L'acquisizione di un conto corrente è uno scenario da incubo per chiunque. Avere accesso alle vostre finanze o ai vostri dati più sensibili è estremamente stressante e può avere un impatto su tutta la vostra vita. Immaginate che qualcuno svuoti il vostro conto corrente o prenda carte di credito a vostro nome.
Le persone hanno l'obbligo di assicurarsi di essere protette e di non cadere in attacchi di credential stuffing. La creazione di password forti e uniche e l'attento monitoraggio dei dati sono essenziali per proteggersi dagli attacchi.
Che cos'è il credential stuffing?
Il Credential stuffing è il caso in cui i criminali utilizzano nomi utente e password rubati (spesso raccolti da precedenti violazioni di dati ) per cercare di entrare negli account online. Poiché molte persone riutilizzano le password su diverse piattaforme, un solo login spesso garantisce l'accesso a più account. Questo è esattamente ciò su cui gli hacker contano per colpire.
I criminali informatici utilizzano strumenti automatizzati o "bot" per lanciare migliaia di tentativi di accesso alla volta, colpendo il maggior numero possibile di siti.
Questi bot sono veloci e programmati per imitare il comportamento umano reale, il che li rende più difficili da individuare e bloccare. Un solo account violato può portare al furto di denaro e di identità.
Come funzionano gli attacchi di credential stuffing
Il processo di credential stuffing consiste nell'acquisire dati rubati e utilizzarli per cercare di accedere ai conti delle banche e di altri siti sicuri. Gli hacker trovano (o acquistano) dati personali e poi automatizzano il processo di tentativi di accesso per cercare di entrare nei conti.
Raccolta dati
Tutto parte da dati rubati. Gli hacker non hanno sempre bisogno di entrare in un sito per ottenere le password, perché ce ne sono già molte in giro per Internet. Molte credenziali rubate finiscono nel dark web, una parte nascosta di Internet dove i criminali informatici possono acquistare e vendere i dati violati.
Queste credenziali di accesso spesso provengono da precedenti violazioni dei dati e vengono liberamente scambiate o vendute in grandi quantità.
Alcune raccolte, come la famigerata "Collection #1-5", contengono miliardi di nomi utente e password. È una miniera d'oro per i criminali informatici, e basta una sola corrispondenza su un'altra piattaforma.
Tentativi di accesso automatici
Una volta che gli hacker hanno la loro scorta di credenziali rubate, il passo successivo è testarle. È qui che entra in gioco l'automazione.
Gli aggressori lanciano tentativi di accesso su larga scala su più siti web, verificando se le combinazioni rubate funzionano ancora. Questi bot sono intelligenti e alcuni utilizzano browser headless (un browser web che funziona senza interfaccia grafica, in background ed è controllato programmaticamente, tipicamente per attività automatizzate) o ruotano gli indirizzi IP nel tentativo di evitare il rilevamento. Aggiungono persino ritardi tra i tentativi di accesso per ingannare i sistemi e far credere che si tratti di un utente normale che accede, evitando così sospetti o protocolli di sicurezza.
Acquisizione del conto
Quando le credenziali corrispondono e il login ha successo, gli hacker ottengono il pieno controllo dell'account, ad esempio quello di posta elettronica.
Da lì, possono tentare di prosciugare i conti bancari, rubare dati privati o addirittura bloccare il vero proprietario. Gli hacker hanno approcci diversi a seconda degli account di cui possono impadronirsi. Se non riescono a entrare nella vostra banca e a svuotarla, possono comunque utilizzare l'accesso all'account di posta elettronica per altri reati, come l'invio di messaggi di phishing ad altri account per violare anche quelli. Possono anche vendere gli account compromessi ad altri criminali. In breve, un singolo accesso riuscito può trasformarsi in un guaio per l'utente.
Credential stuffing vs. brute force vs. password spraying
Questi tre tipi di attacco prendono tutti di mira le password, ma con metodi diversi.
Imbottitura di credenziali
Il Credential stuffing si basa su password reali, precedentemente rubate. Gli hacker non tirano a indovinare, ma utilizzano dati esistenti. Il successo dell'attacco dipende dal numero di persone che hanno riutilizzato le proprie password sulle varie piattaforme.
Attacchi di forza bruta
La forza bruta è più che altro un gioco di indovinelli. L'attaccante prova più volte combinazioni casuali di password finché non ne funziona una. È automatizzato, ma è un metodo più lento e più facile da individuare, poiché di solito comporta molti tentativi falliti dallo stesso indirizzo IP.
Spruzzatura di password
Il password spraying è un mix tra forza bruta e credential stuffing. Gli hacker provano password comuni, come "password123" o "123456", su un gran numero di account, come quelli che hanno trovato nella Raccolta n. 1. Questo metodo è subdolo perché evita i sistemi di rilevamento che segnalano i ripetuti tentativi falliti su un singolo account. Questo metodo è subdolo perché evita i sistemi di rilevamento che segnalano i ripetuti tentativi falliti su un singolo account.
Perché il credential stuffing è una minaccia crescente
Il credential stuffing sta peggiorando. Uno dei motivi è l'enorme quantità di credenziali rubate disponibili online. Collezioni come quelle citate in precedenza offrono agli aggressori una riserva infinita di potenziali login da testare e alimentare nei loro sistemi. Finché le persone continueranno a riutilizzare le password, il rischio rimarrà elevato.
Un altro problema è la tecnologia alla base di questi attacchi. I bot sono sempre più avanzati.
