Gli attacchi di credential stuffing sfruttano nomi utente e password rubati da violazioni di dati per ottenere accesso non autorizzato agli account. Questa crescente minaccia colpisce le aziende in vari settori, dall'e-commerce e social media ai servizi finanziari.

Con sempre più utenti che continuano a riutilizzare le password su diverse piattaforme, gli attaccanti trovano più facile sfruttare questa vulnerabilità. Automatizzando i tentativi di accesso con bot, gli hacker possono testare milioni di credenziali in un breve periodo, portando a takeover degli account, frodi e danni reputazionali.

Ma cos'è esattamente il credential stuffing e come si differenziano questi attacchi da altre minacce informatiche? Soprattutto, come possono le aziende rilevarli e prevenirli? Approfondiamo i dettagli del credential stuffing ed esploriamo come puoi proteggere la tua piattaforma.

Cos'è un attacco di credential stuffing? 

Il credential stuffing è un tipo di attacco informatico in cui gli hacker utilizzano nomi utente e password rubati da precedenti violazioni di dati per ottenere accesso non autorizzato agli account utente su varie piattaforme. Gli attaccanti sfruttano il fatto che molti utenti riutilizzano le stesse password su diversi siti web e app, rendendo più facile per loro compromettere più account con le stesse credenziali.

Secondo il Rapporto sulla Minaccia Identitaria 2023 di F5 Labs, il credential stuffing ha rappresentato una media del 19,4% del traffico non mitigato tra le organizzazioni di vari settori. Anche dopo gli sforzi di mitigazione, il 6,0% del traffico era ancora composto da tentativi di credential stuffing. 

Secondo Kaspersky, un fornitore di autenticazione ha segnalato una media di un tentativo di credential stuffing per ogni due accessi legittimi nel 2022, evidenziando quanto sia diventato diffuso questo metodo. Questa tendenza in corso sottolinea il rischio persistente per le aziende, in particolare in settori come i viaggi, le telecomunicazioni e la tecnologia, che subiscono tassi di attacco più elevati rispetto ad altri settori.

Ma per comprendere come proteggersi dal credential stuffing, è fondamentale prima capire come funzionano questi attacchi e le tecniche utilizzate dagli attaccanti.

Come funzionano gli attacchi di credential stuffing?

Gli attacchi di credential stuffing sfruttano il riutilizzo delle password utilizzando strumenti automatizzati, spesso chiamati bot, per testare grandi elenchi di credenziali rubate su vari siti web. Quando trovano una corrispondenza, gli hacker ottengono accesso non autorizzato all'account dell'utente. Questo approccio automatizzato consente loro di testare milioni di coppie di credenziali in un breve periodo.

Differenza dagli attacchi a forza bruta:

• Attacchi a forza bruta: tentano di indovinare le password provando combinazioni casuali di caratteri fino a trovare la password corretta,

• Credential stuffing: utilizza credenziali reali da violazioni di dati, rendendo il processo più veloce ed efficiente, 

Tecniche comuni utilizzate nel credential stuffing:

1. Botnet: gli attaccanti utilizzano reti di computer compromessi (botnet) per distribuire i tentativi di accesso su più indirizzi IP, rendendo più difficile rilevare e bloccare l'attacco,

2. Reti proxy: vengono impiegati proxy per offuscare l'origine dei tentativi di accesso, consentendo agli attaccanti di eludere le misure di sicurezza,

3. Dump di credenziali: elenchi di credenziali rubate da precedenti violazioni di dati vengono venduti o condivisi nel dark web, dando accesso immediato agli attaccanti a nomi utente e password.

Quali sono alcuni attacchi recenti di credential stuffing degni di nota?

Il credential stuffing rimane una seria minaccia per le aziende in molti settori, con attaccanti che riescono a compromettere gli account sfruttando credenziali di accesso rubate. Negli ultimi anni, diverse aziende di alto profilo sono diventate vittime di questi tipi di attacchi, illustrando la diffusione e la natura continua del problema. Esploriamo tre esempi recenti:

1. PayPal (2022)

Nel dicembre 2022, PayPal è stata presa di mira in un attacco di credential stuffing che ha compromesso quasi 35.000 account. Gli attaccanti hanno utilizzato credenziali ottenute da violazioni su siti web non correlati per ottenere accesso non autorizzato agli account PayPal. 

