Il credential stuffing è l’uso automatizzato dei nomi utente e delle password per ottenere un accesso fraudolento agli account utente. Miliardi di credenziali di accesso sono finite nelle mani degli hacker negli ultimi anni a seguito di violazioni dei dati. Queste credenziali alimentano l’economia sommersa e vengono utilizzate per qualsiasi cosa, dallo spam al phishing e al furto di account. Gli attacchi di credential stuffing sono uno dei modi più comuni in cui i criminali informatici abusano di nomi utente e password rubati.

Si tratta di una tecnica di attacco brute force, ma invece di cercare di indovinare le password utilizzando “dizionari” di combinazioni di parole comuni, gli aggressori utilizzano elenchi di credenziali note ottenute da violazioni dei dati. Il risultato sono attacchi molto più facili da eseguire e che hanno una percentuale di successo più elevata perché un gran numero di persone continua a riutilizzare le proprie password su diversi siti Web; in questo modo le credenziali rubate da un sito Web di basso profilo hanno un’alta probabilità di funzionare su servizi che mantengono dati più sensibili.

Statistiche del credential stuffing

HaveIBeenPwned.com (HIBP), un servizio gratuito di notifica della violazione dei dati gestito dal ricercatore di sicurezza Troy Hunt, tiene traccia di oltre 8,5 miliardi di credenziali compromesse da oltre 410 violazioni di dati. Il servizio include solo credenziali da set di dati pubblici o ampiamente distribuiti su forum clandestini, ma molti dump di database sono rimasti privati e sono disponibili solo per piccoli gruppi di hacker.

Un’intera economia sommersa basata sulla vendita di credenziali rubate e strumenti specializzati supporta gli attacchi automatici di credential stuffing. Questi strumenti utilizzano i cosiddetti “elenchi combinati” che sono stati messi insieme da diversi set di dati dopo che le password con hash trovate nei database trapelati sono state violate. Ciò significa che il lancio di tali attacchi non richiede abilità o conoscenze speciali e può essere eseguito praticamente da chiunque abbia poche centinaia di dollari per acquistare strumenti e dati.

Nel 2020, Akamai, società di distribuzione di contenuti e sicurezza, ha rilevato 193 miliardi di attacchi di credential stuffing a livello globale. Ciò rappresenta un aumento del 360% rispetto al 2019, sebbene parte di tale aumento corrisponda a un numero maggiore di clienti Akamai monitorati. Alcuni settori sono stati presi di mira più di altri; ad esempio, il solo settore dei servizi finanziari ha subito 3,45 miliardi di attacchi di credential stuffing.

Il report di Akamai, pubblicato a maggio 2021, ha rilevato diversi picchi nel volume degli attacchi di credential stuffing, incluso un giorno alla fine del 2020 che ha visto oltre un miliardo di attacchi. “Milioni di nuovi nomi utente e password, legati a diversi attacchi degni di nota nel primo e secondo trimestre del 2020, così come alcuni nel terzo trimestre, hanno iniziato a circolare tra i criminali su diversi forum. Una volta che queste credenziali compromesse sono state messe in circolazione, sono state ordinate e testate contro diversi istituti finanziari e non solo”, si legge nel report.

Come rilevare il credential stuffing

Gli attacchi di credential stuffing vengono lanciati tramite botnet e strumenti automatizzati che supportano l’uso di proxy che distribuiscono le richieste non autorizzate su diversi indirizzi IP. Inoltre, gli aggressori spesso configurano i loro strumenti per imitare user agent legittimi.

cso_passwords_passcodes_by_gerd-altmann_cc0_via_pixabay_1200x800-100802490-large

Tutto ciò rende molto difficile per i difensori distinguere tra attacchi e tentativi di accesso legittimi, specialmente su siti Web ad alto traffico in cui un afflusso improvviso di richieste di accesso non risulta insolito. Detto questo, un aumento del tasso di errore di accesso in un breve periodo di tempo può essere un segno rivelatore che è in corso un attacco di credential stuffing.

Sebbene alcuni firewall e servizi di applicazioni Web commerciali utilizzino tecniche comportamentali più avanzate per rilevare tentativi di accesso sospetti, i proprietari di siti Web possono adottare misure per prevenire tali attacchi.

Come prevenire e mitigare il credential stuffing

Una mitigazione efficace consiste nell’implementare e incoraggiare l’uso dell’autenticazione a più fattori (MFA). Anche se alcuni strumenti automatici di phishing e di acquisizione dell’account possono aggirare l’MFA, questi attacchi richiedono più risorse e sono più difficili da eseguire in massa rispetto al credential stuffing.

Poiché l’MFA ha un costo di usabilità, molte organizzazioni lo forniscono come opzione che gli utenti devono attivare. Se rendere obbligatorio l’MFA per tutti gli account utente è considerato troppo dannoso per le aziende, un compromesso è abilitarlo automaticamente per gli utenti che sono maggiormente a rischio, ad esempio dopo un numero insolitamente elevato di tentativi di accesso falliti sui propri account.

Anche le grandi aziende hanno iniziato a essere proattive monitorando i dump di dati pubblici e verificando se gli indirizzi e-mail interessati esistono anche nei loro sistemi. Per quegli account che si trovano sui loro servizi, anche se sono stati compromessi altrove, forzano la reimpostazione della password e suggeriscono vivamente di abilitare l’MFA.

Le aziende che desiderano sapere se gli account impostati dai propri dipendenti con le e-mail di lavoro sono stati colpiti da violazioni esterne possono utilizzare servizi come HIBP per impostare avvisi per i loro interi nomi di dominio. L’API pubblica di HIBP è stata persino utilizzata per sviluppare script in vari linguaggi di programmazione che possono essere integrati in siti Web o app mobile.

Infine, “l’igiene delle password” dovrebbe far parte della formazione dei dipendenti sulla consapevolezza della sicurezza di qualsiasi azienda e la pratica del riutilizzo continuo delle password dovrebbe quindi essere fortemente scoraggiata, sia al lavoro che a casa.

Gli utenti possono utilizzare i gestori di password per generare password univoche e complesse per ogni account online senza doverle ricordare. Alcune di queste applicazioni notificano automaticamente gli utenti se i loro indirizzi e-mail vengono rilevati nei dump di dati pubblici.

“Il credential stuffing continuerà a esistere”, conclude Akamai nel suo report. “Dal momento che non può essere fermato del tutto, dobbiamo preoccuparci di rendere il processo di ottenimento delle credenziali il più difficile possibile. Le password deboli e il riutilizzo delle password sono la rovina della sicurezza dell’account; non importa se parliamo di giochi, vendita al dettaglio, media e intrattenimento o qualsiasi altro settore. Se una password è debole o riutilizzata su più account, alla fine verrà compromessa. La consapevolezza di questi fatti deve aumentare, così come la promozione dei gestori di password e dell’autenticazione a più fattori”.