Una recente ricerca del Ponemon Institute, organizzazione indipendente specializzata in ricerche sulla data protection, per conto di Akamai, tra i leader della Cybersecurity, evidenzia che ogni anno è di 4 milioni di dollari il costo degli attacchi di credential stuffing, e che questi attacchi stanno aumentando sia in volume che sofisticazione, tanto che le aziende ora subiscono in media 11 attacchi al mese. Ogni attacco prende di mira una media di 1000 account e può comportare downtime delle applicazioni, perdita di clienti e coinvolgimento dell’infrastruttura di sicurezza. Il credential stuffing si basa sulla probabilità che le persone utilizzino stesso nome utente e stessa password per accedere a più applicazioni, siti e servizi, e i cybercriminali acquisiscono i dettagli degli account sottratti da una piattaforma creando i bot per accedere a molti altri account con le stesse credenziali. Una volta trovato come accedere, l’account viene violato, effettuando acquisti fraudolenti o sottraendo informazioni riservate. Akamai è a conoscenza che elenchi di ID utente e password rubati sono poi divulgati sul Dark Web, ma l’aumento continuo degli attacchi di credential stuffing mostra che il pericolo è praticamente senza limiti. I cybercriminali utilizzano sempre di più le botnet per convalidare questi elenchi nelle pagine di accesso di altri siti e portali, ampliando notevolmente l’impatto di una singola violazione. La ricerca ha sottolineato che le aziende hanno mediamente 26 siti web accessibili da parte dei loro clienti, esponendo quindi altrettanti punti di accesso per un attacco da bot, e il tutto è ulteriormente complicato dalla necessità delle aziende di fornire credenziali di accesso diffrenti a diversi tipi di clienti, quali accessi da desktop o portatili, da browser web mobili, da terze parti e da app mobile. La complessità della superficie di attacco spiega perché solo un terzo delle aziende afferma di avere una buona visibilità sugli attacchi di credential stuffing (35%) e ritiene che gli attacchi contro i propri siti web siano individuati e risolti rapidamente (36%). Le organizzazioni sono impegnate nell’identificazione degli impostori e per la maggior parte degli intervistati nell’inchiesta citata è difficile distinguere i veri dipendenti e clienti da intrusi malintenzionati (88%); ulteriore complicazione deriva dalla mancanza di chiarezza in fatto di responsabilità all’interno dell’azienda, con oltre un terzo degli intervistati che afferma che nessun ruolo è responsabile dell’identificazione e della prevenzione degli attacchi di credential stuffing (37%). Da qui l’esigenza di dotarsi di strumenti di gestione dei bot tali da monitorare i comportamenti e distinguere i bot da autentici login.
Si diffondono gli attacchi di Credential Stuffing
