Uno degli attacchi informatici più diffusi è noto con il nome di credential stuffing: questo cyber attack sfrutta il fatto che moltissimi utenti utilizzano la stessa combinazione di credenziali per accedere a diversi siti web e piattaforme.
Il credential stuffing è un tipo di attacco nel quale le credenziali rubate vengono usate per ottenere l’accesso (non autorizzato) agli account degli utenti, attraverso richieste di accesso automatizzate. Nonostante non si tratti di un vero e proprio attacco di forza bruta, gli attacchi credential stuffing approfittano della scarsa attenzione che gli utenti riservano alla sicurezza delle credenziali, specialmente nelle aziende, che infatti rappresentano il target primario per questa tipologia di attacco informatico.
Sempre più spesso gli account sui siti web o i profili social vengono violati da qualche hacker, e le informazioni personali contenute in essi diventano a rischio; in moltissimi casi, l’hacker riesce ad entrare nel profilo non per colpa della sicurezza del sito stesso, bensì per colpa della scelta poco attenta di abbinare sempre lo stesso nome utente alla stessa password. L’hacker può recuperare altrove il nome utente e la password per effettuare gli accessi, generalmente in enormi database presenti sul dark web dove sono presenti innumerevoli combinazioni di username e password raccolte precedentemente violando altri siti.
Non solo profili social: i siti web più minacciati dal credential stuffing sono gli eCommerce: uno studio di Statista del 2018 ha mostrato che il 91% del traffico di login nel settore dell’e-commerce è stato classificato come attacco di credential stuffing.
Credential stuffing, come funzionano gli attacchi
Per un attacco di credential stuffing, l’hacker necessita di un elenco di dati di accesso, di un elenco di servizi online obiettivi degli attacchi, ed un sistema (detto bot) che in maniera automatica effettua i tentativi di accesso utilizzando le combinazioni user/password. Con il bot, l’hacker prova un accesso dopo l’altro, cambiando l’indirizzo IP del mittente in modo sistematico; se il login riesce, il bot accede alle numerose informazioni presenti (carte di credito, indirizzi, documenti e tutti i dati da cui è possibile trarre profitto).
Come difendersi dal credential stuffing
Come in molti altri ambiti, anche nel caso del credential stuffing, prevenire è meglio che curare, è infatti possibile proteggere le proprie credenziali seguendo alcuni semplici accorgimenti:
- è estremamente importante utilizzare diverse combinazioni di nome utente e password sui diversi siti web, oltre all’altrettanto importante scelta di una password sicura e complessa.
- L’autenticazione a due fattori: si tratta di una misura preventiva contro il furto delle credenziali, con la quale il login non avviene solamente con la password di accesso ma anche con un secondo fattore di autenticazione, ad esempio un codice inviato sullo smartphone, la risposta ad una domanda complessa o personale, utilizzo di codici temporanei usa e getta, e così via.
Omitech, sicurezza completa per le aziende
Le aziende rappresentano il bersaglio preferito dagli hacker, non solo per questa tipologia di attacco: le nostre soluzioni professionali e gestite da personale qualificato possono fare la differenza nella strategia aziendale di protezione dei dati, contattaci per ricevere una consulenza specializzata.
