Senza categoria

Come proteggere i tuoi account online dagli attacchi di riempimento delle credenziali

Con così tanti siti Web e applicazioni che richiedono credenziali utente univoche, ovvero un nome utente e una password, potrebbe essere allettante utilizzare le stesse credenziali su tutte queste piattaforme.

Infatti, secondo l’Annual Identity Exposure Report 2022 di SpyCloud, che ha analizzato oltre 15 miliardi di credenziali compromesse disponibili su siti clandestini criminali, è emerso che il 65% delle password violate è stato utilizzato per almeno due account.

Agli utenti che riutilizzano le credenziali su piattaforme diverse, potrebbe sembrare un modo ingegnoso per evitare di dimenticare le password, ma in realtà è un disastro in attesa di accadere.

Nel caso in cui uno dei sistemi venga compromesso e le tue credenziali vengano acquisite, tutti gli altri account che utilizzano le stesse credenziali sono a rischio di compromissione. Tenendo presente che le credenziali compromesse vengono vendute a buon mercato sul dark web, potresti facilmente diventare vittima del credential stuffing.

Il credential stuffing è un attacco informatico in cui malintenzionati utilizzano credenziali rubate per un account o un sistema online per tentare di accedere ad altri account o sistemi online non correlati.

Un esempio di ciò è un attore malintenzionato che ottiene l’accesso al tuo nome utente e password per il tuo account Twitter e utilizza quelle credenziali compromesse per tentare di accedere a un account Paypal.

Nel caso in cui tu stia utilizzando le stesse credenziali su Twitter e Paypal, il tuo account Paypal verrà rilevato a causa di una violazione delle tue credenziali Twitter.

Nel caso in cui utilizzi le tue credenziali Twitter su più account online, anche questi account online potrebbero essere compromessi. Tale attacco è noto come credential stuffing e sfrutta il fatto che molti utenti riutilizzano le credenziali su più account online.

Gli attori malintenzionati che conducono attacchi di riempimento delle credenziali in genere utilizzano i bot per automatizzare e ridimensionare il processo. Ciò consente loro di utilizzare un gran numero di credenziali compromesse e prendere di mira più piattaforme online. Con le credenziali compromesse trapelate a causa di violazioni dei dati e vendute anche sul dark web, gli attacchi di credential stuffing sono diventati prevalenti.

Come funziona il riempimento delle credenziali

Un attacco di credential stuffing inizia con l’acquisizione di credenziali compromesse. Questi nomi utente e password possono essere acquistati sul dark web, accessibili da siti di dump delle password o ottenuti da violazioni dei dati e attacchi di phishing.

Il passaggio successivo prevede la creazione di bot per testare le credenziali rubate su diversi siti web. I bot automatizzati sono lo strumento di riferimento negli attacchi di credential stuffing, poiché i bot possono eseguire furtivamente il credential stuffing utilizzando un gran numero di credenziali contro molti siti ad alta velocità.

Anche la sfida di un indirizzo IP bloccato dopo diversi tentativi di accesso falliti viene evitata utilizzando i bot.

Quando viene lanciato un attacco di riempimento delle credenziali, parallelamente all’attacco di riempimento delle credenziali vengono avviati anche i processi automatizzati per monitorare gli accessi riusciti. In questo modo, gli aggressori ottengono facilmente credenziali che funzionano su determinati siti online e le utilizzano per impossessarsi di un account sulle piattaforme.

Una volta che gli aggressori hanno avuto accesso a un account, cosa possono fare con esso è a loro discrezione. Gli aggressori possono vendere le credenziali ad altri aggressori, rubare informazioni sensibili dall’account, impegnare l’identità o utilizzare l’account per effettuare acquisti online nel caso in cui un conto bancario venga compromesso.

Perché gli attacchi di credential stuffing sono efficaci

Il Credential Stuffing è un attacco informatico con tassi di successo molto bassi. Infatti, secondo The Economy of Credential Stuffing Attacks Report di Insikt Group, che è la divisione di ricerca sulle minacce di Recorded Future, il tasso medio di successo per gli attacchi di credential stuffing è compreso tra l’uno e il tre percento.

Per quanto le sue percentuali di successo siano basse, Akamai Technologies, nel suo report 2021 State of the Internet/Security, ha osservato che nel 2020 Akamai ha visto 193 miliardi di attacchi di credential stuffing a livello globale.

Il motivo dell’elevato numero di attacchi di credential stuffing e del motivo per cui stanno diventando sempre più diffusi è dovuto al numero di credenziali compromesse disponibili e all’accesso a strumenti bot avanzati che rendono gli attacchi di credential stuffing più efficaci e quasi indistinguibili dai tentativi di accesso umani.

