Il credential stuffing è un nuovo tipo di minaccia informatica che sfrutta un comportamento comune degli utenti: l'utilizzo della stessa password su numerosi account online. I criminali informatici sfruttano la vulnerabilità del credential stuffing utilizzando combinazioni di nomi utente e password rubati, spesso ottenuti da violazioni precedenti, e tentano automaticamente di effettuare accessi su larga scala su più piattaforme e servizi. Sebbene l'attacco possa differire dagli altri per il fatto che non coinvolge tecniche sofisticate come quelle utilizzate dagli hacker per entrare nei sistemi, il credential stuffing trae vantaggio dalla semplicità dell'errore umano, principalmente dal fatto che gli utenti non riescono a creare password uniche e sicure per ogni account di cui sono titolari.
L'attacco, tuttavia, ha fatto rabbrividire la maggior parte delle aziende di tutti i settori. Le più colpite sono quelle che gestiscono informazioni sensibili dei clienti o transazioni finanziarie. Un credential stuffing riuscito potrebbe rivelarsi un colpo mortale per qualsiasi azienda. Per le aziende, l'impatto è multiforme: possono subire perdite finanziarie significative a causa di frodi o transazioni non autorizzate, incorrere in costosi danni alla reputazione a causa dell'erosione della fiducia nel loro marchio ed essere potenzialmente soggette a sanzioni legali e normative se non riescono a salvaguardare i dati degli utenti in conformità con le leggi sulla protezione dei dati, come il Regolamento generale sulla protezione dei dati (GDPR) o il California Consumer Privacy Act (CCPA). Infatti, nel 2018 e nel 2019, le minacce combinate di phishing e credential stuffing hanno costituito circa la metà di tutte le violazioni rese pubbliche negli Stati Uniti.
In questo articolo approfondiamo tutti i dettagli del credential stuffing, comprendendone il funzionamento, le differenze rispetto ad altri tipi di attacchi simili e le misure relative al suo rilevamento, alla sua prevenzione e alla risposta.
Che cos'è il credential stuffing?
Il credential stuffing è un attacco in cui gli aggressori utilizzano credenziali, nomi utente e password rubati, ottenuti da una piattaforma, per ottenere l'accesso non autorizzato agli account su un'altra piattaforma. Poiché molti utenti riutilizzano le stesse credenziali su diversi siti, questo metodo risulta molto efficace per i ladri informatici.
Gli aggressori in genere eseguono questi attacchi con script o bot per inviare decine di milioni di tentativi di accesso a migliaia di siti diversi. Una volta che un aggressore riesce ad accedere a un account, può utilizzarlo per ulteriori attività illecite, come il furto di identità o la frode, o persino scambiare le credenziali dell'account sul dark web.
Credential Stuffing vs Attacchi Brute Force
Sebbene sia il credential stuffing che gli attacchi brute force rientrino nella categoria degli attacchi informatici, in realtà riguardano lo stesso problema: tentativi di accesso non autorizzati agli account degli utenti. Tuttavia, la differenza tra i due metodi, sebbene a prima vista molto simili, risiede nella loro implementazione.
- Credential stuffing: Il credential stuffing è un attacco su larga scala. In questo caso, i criminali informatici rubano i nomi utente e le password acquisiti in precedenti violazioni dei dati. Queste informazioni sono solitamente in vendita sul dark web o scambiate all'interno di forum di hacker. Gli aggressori provano queste combinazioni di login con strumenti di automazione come i bot su vari siti e servizi, sperando che gli utenti abbiano utilizzato le stesse credenziali per altri siti e, nella maggior parte dei casi, le persone riutilizzano le loro password per varie applicazioni. La maggior parte delle persone tende a mantenere le stesse password per diverse applicazioni e quindi gli aggressori possono facilmente accedere agli account sfruttando la riutilizzabilità delle password, con poco sforzo da parte loro. Sotto questo aspetto, il credential stuffing è essenzialmente una questione di quantità piuttosto che di qualità, perché si basa sul phishing per individuare password poco sicure e semplicemente cercare di violare il maggior numero possibile di account.
