Il credential stuffing è una tecnica che fa leva sulla probabilità che le persone possano utilizzare lo stesso nome utente e la stessa password per accedere a più applicazioni, siti e servizi.
Il cybercrimine acquisisce i dettagli degli account rubati da una piattaforma e implementa i bot necessari per accedere a molti altri account con le stesse credenziali.
Una volta trovato il modo di accedere, i criminali violeranno l’account, effettuando acquisti fraudolenti o sottraendo informazioni riservate, fino a quando il relativo proprietario non se ne accorgerà.
E le aziende stanno perdendo in media 4 milioni di dollari ogni anno a causa degli attacchi di credential stuffing,
Il dato emerge dalla da una ricerca effettuata dal Ponemon Institute per Akamai.
La ricerca, effettuata dal Ponemon Institute, ha rivelato che gli attacchi di credential stuffing stanno aumentando, sia in termini di volume, che di gravità, e che le aziende ora subiscono in media 11 attacchi di credential stuffing al mese.
Ogni attacco prende di mira una media di 1.041 account e può comportare downtime delle applicazioni, perdita di clienti e coinvolgimento dell’infrastruttura di sicurezza: tutto ciò comporta un costo annuale medio per azienda, per le tre tipologie di danno, rispettivamente, di 1,2 milioni, 1,6 milioni e 1,2 milioni di dollari, oltre ai costi diretti correlati alle frodi.
La maggior parte delle aziende ha una superficie di attacco abbastanza complessa per quel che riguarda l’abuso di credenziali. In realtà, la ricerca ha sottolineato che le aziende hanno mediamente 26,5 siti web accessibili dai loro clienti, esponendo quindi altrettanti punti di accesso per un attacco effettuato con bot.
Tutto viene ulteriormente complicato dalla necessità che le aziende hanno di fornire credenziali di accesso a diversi tipi di clienti, che comprendono accessi da desktop o portatili (87%), da browser web mobili (65%), da terze parti (40%) e da app mobile (36%).
La complessità della superficie di attacco aiuta a spiegare perché solo un terzo delle aziende affermi di avere una buona visibilità sugli attacchi di credential stuffing (35%) e ritenga che gli attacchi contro i propri siti web siano individuati e risolti rapidamente (36%).
Le organizzazioni sono impegnate nell’identificazione degli impostori e la maggior parte degli intervistati concorda sul fatto che sia difficile distinguere i veri dipendenti e clienti, da intrusi malintenzionati (88%).
Questa sfida viene inoltre complicata dalla mancanza di chiarezza in fatto di responsabilità all’interno dell’azienda, con oltre un terzo degli intervistati che afferma che nessun ruolo è responsabile dell’identificazione e della prevenzione degli attacchi di credential stuffing (37%).
Il limite del bot è che non è umano
“Il modo migliore per battere un bot è trattarlo per ciò che è: non umano – dice Jay Coley, Senior Director Security Planning and Strategy di Akamai Technologies. – La maggior parte dei bot si comporta come una persona reale, ma i loro metodi stanno diventando sempre più sofisticati. È per questo motivo che le aziende hanno bisogno di strumenti di gestione dei bot tali da monitorare i comportamenti e distinguere i bot da autentici tentativi di login. Al contrario dei sistemi di accesso standard, che si limitano a verificare la corrispondenza di un nome utente e una password, le aziende devono verificare gli schemi di pressione dei tasti, i movimenti del mouse e, persino, l’orientamento di un dispositivo mobile”.
