È già abbastanza grave quando qualcuno ruba i tuoi dati personali, ma è ancora peggio quando questi vengono utilizzati per accedere a un altro dei tuoi account online. Benvenuti nell’oscuro mondo del credential stuffing, in cui i criminali informatici si armano di credenziali rubate per ottenere l’accesso forzato a siti protetti come il tuo conto bancario online. Scopri cosa rende efficace il credential stuffing e come potresti dare una mano involontariamente agli hacker. Soprattutto, adotta misure per proteggere i tuoi dispositivi e la tua identità digitale con la protezione online avanzata di Avira Free Security.
Cos’è il credential stuffing e perché è un problema sempre più diffuso?
In poche parole, il nome dice (quasi) tutto: gli hacker sottraggono le credenziali e “stipano” (dall’inglese “stuff”) nomi utente e password rubati nei campi di accesso degli account online nella speranza di riuscire ad accedere a questi servizi. Il credential stuffing è un tipo di attacco informatico comune di cui tutti dovremmo essere a conoscenza. Fortunatamente, ci sono anche buone notizie: è ampiamente evitabile con le giuste misure di sicurezza. Capire come avvengono questi attacchi può aiutarci a proteggerci.
Per prima cosa, dove vanno i criminali informatici ad acquistare i dati di cui hanno bisogno per lanciare questi attacchi? Scavano in profondità online, naturalmente. L’accesso illecito agli account è definito violazione e il dark web è pieno di credenziali violate in vendita su mercati digitali illegali. Il più famigerato era probabilmente Silk Road, che nel frattempo è stato chiuso. Non si va in questi bazar per comprare giacche usate. Nei meandri più oscuri della rete, il business prospera, con miliardi di combinazioni di nomi utente e password rubate accessibili in chiaro (ovvero in testo non crittografato e leggibile) per gli hacker che vanno a fare shopping. E il dark web è più di una piattaforma di e-commerce: offre agli hacker l’opportunità di trovare altri contatti e collaborare, condividendo tattiche e affinando le proprie competenze. Là sotto ci sono interi ecosistemi economici di malintenzionati: alcuni autori delle minacce sono specializzati nell’accesso agli account, mentre altri commettono frodi una volta ottenuto l’accesso.
I dati sono l’oro della nuova era. Man mano che il nostro mondo diventa sempre più digitalizzato, si crea una scorta infinita di dati e potenziali vittime, offrendo ai criminali informatici numerose opportunità per estendere la portata dei loro attacchi. Per darti un’idea, ecco alcune delle più grandi violazioni dei dati della storia recente:
- Nel 2013, le informazioni personali di circa 3 miliardi di utenti Yahoo sono state esposte.
- In un periodo di otto mesi nel corso del 2019, uno sviluppatore che lavorava per un affiliate marketer ha raccolto dati sui clienti dal sito Web cinese di shopping online Alibaba, Taobao, mettendo a rischio 1,1 miliardi di dati degli utenti, compresi i numeri di telefono dei clienti.
- Anche nel 2019, due set di dati delle app di Facebook sono stati esposti sulla rete Internet pubblica, rivelando informazioni relative a oltre 530 milioni di account utente.
- A giugno 2021, il colosso del networking LinkedIn ha rivelato che i dati associati a 700 milioni di utenti LinkedIn erano stati pubblicati su un forum del dark web.
Quali sono i meccanismi del credential stuffing?
Un attacco tipico segue questo processo:
Passaggio 1. L’aggressore acquisisce nomi utente e password tramite una serie di metodi: violazioni di siti Web, phishing o altri attacchi di ingegneria sociale, utilizzando un “sito dump” online illegale (dove milioni di credenziali utente sono disponibili gratuitamente) o semplicemente acquistando la merce di cui ha bisogno in un bazar della darknet.
Passaggio 2. L’aggressore testa le credenziali di accesso rubate su più siti Web (solitamente siti di social media, mercati online e app Web). Farlo manualmente richiederebbe troppo tempo, quindi si affida a strumenti automatizzati come bot o intere reti di botnet. Questi strumenti eseguono rapidamente più accessi a più account utente contemporaneamente, simulando indirizzi IP diversi. Se riescono a decifrare la corretta combinazione nome utente/password, l’aggressore riesce ad accedere e dispone di un set di credenziali valide.