- Attacco di forza bruta: Rispetto a questo, l'attacco di forza bruta è più mirato e laborioso. Gli aggressori non si basano su credenziali rubate, ma cercano di indovinare la password dell'utentetentando diverse combinazioni di lettere, numeri e simboli fino a trovare quella giusta. Ciò può essere fatto manualmente o, più comunemente, utilizzando strumenti automatizzati che generano rapidamente centinaia di possibili password. Gli attacchi di forza bruta colpiscono un solo account, non centinaia, rendendoli quindi meno efficaci nel violare un sistema di grandi dimensioni. Inoltre, a causa dei numerosi tentativi falliti, è probabile che l'attacco venga individuato prima piuttosto che dopo, proprio come una schermata CAPTCHA o un blocco dell'account impedirebbero all'aggressore di violare l'account.
Impatto del credential stuffing sulle aziende
Il credential stuffing può causare danni estremamente gravi alle aziende, con una serie di conseguenze relative alla stabilità finanziaria, alla fiducia dei clienti e al rispetto delle norme.
- Perdita monetaria: L'impatto più evidente è la perdita monetaria. Gli attacchi di credential stuffing riusciti portano a transazioni fraudolente, furti di dati e frodi. L'azienda subisce anche perdite significative sotto forma di costi di mitigazione, poiché deve rimborsare i clienti interessati, rintracciare le violazioni attraverso indagini adeguate e implementare alcuni miglioramenti della sicurezza. Ciò può comportare milioni di dollari per una grande organizzazione in un periodo di tempo molto breve.
- Danno alla reputazione: Le violazioni dovute al credential stuffing causano l'erosione della fiducia dei clienti. In caso di violazione, la notizia si diffonde rapidamente e i clienti perdono fiducia nella capacità dell'azienda di proteggere le informazioni personali. Ciò può portare alla perdita di clienti, compromettere la fedeltà al marchio e vanificare gli sforzi per attirare nuovi clienti, con conseguenze a lungo termine per le aziende.
- Interruzione delle attività operative: L'interruzione operativa è un'altra preoccupazione fondamentale. Un attacco di credential stuffing spesso comporta il reindirizzamento delle competenze chiave dell'azienda dal suo business al lavoro di gestione e investigativo. Ciò si traduce in tempi di inattività, aumento delle spese operative e pressione sui servizi di assistenza clienti, che rispondono alle domande e risolvono i problemi degli utenti interessati. La necessità di rafforzare la sicurezza e correggere le falle può anche causare brevi periodi di rallentamento dei processi aziendali.
Obiettivi comuni degli attacchi di credential stuffing
Alcuni settori sono presi di mira perché il valore dei dati a cui si è ottenuto l'accesso è elevato e l'autore dell'attacco può facilmente monetizzarli.
Ecco alcuni degli obiettivi più comuni di questo tipo di attacchi:
- Istituzioni finanziarie: uno dei settori più appetibili per gli attacchi alle istituzioni finanziarie è il credential stuffing. I siti di online banking, i processori di pagamento e i servizi fintech detengono informazioni finanziarie sensibili; pertanto, l'incentivo ad attaccare questi obiettivi è molto alto per gli aggressori. Una volta che i criminali informatici ottengono l'accesso a un account, possono rubare denaro, effettuare transazioni non autorizzate o vendere tali account ad altri criminali. Poiché esiste la possibilità diretta di furto nei conti finanziari, gli istituti finanziari sono spesso presi di mira e il credential stuffing funge spesso da precursore di gravi frodi finanziarie.
