Approfittando del fatto che molti utilizzano le stesse credenziali per accedere a più servizi, gli hacker utilizzano bot per utilizzarle in modo fraudolento

Credential stuffing: persi in media 4 milioni di dollari all'anno

Secondo una nuova ricerca svolta dal Ponemon Institute per conto di Akamai, gli attacchi di credential stuffing stanno facendo perdere alle aziende in media 4 milioni di dollari ogni anno.

Il credential stuffing fa leva sulla probabilità che le persone possano utilizzare lo stesso nome utente e la stessa password per accedere a più applicazioni, siti e servizi. I cybercriminali acquisiscono i dettagli degli account rubati da una piattaforma e implementano i bot necessari per accedere a molti altri account con le stesse credenziali. Una volta trovato il modo di accedere, i criminali violeranno l’account, effettuando acquisti fraudolenti o sottraendo informazioni riservate, fino a quando il relativo proprietario non se ne accorgerà.

La ricerca ha rivelato che gli attacchi di credential stuffing stanno aumentando, sia in termini di volume, che di gravità, e che le aziende ora subiscono in media 11 attacchi di credential stuffing al mese. Ogni attacco prende di mira una media di 1.041 account e può comportare costosi downtime delle applicazioni, perdita di clienti e coinvolgimento dell’infrastruttura di sicurezza. Tutto ciò comporta un costo annuale medio per azienda, per le tre tipologie appena elencate, rispettivamente, di 1,2 milioni, 1,6 milioni e 1,2 milioni di dollari, oltre ai costi diretti correlati alle frodi.

“Siamo a conoscenza del fatto che elenchi di ID utente e password rubati vengano divulgati sul dark web, ma l’aumento continuo degli attacchi di credential stuffing mostra che il pericolo è praticamente senza limiti” ha affermato Jay Coley, Senior Director -Security Planning and Strategy di Akamai Technologies. “I cybercriminali utilizzano sempre di più le botnet per convalidare questi elenchi nelle pagine di accesso di altri siti e portali, ampliando notevolmente l’impatto di una singola violazione. È evidente che le aziende devono essere consapevoli di questa pratica e proteggere i propri clienti e dipendenti, ma devono anche proteggere i propri profitti.”

Gestione della complessità delle credenziali

La maggior parte delle organizzazioni ha una superficie di attacco abbastanza complessa per quel che riguarda l’abuso di credenziali. In realtà, la ricerca ha sottolineato che le aziende hanno mediamente 26,5 siti web accessibili dai loro clienti, esponendo quindi altrettanti punti di accesso per un attacco effettuato con bot.

Tutto viene ulteriormente complicato dalla necessità che le aziende hanno di fornire credenziali di accesso a diversi tipi di clienti, che comprendono accessi da desktop o portatili (87%), da browser web mobili (65%), da terze parti (40%) e da app mobile (36%).

La complessità della superficie di attacco aiuta a spiegare perché solo un terzo delle aziende affermi di avere una buona visibilità sugli attacchi di credential stuffing (35%) e ritenga che gli attacchi contro i propri siti web siano individuati e risolti rapidamente (36%).

“I siti oggi sono entità complesse che possono includere centinaia o migliaia di pagine web e supportare numerose tipologie di client e di traffico. È essenziale che le aziende comprendano l’architettura del proprio sito web e le modalità con le quali i clienti passano dalle varie pagine ai propri endpoint di accesso, per mitigare al meglio gli attacchi di credential stuffing e tenere sotto controllo i costi”, aggiunge Coley.

Identificazione degli impostori

Le organizzazioni sono impegnate nell’identificazione degli impostori e la maggior parte degli intervistati concorda sul fatto che sia difficile distinguere i veri dipendenti e clienti, da intrusi malintenzionati (88%). Questa sfida viene inoltre complicata dalla mancanza di chiarezza in fatto di responsabilità all’interno dell’azienda, con oltre un terzo degli intervistati che afferma che nessun ruolo è responsabile dell’identificazione e della prevenzione degli attacchi di credential stuffing (37%).

“Il modo migliore per battere un bot è trattarlo per ciò che è: non umano”, conclude Coley. “La maggior parte dei bot si comporta come una persona reale, ma i loro metodi stanno diventando sempre più sofisticati. È per questo motivo che le aziende hanno bisogno di strumenti di gestione dei bot tali da monitorare i comportamenti e distinguere i bot da autentici tentativi di login. Al contrario dei sistemi di accesso standard, che si limitano a verificare la corrispondenza di un nome utente e una password, le aziende devono verificare gli schemi di pressione dei tasti, i movimenti del mouse e, persino, l’orientamento di un dispositivo mobile. Con costi di recovery che si aggirano potenzialmente nell’ordine dei milioni, l’urgenza di identificare e frenare questi bot non è mai stata così incombente.”