Ad esempio, anche con una bassa percentuale di successo di appena l’1%, se un utente malintenzionato ha 1 milione di credenziali compromesse, può compromettere circa 10.000 account. Grandi volumi di credenziali compromesse vengono scambiati sul dark web e volumi così elevati di credenziali compromesse possono essere riutilizzati su più piattaforme.

Questi volumi elevati di credenziali compromesse comportano un aumento del numero di account compromessi. Questo, unito al fatto che le persone continuano a riutilizzare le proprie credenziali su più account online, gli attacchi di credential stuffing diventano molto efficaci.

Credential Stuffing Vs. Attacchi di forza bruta

Sebbene il credential stuffing e gli attacchi di forza bruta siano entrambi attacchi di acquisizione di account e l’Open Web Application Security Project (OWASP) consideri il credential stuffing un sottoinsieme di attacchi di forza bruta, i due differiscono nel modo in cui vengono eseguiti.

In un attacco di forza bruta, un attore malintenzionato cerca di impossessarsi di un account indovinando il nome utente o la password o entrambi. Questo in genere viene fatto provando quante più possibili combinazioni di nome utente e password senza contesto o indizio su cosa potrebbero essere.

Una forza bruta potrebbe utilizzare modelli di password di uso comune o un dizionario di frasi di password di uso comune come Qwerty, password o 12345. Un attacco di forza bruta può avere successo se l’utente utilizza password deboli o password predefinite del sistema.

Un attacco di credential stuffing, invece, tenta di appropriarsi di un account utilizzando credenziali compromesse ottenute da altri sistemi o account online. In un attacco di credential stuffing, l’attacco non indovina le credenziali. Il successo di un attacco di credential stuffing si basa su un utente che riutilizza le proprie credenziali su più account online.

In genere, le percentuali di successo degli attacchi di forza bruta sono molto inferiori rispetto al credential stuffing. Gli attacchi di forza bruta possono essere prevenuti utilizzando password complesse. Tuttavia, l’utilizzo di password complesse non può impedire il riempimento delle credenziali nel caso in cui la password complessa sia condivisa tra più account. Il riempimento delle credenziali viene impedito utilizzando credenziali univoche sugli account online.

Come rilevare gli attacchi di credential stuffing

Gli attori delle minacce di riempimento delle credenziali in genere utilizzano bot che imitano agenti umani ed è spesso molto difficile distinguere un tentativo di accesso da un vero essere umano e uno da un bot. Tuttavia, ci sono ancora segnali che possono segnalare un attacco di riempimento delle credenziali in corso.

Ad esempio, un improvviso aumento del traffico web dovrebbe destare sospetti. In tal caso, monitorare i tentativi di accesso al sito Web e nel caso in cui si verifichi un aumento dei tentativi di accesso su più account da più indirizzi IP o un aumento del tasso di errore di accesso, ciò potrebbe indicare un attacco di riempimento delle credenziali in corso.

Un altro indicatore di un attacco di credential stuffing è l’utente che si lamenta di essere bloccato fuori dai propri account o di ricevere notifiche sui tentativi di accesso falliti che non sono stati eseguiti da loro.

Inoltre, monitora l’attività degli utenti e, nel caso in cui noti attività insolite degli utenti, come apportare modifiche alle loro impostazioni, informazioni sul profilo, trasferimenti di denaro e acquisti online, ciò potrebbe segnalare un attacco di credential stuffing.

Come proteggersi dal riempimento delle credenziali

Esistono diverse misure che possono essere prese per evitare di essere vittima di attacchi di credential stuffing. Ciò comprende:

#1. Evita di riutilizzare le stesse credenziali su più account

Il riempimento delle credenziali dipende da un utente che condivide le credenziali su più account online. Questo può essere facilmente evitato utilizzando credenziali univoche su diversi account online.

Con gestori di password come Google Password Manager, gli utenti possono comunque utilizzare password univoche e molto simili senza preoccuparsi di dimenticare le proprie credenziali. Le aziende possono anche imporre questo impedendo l’uso di e-mail come nomi utente. In questo modo, è più probabile che gli utenti utilizzino credenziali univoche su piattaforme diverse.