- Siti di e-commerce: L'altra area più presa di mira è quella dei negozi online o dei siti web di e-commerce. Gli aggressori prendono di mira i rivenditori online per ottenere l'accesso agli account dei clienti che contengono informazioni sui pagamenti, dettagli di spedizione o numeri di carte di credito memorizzati. Una volta ottenute, gli aggressori possono effettuare acquisti non autorizzati, rubare punti fedeltà o modificare i dettagli dell'account per portare avanti la pratica fraudolenta. Il fatto che le piattaforme di e-commerce siano piene di account utente potenzialmente sfruttabili le rende più vulnerabili agli attacchi di credential stuffing.
- Piattaforme di social media: spesso gli account dei social media sono presi di mira. Dopo aver violato un account di social media, gli aggressori rubano informazioni personali e utilizzano ulteriormente l'account per diffondere malware, link di phishing o altri contenuti dannosi. Un aggressore può continuare a impersonare il proprietario dell'account, convincendo i contatti a fornire informazioni sensibili o a diventare vittime di determinate truffe, dopo aver ottenuto l'accesso a un account social media. Infatti, data la popolarità dei social media in tutto il mondo, un attacco di credential stuffing riuscito potrebbe avere conseguenze gravi.
Come funziona il credential stuffing?
Il credential stuffing è una forma di attacco informatico sistematico e automatizzato che sfrutta l'uso di credenziali di accesso compromesse su più piattaforme. L'attacco si svolge tipicamente in una serie di fasi, con gli aggressori che sfruttano strumenti e risorse facilmente disponibili per eseguire tentativi di accesso su larga scala.
Ecco come funziona solitamente il credential stuffing:
- Acquisizione delle credenziali: In un attacco di credential stuffing, l'acquisizione delle credenziali di accesso rubate avviene solitamente sotto forma di combinazioni di nomi utente e password. Questi account vengono solitamente ottenuti da precedenti violazioni, operazioni di phishing o acquistati su siti web darknet. Molte di queste credenziali vengono divulgate in enormi fughe di dati, che a volte ammontano a milioni di credenziali di account. Attraverso questi elenchi, gli aggressori fanno affidamento sulla semplice possibilità che gli utenti possano aver utilizzato le stesse credenziali di accesso altrove.
- Tentativi di accesso automatizzati: Una volta ottenute queste credenziali, gli hacker generano automaticamente tentativi di accesso su un vasto elenco di siti web e applicazioni online. Questi bot possono effettuare migliaia di tentativi di accesso in pochi secondi, inserendo coppie di nomi utente/password rubati su una serie di servizi come siti di online banking, siti di e-commerce, siti di social network e molti altri. L'automazione è fondamentale per il credential stuffing, poiché consente agli aggressori di colpire più account in pochissimo tempo e con il minimo sforzo. L'idea è quella di testare il maggior numero possibile di credenziali per trovare quelle che corrispondono.
- Accessi riusciti: Se una delle credenziali rubate corrisponde a una su una piattaforma diversa, l'autore dell'attacco ottiene l'accesso non autorizzato all'account. Si tratta della fase di base in cui il credential stuffing si differenzia dagli attacchi di forza bruta, poiché il credential stuffing si basa su credenziali di accesso valide, mentre l'attacco di forza bruta prova combinazioni di password casuali. Poiché la maggior parte delle persone utilizza la stessa password per accedere a piattaforme diverse e vengono testate grandi quantità di credenziali, le possibilità di trovare una corrispondenza sono molto elevate.a> perché il credential stuffing si basa su credenziali di accesso valide, mentre l'attacco brute force prova combinazioni di password casuali. Poiché la maggior parte delle persone utilizza la stessa password per accedere a piattaforme diverse e vengono testate grandi quantità di credenziali, le possibilità di trovare una corrispondenza sono relativamente elevate.
