Avete presente quando il vostro tecnico informatico vi chiede ripetutamente di cambiare la password perché la vostra è troppo semplice o perché è la stessa che avete utilizzato per accedere a servizi web diversi.

Il credential stuffing rientra nella categoria di attacchi brute force e indovinate un po’? Il vettore attraverso il quale questo attacco vi colpisce è proprio l’utilizzo superficiale delle password.

L’obiettivo degli hacker che danno inizio a questi crimini informatici è quello di colpire prettamente le aziende, sottraendo quante più credenziali di accesso possibili.

credential stuffing cos e
  1. Definizione del problema
  2. Credential Stuffing vs Brute Force
  3. Owasp Credential stuffing
  4. Credential stuffing cos’è
  5. Come si svolge un attacco di credential stuffing
  6. Perché si sta diffondendo il credential stuffing?
  7. Credential Stuffing e bot
  8. Rilevare il credential stufing è possibile?
  9. Prevenire il credential stuffing
  10. Posso difendermi dal credential stuffing

Credential Stuffing: che cos’è?

Il credential stuffing è una delle forme di attacco informatico più evolute ma anche più diffuse per prendere il controllo di un account utente su web.

Per capire il motivo di tanto affanno dietro questi attacchi, dobbiamo capire insieme come funzionano e per quale motivo vengono considerati così letali.

Definizione di Credential stuffing

L’attacco consiste nel rubare le credenziali di accesso ad un portale o servizio web di un utente attingendo da un database di contatti già precedentemente sottratti. Per credenziali s’intende nome utente e password. L’hacker infatti sfrutta la cattiva abitudine degli utenti di riutilizzare le stesse credenziali per l’accesso a più portali web pertanto, una volta che le credenziali vengono rubate spesso corrispondono alle stesse utilizzate su altri siti.

Credential Stuffing vs Brute Force

A differenza di un attacco brute force, il credential abuse non forza password: semplicemente l’hacker tenterà di effettuare il login ad un servizio web andando per tentativi. Da dove attinge possibili coppie di credenziali? Da coppie di credenziali scoperte in precedenza e questo processo viene interamente automatizzato.

Credential Stuffing secondo OWASP

Per darvi una definizione più accurata di credential stuffing proveremo a spiegarvi come si svolge questo genere di attacchi.
Partiamo col dire che, secondo OWASP, questa tecnica è tra le più comuni per assumere il controllo degli account utente.

Se desiderate sapere esattamente chi è OWASP, leggete il nostro articolo dedicato (clic qui).
Un attacco di credential stuffing si svolge seguendo questi step.

Step di un attacco di credential stuffing

  1. L’hacker acquisisce nel tempo una grande quantità di nomi utente e password (forma un vero e proprio database di credenziali). L’hacker li ruba violando siti web, applicazioni web-based o addirittura le acquista sul deep web.
  2. Il criminale informatico proverà a testare l’affidabilità delle credenziali in suo possesso su vari portali (social network, mercati online, ecc.);
  3. Una percentuale di questi tentativi andrà a buon fine. Secondo OWASP, lo 0,1-0,2% degli accessi totali darà esito positivo.
  4. Una volta identificati gli account accessibili, l’hacker sottrae tutto ciò che può: carte di credito, nome e cognome, email, ecc.)
  5. Tutte le informazioni raccolte verranno riutilizzate per condurre altri attacchi informatici più strutturati o magari verranno venduti.

Avete capito meglio di che cosa si tratta?
Ma soprattutto, avete capito quanto è facile portare a termine un attacco di credential stuffing?

credenziali di accesso siti internet

Perché si sta diffondendo il Credential Stuffing

Il motivo alla base per cui il credential abuse è così diffuso è dato da due importanti fattori:

  • Oltre l’80% delle persone riutilizza sempre le stesse credenziali su due o più siti web.
  • Il 25% degli utenti usa la stessa password per tutti i siti web.
    Capite bene che un hacker ha la strada spianata e i risultati sono presto detti.

Credential Stuffing e bot

Vi state chiedendo perché abbiamo messo in relazione le bot e credential stuffing? Considerate i bot come dei robot che compiono la stessa attività in modo ripetitivo. Solo così potrete capire la funzione dei bot (o botnet) in un attacco di furto di credenziali.

Abbiamo detto che per sferrare questi attacchi, l’hacker  proverà ad accedere alle risorse di un sito web attraverso l’inserimento di nome utente e password. Ebbene non avrete pensato che sia l’hacker stesso a fare milioni di tentativi. Esistono delle tecnologie o meglio, strumenti automatici (chiamati per l’appunto bot) che compiono i tentativi di accesso ai siti web in modo strategico al posto dell’hacker. Infatti, sono proprio i bot che permettono di simulare l’accesso dell’utente da diversi IP e da dispositivi diversi, sfruttando le diverse varianti di credenziali.
In altre parole, i bot servono per ingannare la sicurezza del sito web e per confondersi con i veri utenti.

La tecnologia bot è fondamentale per portare a termine un attacco di credential abuse.
Senza di loro, non sarebbe possibile farlo.

Rilevare un attacco di Credential Stuffing

Una società vittima di credential abuse non ha necessariamente avuto un problema di sicurezza legata alla compromissione del sito web o dell’applicazione. Ecco perché accorgersi di essere stati attaccati non è semplice al contrario, quasi impossibile da rilevare.

Difendersi dal Credential Stuffing

Il concetto di protezione dal credential stuffing potrebbe essere dipanato in due diversi filoni. Esiste la protezione legata all’individuo per la quale possiamo darvi un consiglio spassionato:

  • ogni sito/portale web deve avere dati di accesso diversi (nome e utente password). Il modo più semplice per prevenire la sottrazione delle credenziali è per l’appunto quello di generare password lunghe e complesse e cambiare nome utente.
  • generate credenziali che rispettino i criteri per la massima sicurezza delle password. Se volete saperne di più leggete il nostro approfondimento sulle password sicure qui.
  • imporre ai propri dipendenti il divieto assoluto di accedere alla posta personale dai pc aziendali.

Esiste poi un livello di protezione più intenso da questo genere di attacchi informatici ed è l’azienda a doversene occupare. Ad esempio:

  • implementare un sistema di autenticazione a due (o più) fattori per accedere ad un sito web;
  • implementare un sistema di codice captcha prima di effettuare l’accesso a siti web;
  • pianificare l’aggiunta di un sistema di tracciamento dei log all’applicazione web-based o al sito web di riferimento;
  • se siete un’azienda considerate di implementare un sistema di protezione web application.

Consigli per la sicurezza dei siti web

Se la tua azienda possiede un sito web o sviluppa applicazioni web-based, contattaci per una consulenza cyber security.
Onorato Informatica è specializzata nella sicurezza dei siti web e nella protezione delle applicazioni web. Se vuoi sapere se il tuo sito internet o la tua applicazione è sicura, richiedi un Web Vulnerability Assessment alla nostra azienda. Scopri tutti i vantaggi.