Passaggio 3. Una volta che l’hacker ottiene l’accesso, il tuo mondo digitale è nelle sue mani. Può prosciugare tutti i conti o effettuare acquisti. Potrebbe anche impossessarsi di informazioni sensibili, come dati bancari, indirizzi di casa e persino foto o documenti privati. Utilizzando queste informazioni, può mettere in imbarazzo la vittima o ricattarla oppure rubare la sua identità e agire online a suo nome, richiedendo persino una carta di credito. A volte, gli autori delle minacce utilizzano gli account rubati per inviare messaggi di phishing o spam oppure continuano semplicemente il ciclo e vendono le credenziali valide ad altri criminali informatici che non esiteranno a utilizzarle.
A proposito di vendite, sai quanto valgono i tuoi dati sul dark web? Ad aprile 2023, i dettagli di una carta di credito con un saldo fino a 5.000 dollari potevano essere venduti a circa 110 dollari secondo Statista. Un account Airbnb verificato può arrivare a costare fino a 300 dollari. Per te sono semplici dati di accesso o informazioni personali, ma per i criminali informatici sono una vera fonte di guadagno.
Quanto sono efficaci gli attacchi credential stuffing?
Ricordi la teoria per cui una scimmia in grado di battere a macchina a caso per qualche centinaio di anni finirebbe per scrivere l’intera bibliografia di Shakespeare? Il credential stuffing è considerato una delle tecniche più comuni utilizzate per impossessarsi degli account utente, quindi il gran numero di attacchi casuali fa sì che qualcuno di essi possa andare a segno. Tuttavia, statisticamente, i tentativi di credential stuffing hanno un tasso di successo molto basso.
Secondo l’ex specialista di frodi sui clic di Google, Shuman Ghosemajumder, gli attacchi credential stuffing hanno un tasso di accessi riusciti fino al 2% (nella migliore delle ipotesi). Se queste scarse probabilità non ti sembrano degne di considerazione, tieni presente quanto segue: con un milione di credenziali rubate gli hacker possono prendere il controllo di oltre 20.000 account. Inoltre, gli aggressori possono semplicemente andare avanti e mettere in atto lo stesso processo con le stesse credenziali su numerosi servizi diversi. Tutto quello di cui hanno bisogno è tempo, pazienza… e progressi tecnologici. Talvolta i siti Web bloccano gli indirizzi IP degli utenti con molti tentativi di accesso non riusciti. I bot possono aggirare astutamente questa misura di sicurezza fingendo di provenire da vari dispositivi, in modo da sembrare normale traffico Web.
Oltre agli eserciti di bot, anche gli utenti online possono contribuire ad alimentare gli attacchi con le loro abitudini scorrette su Internet. Hai mai riutilizzato le password? Un unico set di credenziali potrebbe offrire ai criminali informatici un bottino ricco e appetitoso su più siti. Finché saremo pigri nella scelta delle password, contribuiremo a perpetuare il problema.
Un report statunitense di Forbes Advisor, per cui sono state intervistate 2000 persone, ha rivelato la portata della pandemia delle password deboli:
- Il 68% degli utenti ha dovuto cambiare la password su più account dopo che è stata compromessa.
- Il 42% delle persone cambia la password solo quando richiesto, invece di modificarla regolarmente per evitare di essere vittima di un attacco informatico.
- Il 35% ritiene che la propria password sia stata hackerata perché era debole, mentre il 30% pensa che sia dovuto all’utilizzo ripetuto della stessa password su più account.
- Gli account dei social media sono l’obiettivo più comune per l’hacking delle password, seguiti dagli account e-mail.
Ma la soluzione è a portata di mano. Uno strumento di gestione password, come Avira Password Manager, può generare password quasi impossibili da decifrare e aiuta a conservarle in un vault online sicuro. Devi solo ricordarti una master password (e puoi farcela) e il programma farà il resto, completando addirittura le tue credenziali online. Gli strumenti di gestione password sono lo strumento indispensabile per la sicurezza online, che può rendere più difficile la vita dei criminali informatici. Non avere pietà e procuratene uno.
Credential stuffing e altri metodi di attacco: quali sono le differenze?