#2. Usa l’autenticazione a più fattori (MFA)

L’autenticazione a più fattori è l’uso di più metodi per autenticare l’identità di un utente che tenta di accedere. Ciò può essere implementato combinando i tradizionali metodi di autenticazione di un nome utente e una password, insieme a un codice di sicurezza segreto condiviso con gli utenti tramite e-mail o messaggio di testo per confermare ulteriormente la loro identità. Questo è molto efficace nel prevenire il riempimento delle credenziali in quanto aggiunge un ulteriore livello di sicurezza.

Può persino farti sapere quando qualcuno tenta di compromettere il tuo account, poiché otterrai un codice di sicurezza senza richiederne uno. L’AMF è così efficace che uno studio Microsoft ha stabilito che gli account online hanno il 99,9% in meno di probabilità di essere compromessi se utilizzano l’MFA.

#3. Impronta digitale del dispositivo

L’impronta digitale del dispositivo può essere utilizzata per associare l’accesso a un account online a un particolare dispositivo. L’impronta digitale del dispositivo identifica il dispositivo utilizzato per accedere a un account utilizzando informazioni come il modello e il numero del dispositivo, il sistema operativo utilizzato, la lingua e il paese, tra gli altri.

Questo crea un’impronta digitale univoca del dispositivo che viene quindi associata a un account utente. L’accesso all’account utilizzando un dispositivo diverso non è consentito senza l’autorizzazione concessa dal dispositivo associato all’account.

#4. Monitora le password trapelate

Quando gli utenti tentano di creare nomi utente e password per una piattaforma online anziché limitarsi a verificare la sicurezza delle password, le credenziali possono essere controverificate rispetto alle password trapelate pubblicate. Questo aiuta a prevenire l’uso di credenziali che possono essere successivamente sfruttate.

Le organizzazioni possono implementare soluzioni che monitorano le credenziali degli utenti rispetto alle credenziali trapelate sul Web oscuro e avvisano gli utenti ogni volta che viene trovata una corrispondenza. Agli utenti può quindi essere chiesto di verificare la propria identità attraverso una varietà di metodi, modificare le credenziali e anche implementare l’AMF per proteggere ulteriormente il proprio account

#5. Hashing delle credenziali

Ciò comporta la codifica delle credenziali dell’utente prima che vengano archiviate in un database. Ciò aiuta a proteggere dall’uso improprio delle credenziali in caso di violazione dei dati dei sistemi, poiché le credenziali verranno archiviate in un formato che non può essere utilizzato.

Sebbene questo non sia un metodo infallibile, può dare agli utenti il ​​tempo di cambiare le proprie password in caso di violazione dei dati.

Esempi di attacchi di riempimento delle credenziali

Alcuni esempi notevoli di attacchi di riempimento delle credenziali includono:

  • Il furto di oltre 500.000 credenziali Zoom nel 2020. Questo attacco di riempimento delle credenziali è stato eseguito utilizzando nomi utente e password ottenuti da vari forum del dark web, con credenziali ottenute da attacchi risalenti al 2013. Le credenziali zoom rubate sono state rese disponibili al buio web e venduto a buon mercato ad acquirenti disponibili
  • Compromissione su migliaia di account utente della Canada Revenue Agency (CRA). Nel 2020 circa 5500 account CRA sono stati compromessi in due distinti attacchi alle credenziali che hanno impedito agli utenti di accedere ai servizi offerti dal CRA.
  • Compromissione di 194.095 account utente The North Face. The North Face è un’azienda che vende abbigliamento sportivo e ha subito un attacco di credential stuffing nel luglio 2022. L’attacco ha provocato la fuga di nome completo, numero di telefono, sesso, punti fedeltà, indirizzo di fatturazione e spedizione dell’utente, data di creazione dell’account, e la cronologia degli acquisti.
  • Attacco di riempimento delle credenziali di Reddit nel 2019. Diversi utenti di Reddit sono stati bloccati dai propri account dopo che le loro credenziali sono state compromesse tramite attacchi di riempimento delle credenziali.

Questi attacchi evidenziano l’importanza della necessità di proteggersi da attacchi simili.

Conclusione

Potresti esserti imbattuto in venditori di credenziali per siti di streaming come Netflix, Hulu e Disney+ o servizi online come Grammarly, Zoom e Turnitin, tra gli altri. Dove pensi che i venditori ottengano le credenziali?

Bene, tali credenziali sono probabilmente ottenute tramite attacchi di riempimento delle credenziali. Se utilizzi le stesse credenziali su più account online, è ora di cambiarle prima di diventare una vittima.

Per proteggerti ulteriormente, implementa l’autenticazione a più fattori su tutti i tuoi account online ed evita di acquistare credenziali compromesse, in quanto ciò crea un ambiente favorevole per gli attacchi di riempimento delle credenziali.