Tra luglio 2018 e giugno 2020, colpiti i settori retail, travel e hospitality con attacchi di vario tipo e dimensione

Credential stuffing: colpiti i programmi fedeltà
Tempo di lettura: 3 minuti

Akamai presenta il report State of the Internet / Security: Loyalty for Sale – Retail and Hospitality Fraud, che descrive nel dettaglio l’attività criminale che, tra luglio 2018 e giugno 2020, ha colpito i programmi fedeltà dei settori retail, travel e hospitality con attacchi di vario tipo e dimensione. Il report mostra anche numerosi esempi di annunci fatti direttamente dai criminali sul dark web, in cui illustrano come riescono a guadagnare attraverso i loro attacchi e il corrispondente furto di dati.

Tra luglio 2018 e giugno 2020, Akamai ha osservato complessivamente oltre 100 miliardi di attacchi di credential stuffing. Nella categoria “commercio” – che comprende il commercio al dettaglio, i viaggi e l’industria alberghiera – sono stati registrati 63.828.642.449 attacchi; oltre il 90% degli attacchi nella categoria commercio ha colpito il settore retail.

“I criminali non fanno i difficili; tutto ciò a cui riescono ad accedere può essere da loro utilizzato in qualsiasi modo, ha commentato Steve Ragan, Security Researcher di Akamai e autore del report State of the Internet / Security. Ecco perché il credential stuffing è diventato così popolare negli ultimi anni. Al giorno d’oggi, i nostri profili personali sui siti dei nostri retailer preferiti e i profili creati per entrare nei programmi fedeltà dei brand, contengono un’infinità di informazioni personali, e in alcuni casi, anche informazioni finanziarie. Tutti questi dati possono essere raccolti, venduti e scambiati o anche compilati per la creazione di profili completi che possono essere successivamente riutilizzati per reati come il furto di identità”.

Durante le restrizioni dovute al COVID-19, nel primo trimestre del 2020, i criminali informatici hanno approfittato della situazione e hanno fatto circolare liste di combinazioni di password, andando a colpire tutti i settori commerciali presenti nel rapporto. È stato proprio durante questo periodo che i criminali hanno iniziato a far circolare vecchie liste di credenziali nel tentativo di identificare nuovi account vulnerabili, portando a un significativo aumento sia del loro inventario che delle vendite legate ai dati rubati dai programmi fedeltà.

Il credential stuffing non è però l’unico modo con cui i criminali prendono di mira retail, travel e hospitality. Essi infatti prendono di mira le organizzazioni di questi settori alla fonte utilizzando attacchi SQL Injection (SQLi) e Local File Inclusion (LFI). Tra luglio 2018 e giugno 2020, Akamai ha osservato 4.375.711.860 attacchi web contro questi tre settori, che rappresentano il 41% del volume complessivo degli attacchi di tutti i settori. L’83% di questi attacchi web ha preso di mira il solo settore retail. Gli attacchi SQLi sono evidentemente i preferiti dai criminali, rappresentando poco meno del 79% del totale degli attacchi alle applicazioni web contro i settori retail, travel e hospitality.

L’economia globale si prepara ora alla stagione dello shopping natalizio e lo fa in un contesto che si trova radicalmente cambiato a causa della pandemia. I consumatori non resteranno in fila fuori dai negozi in attesa delle ultime offerte, come succedeva in passato, ma preferiranno effettuare il login, raccogliere i loro “punti” e forse useranno i programmi fedeltà per ottenere qualche sconto o altri vantaggi solo per il fatto di esserne membri.

Considerando tutte le informazioni che le persone devono fornire per partecipare a questi programmi fedeltà, i criminali si trovano ad avere a loro disposizione tutto ciò di cui hanno bisogno per iniziare una serie di attività fraudolente: dalle acquisizioni di account, ai furti di identità. Quindi, anche se la fedeltà di un individuo a un commerciante, a una compagnia aerea o a una catena alberghiera potrebbe non essere letteralmente “in vendita,” ci sono buone probabilità che l’account associato a tali programmi lo sia.

“Tutte le aziende devono adattarsi ai cambiamenti esterni, che si tratti di una pandemia, di un competitor che entra in gioco nel mercato o di un aggressore attivo e intelligente, ha concluso Ragan. Alcuni dei principali programmi di fidelizzazione mirati non richiedono altro che un numero di cellulare e una password numerica, mentre altri si affidano a informazioni facilmente reperibili come mezzo di autenticazione. Quello che emerge è un urgente bisogno di migliori controlli di identità e di contromisure per prevenire gli attacchi contro le API e le risorse dei server”.

Il report State of the Internet / Security Report: Loyalty for Sale – Retail and Hospitality Fraud è disponibile a questo link.