Il Credential Stuffing è una tecnica di attacco informatico sempre più diffusa che sfrutta le credenziali rubate nei data breach per avere accesso a siti e servizi online. Si tratta di un fenomeno subdolo in quanto sfrutta la poca accortezza degli utenti nella gestione e riutilizzo delle proprie credenziali su diversi account, mettendo a rischio la sicurezza dei propri dati personali e aziendali.
Tra i tanti fenomeni malevoli che imperversano nel cyberspazio quello del Credential Stuffing è uno di quelli di cui si fa largamente uso ma di cui si parla poco. Vale quindi la pena capire di cosa si tratta, come viene usato e come difendersi.
Che cos’è il Credential Stuffing
Il Credential Stuffing è una tecnica usata dai cybercriminali per accedere ad un sito web sfruttando le credenziali di accesso che sono state utilizzate per un altro servizio.
Moltissime persone, per evitare un sovraccarico di nomi utente e password, hanno la pessima abitudine di utilizzarle su diversi siti. La debolezza di questa pratica sta nel fatto che un’accoppiata “Nome Utente” e “Password” possono essere rubate mediante qualche tecnica di attacco.
Attacco che non è fatto direttamente a noi ma a un sito su cui ci siamo registrati e non ha una adeguata policy di sicurezza. Queste credenziali vengono poi pubblicate o vendute sul dark web a disposizione di chi ha tutto il tempo di provare a vedere se possono essere valide per accedere ad altri siti.
Lo scopo principale è sfruttare la poca attenzione riservata all’uso delle credenziali e le aziende sono il principale target dei cyber criminali.
Come viene sfruttata la tecnica
L’attaccante, si procura in giro per la rete un elenco di credenziali rubate, magari a seguito di un data breach o nel dark web. Secondo alcune ricerche, vengono rubate circa 6000 credenziali al minuto. Procurarsi materiale in abbondanza non è affatto complicato.
Di solito, viene utilizzato uno script che crea l’attaccante stesso o usufruisce di uno dei tanti tool reperibili in rete. Con esso, mette in atto un‘automazione che prova su determinati siti target svariate combinazioni di “Utente” e “Password”. Se una o più credenziali tra quelle in possesso è stata utilizzata anche per entrare in altri siti, se l’utente non ha nel frattempo cambiato password, l’attaccante ha fatto bingo.
Ovviamente, per quanto possa sembrare semplice, e lo è per chi conosce la materia, c’è bisogno di una strategia. Ad esempio, molti siti che ricevono numerose richieste di accesso da uno stesso indirizzo IP mettono in atto meccanismi di difesa. Un attaccante furbo fa in modo che questo non succeda, ad esempio usando una botnet per lanciare l’attacco.
A cosa serve davvero un attacco di Credential Stuffing
Pensare che un attacco di Credential Stuffing serva esclusivamente per entrare in siti web è sbagliato. Ci sono molte situazioni in cui le credenziali usate su un sito innocuo e rubate possano essere state utilizzate, ad esempio, per gestire un archivio cloud come Google Drive o One Drive. Questi due in particolare non danno solo accesso agli archivi on line ma permettono di accedere ad un intero account e quindi anche, ad esempio, alla posta.
Da qui si possono ricavare informazioni e documenti importanti che possono essere usate per prendere di mira uno specifico utente e quindi una specifica azienda con la tecnica dello Spear Phishing.
Si possono ricavare così tante informazioni da permettere ad un attaccante anche di fingersi un collega, magari di alto livello gerarchico, e chiedere di effettuare un bonifico. Sono cose già successe, non è solo supposizione.
Come difendersi
Viene spontaneo dire che la miglior difesa è il buon senso. Vediamo alcune semplici regole da mettere in pratica:
- Non usare mai le stesse accoppiate “Utente” “Password” su più siti
- Evitare l’indirizzo di posta aziendale per iscriversi a servizi personali
- Mai avvalersi di un account aziendale per infilarci cose personali
- Evitare password semplici o facili come sequenza di numeri, date di nascita, nomi di parenti
- Consultare il sito “Have i been pwned?” per controllare se il proprio indirizzo e-mail è finito in un data breach e quale
- Cambiare subito le password compromesse se le troviamo nel sito “Have i been pwned?”
- Dotarsi di un password manager per gestire facilmente le numerose credenziali di cui siamo in possesso
Una sana gestione delle credenziali, anche quelle che inseriamo in siti che a prima vista ci sembrano non possano in alcun modo procurarci pericolo, è la migliore strategia da adottare e mettere in pratica.