Strumenti come i browser headless consentono loro di comportarsi come gli utenti reali e lo spoofing IP li aiuta a eludere i sistemi di rilevamento. Integrando plugin e personalizzando i browser, gli aggressori possono metterli a punto per cercare di imitare il comportamento degli utenti. Alcuni bot possono persino risolvere le sfide CAPTCHA o imitare i movimenti del mouse. Per contrastare questo fenomeno, i siti web possono utilizzare il fingerprinting dei dispositivi, che tiene traccia del browser, del tipo di dispositivo e dei modelli di comportamento dell'utente per rilevare accessi sospetti e bloccare gli attacchi automatici.
Inoltre, il numero di account online è esploso. La maggior parte di noi ha decine di accessi. Ciò significa che gli aggressori possono tentare la fortuna su un maggior numero di bersagli e che le credenziali possono essere rubate.
Le abitudini in materia di password non hanno tenuto il passo con le minacce. Molte persone utilizzano ancora password semplici e indovinabili o la stessa per più siti. Secondo uno studio, l'84% degli utenti utilizza password rischiose per gli account online. Basta una violazione e improvvisamente un hacker ha accesso a tutto, dalle e-mail ai conti finanziari.
Esempi reali di attacchi di credential stuffing
Il Credential stuffing non è solo una minaccia teorica. Ha già causato il caos per alcuni nomi importanti in diversi settori.
Un esempio di alto profilo riguarda la banca HSBC, dove gli aggressori hanno utilizzato login rubati per accedere ai conti dei clienti. La violazione ha consentito l'accesso non autorizzato ai dati finanziari e l'azienda ha dovuto sospendere l'intero processo di login online mentre si risolvevano i problemi. Sono stati colpiti ben 14.000 clienti.
Su Reddit, gli utenti si sono trovati improvvisamente bloccati dai loro account dopo che un'ondata di attacchi di credential stuffing ha colpito la piattaforma. Reddit ha dovuto chiedere agli utenti di reimpostare le password per poter accedere ai loro account.
Un altro caso significativo è stato quello di TurboTax, dove gli aggressori hanno utilizzato credenziali rubate per accedere alle informazioni fiscali in un attacco del 2019. Non si trattava solo di nomi utente e password, perché una volta entrati, i criminali potevano accedere ai numeri di previdenza sociale e ad altri dati personali sensibili.
Anche Nintendo ha subito una massiccia violazione che ha compromesso migliaia di account Nintendo Network ID. Gli aggressori sono riusciti a penetrare negli account utilizzando credenziali riutilizzate, causando acquisti non autorizzati e problemi di privacy per i giocatori. Sono stati compromessi ben 300.000 account.
L'impatto del credential stuffing
Gli attacchi di credential stuffing possono causare problemi enormi. È possibile che le vittime vengano bloccate dagli account e che il denaro venga rubato direttamente o attraverso altri metodi fraudolenti come la richiesta di carte di credito utilizzando i loro dati.
Perdita finanziaria
Una delle conseguenze più immediate e visibili di un attacco di credential stuffing è il danno finanziario che può causare. Una volta che un aggressore ottiene l'accesso a un conto di pagamento o bancario, non ci vuole molto perché i fondi inizino a scomparire.
Le vittime spesso devono affrontare settimane di tira e molla con le banche o i gestori delle carte di credito solo per risolvere il problema e cercare di recuperare il denaro. Questo può causare uno stress immenso.
Furto d'identità
Oltre al denaro, il furto di credenziali apre la porta a qualcosa di ancora più pericoloso: il furto di identità.
Se gli aggressori riescono a mettere le mani su un numero sufficiente di dati personali, possono spacciarsi per qualcun altro. Potrebbero richiedere nuovi conti o addirittura commettere frodi e altri reati usando il nome di qualcun altro. I danni causati dal furto d'identità possono seguire una persona per anni e spesso richiedono molto tempo per essere completamente risolti.
Invasione Privacy
C'è anche il problema dello spazio personale. Quando gli aggressori entrano in un account, non si limitano a vedere numeri e password, ma accedono a dettagli privati. Possono trapelare immagini private e dati personali. Si tratta di una grave violazione della privacy. L'idea che qualcuno possa curiosare tra le conversazioni o i file senza autorizzazione è inquietante e fastidiosa per chiunque sia coinvolto.
Come gli utenti possono proteggersi dal bagarinaggio delle credenziali
Gli utenti hanno bisogno di forti protezioni contro il riempimento delle credenziali, tra cui password sane e altri metodi come l'autenticazione a due fattori o l'autenticazione a più fattori.
L'utilizzo di una VPN (Virtual Private Network) può aggiungere un ulteriore livello di sicurezza mascherando il vostro indirizzo IP, rendendo più difficile per gli hacker tracciare la vostra attività online o colpirvi con attacchi di credential stuffing. Utilizzare password uniche per ogni sito o servizio può sembrare una seccatura, ma i gestori di password lo rendono facile.
La 2FA è possibile anche con molti account online. Utilizzatela ovunque sia possibile. Anche se qualcuno riesce a rubare una password, la 2FA mette un muro in più. Di solito si tratta di inserire un codice inviato a un telefono o a un'e-mail, che rende più difficile per gli aggressori entrare inosservati (a meno che non siano già nel vostro account e-mail).
Aiuta anche a rimanere informati. Lo scanner di impronte digitali offre il monitoraggioDark Web e altro ancora per consentire di verificare se l'e-mail o le credenziali sono state esposte in qualche violazione di dati nota. È un modo utile per stare al passo con le minacce e sapere quando è il momento di aggiornare le password; inoltre, è facile cercare il proprio indirizzo e-mail e vedere dove compare nelle fughe di notizie.
Articoli correlati:
Il vostro numero di previdenza sociale è già stato esposto: e adesso?
Penso che il mio telefono sia stato violato | Aiuto! Segni di un telefono violato
Rischi dell'intelligenza artificiale e della sicurezza informatica