4 milioni di dollari all’anno è la perdita subita dalle aziende in Emea che è riconducibile agli attacchi di credential stuffing secondo un recente studio pubblicato da Akamai, azienda attiva nella protezione e delivery di experience digitali mediante la propria Intelligent edge platform. Ma cos’è il credential stuffing? Si tratta di un attacco che fa leva sulla probabilità che le persone possano utilizzare lo stesso nome utente e la stessa password per accedere a più applicazioni, siti e servizi. I cybercriminali acquisiscono i dettagli degli account rubati da una piattaforma e implementano i bot necessari per accedere a molti altri account con le stesse credenziali. Una volta trovato il modo di accedere, i criminali violeranno l’account, effettuando acquisti fraudolenti o sottraendo informazioni riservate, fino a quando il relativo proprietario non se ne accorgerà.
La ricerca, effettuata dal Ponemon Institute e che ha coinvolto 544 addetti alla sicurezza IT, ha rivelato che gli attacchi di credential stuffing stanno aumentando, sia in termini di volume, che di gravità, e che le aziende ora subiscono in media 11 attacchi di credential stuffing al mese. Ogni attacco prende di mira una media di 1.041 account e può comportare costosi downtime delle applicazioni, perdita di clienti e coinvolgimento dell’infrastruttura di sicurezza. Tutto ciò comporta un costo annuale medio per azienda, per le tre tipologie appena elencate, rispettivamente, di 1,2 milioni, 1,6 milioni e 1,2 milioni di dollari, oltre ai costi diretti correlati alle frodi.
La maggior parte delle organizzazioni ha una superficie di attacco abbastanza complessa per quel che riguarda l’abuso di credenziali. In realtà, la ricerca ha sottolineato che le aziende hanno mediamente 26,5 siti web accessibili dai loro clienti, esponendo quindi altrettanti punti di accesso per un attacco effettuato con bot.
Tutto viene ulteriormente complicato dalla necessità che le aziende hanno di fornire credenziali di accesso a diversi tipi di clienti, che comprendono accessi da desktop o portatili (87%), da browser web mobili (65%), da terze parti (40%) e da app mobile (36%).
La complessità della superficie di attacco aiuta a spiegare perché solo un terzo delle aziende affermi di avere una buona visibilità sugli attacchi di credential stuffing (35%) e ritenga che gli attacchi contro i propri siti web siano individuati e risolti rapidamente (36%).
Le organizzazioni sono impegnate nell’identificazione degli impostori e la maggior parte degli intervistati concorda sul fatto che sia difficile distinguere i veri dipendenti e clienti, da intrusi malintenzionati (88%). Questa sfida viene inoltre complicata dalla mancanza di chiarezza in fatto di responsabilità all’interno dell’azienda, con oltre un terzo degli intervistati che afferma che nessun ruolo è responsabile dell’identificazione e della prevenzione degli attacchi di credential stuffing (37%).
“Siamo a conoscenza del fatto che elenchi di ID utente e password rubati vengano divulgati sul dark web – ha affermato Jay Coley, Senior Director -Security Planning and Strategy di Akamai Technologies – ma l’aumento continuo degli attacchi di credential stuffing mostra che il pericolo è praticamente senza limiti. I cybercriminali utilizzano sempre di più le botnet per convalidare questi elenchi nelle pagine di accesso di altri siti e portali, ampliando notevolmente l’impatto di una singola violazione. È evidente che le aziende devono essere consapevoli di questa pratica e proteggere i propri clienti e dipendenti, ma devono anche proteggere i propri profitti. I siti oggi sono entità complesse che possono includere centinaia o migliaia di pagine web e supportare numerose tipologie di client e di traffico. È essenziale che le aziende comprendano l’architettura del proprio sito web e le modalità con le quali i clienti passano dalle varie pagine ai propri endpoint di accesso, per mitigare al meglio gli attacchi di credential stuffing e tenere sotto controllo i costi. Il modo migliore per battere un bot è trattarlo per ciò che è: non umano. La maggior parte dei bot si comporta come una persona reale, ma i loro metodi stanno diventando sempre più sofisticati. È per questo motivo che le aziende hanno bisogno di strumenti di gestione dei bot tali da monitorare i comportamenti e distinguere i bot da autentici tentativi di login. Al contrario dei sistemi di accesso standard, che si limitano a verificare la corrispondenza di un nome utente e una password, le aziende devono verificare gli schemi di pressione dei tasti, i movimenti del mouse e, persino, l’orientamento di un dispositivo mobile. Con costi di recovery che si aggirano potenzialmente nell’ordine dei milioni, l’urgenza di identificare e frenare questi bot non è mai stata così incombente”.
