▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Attacchi alle identità sempre più sofisticati e diffusi

Una ricerca mette in evidenza come i cyber criminali reagiscono di fronte a strumenti efficaci di blocco del credential stuffing.

Tecnologie/Scenari

Tra marzo 2022 e aprile 2023 il 19,4% delle richieste di autenticazione è stato frutto di attacchi di credential stuffing. Attuando efficaci difese si è ridimensionato di molto il problema (-66%), ma gli attaccanti hanno risposto ideando tattiche e tecniche di crescente complessità per aggirare le difese. È questa la situazione che emerge dalla ricerca 2023 Identity Threat Report: The Unpatchables pubblicata da F5 Labs a seguito dell’elaborazione di 320 miliardi di transazioni di dati avvenute nei sistemi di 159 organizzazioni, nel periodo indicato.

È ormai noto che la maggior parte degli attacchi oggi si concentra sulle identità digitali, che sono di fatto la nuova superficie di attacco. Se qualcuno avesse il dubbio che non sia così la ricerca di F5 chiarisce la proporzione del problema e l'importanza di mettere in atto le contromisure che non solo esistono, ma che sono anche molto efficaci, tanto da costringere gli attaccanti a cercare obiettivi più vulnerabili.

Il credential stuffing

Vale la pena ricordare che gli attacchi di credential stuffing prevedono che i malintenzionati sfruttino nomi utente e password rubati da un sistema per violarne altri. Non si conosce l’esatta provenienza delle combinazioni username/password che vengono di volta in volta impiegate. Nel cybercrime esistono figure specializzate nel furto di credenziali, conosciute come IAB (Initial Access Broker), che usano tecniche di social engineering, email di phishing o spear phishing, e in generale qualsiasi tattica che porti con l’inganno la potenziale vittima a inserire i propri dati in un contesto da cui l’attaccante li possa sottrarre.

Tuttavia dalle analisi di F5 Labs emerge un dato nuovo e significativo: sembra che i difensori abbiano una visibilità molto più limitata di quanto inizialmente previsto. Infatti, ben il 75% delle credenziali utilizzate durante gli attacchi non risultava essere precedentemente identificata come compromessa.

Le difese funzionano

Sopra abbiamo accennato al fatto che una difesa efficace riduce il fenomeno del credential stuffing. In particolare, quello che è emerso dalla ricerca è che le contromisure tendevano a modificare il comportamento degli attaccanti, portando a una significativa diminuzione nell'impiego di automazione dannosa. In altri termini, senza mitigazioni gli attacchi erano maggiormente concentrati contro gli endpoint mobili piuttosto che contro quelli web. Dopo l'introduzione delle mitigazioni sono calati gli attacchi diretti ai dispositivi mobili, e la maggior parte degli attacchi successivi hanno preso di mira gli endpoint web.


Le mitigazioni adottate hanno influito anche sul livello di sofisticazione degli attacchi. Contro gli endpoint di autenticazione non protetti, il 64,5% del traffico dannoso comprendeva attacchi classificati come "base", il che significa nessun tentativo di emulare il comportamento umano o di contrastare la difese contro i bot. Dopo l'introduzione delle misure di mitigazione, la percentuale di questi attacchi è scesa al 44%.

Al contrario, gli attacchi definiti "intermedi", che compiono un maggiore sofisticazione nel contrastare le soluzioni anti-bot, sono diventati molto più diffusi con la mitigazione, passando dal 12% al 27%. Gli attacchi più sofisticati, che impiegano strumenti in grado di simulare con precisione l'interazione umana, come i movimenti del mouse, la pressione dei tasti e le dimensioni dello schermo, sono aumentati dal 20% al 23%.

Aggirare le difese

Avere difese efficaci non cambia solo il comportamento degli attaccanti, li sprona anche a produrre attacchi capaci di eludere le contromisure. Di fronte agli alti tassi di rilevamento delle azioni di credential stuffing, gli attaccanti hanno iniziato a introdurre i cosiddetti account canarini, attaccati per aumentare artificialmente il tasso di successo complessivo.

Sul fronte del phishing, invece, i cyber criminali hanno iniziato a contrastare la diffusione dell’autenticazione a più fattori con la tecnica del "reverse proxy phishing", che crea pagine di login fasulle per indurre le vittime a inserire le proprie credenziali. In ultimo, sta diventando sempre più popolare fra gli attaccanti AntiRed, uno strumento Javascript con funzioni di rilevamento-evasione progettato per superare le tecniche di analisi del phishing basate sul browser. Per intenderci, sono quelle che avvisano gli utenti con un messaggio di pericolo quando accedono a un sito potenzialmente non sicuro.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
scrivi qui il titolo...
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1