Anatomia dell'attacco - Come funziona
Gli attacchi di credential stuffing utilizzano grandi liste di coppie nome utente/password che sono state esposte. In alcune violazioni di dati, l'archiviazione impropria delle credenziali provoca la fuga dell'intero database di password. In altri casi, i criminali informatici crackano le password di alcuni utenti tramite attacchi di password guessing. Gli imbalsamatori di credenziali possono anche ottenere l'accesso a nomi utente e password attraverso il phishing e attacchi simili.
These lists of usernames and passwords are fed to a botnet, which uses them to try to log onto certain target sites. For example, the credentials breached by a travel website may be checked against a large banking institution. If any users reused the same credentials across both sites, then the attackers may be able to successfully log into their accounts.
After identifying valid username/password pairs, the cybercriminals may use them for a variety of different purposes, depending on the account in question. Some credentials may provide access to corporate environments and systems, while others may allow attackers to make purchases using the account owner’s bank account. A credential stuffing group may take advantage of this access themselves or sell it on to another party.
Stuffing di credenziali vs. attacchi Brute Force
Gli attacchi brute force alle password sono un termine generale che comprende alcune tecniche di attacco specifiche. In generale, un attacco di forza bruta significa che l'aggressore prova diverse combinazioni di password finché non funziona qualcosa.
Il termine attacco a forza bruta è più comunemente usato per indicare un attacco in cui l'aggressore prova tutte le opzioni possibili per una password. Ad esempio, un attacco di forza bruta su una password di otto caratteri può provare aaaaaaaa, aaaaaaab, aaaaaaac, ecc. Sebbene questo approccio garantisca di trovare la password corretta alla fine, è lento al punto da essere inapplicabile per una password forte.
Il Credential stuffing adotta un approccio diverso per indovinare la password di un utente. Invece di esaminare tutte le possibili combinazioni di password, si concentra su quelle che sono note per essere state utilizzate da una persona perché esposte in una violazione. Questo approccio all'indovinare la password è molto più veloce di una ricerca a forza bruta, ma presuppone che le password vengano riutilizzate su più siti. Tuttavia, dal momento che la maggior parte delle persone riutilizza la stessa password per più siti, questa è una supposizione sicura da fare.
Come prevenire il Credential Stuffing
L'infiltrazione di credenziali rappresenta un rischio serio per la sicurezza personale e aziendale. Un attacco di credential stuffing riuscito consente all'aggressore di accedere all'account dell'utente, che può contenere informazioni sensibili o la possibilità di eseguire transazioni finanziarie o altre azioni privilegiate per conto dell'utente. Tuttavia, nonostante la minaccia ben pubblicizzata del riutilizzo delle password, la maggior parte delle persone non cambia il proprio comportamento in materia di password.
Il Credential stuffing può anche mettere a rischio l'azienda se le password vengono riutilizzate tra gli account personali e aziendali. Le aziende possono adottare alcune misure diverse per mitigare il rischio di attacchi di credential stuffing, tra cui:
- autenticazione a più fattori (MFA): Gli attacchi di credential stuffing si basano sulla capacità dell'aggressore di accedere a un account con un semplice nome utente e una password. L'implementazione dell'MFA o del 2FA rende questi attacchi più difficili, perché l'aggressore ha bisogno di un codice unico per accedere con successo.
- CAPTCHA: gli attacchi di credential stuffing sono in genere automatizzati. L'implementazione di CAPTCHA nelle pagine di login può bloccare parte di questo traffico automatizzato dal raggiungere il sito e testare le potenziali password.
- Soluzioni anti-bot: Oltre al CAPTCHA, le organizzazioni possono anche implementare soluzioni anti-bot per bloccare il traffico di credenziali. Queste soluzioni utilizzano le anomalie comportamentali per distinguere i visitatori umani da quelli automatici di un sito e per bloccare il traffico sospetto.
- Website Traffic Monitoring: A credential stuffing attack involves a massive volume of failed login attempts. Monitoring traffic to login pages may allow an organization to block or throttle these attacks.
- Verifica delle credenziali violate: I bot di credential stuffing utilizzano in genere elenchi di credenziali esposte nelle violazioni di dati. La verifica delle password degli utenti rispetto agli elenchi di password deboli o a servizi come HaveIBeenPwned può aiutare a determinare se la password di un utente è potenzialmente vulnerabile al credential stuffing.
Prevenire l'infiltrazione di credenziali con Harmony Browse
Check Point’s Harmony Browse protect against credential stuffing in a couple of different ways, including:
- Blocco del riutilizzo della password: Quando un dipendente crea una nuova password su un sito web, Harmony Browse verifica se ha utilizzato la stessa password per altri account. Bloccando il riutilizzo delle password, Harmony Browse riduce la minaccia di attacchi di credential stuffing.
- Proteggere le credenziali degli utenti: Gli elenchi utilizzati negli attacchi di credential stuffing spesso includono credenziali rubate con attacchi di phishing. Harmony Browse blocca i siti di phishing zero-day progettati per rubare queste credenziali.
Per vedere Harmony Browse in azione, guardi questo video.
Feedback