Sebbene PayPal abbia confermato che non c'erano prove di abuso di dati dei clienti, ha offerto agli utenti colpiti un abbonamento di due anni al servizio di monitoraggio dell'identità di Equifax come precauzione. Questo incidente sottolinea l'importanza di abilitare l'autenticazione a due fattori (2FA), che aggiunge un ulteriore strato di protezione contro il credential stuffing.

2. 23andMe (2023)

Alla fine del 2023, la compagnia di test genetici 23andMe ha rivelato che un attacco di credential stuffing aveva portato al furto di informazioni personali da milioni dei suoi utenti. I dati rubati includevano nomi, foto profilo, genere, date di nascita, e persino risultati di ascendenza genetica. 

Secondo 23andMe, gli attaccanti probabilmente hanno ottenuto le credenziali di accesso da altre piattaforme dove gli utenti avevano riutilizzato le loro password. Questo caso evidenzia i pericoli del riutilizzo delle credenziali di accesso su più servizi, rendendo più facile per gli attaccanti compromettere gli account.

3. Zoom (2020)

Nel 2020, Zoom ha subito un significativo attacco di credential stuffing, compromettendo oltre 500.000 account utente. Gli attaccanti hanno utilizzato credenziali provenienti da violazioni risalenti fino al 2013, molte delle quali probabilmente sono state vendute nel dark web. 

Grazie alla diffusa pratica di riutilizzo delle password, gli attaccanti sono riusciti ad accedere a questi account utilizzando uno strumento di "verifica credenziali". Questo attacco serve da severo promemoria della necessità per gli utenti di aggiornare e diversificare regolarmente le proprie password per proteggere i propri account da compromissioni.

Come influisce il credential stuffing sulla tua azienda?

Il credential stuffing può causare danni significativi sia alle aziende che ai loro utenti, con conseguenze che influiscono sulla stabilità finanziaria, sulla fiducia dei clienti e sull'efficienza operativa.

1. Perdite finanziarie per la tua azienda

Il credential stuffing spesso porta a transazioni fraudolente, che possono comportare perdite finanziarie dirette. Gli attaccanti che ottengono accesso a account utente possono avviare acquisti non autorizzati, manipolare punti fedeltà o sfruttare servizi in abbonamento. Queste attività possono comportare chargeback, rimborsi, e commissioni transazionali aggiuntive.

Per settori come l'e-commerce e i servizi finanziari, il costo di inversione delle attività fraudolente può accumularsi rapidamente, influenzando la redditività complessiva. Oltre a una perdita finanziaria immediata, le aziende possono anche affrontare premi assicurativi più elevati e la necessità di investire in sistemi di prevenzione delle frodi più robusti.

2. Perdita di fiducia e reputazione dei clienti

Quando gli account dei clienti vengono compromessi, questo influisce significativamente sulla fiducia degli utenti. I tuoi clienti si aspettano che i loro dati personali siano al sicuro, e una violazione può portarli a perdere fiducia nella tua piattaforma. Questo può comportare abbandoni dei clienti, con gli utenti che abbandonano il tuo servizio in favore dei concorrenti. Recensioni negative e il contraccolpo sui social media possono ulteriormente danneggiare la tua reputazione, rendendo più difficile attrarre nuovi utenti o mantenere quelli esistenti. 

Per le aziende in settori altamente competitivi come social media, finanza e e-commerce, il danno reputazionale di un attacco di credential stuffing può avere effetti a lungo termine sulla lealtà al marchio.

3. Interruzione operativa e aumento dei costi

Gli attacchi di credential stuffing portano spesso a un aumento delle richieste di supporto dei clienti poiché gli utenti segnalano attività non autorizzate sui loro account. Gestire takeover degli account, elaborare reimpostazioni delle password e risolvere i reclami degli utenti comporta un pesante onere per i team di assistenza clienti. Questo aumento delle richieste di supporto può mettere a dura prova le tue risorse, distogliendo l'attenzione dalle funzioni aziendali principali. 

Inoltre, le aziende devono investire in aggiornamenti di cybersecurity per prevenire attacchi futuri, il che può aumentare i costi operativi. Il tempo e lo sforzo richiesti per recuperare da un attacco su larga scala possono interrompere le operazioni normali e ritardare progetti o iniziative chiave.