- Ulteriore sfruttamento: una volta che l'autore dell'attacco ha effettuato l'accesso con l'account riutilizzato, esistono diversi modi per sfruttare l'account compromesso. A seconda del tipo di account compromesso, è possibile rubare informazioni private sensibili, informazioni finanziarie o informazioni di pagamento. Nel caso di una piattaforma di e-commerce, potrebbero effettuare acquisti o trasferimenti non autorizzati. Inoltre, gli hacker venderebbero l'accesso a questi account compromessi o semplicemente li utilizzerebbero per effettuare ulteriori attacchi come il phishing, la diffusione di malware e altri tentativi di credential stuffing. Gli account degli abbonati potrebbero anche essere rivenduti per servizi in abbonamento, in modo che altre persone possano utilizzarli per consumare contenuti a pagamento gratuiti.
Come reagire a un incidente di credential stuffing?
Quando viene rilevato un attacco di credential stuffing, è fondamentale agire in modo rapido e deciso per limitare i danni e proteggere gli account degli utenti.
Ecco come reagire in modo efficace:
- Bloccare gli account compromessi: Dopo aver scoperto che l'account è stato compromesso, la prima azione da intraprendere è bloccare gli account compromessi. Assicurarsi che gli utenti compromessi cambino immediatamente le loro password. Prevenire ulteriori sfruttamenti chiudendo gli account di accesso fino a quando un utente non è in grado di identificarsi e reimpostare la propria password.
- Monitorare le attività insolite: Monitorare i cambiamenti nel comportamento dell'account e nell'attività di accesso. Identifica i segnali di allarme, come picchi nei tentativi di accesso, accessi da indirizzi IP sconosciuti o transazioni sospette. Utilizza strumenti automatizzati per segnalare attività fuori dalla norma e supportare l'identificazione in tempo reale delle vulnerabilità.
- Informa gli utenti interessati: Sii trasparente. Contatta in tempo reale tutti gli utenti interessati dagli account compromessi e chiedi loro di modificare tutte le password utilizzate altrove. Suggerisci all'utente di attivare l'autenticazione a più fattori (MFA), che impedirà ulteriori attacchi grazie a un ulteriore livello di protezione.
- Implementa miglioramenti alla sicurezza: Aggiungere ulteriori controlli per rafforzare le difese contro gli attacchi. Implementare blacklist IP, bloccando le fonti note di malintenzionati; sfide CAPTCHA, per bloccare i bot automatizzati; e miglioramenti generali al monitoraggio della sicurezza. Rivedere le procedure di accesso e applicare limitazioni di frequenza per bloccare attacchi automatizzati su larga scala.
Come rilevare i tentativi di credential stuffing?
Il rilevamento tempestivo dei tentativi di credential stuffing è fondamentale per limitare i danni che possono causare e richiede una combinazione di strumenti tecnici avanzati, protocolli di sicurezza e monitoraggio attento.
Le organizzazioni possono quindi rilevare e rispondere ai tentativi di credential stuffing monitorando questi segnali e utilizzando tecnologie di sicurezza pertinenti.
Alcuni dei metodi chiave per rilevare tali attacchi includono:
- Picco di accessi non riusciti: L'indicatore più evidente del credential stuffing è un improvviso picco di tentativi di accesso non riusciti. Poiché gli aggressori utilizzano credenziali rubate su più account, molte di queste non corrispondono agli utenti esistenti o sono addirittura obsolete, causando più accessi non riusciti. Questo è anche l'indicatore più critico da monitorare, perché spesso indica che un bot automatizzato sta inviando spam con combinazioni di nome utente e password a una velocità molto elevata.
- Modelli di accesso geografici insoliti: Gli attacchi di credential stuffing spesso includono tentativi di accesso da numerose località geografiche in un periodo di tempo sorprendentemente breve. Per nascondere la loro attività, gli aggressori potrebbero utilizzare bot situati in un gran numero di regioni o paesi. Ciò crea situazioni in cui gli account indicano accessi da più località, spesso sconosciute all'utente. Pertanto, prestate attenzione agli account che mostrano questo tipo di anomalie geografiche.
