazioni una protezione duratura mentre i metodi di attacco continuano a evolversi.

Secondo il suddetto rapporto Akamai State of the Internet, gli attacchi di credential stuffing non stanno andando da nessuna parte. Dal momento che non possono essere interrotti del tutto, le aziende dovrebbero mirare a rendere il processo di ottenimento di nomi utente e password corrispondenti il ​​più impegnativo possibile. Ridurre il riutilizzo delle password e incoraggiare la creazione di password complesse sono alcuni dei deterrenti più efficaci e convenienti disponibili per le aziende di tutti i settori.

Continua a leggere...

A proposito di Gene Fay

Gene Fay è un dirigente high-tech esperto con una comprovata storia di successo nel campo della tecnologia dell'informazione. Competenze in Cyber ​​Security, Storage Area Network (SAN), Vendite, Servizi Professionali e Data Center. Forte professionista delle tecnologie dell'informazione con un MBA incentrato sull'alta tecnologia presso la Northeastern University - Graduate School of Business Administration. È anche l'ospite dell'eXecutive Security Podcast, un podcast che presenta conversazioni con CISO e altri leader della sicurezza su come le persone possono entrare e far crescere le carriere nel settore della sicurezza.