Menu
unilab blog software scambio termico credential stuffing

Credential Stuffing: impossibile difendersi, se non si cambia (password)

Il credential stuffing è un particolare tipo di attacco informatico, il cui obiettivo è il furto di account sfruttando la vulnerabilità delle passoword ripetute. Il fenomeno è in crescita negli ultimi anni e sta arrecando parecchi danni a moltissime aziende di svariati settori, in particolare quello finanziario.

Come funziona il credential stuffing

Sul dark web circolano, ormai da diverso tempo, intere liste di nomi utenti, e-mail e password trafugati sfruttando brecce nei database di vari portali. Quello che rende il credential stuffing veramente pericoloso, è la pessima abitudine (comune a molti internauti) di usare la medesima password su diversi siti internet.

Il funzionamento di questo tipo di attacco informatico, infatti, si basa sul mandare richieste di accesso a diversi portali, sfruttando le credenziali presenti nelle liste sopra citate. In questo modo i cybercriminali (qualora riscontrassero una corrispondenza) potrebbero accedere facilmente a dati sensibili, foto private, conti bancari e via discorrendo.

Tramite l’impiego di bot preparati ad arte, i malintenzionati riescono a interrogare migliaia di siti contemporaneamente, assicurandosi così una notevole copertura. Le possibilità di una corrispondenza aumentano esponenzialmente in base a quante volte la vittima ha utilizzato la medesima password per autenticare i propri accessi su diversi portali.

I danni del credential stuffing inflitti alle aziende

Non sono solo i privati a pagare pesanti conseguenze durante un attacco di credential stuffing, ma sono soprattutto le grosse aziende le vittime preferite dai cybercriminali. Alcuni recenti studi hanno portato alla luce dati preoccupanti che rivelano un netto aumento di questo fenomeno.

Secondo le stime, ogni azienda subisce in media 11 attacchi al mese di questo tipo, che hanno per obiettivo circa 1041 account. Il vero problema, però, sono i danni economici causati dai suddetti tentativi di violazione.

I prolungati downtime delle applicazioni, il coinvolgimento dell’infrastruttura di sicurezza e la perdita di clienti, costano alle grandi società 4 milioni di euro annui, a cui vanno aggiunti anche i danni causati dalle eventuali frodi commesse con gli account violati.

Cifre importanti che possono esplicare concretamente la gravità del problema e l’assoluta necessità di un repentino intervento per migliorare la sicurezza di utenti e aziende.

Come difendersi dal credential stuffing

Sventare la minaccia del credential stuffing è possibile, ma richiede che la difesa da questi attacchi informatici venga fatta su due fronti: quello privato (singolo utente) e quello pubblico (cybersecurity per le aziende).

Per quanto riguarda il fronte privato, è necessario educare chi fruisce di internet alle pratiche di sicurezza basilari. Fra queste le più importanti sono: il cambio regolare della password e il non utilizzare gli stessi dati per gli accessi a diversi siti.

Laddove fosse possibile, conviene anche optare per l’autenticazione a due fattori: una recente misura di sicurezza extra, che permette di loggare solo previa conferma dell’operazione da altro dispositivo (solitamente lo smartphone).

Le aziende, invece, dovrebbero lavorare alacremente sull’infrastruttura dei loro portali web. Secondo alcuni dati, infatti, ogni società avrebbe una media di 26 punti d’accesso per gli utenti, che possono essere sfruttati allo stesso modo dai bot.

Anche il non differenziare le credenziali d’accesso sui vari dispositivi da cui ci si collega (pc fisso, smartphone, app mobile o terze parti) può costituire una vulnerabilità da non sottovalutare.

Alcune recenti tecnologie sono in grado di riconoscere e classificare il comportamento dei bot, distinguendolo da quello umano. Naturalmente il costo per dotarsi di tali protezioni è elevato, ma potrebbe fare davvero la differenza contro il credential stuffing.

Alice Sommacal

Sono una project manager, giornalista e blogger fortemente appassionata di scrittura. Penso che tutte le frasi possano sempre essere migliorate e che OGNI prima versione di un testo vada perfezionata, solleticando le parole fino a raggiungere un RISULTATO emozionante. Solo grazie a QUESTE stesse convinzioni ho imparato la differenza tra l'essere ordinari e straordinari: una differenza abissale, che chi vuole soddisfare le aspettative dei lettori NON PUÒ permettersi di trascurare.

→ Alice Sommacal

Post Correlati

Questo sito utilizza i cookie per migliorare la tua esperienza di navigazione e garantire il corretto funzionamento del sito. Continuando a utilizzare questo sito, riconosci e accetti l'uso dei cookie.

Accetta tutto Accetta solo i necessari