- Aumento dell'uso di bot: Gli attacchi vengono tipicamente effettuati utilizzando bot automatizzati progettati per tentare un numero elevato di accessi in rapida successione. Il rilevamento di attività non umane è fondamentale per individuare questi attacchi. Gli strumenti di analisi del traffico sono in grado di identificare comportamenti simili a quelli dei bot, come tentativi di accesso estremamente rapidi, modelli di richiesta insoliti o attività che aggirano i controlli CAPTCHA. Le soluzioni di rilevamento dei bot o l'analisi comportamentale possono segnalare tentativi di accesso anomali, dando agli amministratori di sistema il tempo necessario per adottare misure di mitigazione e bloccare le attività dannose prima che compromettano gli account.
Migliori pratiche per la prevenzione del credential stuffing
Si consiglia alle aziende di adottare varie forme di migliori pratiche di sicurezza che rafforzino la protezione degli account e riducano al minimo la vulnerabilità al credential stuffing. Queste misure sono volte a bloccare i tentativi di accesso automatizzati, promuovere buone pratiche relative alle password e aggiungere livelli di difesa.
Alcune best practice per prevenire un attacco di credential stuffing includono quanto segue:
- Autenticazione a più fattori (MFA): La difesa più efficace contro gli attacchi di credential stuffing è l'autenticazione a più fattori (MFA). L'autenticazione a più fattori aggiunge un ulteriore livello di protezione, poiché richiede una forma di verifica aggiuntiva oltre alla semplice password, come l'inserimento di un codice monouso inviato al telefono dell'utente, un fattore biometrico, come il riconoscimento delle impronte digitali, o una notifica push. Anche se gli aggressori riescono a ottenere credenziali di accesso valide, non possono accedere a nessuno degli account senza un secondo fattore o autenticazione. Ciò rende molto più difficile per gli aggressori compromettere gli account degli utenti.
- Limitazione della frequenza: Si tratta di una tecnica che consente di limitare il numero di tentativi di accesso provenienti da un determinato indirizzo IP o utente entro un certo periodo di tempo. Le aziende ridurranno drasticamente l'efficacia di questi attacchi di credential stuffing limitando il numero di tentativi di accesso che possono essere effettuati in un lasso di tempo molto breve. La limitazione della frequenza rallenta gli aggressori e rende i test su larga scala delle credenziali più complicati e meno efficienti.
- Sfide CAPTCHA: Una delle difese più efficaci contro gli attacchi di credential stuffing è l'inserimento di sfide CAPTCHA nei processi di accesso. I CAPTCHA vengono utilizzati per distinguere gli esseri umani dai bot, richiedendo all'utente di risolvere semplici enigmi e completare compiti facili per un essere umano, ma difficili per un sistema automatizzato. Ciò riduce i tentativi dei bot di accedere agli account in modo ripetitivo, con conseguente riduzione delle opportunità di manomissione degli account. I CAPTCHA sono ancora più utili se abbinati alla limitazione della frequenza e ad altre tecnologie di rilevamento dei bot.
- Politiche di sicurezza delle password: Ciò è necessario per prevenire gli attacchi basati sul credential stuffing. Le organizzazioni devono disporre di politiche che obblighino gli utenti a creare password complesse, difficili da indovinare o decifrare. Ad esempio, le organizzazioni devono richiedere l'uso di lettere maiuscole e minuscole, numeri e caratteri speciali. Le aziende devono inoltre incoraggiare gli utenti a cambiare frequentemente la password, in modo che non utilizzino la stessa password per una serie di account. Forse la migliore pratica per ridurre al minimo la compromissione degli account è quella di istruire gli utenti sulla creazione di password robuste e uniche.
