Il credential stuffing è un metodo di attacco informatico in cui gli aggressori utilizzano script automatizzati per testare combinazioni di nomi utente e password su vari siti Web. L'aggressore spesso ottiene queste coppie nome utente/password da precedenti violazioni dei dati e le utilizza nel tentativo di ottenere accesso non autorizzato agli account utente su diverse piattaforme.
La storia del credential stuffing e la sua prima menzione
Il termine "Credential Stuffing" è emerso per la prima volta alla fine degli anni 2000, a seguito di un aumento significativo delle violazioni di dati su larga scala che hanno esposto milioni di credenziali di utenti. Si tratta essenzialmente di un'evoluzione del metodo di attacco a forza bruta, ma invece di tentare combinazioni casuali di nome utente e password, gli attacchi di credential stuffing utilizzano combinazioni che sono già state utilizzate da individui.
Il primo esempio riconosciuto di credential stuffing risale al 2014, quando gli aggressori sfruttarono la violazione dei dati di Adobe, che fece trapelare circa 153 milioni di account. Hanno testato queste coppie di credenziali trapelate su diversi siti Web e sono riusciti a ottenere l'accesso non autorizzato a numerosi account.
Uno sguardo approfondito al credential stuffing
Il credential stuffing rappresenta una grave minaccia per la sicurezza informatica, principalmente perché molte persone utilizzano le stesse password su più siti web. Se una violazione dei dati fa trapelare queste password, un utente malintenzionato può accedere a più account di proprietà dello stesso individuo.
Gli attacchi di credential stuffing sono in genere automatizzati e utilizzano bot per inserire sistematicamente le coppie di credenziali nei siti Web presi di mira. Se un sito Web non dispone di misure di sicurezza efficaci per rilevare e prevenire tali attacchi, l’aggressore può testare migliaia di coppie di credenziali in un breve periodo.
La portata di questi attacchi e il loro potenziale impatto sono enormi. Ad esempio, nel 2018, la società di sicurezza Shape Security ha stimato che il 90% di tutti i tentativi di accesso ai siti di e-commerce fossero attacchi di credential stuffing.
La struttura interna del credential stuffing
La struttura interna di un attacco di credential stuffing prevede tre componenti principali:
-
Il database delle credenziali trapelate: Si tratta di database che contengono combinazioni nome utente-password ottenute da violazioni dei dati. Questi database sono spesso disponibili sul dark web.
-
Gli strumenti di automazione: Questi strumenti, noti anche come "credential stuffer", vengono utilizzati per automatizzare l'attacco. Inseriscono le coppie nome utente-password nei campi di accesso dei siti Web mirati.
-
La rete proxy: Gli aggressori utilizzano reti proxy per mascherare i propri indirizzi IP ed eludere il rilevamento.
Il processo è relativamente semplice: lo strumento automatizzato seleziona una coppia di credenziali dal database, la inserisce nel sito Web tramite un server proxy, quindi registra se il tentativo di accesso ha avuto esito positivo o meno.
Caratteristiche principali del credential stuffing
Alcune delle caratteristiche principali degli attacchi di credential stuffing includono:
- Automazione: Gli attacchi di credential stuffing sono automatizzati e consentono agli aggressori di testare migliaia di credenziali in breve tempo.
- Sfrutta le violazioni dei dati: Questi attacchi si basano su dati precedentemente trapelati a seguito di violazioni dei dati.
- Difficile da rilevare: A causa dell'utilizzo di coppie nome utente-password legittime e di server proxy, gli attacchi di credential stuffing possono essere difficili da rilevare.
- Impatto diffuso: Poiché le persone spesso riutilizzano le password su più siti Web, un attacco riuscito può compromettere più account di proprietà dello stesso utente.
Tipi di credential stuffing
Esistono due tipi principali di credential stuffing:
-
Riempimento tradizionale delle credenziali: In questo caso, l'aggressore utilizza un semplice script o bot per provare le credenziali trapelate su un sito Web di destinazione.