Esistono alcune truffe che prevedono che gli hacker utilizzino o indovinino le credenziali degli utenti. Tuttavia, non si tratta sempre di credential stuffing. Scopri le differenze principali tra queste truffe online comuni e quali sono i diversi obiettivi:
Credential stuffing e attacchi di forza bruta
Durante gli attacchi di forza bruta, gli hacker eseguono combinazioni di nomi utente e password generate dal computer finché non riescono ad accedere con successo a un account. Quindi, si tratta essenzialmente di congetture alimentate dal software per accelerare il processo.
Credential stuffing e password spraying
Il credential stuffing prende nomi utente e password notoriamente associati a un account online. Si tratta quindi di un passo avanti rispetto al password spraying, in cui un aggressore combina un nome utente noto con una password generica o di utilizzo comune per cercare di accedere a un account. Il password spraying prevede più congetture e un po’ di fortuna.
Credential stuffing e acquisizione di account
Spesso l’obiettivo finale dopo un’operazione di credential stuffing è l’appropriazione indebita di un account. Una volta che un aggressore riesce ad accedere a un account utilizzando le credenziali corrette, può modificare le impostazioni di sicurezza dell’account, bloccando così l’utente autorizzato.
Credential stuffing e directory harvest
Un attacco directory harvest non prevede il furto delle credenziali; al contrario, utilizza diverse varianti del formato dell’indirizzo e-mail di un’azienda per cercare di indovinare gli indirizzi e-mail reali. Un software può aiutare ad accelerare questo processo. Questo tipo di attacco viene spesso utilizzato per inviare pubblicità spam via e-mail.
Credential stuffing e attacchi DDoS
Potresti pensare che non vadano a braccetto. Un attacco DDoS (Distributed Denial of Service) è un tentativo malevolo di interrompere il normale funzionamento di una rete, di un servizio o di un sito Web sovraccaricando l’infrastruttura con una valanga di traffico Internet. Le risorse si esauriscono, causando un caos digitale, come l’esclusione di utenti legittimi. A volte i criminali informatici sfruttano la copertura di un attacco DDoS per mascherare un attacco credential stuffing. Quando la sicurezza IT è concentrata sul flusso del traffico, potrebbe non accorgersi dei tentativi (apparentemente) casuali di accedere agli account utente. Anche gli attacchi DDoS presentano alcune somiglianze con il credential stuffing: entrambi si affidano alle botnet per bombardare automaticamente i siti Web. Di fatto, la famigerata botnet Mirai è stata utilizzata inizialmente per attacchi DDoS, per essere poi riadattata per il credential stuffing, che si è rivelato più redditizio!
Come identificare i tentativi di credential stuffing
Rilevare gli attacchi credential stuffing può essere un problema perché possono sembrare normali attività degli utenti (per quanto risultino fastidiosi con l’abitudine di bloccare l’accesso degli stessi utenti). Fai attenzione a questi campanelli d’allarme:
- Picchi improvvisi di tentativi di accesso non riusciti in un breve lasso di tempo, soprattutto se riguardano più account utente.
- Sequenze di accesso insolite, come tentativi di accesso multipli da indirizzi IP diversi.
- Indirizzi IP sospetti, perché forniscono un indizio sulla possibile origine degli attacchi informatici. Ad esempio, molti dei dipendenti che lavorano a Londra sembrano improvvisamente trovarsi in Uzbekistan?
- Un aumento del traffico del sito che causa tempi di inattività potrebbe indicare un attacco credential stuffing.
L’obiettivo finale dell’hacker, ovviamente, è quello di evitare di destare sospetti e ottenere l’accesso agli account utente. Il reparto IT deve trovare il giusto equilibrio: deve garantire un accesso rapido all’account con un’interruzione minima delle attività per gli utenti autorizzati, monitorando costantemente eventuali comportamenti sospetti sia a livello di utente che di applicazione.
Azione richiesta! Puoi contribuire anche tu a prevenire il credential stuffing
Proprio come i criminali informatici sfruttano la tecnologia in continua evoluzione per velocizzare e perfezionare i loro attacchi, anche gli utenti e i reparti IT hanno a disposizione una serie di strumenti ingegnosi. Dobbiamo solo usarli. Ecco una selezione di strumenti indispensabili che possono aiutare a contrastare il fenomeno del credential stuffing:
Autenticazione a più fattori (MFA): questa soluzione è considerata estremamente efficace nel prevenire il credential stuffing. Gli utenti hanno bisogno di un’altra forma di autenticazione (come un codice monouso inviato tramite SMS o un’autenticazione biometrica come un’impronta digitale) oltre a una combinazione nome utente-password per effettuare l’accesso. I criminali informatici normalmente non hanno accesso a questa seconda forma di ID.