- Monitoraggio e rilevamento delle anomalie: È necessario un monitoraggio continuo dei tentativi di accesso e del comportamento degli utenti, poiché i meccanismi di rilevamento e risposta funzionano in tempo reale contro gli attacchi di credential stuffing. Il sistema di rilevamento delle anomalie è utile anche per segnalare modelli sospetti, come tentativi insoliti di accesso in gran numero dallo stesso indirizzo IP o diversi tentativi di accesso non riusciti per un unico account. Alcune organizzazioni utilizzano avvisi per attività sospette e informano gli utenti che i loro account sono stati bloccati e sottoposti a processi di verifica più rigorosi per un certo periodo.
Attacchi di credential stuffing: esempi reali
In questa sezione esploreremo alcuni attacchi di credential stuffing reali, insieme ai metodi utilizzati dagli aggressori, all'impatto sulle vittime e alle lezioni apprese per amplificare le misure di sicurezza. Uno dei casi più significativi è quello di Nintendo, che nel 2020 è stata colpita da un grave attacco di credential stuffing, dimostrando i pericoli associati al riutilizzo delle credenziali e l'importanza di adottare solide pratiche di sicurezza.
- Nintendo: Nel 2020, Nintendo ha subito uno degli attacchi di credential stuffing più dannosi dopo che gli hacker hanno sfruttato dati di accesso già compromessi e utilizzato strumenti crimeware di nicchia per accedere senza autorizzazione a migliaia di account utente. Tuttavia, la compromissione effettiva ha riguardato circa 160.000 account, poiché gli hacker hanno utilizzato elenchi di nomi utente e password che erano diventati pubblici dopo altre violazioni. Molti di loro utilizzavano un unico login per il loro Nintendo Network ID, da qui la facilità con cui gli aggressori sono riusciti ad accedere a tali account.
- Spotify: Nel 2020, Spotify ha subito un massiccio attacco di credential stuffing che ha compromesso milioni di account. Gli hacker hanno utilizzato nomi utente e password trapelati da precedenti violazioni dei dati che consentivano di accedere illegittimamente agli account degli utenti di Spotify. Questo è stato uno dei tanti attacchi di credential stuffing, in cui i criminali informatici hanno sfruttato un modello fin troppo comune tra molti utenti, ovvero riutilizzare la stessa password su più servizi. Una volta ottenute le credenziali trapelate, gli aggressori hanno utilizzato strumenti automatizzati e bot per tentare di accedere in massa agli account Spotify. La maggior parte degli utenti Spotify riutilizzava password di altri servizi che erano stati violati, rendendo i propri account vulnerabili al furto.
- Il dilemma di Deliveroo: Anche Deliveroo, un altro gigante della consegna di cibo a domicilio, non è rimasto immune agli attacchi di credential stuffing. Transazioni misteriose sono apparse sugli account dei clienti e diversi utenti si sono lamentati di ordini sconosciuti effettuati in diverse località in tutto il mondo. Gli hacker hanno utilizzato proprio queste credenziali per violare diversi account utente, sfruttando il fatto che la piattaforma non aveva abilitato l'autenticazione a più fattori per proteggere gli account degli utenti. La facilità con cui gli aggressori sono riusciti a violare gli account dei clienti ha causato danni finanziari e anche una perdita di fiducia nel marchio. È stato proprio questo evento a rivelare la necessità di rafforzare ulteriormente le misure di sicurezza su questi canali, tra cui l'autenticazione a due fattori, per impedire l'accesso non autorizzato agli account.
- La violazione di Ticketfly: Nel 2018, gli hacker hanno ottenuto l'accesso ai dati di circa 27 milioni di account Ticketfly dopo un attacco di credential stuffing. Hanno sfruttato una vulnerabilità del sito web per ottenere l'accesso non autorizzato a migliaia di account di consumatori e organizzatori di eventi. La violazione ha portato alla divulgazione di informazioni sensibili a persone non autorizzate, tra cui nomi utente, indirizzi e-mail e password con hash. La violazione di Ticketfly evidenzia la necessità per le aziende di rivedere regolarmente le proprie misure di sicurezza, correggere le vulnerabilità e sollecitare gli utenti ad adottare buone pratiche di gestione delle password.
