Gli attacchi di credential stuffing sfruttano nomi utente e password rubati da violazioni di dati per ottenere accesso non autorizzato agli account. Questa minaccia crescente colpisce le aziende in vari settori, dal commercio elettronico e i social media ai servizi finanziari.

Poiché sempre più utenti continuano a riutilizzare le password su diverse piattaforme, gli attaccanti trovano più facile sfruttare questa vulnerabilità. Automatizzando i tentativi di accesso con bot, gli hacker possono testare milioni di credenziali in un breve periodo, portando a takeover di account, frodi e danni reputazionali.

Ma cos'è esattamente il credential stuffing e come si differenziano questi attacchi da altre minacce informatiche? Soprattutto, come possono le aziende rilevarli e prevenirli? Approfondiamo i dettagli del credential stuffing ed esploriamo come puoi salvaguardare la tua piattaforma.

Che cos'è un attacco di credential stuffing? 

Il credential stuffing è un tipo di attacco informatico in cui gli hacker utilizzano nomi utente e password rubati da precedenti violazioni di dati per ottenere accesso non autorizzato agli account degli utenti su varie piattaforme. Gli attaccanti sfruttano il fatto che molti utenti riutilizzano le stesse password su diversi siti web e app, rendendo più facile per loro violare più account con le stesse credenziali.

Secondo il Report sulla Minaccia all'Identità 2023 di F5 Labs, il credential stuffing ha rappresentato una media del 19,4% del traffico non mitigato tra le organizzazioni di vari settori. Anche dopo gli sforzi di mitigazione, il 6,0% del traffico era ancora composto da tentativi di credential stuffing. 

Secondo Kaspersky, un fornitore di autenticazione ha riportato una media di un tentativo di credential stuffing per ogni due accessi legittimi nel 2022, evidenziando quanto sia diffuso diventato questo metodo. Questa tendenza continua sottolinea il rischio persistente per le aziende, in particolare in settori come quello dei viaggi, delle telecomunicazioni e della tecnologia, che registrano tassi di attacco più elevati rispetto ad altri settori.

Ma per capire come proteggersi dal credential stuffing, è cruciale prima comprendere come operano questi attacchi e le tecniche utilizzate dagli attaccanti.

Come funzionano gli attacchi di credential stuffing?

Gli attacchi di credential stuffing sfruttano il riutilizzo delle password utilizzando strumenti automatizzati, spesso chiamati bot, per testare lunghe liste di credenziali rubate su vari siti web. Quando trovano una corrispondenza, gli hacker ottengono accesso non autorizzato all'account dell'utente. Questo approccio automatizzato consente loro di testare milioni di coppie di credenziali in un breve periodo.

Differenze rispetto agli attacchi brute force:

• Attacchi brute force: tentano di indovinare le password provando combinazioni casuali di caratteri fino a trovare la password corretta,

• Credential stuffing: utilizza credenziali reali da violazioni di dati, rendendo il processo più veloce ed efficiente, 

Tecniche comuni utilizzate nel credential stuffing:

1. Botnet: gli attaccanti utilizzano reti di computer compromessi (botnet) per distribuire i tentativi di accesso su più indirizzi IP, rendendo più difficile rilevare e bloccare l'attacco,

2. Reti proxy: i proxy vengono impiegati per oscurare l'origine dei tentativi di accesso, consentendo agli attaccanti di bypassare le misure di sicurezza,

3. Dump di credenziali: liste di credenziali rubate da passate violazioni di dati vengono vendute o condivise sul dark web, dando agli attaccanti un accesso immediato a nomi utente e password.

Quali sono alcuni recenti attacchi di credential stuffing significativi?

Il credential stuffing rimane una seria minaccia per le aziende in molti settori, con attaccanti che riescono a violare account sfruttando credenziali di accesso rubate. Negli ultimi anni, diverse aziende di alto profilo sono cadute vittima di questi tipi di attacchi, illustrando la natura diffusa e continua del problema. Esploriamo tre esempi recenti:

1. PayPal (2022)

Nel dicembre 2022, PayPal è stata colpita da un attacco di credential stuffing che ha compromesso quasi 35.000 account. Gli attaccanti hanno utilizzato credenziali ottenute da violazioni su siti web non correlati per ottenere accesso non autorizzato agli account PayPal. 

Sebbene PayPal abbia confermato che non ci fosse evidenza di abuso dei dati dei clienti, hanno offerto agli utenti interessati un abbonamento di due anni al servizio di monitoraggio dell'identità di Equifax come precauzione. Questo incidente sottolinea l'importanza di abilitare l'autenticazione a due fattori (2FA), che aggiunge un ulteriore livello di protezione contro il credential stuffing.

