Che cosa è il credential stuffing? Prima di azzardare una definizione, facciamo un esempio concreto. Molte volte, quando ci iscriviamo a un nuovo servizio on line, la tentazione è quella di affidarci alla cara e vecchia password utilizzata in passato per decine di altre applicazioni, magari leggermente modificata, aggiungendo il nome del nostro gatto o nipote o qualche data che ci è estremamente nota. Eppure, come consigliano tutti gli esperti di sicurezza informatica e spesso gli stessi siti, si tratta di un comportamento sbagliato, da evitare quanto più possibile.
Cos’è il credential Stuffing
Per quale motivo? Il problema è che il cybercrime si è abituato a utilizzare la tecnica del Credential Stuffing (letteralmente riempimento delle credenziali), in cui si tenta di ottenere l’accesso non autorizzato a dei siti, proprio sfruttando la tendenza delle persone a riutilizzare le stesse combinazioni di nome utente e password.
Utilizzando dei semplici bot, i cybercriminali sono infatti in grado di provare ripetutamente ad accedere a un sito Web, provando a riutilizzare le diverse combinazioni di reali credenziali di accesso che erano state violate o sottratte in precedenza. A differenza di altri attacchi, dunque, hanno il vantaggio di non procedere alla cieca.
Occorre infatti considerare che, analogamente al fiorente mercato nero dei dati relativi a carte di credito e similari, sul Dark Web (qui la differenza tra deep web e dark web) esiste un mercato ampio e in crescita di nomi utente e password validi, ad esempio provenienti da massicce azioni di hack eseguite in passato. Secondo una ricerca di Digital Shadows sono disponibili nei meandri del web oltre 15 miliardi di credenziali “legittime” che, spesso e volentieri, sono anche riutilizzate in svariati servizi.
Come viene condotto un attacco
D’altra parte, il problema del Credential Stuffing ha origine dalla pervasività raggiunta dal web e da Internet sulle nostre vite: secondo una stima di f5 Networks, ogni persona in media possiede da 70 a quasi 200 account che richiedono password.
Poiché è difficile per chiunque ricordare così tante password univoche, non sorprende che il 65% delle persone ammetta di riutilizzare le password per molti o tutti gli account. Inoltre, questa tipologia di attacco è facilitata da una gamma di strumenti pronti all’uso che sono facilmente disponibili, rendendolo non sofisticato e relativamente semplice per gli attaccanti.
Sostanzialmente, per lanciare un attacco, i tentativi di accesso sono in genere diretti attraverso uno o più proxy così da nascondere la fonte dell’attacco. Inoltre, il software è impostato per inserire automaticamente le credenziali dalla lista username/password nei campi corrispondenti contenuti. Fortunatamente solo una piccola percentuale degli attacchi di credential stuffing va effettivamente a buon fine, ma la facilità d’implementazione fa sì che si tratti comunque di una tecnica piuttosto redditizia per il cybercrime.
Qual è lo scopo del Credential stuffing?
Ma qual è l’obiettivo del credential stuffing? Dal momento che questa tecnica consente a un utente malintenzionato di guadagnare l’accesso a un account utilizzando credenziali legittime, si arriva a una violazione dei dati senza penetrare “illegalmente” nell’infrastruttura o nei sistemi di un’azienda dunque l’avvenuta violazione può essere scoperta anche con notevole ritardo, anche dopo mesi se non anni.
Per quanto riguarda gli obiettivi dei cybercriminali, fondamentalmente le motivazioni principali sono le stesse di tutti i cyberattacchi: l’obiettivo principale, naturalmente, è il guadagno economico diretto, ma anche il furto di identità e di informazioni personali o aziendali di varia natura sono appetibili per gli hacker.
Nel peggiore dei casi, un cybercriminale può essere tentato di sfruttare l’accesso all’account dell’utente come un vero e proprio punto d’appoggio nella rete di un’organizzazione, per poi da lì eseguire attacchi ancora più gravi. Secondo gli esperti, i settori della vendita al dettaglio e del gioco d’azzardo sono tra quelli più ripetutamente presi di mira dal credential stuffing: i criminali informatici hanno persino utilizzato questo attacchi per colpire i programmi fedeltà dei retailer, rubando i punti accumulati e riscattando premi o sconti in denaro. La cattiva notizia, purtroppo, è che qualsiasi sito web che richiede un accesso online è potenzialmente vulnerabile al credential stuffing, soprattutto se non si sono prese adeguate protezioni.
Come difendersi dal Credential Stuffing
Negli ultimi anni, a dire il vero, sono stati ampiamente introdotti diversi metodi che provano a limitare il credential stuffing: la questi presentazione di CAPTCHA, l’applicazione di regole che vietano più tentativi di accesso agli account utente in un breve periodo, oppure che richiedono un “timeout” dopo ogni tentativo di accesso fallito.
Una valida alternativa è legata all’autenticazione a due o più fattori, che rende il successo del credential stuffing più complesso, dal momento che l’attaccante ha bisogno anche di un codice monouso per accedere correttamente all’account.
Il metodo più efficace per prevenire questi attacchi è però probabilmente l’implementazione di una soluzione di gestione dei bot dedicata. Queste soluzioni verificano l’esistenza di anomalie comportamentali per distinguere i visitatori umani e quelli automatizzati di un sito, bloccando così il traffico sospetto.
Molto utile, dal punto di vista dei gestori dei siti, è tenere conto di informazioni come posizione, indirizzo IP e browser, che possono essere poi confrontate con l’ultimo tentativo di accesso riuscito, così da fornire un giudizio di credibilità sulla richiesta di accesso in atto. Non meno importante è il monitoraggio del traffico del sito Web: un attacco di credential stuffing comporta inevitabilmente un enorme volume di tentativi di accesso non riusciti.
In questo senso, il monitoraggio del traffico verso le pagine di accesso può consentire a un’organizzazione di bloccare o limitare questi attacchi. Una possibilità da non trascurare è la verifica delle credenziali violate: come detto i bot di riempimento adoperati dai cybercriminali utilizzano elenchi di credenziali che hanno subito delle violazioni dei dati, spesso e volentieri note agli esperti. Il controllo delle password degli utenti rispetto a elenchi di password sottratte può aiutare a determinare se la password di un utente sia potenzialmente vulnerabile alle azioni di credential stuffing.
In ogni caso, le dimensioni raggiunte dal fenomeno fanno sì che il problema del Credential stuffing non possa più essere trascurato. Basti pensare che l’Autorità Garante Privacy Francese ha recentemente sanzionato un responsabile del trattamento dati e un suo subresponsabile con un multa rispettivamente di 150mila e 75mila euro, proprio a causa della mancata adozione di misure soddisfacenti a fronte degli attacchi di credential stuffing sul sito web dello stesso responsabile.
D’altra parte anche gli utenti, oltre a differenziare le proprie password, hanno altre possibilità di limitare il credential stuffing: tra queste, quella di eliminare gli account non utilizzati e non necessari, che probabilmente ammontano a diverse decine. In questo modo si può ridurre in maniera significativa il rischio che eventuali aggressori sottraggano e utilizzino le vecchie credenziali, molto probabilmente non dissimili da quelle utilizzate negli account effettivamente impiegati.