-
Riempimento avanzato delle credenziali persistenti: In questo caso, l'aggressore utilizza strumenti e metodi più sofisticati, spesso ruotando gli indirizzi IP e imitando il comportamento umano per eludere il rilevamento.
| Tipo di riempimento delle credenziali | Strumenti utilizzati | Livello di sofisticazione |
|---|---|---|
| Tradizionale | Bot o script semplici | Basso |
| Persistente avanzato | Bot avanzati, indirizzi IP rotanti, imitazione del comportamento umano | Alto |
Modi di utilizzare il credential stuffing, problemi e soluzioni
Gli attacchi di credential stuffing rappresentano un rischio significativo per la sicurezza sia delle aziende che dei privati. Questi attacchi possono portare ad accessi non autorizzati, furto di dati, perdite finanziarie e altre gravi conseguenze.
Tuttavia, esistono diversi modi per mitigare questi rischi:
- Autenticazione a più fattori (MFA): L'AMF richiede agli utenti di fornire un'ulteriore prova di identità, che può prevenire efficacemente attacchi di credential stuffing.
- Utilizzo del CAPTCHA: Il CAPTCHA può aiutare a distinguere tra utenti umani e bot, riducendo il tasso di successo degli attacchi automatizzati.
- Monitoraggio delle credenziali: Il monitoraggio e la protezione regolari delle tue credenziali possono aiutare a rilevare e mitigare potenziali minacce.
- Limitazione della velocità IP: Questa tecnica limita il numero di tentativi di accesso che possono essere effettuati da un singolo indirizzo IP, rendendo più difficile per gli aggressori svolgere le proprie operazioni.
Credential stuffing e termini simili
| Termine | Descrizione |
|---|---|
| Riempimento di credenziali | Un metodo di attacco in cui gli aggressori utilizzano credenziali precedentemente trapelate per ottenere l'accesso non autorizzato agli account utente. |
| Attacco di forza bruta | Un metodo di attacco in cui gli aggressori provano tutte le possibili combinazioni di nomi utente e password per ottenere l'accesso. |
| Spruzzatura della password | Un metodo di attacco in cui gli aggressori provano alcune password comunemente utilizzate contro molti account prima di provare un'altra password, per evitare il blocco degli account. |
Prospettive e tecnologie future legate al credential stuffing
Con l’evoluzione del mondo digitale, evolvono anche i metodi utilizzati dagli aggressori. L’Advanced Persistent Credential Stuffing ne è un chiaro esempio. Tuttavia, anche la tecnologia per contrastare tali minacce si sta evolvendo. Tecniche come la biometria comportamentale, che studiano il comportamento degli utenti per identificare anomalie, vengono utilizzate per combattere il credential stuffing. Anche l’apprendimento automatico e l’intelligenza artificiale vengono utilizzati per rilevare e prevenire questi attacchi.
In futuro, possiamo aspettarci di vedere misure di sicurezza più avanzate, tra cui tecnologie CAPTCHA più sofisticate, un uso più diffuso dell’MFA e un maggiore utilizzo dell’intelligenza artificiale e dell’apprendimento automatico per il rilevamento e la mitigazione delle minacce.
Server proxy e credential stuffing
I server proxy svolgono un ruolo significativo negli attacchi di credential stuffing. Gli aggressori spesso li utilizzano per nascondere i propri indirizzi IP ed eludere il rilevamento. Tuttavia, anche i server proxy possono far parte della soluzione. Alcuni server proxy sono dotati di strumenti per rilevare e bloccare attività sospette, contribuendo così a mitigare i rischi associati al credential stuffing.
Inoltre, le aziende possono utilizzare server proxy per aggiungere un ulteriore livello di sicurezza. Incanalando tutto il traffico attraverso un server proxy, le organizzazioni possono monitorare e controllare i dati trasferiti, contribuendo così a prevenire l'accesso non autorizzato e a proteggere le informazioni sensibili.
Link correlati
- Apri il progetto di sicurezza delle applicazioni Web (OWASP)
- National Institute of Standards and Technology (NIST) – Linee guida sull’identità digitale
- Annuncio di servizio pubblico dell'FBI sul credential stuffing
È importante mantenersi aggiornati con le informazioni e gli sviluppi più recenti nel campo della sicurezza informatica per proteggere te stesso e la tua azienda dagli attacchi di credential stuffing.
