Quando è stata l'ultima volta che hai perso la tua carta bancomat o il tuo PIN? Ora immagina cosa succederebbe se un malintenzionato trovasse i tuoi dati e li utilizzasse per prelevare contanti al supermercato. Il principio alla base di un attacco di credential stuffing è simile. Un hacker entra in possesso delle tue credenziali e le utilizza per violare i sistemi. Negli attacchi di forza bruta, gli hacker cercano di indovinare o decifrare la tua password. Ma il credential stuffing è diverso: in questo caso rubano le tue credenziali e non c'è bisogno di indovinare. Senza dubbio conosceranno le tue credenziali di accesso e cercheranno di utilizzarle su vari siti web e servizi.
Sapevi che oltre 24 miliardi di coppie di nomi utente e password circolano nei centri di criminalità informatica?
Per scoprire come prevenire gli attacchi di credential stuffing, continua a leggere la nostra guida. Ti aiuteremo.
Cosa sono gli attacchi di credential stuffing?
Il credential stuffing è un nuovo metodo con cui un hacker ottiene le tue credenziali e le usa per aggirare l'autorizzazione. Possono usare dei bot per automatizzare questi attacchi e lanciarli su larga scala. Il credential stuffing riutilizza i nomi utente e le password dell'utente su diversi account. Può tentare diversi accessi e aggirare più misure di sicurezza. Un attacco di credential stuffing può anche provenire da indirizzi IP diversi, il che può renderlo più difficile da rintracciare.
Come funziona il credential stuffing?
In senso stretto, il credential stuffing si verifica quando l'autore dell'attacco ottiene le credenziali dell'utente da un'app, una piattaforma o un servizio. Quindi cerca di utilizzare tali dati per dirottare e assumere il controllo di altri servizi. Immagina che riesca a ottenere il nome utente e la password del tuo account Google. In un attacco di credential stuffing, cercherà di utilizzare il tuo nome utente Google per accedere a YouTube, Netflix, Amazon e altri servizi.
Francamente, è faticoso accedere manualmente a più servizi. È qui che l'autore dell'attacco imposta dei bot e inserisce i tuoi dati per fare il suo lavoro. Questi bot possono accedere a vari account in parallelo, falsificare indirizzi IP e persino comunicare loro se le tue credenziali rubate funzionano su alcuni siti. Se non stai attento, possono anche raccogliere informazioni di identificazione personale, dati della carta di credito e altre informazioni sensibili.
I bot di credential stuffing possono memorizzare le informazioni per un uso successivo, il che significa che i tuoi dati possono essere salvati e compromessi. Non devono essere sottovalutati perché la portata e la durata del danno sono sconosciute.
Un hacker può acquistare illegalmente i tuoi dati dal dark web e utilizzarli per lanciare queste minacce. Potrebbe anche utilizzare strumenti automatizzati per eludere i sistemi di sicurezza, modificare le impostazioni del tuo account e bloccare altri utenti dalle reti e dai loro account. Un attacco di credential stuffing fornirà all'hacker informazioni sui diversi punti di accesso alla vostra infrastruttura. Se sono esperti, non verranno rilevati e rimarranno inattivi. Un'azienda potrebbe impiegare mesi per capire cosa sta succedendo dietro le quinte, finché non sarà troppo tardi.
Come rilevare gli attacchi di credential stuffing?
Il modo più semplice per rilevare gli attacchi di credential stuffing è utilizzare tecnologie di rilevamento delle minacce e di scansione basate sull'intelligenza artificiale (AI). È necessario implementare una piattaforma di accesso all'infrastruttura con controlli di gestione degli accessi. Il team IT deve acquisire un'ampia visibilità su tutte le credenziali, gli account e le attività degli utenti nelle applicazioni, nei database, nei server e nelle reti.
Verificare le autorizzazioni degli utenti nella propria azienda e implementare il modello di accesso con privilegi minimi. È necessario creare un'architettura di sicurezza di rete zero-trust che non consenta a nessuno di accedere facilmente. Non fidatevi mai, ma verificate sempre. Seguite questo mantra.
Esistono altri modi per identificare e rilevare gli attacchi di credential stuffing, che sono i seguenti:
- IAM, ovvero soluzioni di gestione delle identità e degli accessi basate sull'intelligenza artificiale, possono aiutare i professionisti della sicurezza a rilevare identità digitali insolite che si nascondono nelle reti e a ottenere maggiori informazioni sui tentativi di accesso insoliti.
