Attacchi di Credential Stuffing: cosa sono e come prevenirli [strumenti utili]

Il credential stuffing - o riciclaggio delle password - è un tipo di attacco informatico in cui i cyber criminali sfruttano la poca attenzione riservata alla sicurezza delle proprie credenziali da parte degli utenti: le persone, infatti, spesso usano la medesima coppia di nome utente (mail/user) e password per accedere a più social network, app e servizi web, rendendo così più semplice il furto dell'identità digitale. Senza contare poi la debolezza stessa di alcune password: ogni anno le ricerche dimostrano come milioni di utenti continuino a usare password inconsistenti per proteggere i propri account. NordPass, soluzione di gestione delle password sviluppata da Nord Security, negli ultimi mesi ha diffuso i dati della seguente ricerca: top 200 password più comuni.

Gli autori del credential stuffing lavorano sulla base di un vero e proprio archivio di username/password raccolti in Rete mediante diversi tool e tecniche come ad esempio il Google Dorking (tecnica di hacking basata sull'esecuzione di query di ricerca avanzate per scoprire info più specifiche e nascoste nel motore di ricerca), il phishing o addirittura attingendo a informazioni fornite dalle varie organizzazioni di criminal hacking nel dark web.

Molto spesso si tratta di credenziali oggetto di data breach o brand phishing. Quando capita di sentire la notizia in cui qualche importante sito (Yahoo, DHL, Microsoft ecc) subisce un furto di dati, significa che le informazioni di accesso (user e password) contenute al suo interno non sono più sicure e occorre immediatamente cambiarle. Le credenziali in questione possono finire tranquillamente disponibili per il download sul dark web. Se le informazioni trafugate dai cyber criminali sono organizzate sotto forma di elenco di stringhe hash, come ci si augura, i malintenzionati perderanno più tempo, ma con gli opportuni software e macchine dedicate procederanno per decodificare i dati e tentare di risalire alle password iniziali "in chiaro". In caso contrario potrebbero procedere anche con un attacco Pass the Hash.

È noto il recente attacco di credential stuffing subito da PayPal, che ha portato all'accesso non autorizzato e alla compromissione di quasi 35.000 account. L'attacco, avvenuto tra il 6 e l'8 dicembre 2022, è stato subito rilevato dal colosso americano, il quale dopo aver posto in atto le opportune contromisure, ha avviato un'indagine interna per scoprire in che modo sia stato possibile accedere agli account e rubato i dati di migliaia di utenti tra cui nome, cognome, data di nascita, indirizzo postale e codice fiscale. Il 20 dicembre, a indagine conclusa, PayPal ha confermato che l'accesso è stato effettuato da terze parti non autorizzate usando credenziali valide. I cyber criminali avrebbero infatti riciclato vecchie password, frutto di precedenti data breach. Secondo Alon Gal, co-founder & CTO di Hudson Rock, società israeliana di monitoraggio della sicurezza informatica, ben oltre 1.350.000 credenziali di utenti PayPal sono nelle mani di gruppi criminali, alle quali se ne aggiungono di nuove quotidianamente.

Le password deboli o rubate continuano a essere la causa principale di violazioni dei dati.

I cyber criminali acquisiscono user e password attraverso una violazione di un sito web, un attacco di phishing o un dump delle credenziali. Dopo aver strutturato un database con migliaia di credenziali, i malintenzionati utilizzano differenti strumenti automatizzati (bot) per testare gli accessi rubati su numerosi form di login (es. social media, e-commerce, app o blog). Se l'accesso ha esito positivo, gli aggressori sanno di disporre di un set di dati validi e quindi di avere adito a un determinato numero di account.

I potenziali passi successivi includono:

• Accesso a informazioni sensibili come numeri di carte di credito, messaggi privati, immagini o documenti.
• Utilizzo dell'account per inviare messaggi di phishing o spam.
• Vendita di credenziali note e valide a uno o più siti compromessi affinché altri utenti malintenzionati possano utilizzarle.

Ci sono diverse misure che è possibile adottare per proteggersi dai tentativi di credential stuffing.

1. Utilizza password uniche per ogni account: in questo modo, anche se una password viene rubata, gli hacker non potranno utilizzarla per accedere ai tuoi altri account. È la regola più importante che già da sola previene in modo significato un attacco di credential stuffing. Personalmente cambio le password dei miei account social media una volta l'anno e ovviamente lo faccio con combinazioni di caratteri alphanumerici lunghi e complessi (es. Q_A5y&96#!S-m4).
2. Attiva la verifica in due passaggi: questa funzionalità richiede un codice aggiuntivo, inviato tramite SMS o generato da un'app, per accedere all'account. L'autenticazione a più fattori (MFA) è di gran lunga la migliore difesa contro la maggior parte degli attacchi relativi alle password, incluso la compilazione delle credenziali e il password spray.

A seguire ulteriori accorgimenti, soprattutto per le aziende.

• Utilizzare un gestore di password è sempre una buona idea: questi strumenti generano e salvano password uniche e sicure per ogni account. Alcuni esempi: LastPass, RoboForm, Dashlane, 1Password.
• Utilizza una VPN: questo strumento crea una connessione protetta tra il tuo dispositivo e il server del sito web che stai visitando, rendendo più difficile per gli hacker intercettare le tue credenziali.
• Non utilizzare mai le tue credenziali su siti non attendibili o non sicuri ed evita di cliccare su link sospetti.
• Mantieni il software del tuo dispositivo - soprattutto la versione del browser con il quali navighi in Rete - sempre aggiornato per evitare di essere vulnerabile a eventuali exploit.

In ultimo, ma non meno importante: monitora regolarmente le tue informazioni personali online per individuare eventuali usi e abusi non autorizzati dei tuoi dati (mail, nominativo, codice fiscale, telefono, iban ecc).