2. 23andMe (2023)

Alla fine del 2023, la società di test genetico 23andMe ha rivelato che un attacco di credential stuffing aveva portato al furto di informazioni personali da milioni dei suoi utenti. I dati rubati includevano nomi, foto del profilo, genere, date di nascita, e persino risultati di discendenza genetica. 

Secondo 23andMe, gli attaccanti hanno probabilmente ottenuto le credenziali di accesso da altre piattaforme dove gli utenti avevano riutilizzato le loro password. Questo caso evidenzia i pericoli del riutilizzo delle credenziali di accesso su più servizi, rendendo più facile per gli attaccanti violare gli account.

3. Zoom (2020)

Nel 2020, Zoom ha subito un significativo attacco di credential stuffing, compromettendo oltre 500.000 account utente. Gli attaccanti hanno utilizzato credenziali da violazioni risalenti fino al 2013, molte delle quali erano probabilmente vendute sul dark web. 

A causa della diffusa pratica del riutilizzo delle password, gli attaccanti hanno efficacemente avuto accesso a questi account utilizzando uno strumento chiamato "verificatore delle credenziali". Questo attacco serve da netto promemoria della necessità per gli utenti di aggiornare e diversificare regolarmente le loro password per proteggere i propri account da possibili compromissioni.

Come influisce il credential stuffing sulla tua azienda?

Il credential stuffing può causare danni significativi sia alle aziende che ai loro utenti, con conseguenze che influenzano la stabilità finanziaria, la fiducia dei clienti e l'efficienza operativa.

1. Perdite finanziarie per la tua azienda

Il credential stuffing spesso porta a transazioni fraudolente, che possono portare a perdite finanziarie dirette. Gli attaccanti che ottengono accesso agli account degli utenti possono avviare acquisti non autorizzati, manipolare punti fedeltà o sfruttare servizi in abbonamento. Queste attività possono comportare chargeback, rimborsi e costi di transazione aggiuntivi.

Per settori come il commercio elettronico e i servizi finanziari, il costo per invertire attività fraudolente può rapidamente accumularsi, impattando sulla redditività complessiva. Oltre alla perdita finanziaria immediata, le aziende possono anche affrontare l'aumento dei premi assicurativi e la necessità di investire in sistemi di prevenzione delle frodi più robusti.

2. Perdita di fiducia dei clienti e reputazione

Quando gli account dei clienti vengono compromessi, questo influisce significativamente sulla fiducia degli utenti. I tuoi clienti si aspettano che i loro dati personali siano al sicuro e una violazione può farli perdere fiducia nella tua piattaforma. Questo può portare a abbandono dei clienti, con gli utenti che abbandonano il tuo servizio in favore dei concorrenti. Recensioni negative e backlash sui social media possono ulteriormente danneggiare la tua reputazione, rendendo più difficile attrarre nuovi utenti o trattenere quelli esistenti. 

Per le aziende in settori altamente competitivi come i social media, la finanza e il commercio elettronico, il danno reputazionale derivante da un attacco di credential stuffing può avere effetti a lungo termine sulla fedeltà al marchio.

3. Distruzione operativa e costi aumentati

Gli attacchi di credential stuffing portano spesso a un aumento delle richieste di supporto clienti poiché gli utenti segnalano attività non autorizzate sui loro account. Gestire takeover di account, elaborare ripristini di password e risolvere i reclami degli utenti mette una pesante pressione sui team di assistenza clienti. Questo aumento delle richieste di supporto può mettere a dura prova le tue risorse, distogliendo l'attenzione dalle funzioni aziendali principali. 

Inoltre, le aziende devono investire in aggiornamenti della cybersecurity per prevenire attacchi futuri, il che può aumentare i costi operativi. Il tempo e gli sforzi richiesti per riprendersi da un attacco su larga scala possono interrompere le operazioni normali e ritardare progetti o iniziative chiave.

Come rilevare gli attacchi di credential stuffing?

Rilevare gli attacchi di credential stuffing in modo anticipato è cruciale per minimizzarne l'impatto. Monitorando attentamente indicatori specifici, le aziende possono agire rapidamente per mitigare i danni. Ecco tre segnali chiave da tenere d'occhio:

1. Aumento dei tentativi di accesso non riusciti

Uno dei segnali più ovvi di un attacco di credential stuffing è un aumento improvviso dei tentativi di accesso non riusciti. Poiché gli attaccanti utilizzano strumenti automatizzati per testare migliaia—o addirittura milioni—di credenziali rubate, il tuo sistema registrerà un aumento anomalo dei fallimenti di accesso. 