- I sistemi automatizzati di rilevamento dei tentativi di accesso possono anche attivare avvisi istantanei e notifiche in tempo reale. Riceverete e-mail e promemoria su eventuali bot di credential stuffing che tentano di infiltrarsi.
Best practice per prevenire gli attacchi di credential stuffing
Per garantire la prevenzione degli attacchi di credential stuffing, è necessario adottare la mentalità del proprio avversario. Cercate di rivedere e aggiornare regolarmente i vostri protocolli, le vostre politiche e le vostre tecnologie di sicurezza e di tenervi informati sulle ultime tendenze in materia di sicurezza informatica.
Creare un piano di risposta agli incidenti che delinei le misure da adottare in caso di violazione dei dati. Il piano dovrebbe includere procedure per isolare e contenere le minacce, compresa la loro risoluzione. Dovrete anche capire come informare gli utenti interessati e le autorità competenti. I vostri dipendenti sono in prima linea nella vostra difesa, quindi è essenziale istruirli su questi attacchi.
Dovrebbero avere una solida comprensione, consapevolezza e apprendere le pratiche più recenti per evitare di cadere vittime del credential stuffing. Impegnatevi ad attuare solide politiche di protezione delle password e incoraggiate il vostro team a utilizzare password forti e uniche per ogni account. Non utilizzate le stesse combinazioni di nome utente e password su più servizi. È inoltre essenziale insegnare ai dipendenti a essere consapevoli delle pratiche di ingegneria sociale. Dovrebbero riconoscere i tentativi di furto d'identità e non divulgare i propri dati a estranei. È buona norma applicare politiche aziendali che impediscano la condivisione di dati aziendali o il caricamento di file su reti pubbliche non protette.
Utilizza metodi di autenticazione avanzati come l'autenticazione a più fattori . Aggiungete livelli di sicurezza e combinate l'autenticazione a più fattori con altre tecniche come il fingerprinting dei dispositivi e la biometria.
Le tecnologie di apprendimento automatico e intelligenza artificiale possono aiutarvi a rilevare questi attacchi analizzando grandi set di dati e flussi di traffico. Possono anche monitorare i comportamenti degli utenti e segnalare o rilevare anomalie nella protezione in tempo reale.
È necessario configurare l'intelligenza artificiale in modo che blocchi automaticamente gli indirizzi IP e disconnetta temporaneamente gli account se rileva attività sospette. Inoltre, è consigliabile utilizzare CAPTCHA e altri meccanismi di rilevamento dei bot che richiedono agli utenti di dimostrare di essere umani. Questi meccanismi fungeranno da gateway o barriera per prevenire il credential stuffing.
Altri metodi di rilevamento dei bot che possono fornire ulteriori difese sono la limitazione della velocità e il blocco degli IP.
È necessario adottare un approccio proattivo, collaborativo e iterativo per proteggere le risorse digitali e mantenere la fiducia dei clienti. Pertanto, è importante rivedere spesso le politiche, i metodi e i flussi di lavoro di sicurezza e rimanere aggiornati.
Migliorare l'intelligence sulle minacce
Scoprite come il servizio di caccia alle minacce WatchTower di SentinelOne può far emergere maggiori informazioni e aiutarvi a superare gli attacchi.
Per saperne di piùAttacchi di credential stuffing nel mondo reale
Ecco alcuni esempi reali di attacchi di credential stuffing:
- Paypal ha subito un massiccio attacco di credential stuffing tra il 6 e l'8 dicembre 2022. Gli hacker hanno rubato i nomi completi dei clienti, i numeri di previdenza sociale, i codici fiscali e i dettagli delle carte di credito e di debito. Sebbene Paypal abbia scoperto la violazione in ritardo, ha immediatamente adottato le migliori misure di sicurezza per colmare le lacune. Ha esortato gli utenti a cambiare le password e ad abilitare l'autenticazione a due fattori (2FA). Tuttavia, i loro account sono stati resi vulnerabili prima che potessero farlo, poiché gli hacker hanno riutilizzato le loro credenziali su servizi non correlati.
