4 milioni di dollari ogni anno. A tanto ammonta il costo degli attacchi di credential stuffing secondo una recente ricerca condotta dal Ponemon Institute per Akamai.
Stanto a quanto emerso, gli attacchi di credential stuffing stanno aumentando, sia in termini di volume, che di gravità, tanto che le aziende ora subiscono in media 11 attacchi di credential stuffing al mese.
Ogni attacco prende di mira una media di 1.041 account e può comportare costosi downtime delle applicazioni, perdita di clienti e coinvolgimento dell’infrastruttura di sicurezza. Tutto ciò comporta un costo annuale medio per azienda, per le tre tipologie appena elencate, rispettivamente, di 1,2 milioni, 1,6 milioni e 1,2 milioni di dollari, oltre ai costi diretti correlati alle frodi.
Il credential stuffing, infatti, fa leva sulla probabilità che le persone possano utilizzare lo stesso nome utente e la stessa password per accedere a più applicazioni, siti e servizi. I cybercriminali acquisiscono i dettagli degli account rubati da una piattaforma e implementano i bot necessari per accedere a molti altri account con le stesse credenziali. Una volta trovato il modo di accedere, i criminali violeranno l’account, effettuando acquisti fraudolenti o sottraendo informazioni riservate, fino a quando il relativo proprietario non se ne accorgerà.
Pericolo senza limiti
Come evidenziato in una nota ufficiale da Jay Coley, Senior Director -Security Planning and Strategy di Akamai Technologies: «Siamo a conoscenza del fatto che elenchi di ID utente e password rubati vengano divulgati sul dark web, ma l’aumento continuo degli attacchi di credential stuffing mostra che il pericolo è praticamente senza limiti. I cybercriminali utilizzano sempre di più le botnet per convalidare questi elenchi nelle pagine di accesso di altri siti e portali, ampliando notevolmente l’impatto di una singola violazione. È evidente che le aziende devono essere consapevoli di questa pratica e proteggere i propri clienti e dipendenti, ma devono anche proteggere i propri profitti».
Come mitigare al meglio gli attacchi di credential stuffing
La ricerca ha sottolineato che le aziende hanno mediamente 26,5 siti web accessibili dai loro clienti, esponendo quindi altrettanti punti di accesso per un attacco effettuato con bot.
Tutto viene ulteriormente complicato dalla necessità che le aziende hanno di fornire credenziali di accesso a diversi tipi di clienti, che comprendono accessi da desktop o portatili (87%), da browser web mobili (65%), da terze parti (40%) e da app mobile (36%).
La complessità della superficie di attacco aiuta a spiegare perché solo un terzo delle aziende affermi di avere una buona visibilità sugli attacchi di credential stuffing (35%) e ritenga che gli attacchi contro i propri siti web siano individuati e risolti rapidamente (36%).
Le organizzazioni sono impegnate nell’identificazione degli impostori e la maggior parte degli intervistati concorda sul fatto che sia difficile distinguere i veri dipendenti e clienti, da intrusi malintenzionati (88%). Questa sfida viene inoltre complicata dalla mancanza di chiarezza in fatto di responsabilità all’interno dell’azienda, con oltre un terzo degli intervistati che afferma che nessun ruolo è responsabile dell’identificazione e della prevenzione degli attacchi di credential stuffing (37%).
Da qui l’esigenza di dotarsi di strumenti di gestione dei bot tali da monitorare i comportamenti e distinguere i bot da autentici tentativi di login. Al contrario dei sistemi di accesso standard, che si limitano a verificare la corrispondenza di un nome utente e una password, le aziende devono verificare gli schemi di pressione dei tasti, i movimenti del mouse e, persino, l’orientamento di un dispositivo mobile. Con costi di recovery che si aggirano potenzialmente nell’ordine dei milioni, infatti, l’urgenza di identificare e frenare questi bot non è mai stata così incombente.