Questo modello coinvolge spesso molteplici tentativi non riusciti dallo stesso indirizzo IP o attraverso numerosi account utente. Monitorare tali picchi è essenziale per identificare un attacco in corso.

2. Attività insolite sugli account degli utenti

Gli utenti possono segnalare attività strane o non autorizzate sui loro account, come transazioni che non hanno effettuato, cambiamenti nei loro dettagli del profilo o accesso da dispositivi sconosciuti. Gli attaccanti che riescono a compromettere gli account attraverso il credential stuffing spesso li utilizzano per compiere azioni fraudolente, come effettuare acquisti o manipolare le impostazioni dell'account. 

Implementare strumenti per rilevare anomalie nel comportamento degli utenti può contribuire a segnalare attività sospette in anticipo.

3. Cambiamenti imprevisti alle informazioni sull'account

Una volta che gli attaccanti ottengono accesso a un account, possono tentare di escludere l'utente legittimo cambiando dettagli chiave come indirizzi email o numeri di telefono. Questi cambiamenti imprevisti possono essere un campanello d'allarme, soprattutto se si verificano dopo molteplici tentativi di accesso non riusciti.

Monitorare per improvvisi cambiamenti alle informazioni dell'account, in particolare dopo attività di accesso sospette, può aiutare a prevenire ulteriori danni.

Come prevenire gli attacchi di credential stuffing per proteggere i tuoi utenti?

Prevenire il credential stuffing richiede un approccio multilivello. Ecco alcune strategie chiave:

1. Applicare politiche di password forti

Incitare gli utenti a creare password forti e uniche che siano difficili da indovinare. Le password dovrebbero essere una combinazione di lettere, numeri e simboli. Ricorda agli utenti di evitare di riutilizzare le password su diverse piattaforme.

2. Educare gli utenti sulla sicurezza

Proprio come l'industria bancaria ricorda frequentemente ai clienti di non condividere mai le proprie password, le aziende dovrebbero educare i loro utenti sull'importanza della sicurezza delle password. Ricordare regolarmente di non riutilizzare le password e seguire le migliori pratiche può fare molto per prevenire gli attacchi di credential stuffing.

3. Implementare meccanismi di blocco dell'account

I meccanismi di blocco dell'account possono prevenire i bot automatizzati dal effettuare continui tentativi di accesso. Dopo un certo numero di tentativi di accesso non riusciti, il blocco temporaneo dell'account aiuta a bloccare ulteriori tentativi fino a quando l'utente verifica la propria identità.

4. Utilizzare CAPTCHA - con limitazioni

CAPTCHA può aiutare a bloccare i bot dai tentativi di accesso automatizzati, ma non è una soluzione perfetta. I CAPTCHA possono influire negativamente sull'esperienza utente e sui tassi di conversione, e i bot sofisticati possono talvolta eluderli utilizzando tecniche avanzate.

5. Autenticazione a più fattori (MFA)

L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di verificare la propria identità attraverso un secondo fattore, come una password monouso (OTP) inviata via SMS o Email OTP. Questo rende significativamente più difficile per gli attaccanti ottenere accesso agli account, anche se possiedono le credenziali corrette.

Ma la MFA oggi non è limitata agli SMS. Molti canali sono ora disponibili che possono raggiungere gli utenti in tutto il mondo, assicurando una consegna affidabile indipendentemente da geografia o condizioni di rete. Con Prelude, puoi anche selezionare il tuo canale preferito tra SMS, RCS, Telegram, WhatsApp e SNA (Silent Network Authentication) per adattare la verifica alle esigenze della tua azienda e al contesto dell'utente.

Tecnologie avanzate come SNA vanno ancora oltre. Anziché fare affidamento su un OTP, il numero e il dispositivo dell'utente vengono verificati silenziosamente a livello di operatore. Questo rende l'autenticazione senza soluzione di continuità per l'utente mentre riduce drasticamente il rischio di frodi, intercettazioni o manipolazioni.

Il credential stuffing è una minaccia seria e crescente, ma implementando politiche di password forti, educando gli utenti e usando l'autenticazione a più fattori, le aziende possono ridurre significativamente il rischio. Prevenire questi attacchi protegge sia i tuoi utenti che la tua azienda da perdite finanziarie e danni reputazionali.