Da maggio a dicembre 2018, gli hacker hanno indirizzato i loro tentativi di attacchi di credential stuffing ai siti di retail più di 10 miliardi di volte, rendendo il retail il settore più colpito. È quanto emerge dallo State of the Internet Security, report di Akamai dedicato agli attacchi nel settore retail e all’analisi del traffico delle API. Il rapporto evidenzia anche altri due crescenti timori in termini di sicurezza, ossia la preponderanza del traffico di API-call sul web e l’apparente interpretazione errata del traffico basato sull’IPv6.
Akamai ha analizzato la tecnica del credential stuffing, quella in cui gli hacker utilizzano sistematicamente le botnet per provare ad utilizzare le informazioni di accesso rubate sul web. Prendono di mira le pagine di accesso di banche e retailers, basandosi sul presupposto che molti clienti usano le stesse credenziali di accesso per più servizi e account. L’interesse per il retail è determinato dal valore della merce che gli hacker acquistano, tramite account compromessi e poi spesso rivendono.
Secondo il rapporto, gli insidiosi bot AIO (All In One) che gli hacker implementano sono strumenti multifunzionali che consentono di effettuare acquisti rapidi sfruttando il credential stuffing e altre tecniche di elusione. Un singolo bot AIO può essere indirizzato a più di 120 retailer contemporaneamente.
Secondo il rapporto, anche le piattaforme Media&Entertainment sono note vittime di attacchi di credential stuffing. Il loro valore è rappresentato dalle informazioni personali che contengono. Gli utenti finali condividono informazioni sulle carte di credito e dati demografici quando si registrano, ad esempio, ai servizi di streaming online OTT (Over-The-Top). Questo tipo di dati ha un elevato valore sul mercato nero. Akamai, inoltre, ha notato numerosi attacchi di credential stuffing sferrati contro siti di servizi finanziari, nonché nel settore travel e beni di consumo.
“Le tecniche cambiano, ma la motivazione resta la stessa: l’avidità”, ha affermato Martin McKeay, ricercatore in materia di sicurezza e direttore editoriale del rapporto sullo stato di Internet – Security. “I retailer restano in cima alla classifica dei settori più frodati, perché la merce rubata viene venduta rapidamente e con un ricarico economico. Dai dati riportati sui siti di abbigliamento è evidente quale siano i prodotti con il valore maggiore, per questo motivo i siti di retail sono quelli maggiormente presi di mira.”
Nel settore retail, oltre al segmento dell’abbigliamento, Akamai ha rilevato tentativi di credential stuffing sferrati contro il commercio diretto, i centri commerciali, i rivenditori di articoli da ufficio e i negozi di accessori moda, come negozi di gioielli e orologi.
La prevalenza del traffico API e la potenziale sottovalutazione dell’IPv6 suscitano ulteriori timori in termini di sicurezza
Secondo un’analisi del traffico di Akamai effettuata nell’ottobre 2018 e descritta dettagliatamente nel rapporto, le richieste di API rappresentano l’83% del traffico web. La maggior parte del traffico API è rivolto ad applicazioni personalizzate: una conseguenza della trasformazione digitale e dell’implementazione delle applicazioni basate su cloud. Per chi si occupa di sicurezza, la crescita del volume delle API è importante quando si considera il rischio, perché alcuni strumenti attualmente in uso non sono progettati a livello di sicurezza per gestire il traffico delle API.
“Le applicazioni hanno una modalità di fruizione fluida e molte API-call sono specifiche dell’applicazione o dell’azienda e richiedono un approccio alla sicurezza diverso rispetto al traffico HTML, che è apparentemente statico”, ha spiegato McKeay.
Contemporaneamente, l’analisi del traffico DNS descritta nel rapporto rileva che il traffico IPv6 potrebbe non essere effettivo, poiché molti sistemi compatibili con l’utilizzo dell’IPv6 funzionano ancora meglio con l’IPv4. Ciò potrebbe indicare un monitoraggio improprio o una configurazione errata del dispositivo e allo stesso tempo punti ciechi della rete, tutti aspetti chiave da tenere in considerazione in termini di sicurezza. Dato che l’IPv6 riguarda ancora una minoranza del traffico web, non è percepito come requisito fondamentale per molti strumenti di sicurezza.