Cybersicurezza alimentata dall'intelligenza artificiale
Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.
Richiedi una demoConclusione
Il credential stuffing è una minaccia informatica in rapida crescita contro la quale le aziende devono agire in modo proattivo per garantire la sicurezza delle loro operazioni, dei dati dei clienti e della loro reputazione. Poiché la maggior parte degli autori di attacchi informatici utilizza ormai credenziali di accesso rubate a seguito di varie violazioni, le aziende sono esposte a un rischio elevato di appropriazione indebita di account, perdite finanziarie e interruzioni operative. La buona notizia è che questi rischi possono essere notevolmente ridotti adottando pratiche e soluzioni di sicurezza efficaci.
Comprendere come funzionano gli attacchi di credential stuffing e come è possibile mettere in atto meccanismi di difesa, come MFA, limitazione della frequenza, sfide CAPTCHA e monitoraggio regolare della sicurezza, può ridurre la possibilità di accessi non autorizzati. Con la tecnologia giusta a sostegno di questi sforzi, le aziende possono sempre stare un passo avanti ai criminali informatici e mantenere al sicuro i propri sistemi, account e dati.
"FAQs
Il credential stuffing e il password spraying sono due forme di sfruttamento delle password deboli. Tuttavia, la strategia utilizzata è diversa. Il credential stuffing utilizza nomi utente e password specifici rubati, solitamente da precedenti violazioni dei dati, per accedere a diversi siti con accesso non autorizzato.
Al contrario, il password spraying prevede che l'autore dell'attacco provi un numero limitato di password comunemente utilizzate, come "123456" o "password", su molti account per evitare di innescare il blocco degli account. Entrambe le tecniche si basano su password deboli o riutilizzate, ma in direzioni opposte.
La risposta migliore per sconfiggere il credential stuffing è un approccio a più livelli. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione oltre alla password, rendendo così molto più difficile l'accesso agli aggressori. Le sfide CAPTCHA aggiunte alle password per impedire ai bot di effettuare accessi di massa e il monitoraggio regolare dell'attività di accesso aiutano a rilevare i tentativi sospetti prima di altri. Tutti questi elementi insieme costituiscono i passi giusti verso la prevenzione.
Il credential stuffing non è un attacco DDoS. Un attacco DDoS attacca un servizio inviando un'enorme quantità di traffico, bloccando e rallentando il sistema. L'idea alla base di un attacco di credential stuffing è quella di tentare accessi mirati utilizzando credenziali dirottate con l'obiettivo di introdurre utenti non autorizzati piuttosto che interrompere i servizi.
Le aziende possono prevenire il credential stuffing eseguendo diversi passaggi chiave. L'abilitazione dell'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di confermare la propria identità attraverso metodi aggiuntivi. La limitazione della frequenza restringe il numero di tentativi di accesso da un singolo indirizzo IP, mentre i CAPTCHA aiutano a distinguere gli utenti umani dai bot.
Istruire gli utenti sulla creazione di password forti e uniche e abilitare i gestori di password aiuta anche a prevenire il riutilizzo delle password. Infine, il monitoraggio dei modelli di accesso per individuare attività insolite consente di rilevare tempestivamente e rispondere a potenziali attacchi.
I segni chiave di un attacco di credential stuffing includono:
- Picco nei tentativi di accesso non riusciti: Un aumento significativo dei tentativi di accesso non riusciti in un breve periodo di tempo è un indicatore comune, poiché gli aggressori testano lunghi elenchi di credenziali rubate.
- Accessi da località geografiche insolite: L'attività dell'account da località lontane dalla regione abituale dell'utente, in particolare da più località in un breve lasso di tempo, può essere un segno di credential stuffing.
- Aumento del traffico bot: Gli attacchi di credential stuffing sono spesso effettuati dai bot, quindi modelli insoliti di tentativi di accesso rapidi e automatizzati possono segnalare un attacco.