Autenticazione senza password: non puoi rubare quello che non esiste, quindi in questo modo puoi fermare sul nascere il credential stuffing. Gli utenti rinunciano completamente alla password in favore di un’altra forma di autenticazione di cui sono gli unici titolari, come l’impronta digitale o il riconoscimento facciale.
Autenticazione continua o creazione dell’impronta digitale del dispositivo: non si basa su un singolo accesso ma verifica l’identità di un utente in tempo reale mentre utilizza un’applicazione, analizzando, ad esempio, i suoi modelli comportamentali e l’“impronta digitale” tipica delle sue sessioni (sistema operativo, fuso orario, lingua, ecc.).
Password complesse e controlli di sicurezza delle password: alcune applicazioni eseguono un controllo della password inserita dall’utente rispetto a un database di password compromesse note prima di accettarla. In quanto utente, opta sempre per password univoche ed estremamente complesse (una combinazione scoraggiante di lettere maiuscole/minuscole, numeri e simboli) per ognuno dei tuoi account. Controlla regolarmente il sito Web Have I been pwned (HIBP). Lanciato nel 2013, consente agli utenti di Internet di verificare se il loro indirizzo e-mail e gli eventuali dati personali associati sono stati compromessi in seguito a violazioni della sicurezza.
Oltre ad aiutarti “semplicemente” a generare e conservare le tue password, Avira Password Manager Pro può avvisarti se la tua e-mail è stata compromessa e condivisa durante una violazione dei dati. Ti avvisa anche se la password è debole o riutilizzata.
Non utilizzare mai gli indirizzi e-mail come ID utente: il credential stuffing sfrutta il riutilizzo di nomi utente o ID account. Di solito, il riciclaggio dell’ID utente avviene sempre se l’ID è un indirizzo e-mail, perché gli utenti hanno solo un paio di indirizzi tra cui scegliere (o solo uno!).
Questi strumenti sono utili per aiutare i professionisti IT a smascherare i bot che alimentano l’attacco credential stuffing:
Tecnologia di identificazione dei bot: una buona gestione dei bot aiuta a impedire a questi eserciti di malintenzionati di effettuare tentativi di accesso senza creare problemi con gli accessi legittimi. Gli algoritmi di apprendimento automatico possono aiutare a identificare sequenze che differenziano i bot dagli esseri umani e a rilevare picchi di traffico provenienti da posizioni sconosciute. I team IT spesso implementano software specializzati per il rilevamento dei bot.
CAPTCHA: richiede che gli utenti eseguano un’azione per dimostrare di essere umani, ad esempio identificare le biciclette presenti in un’immagine. Può ridurre l’efficacia del credential stuffing, ma attenzione: gli hacker possono aggirare il CAPTCHA utilizzando browser headless. (Non hanno un’interfaccia utente grafica, quindi sono effettivamente senza volto).
Inserimento degli IP in blacklist: in genere gli aggressori hanno a disposizione un pool limitato di indirizzi IP, quindi bloccare gli IP o metterli nella sandbox può costituire un’utile difesa contro i tentativi di accesso a più account. I team IT possono monitorare gli ultimi IP utilizzati per accedere a un account specifico e confrontarli con l’IP sospetto.
Gli esseri umani hanno tutti bisogno di una potente protezione digitale online
In definitiva, nonostante tutta la tecnologia a nostra disposizione per contrastare gli attacchi degli hacker, il credential stuffing è un sintomo di un problema che ci riguarda tutti: siamo esseri umani e, in quanto tali, inclini a compiere scelte sbagliate online, come optare per una password semplice e facile da ricordare (come il nome del nostro primo animale domestico). Proteggiti da malware, criminali informatici e persino dai tuoi stessi errori online scegliendo più livelli di sicurezza e privacy online affidabili. Avira Free Security per Windows include un’ampia gamma di funzionalità, tra cui un antivirus, un programma di gestione delle password, uno strumento di aggiornamento software e una VPN. Aiuta anche a ripulire il computer dalla spazzatura digitale per renderla più veloce. Sono disponibili anche varianti per Mac, Android e iOS.
Questo articolo è disponibile anche in: IngleseTedescoFrancese