- L'attacco di credential stuffing a 23andMe è uno dei migliori esempi di attacchi di credential stuffing nel mondo reale. Ci insegna cosa succede quando non impariamo a prevenire gli attacchi di credential stuffing o non prestiamo attenzione. Gli hacker hanno preso di mira un'azienda statunitense che si occupa di test genetici e hanno avuto tutto il tempo per rubarne i dati. Hanno sottratto informazioni sul DNA, genotipi, alberi genealogici, indirizzi di residenza e date di nascita, colpendo oltre 6,9 milioni di utenti e i loro parenti. Dopo aver rubato le credenziali, le hanno vendute sul dark web. L'azienda ha finito per affrontare diverse azioni legali collettive da parte dei propri clienti.
- Okta ha avvertito i propri clienti che gli hacker hanno preso di mira la sua nuova funzionalità con attacchi di credential stuffing. Il 15 aprile 2024, ha identificato una serie di attacchi mirati ai propri endpoint. L'azienda ha informato i propri utenti e fornito indicazioni per porre rimedio al problema. Ha suggerito di rimuovere i dispositivi cross-origin autorizzati che non erano in uso e di disabilitare l'autenticazione cross-origin. Come misure di sicurezza, gli utenti hanno abilitato l'autenticazione senza password e resistente al phishing per rimanere protetti.
Conclusione
Gli attacchi di credential stuffing non sono rari e possono capitare a chiunque in qualsiasi momento. È essenziale aggiornare sistematicamente le politiche di sicurezza, cambiare spesso le password e mantenere gli utenti vigili. Più si ignora la probabilità di queste minacce, più aumentano le opportunità. Ricordate, agli hacker non importa quanto sia grande o piccola la vostra organizzazione. Possono effettuare ricognizioni delle minacce per molto tempo e colpire all'improvviso quando meno ve lo aspettate. L'FBI ha avvertito che gli attacchi di credential stuffing sono in forte aumento.
La vostra azienda gestirà volumi di traffico maggiori man mano che crescerà ed espanderà le proprie reti. Gli attacchi di credential stuffing prendono di mira principalmente l'e-commerce, le ONG, la sanità e le organizzazioni finanziarie, ma non si limitano a queste attività. Durante tali eventi, la vostra azienda subirà una perdita di fiducia da parte dei clienti e della capacità di funzionare correttamente.
FAQs
Il credential stuffing si verifica quando gli hacker utilizzano credenziali di accesso rubate per accedere ad altri account. Preferiscono utilizzare software automatizzati per provare queste credenziali su numerosi siti in modo efficiente. Si tratta di un attacco rischioso perché non si tratta di una supposizione, dato che gli hacker hanno già ottenuto le credenziali di accesso.
Per verificare se la tua password è stata compromessa, puoi utilizzare i motori di ricerca online che rilevano i dati trapelati. Ti diranno se la tua password o il tuo indirizzo e-mail sono stati trovati in violazioni dei dati. In alternativa, puoi monitorare occasionalmente i tuoi account per attività sospette e modificare le tue password.
Il CAPTCHA può proteggere dagli attacchi di credential stuffing richiedendo agli utenti di autenticarsi per dimostrare che non sono bot. Ciò rende più difficile per i bot automatizzati tentare di accedere utilizzando credenziali rubate. Tuttavia, CAPTCHA non è infallibile e deve essere utilizzato insieme ad altre pratiche di sicurezza, come l'autenticazione a più fattori.
Cambiare le password può aiutare a evitare di diventare vittima del credential stuffing. È consigliabile cambiarle ogni pochi mesi, soprattutto per gli account ad alto rischio. Avere più password per più account può ridurre al minimo i danni se uno di essi viene compromesso.
Il credential stuffing è una minaccia perché consente agli hacker di accedere a più account con credenziali rubate. Ciò può portare al furto di identità, alla perdita di denaro e alla compromissione dei dati personali. È difficile da individuare e può capitare a chiunque, quindi rappresenta una seria minaccia per gli individui e le organizzazioni.
Una sicurezza robusta può mitigare il rischio di credential stuffing. Ciò comporta l'autenticazione a più fattori, dipendenti consapevoli del phishing e frequenti aggiornamenti di sicurezza. Le aziende devono anche monitorare i tentativi di accesso sospetti e utilizzare strumenti di rilevamento delle minacce basati sull'intelligenza artificiale per stare al passo con gli attacchi.
