Il credential stuffing è un problema noto almeno dal 2011. Con la pandemia da COVID-19 si è accentuato e ormai interessa tutti i settori. Lo smart working forzato di milioni di dipendenti ha aumentato i furti di credenziali, che stanno alimentando i canali illegali del dark web.

Il circolo vizioso è costantemente alimentato: le credenziali rubate finiscono in vendita, vengono acquistate da criminali informatici che le usano per ampliare le botnet o moltiplicare le campagne di phishing mirate alla diffusione di malware, keylogger o a sferrare attacchi  ransomware contro aziende e istituzioni. Durante gli attacchi entrano in possesso di altre credenziali, e il circolo ricomincia.

Attacchi troppo facili da eseguire

Il problema è sempre più pervasivo. Secondo il recente Verizon Data Breach Investigations Report, nel 2019 il credential stuffing è stato utilizzato nel 29% delle violazioni dei dati. Il motivo di tanto successo è che è sempre più facile ottenere le credenziali rubate a buon mercato. Il mercato del dark web è apparentemente infinito e le quotazioni partono da 2 dollari. Inoltre, non è solo una questione di costi. Secondo molti esperti di sicurezza, per ottenere le competenze necessarie per acquistare credenziali online può bastare un pomeriggio di ricerche su Google.

Come contrastare la minaccia del credential stuffing? Ci sono alcuni strumenti e tecniche che si possono adottare per mitigarli. Vediamoli di seguito.

Potremmo sembrare ripetitivi, ma il primo passo da fare è tenere dei corsi di formazioni per aumentare la consapevolezza degli utenti sulla gestione delle password.  Ci sono ancora troppi utenti che riciclano la stessa password per più servizi, o che usano password troppo semplici.
Per evitare problemi con le password ripetitive o riciclate, esistono efficienti gestori di password. Creano password univoche e complesse per ogni account e li memorizzano. Sono multi piattaforma ed esistono sia prodotti professionali a pagamento sia gratuiti. Ricordiamo, per quelli di livello enterprise, 1Password Business, Dashlane Business, Keeper for Business, LastPass Enterprise, ManageEngine Password Manager Pro, Pleasant Password Server e RoboForm for Business.

Autenticazione e intelligence

Un altro efficace sistema di prevenzione è abilitare l'autenticazione a più fattori su ogni account su cui è previsto. Non è una soluzione inespugnabile, ma rende più difficile portare a termine gli attacchi con successo.

Gli strumenti più importanti da adottare sono quelli per rilevare le anomalie. Si tratta dei cosiddetti strumenti di intelligence delle minacce, che aiutano a identificare i segnali di rischio, come per esempio un numero eccessivo di tentativi di autenticazione non riusciti. Rilevano anche un aumento improvviso o insolito della quantità di indirizzi IP che visitano un sito web, a indicazione di potenziali attività dannose da indagare.

Ultimo ma non meno importante, gli sviluppatori web possono complicare l'attività criminale implementando nei siti web contromisure come ad esempio i CAPTCHA e gli MFA.