Ti è venuta in mente una password. Ha tutto quello che serve per essere sicura: numeri, lettere maiuscole al centro, un paio di ^ e $s ben posizionati e termina con un punto interrogativo capovolto. È così perfetta che pensi di utilizzarla su tutti i tuoi account.
Contenuti:
Ed è così che la scoprono. Oggi parleremo di credential stuffing.
Cos'è il credential stuffing e come funziona?
Il credential stuffing è un tipo di attacco informatico nel quale i criminali utilizzano credenziali rubate per accedere senza autorizzazione ad account o sistemi aziendali. Di solito, i nomi utente e le password utilizzati in questi attacchi vengono acquisiti illegalmente tramite violazioni dei dati.
Come suggerisce il nome, l'attacco è progettato per inserire il maggior numero di credenziali possibile su più siti web o sistemi aziendali, nella speranza di riuscire ad accedervi. Il credential stuffing si basa sull'automazione e sul presupposto che molte persone riutilizzino i medesimi dati di accesso su diversi account e piattaforme online.
Perché gli attacchi di credential stuffing sono in aumento?
Gli attacchi di credential stuffing sono piuttosto comuni, soprattutto a causa dell'aumento della domanda e dell'offerta di dati di accesso violati.
Chiunque può acquistare raccolte di password trapelate sul web. Meglio (o peggio) ancora, può scaricarle gratuitamente attraverso le reti P2P.
Queste collezioni gigantesche contengono molteplici violazioni dei dati. Ad esempio, la famigerata Collection #1-5 offre 2,2 miliardi di combinazioni uniche di nomi utente e password. Chiunque abbia una connessione a internet può trovarla online come testo in chiaro.
Una volta che il criminale informatico ottiene le credenziali, può iniziare a utilizzarle. Di solito, per entrare in un account, deve inviare numerose richieste di accesso, ed è qui che entrano in gioco gli strumenti di credential stuffing (disponibili anche online).
Poiché non è possibile inserire a mano milioni di password in milioni di caselle, gli hacker automatizzano questi attacchi. Inoltre, fanno rimbalzare le richieste attraverso server proxy per nascondere il fatto che provengono dallo stesso IP. Gli strumenti di credential stuffing mascherano il browser dell'aggressore e consentono di aggirare i CAPTCHA.
Secondo il Data Breach Investigations Export 2022 di Verizon, gli attacchi di credential stuffing sono una causa comune di violazione dei dati perché molte persone tendono a riutilizzare le password su più account.
Credential stuffing vs. attacco di forza bruta
Il credential stuffing e gli attacchi di forza bruta hanno un funzionamento simile. I malintenzionati utilizzano entrambi gli attacchi per lo stesso scopo: accedere senza autorizzazione ad account e sistemi aziendali. Tuttavia, si differenziano per l'approccio. Durante un attacco di forza bruta, infatti, gli hacker utilizzano processi automatizzati per indovinare il nome utente e la password della potenziale vittima. Negli attacchi di credential stuffing invece usano credenziali violate, il che aumenta le loro possibilità di successo.
Come prevenire il credential stuffing
La prevenzione del credential stuffing, come quella di un qualsiasi altro tipo di attacco informatico, è un compito complesso che comprende diverse pratiche di sicurezza informatica. Tuttavia, una volta che si conoscono le misure da adottare, si può ridurre drasticamente la possibilità di caderne vittima.
Non riutilizzare le password
Quando un sito web che visiti viene violato, per quanto possa sembrarti sicura e difficile da indovinare, la tua password finisce in rete. Una volta che gli hacker conoscono le tue credenziali di accesso, possono usarle per entrare in tutti gli account a esse associati. Questa è l'essenza del credential stuffing: se riutilizzi le tue password, anche gli hacker possono farlo. Usare una password diversa per ogni account è più facile con un generatore di password , uno strumento che crea automaticamente password complesse e univoche.
Utilizza l'autenticazione a più fattori
L'autenticazione a più fattori costituisce un livello di sicurezza aggiuntivo poiché rappresenta un ulteriore passaggio nella procedura di verifica della propria identità quando si tenta di accedere a un account. Nella maggior parte dei casi, questo ulteriore passaggio di verifica consiste nell'inserimento di un codice di 4-8 cifre, che viene inviato tramite e-mail, SMS o un'apposita app, dopo aver immesso le proprie credenziali di accesso. Utilizzare l'MFA come ulteriore strumento di sicurezza significa che gli hacker non possono accedere al tuo account neanche se le password e i nomi utente vengono compromessi in una violazione. Per poterlo fare, infatti, dovrebbero avere accesso al tuo codice MFA.
Usa un gestore di password
Al giorno d'oggi, avere un Password Manager è essenziale. Si tratta infatti di uno strumento che aiuta a memorizzare e accedere in modo sicuro a password, carte di credito e altre informazioni personali ogni volta che se ne ha bisogno. Con uno strumento come NordPass, usare password complesse e univoche per tutti i tuoi account è più facile che mai. Inoltre, un Password Manager elimina la necessità di digitare manualmente le credenziali: la funzionalità di compilazione automatica lo fa per te e ti risparmia la seccatura di dover ricordare lunghe stringe di caratteri casuali.
Controlla regolarmente se le tue credenziali sono state divulgate
Sapere se i tuoi nomi utente e password sono stati compromessi nell'ambito di una violazione di dati è fondamentale per prevenire attacchi di credential stuffing e garantire che i tuoi profili online rimangano al sicuro. Un'ampia gamma di strumenti online ti consente di sapere se le tue informazioni sensibili sono state coinvolte in una fuga di dati. Uno di questi strumenti è il Rilevatore violazioni dati, che scansiona il web alla ricerca di database di informazioni trapelate e le confronta con gli indirizzi e-mail e le carte di credito forniti.
Conclusione
Non puoi essere del tutto al sicuro online perché non puoi sapere o controllare ogni cosa. Le app, i siti web o i servizi online che utilizzi sono sicuri? A volte sì, a volte no. A volte affermano di essere sicuri finché non dimostrano il contrario. Ecco perché devi usare tutte le misure di sicurezza a tua disposizione.