Come rilevare gli attacchi di credential stuffing?

Rilevare gli attacchi di credential stuffing precocemente è cruciale per minimizzarne l'impatto. Tenendo d'occhio indicatori specifici, le aziende possono agire rapidamente per mitigare i danni. Ecco tre segni chiave da osservare:

1. Aumento dei tentativi di accesso falliti

Uno dei segni più evidenti di un attacco di credential stuffing è un improvviso picco nei tentativi di accesso falliti. Poiché gli attaccanti utilizzano strumenti automatizzati per testare migliaia—o persino milioni—di credenziali rubate, il tuo sistema registrerà un aumento anomalo dei fallimenti di accesso. 

Questo modello comporta spesso più tentativi falliti dallo stesso indirizzo IP o su numerosi account utente. Monitora tali impennate è essenziale per identificare un attacco in corso.

2. Attività insolita sugli account utente

Gli utenti possono segnalare attività strane o non autorizzate sui loro account, come transazioni che non hanno effettuato, modifiche nei dettagli del profilo o accesso da dispositivi non familiari. Gli attaccanti che compromettono con successo gli account tramite credential stuffing spesso li utilizzano per compiere azioni fraudolente, come effettuare acquisti o manipolare le impostazioni dell'account. 

Implementare strumenti per rilevare anomalie nel comportamento degli utenti può aiutare a segnalare attività sospette precocemente.

3. Modifiche inaspettate alle informazioni dell'account

Una volta che gli attaccanti ottengono accesso a un account, possono tentare di bloccare l'utente legittimo modificando dettagli chiave come indirizzi e-mail o numeri di telefono. Queste modifiche inattese possono essere un campanello d'allarme, soprattutto se si verificano dopo più tentativi di accesso falliti.

Monitorare per modifiche improvvise alle informazioni dell'account, in particolare dopo attività di accesso sospette, può aiutare a prevenire ulteriori danni.

Come prevenire gli attacchi di credential stuffing per proteggere i tuoi utenti?

Prevenire il credential stuffing richiede un approccio multilivello. Ecco alcune strategie chiave:

1. Imporre politiche sulle password forti

Incoraggia gli utenti a creare password forti e uniche che siano difficili da indovinare. Le password dovrebbero essere una combinazione di lettere, numeri e simboli. Ricorda agli utenti di evitare di riutilizzare le password su diverse piattaforme.

2. Educare gli utenti sulla consapevolezza della sicurezza

Proprio come l'industria bancaria ricorda frequentemente ai clienti di non condividere mai le proprie password, le aziende dovrebbero educare i propri utenti sull'importanza della sicurezza delle password. Promemoria regolari sul non riutilizzo delle password e sul seguire le migliori pratiche possono fare molto per prevenire gli attacchi di credential stuffing.

3. Implementare meccanismi di blocco degli account

I meccanismi di blocco degli account possono prevenire i bot automatizzati dal fare tentativi di accesso continui. Dopo un certo numero di tentativi di accesso falliti, il blocco temporaneo dell'account aiuta a impedire ulteriori tentativi fino a quando l'utente verifica la propria identità.

4. Utilizzare CAPTCHA – con limitazioni

Il CAPTCHA può aiutare a bloccare i bot da tentativi di accesso automatizzati, ma non è una soluzione perfetta. I CAPTCHA possono influire negativamente sull'esperienza utente e sui tassi di conversione, e i bot sofisticati possono talvolta eluderli utilizzando tecniche avanzate. Abbiamo esplorato ulteriormente queste limitazioni qui

.

5. Autenticazione a più fattori (MFA)

L'autenticazione a più fattori (MFA) aggiunge un ulteriore strato di sicurezza richiedendo agli utenti di verificare la propria identità attraverso un secondo fattore, come una password monouso (OTP) inviata via SMS. Questo rende significativamente più difficile per gli attaccanti accedere agli account, anche se hanno le credenziali corrette.

Il credential stuffing è una minaccia seria e in crescita, ma implementando politiche di password robuste, educando gli utenti e utilizzando l'autenticazione a più fattori, le aziende possono ridurre significativamente il rischio. Prevenire questi attacchi protegge sia i tuoi utenti che la tua azienda da perdite finanziarie e danni reputazionali.