Nel panorama della sicurezza informatica, tra i tanti rischi che utenti, aziende e istituzioni devono affrontare, uno dei più insidiosi è il credential stuffing. Questo tipo di attacco informatico sfrutta la debolezza umana nella gestione delle password e combina l’uso di credenziali rubate con strumenti automatizzati per ottenere accessi non autorizzati a vari servizi online. Nel corso degli ultimi anni, soprattutto con l’avvento e l’evoluzione delle tecnologie di intelligenza artificiale (AI), la portata e la sofisticazione di questo fenomeno sono cresciute in modo significativo, rendendolo una minaccia costante e in espansione.

Cos’è il credential stuffing

Il credential stuffing è un attacco automatizzato in cui gli hacker usano liste di credenziali — costituite da combinazioni di nomi utente e password — ottenute in seguito a una violazione di sicurezza di un sistema (un data breach) e tentano di accedere con quelle stesse credenziali a uno o più siti web o servizi online diversi. Gli aggressori assumono che molte persone riutilizzino gli stessi dati d’accesso su più piattaforme, e questa abitudine aumenta enormemente le possibilità di accesso riuscito quando la combinazione è già stata esposta.

A differenza di altri metodi di violazione come gli attacchi di forza bruta — che provano combinazioni di caratteri casuali per indovinare una password — il credential stuffing parte da dati già noti e quindi ha una probabilità di successo molto più alta perché si basa su informazioni reali.

Come funziona un attacco di credential stuffing

Il processo tipico di un attacco di credential stuffing può essere descritto in diverse fasi:

1. Raccolta delle credenziali ― gli aggressori ottengono grandi quantità di coppie nome utente/password da un data breach, ovvero una violazione di dati in cui un servizio web ha perso il controllo delle informazioni degli utenti e queste sono state diffuse o vendute sul web;
2. Automazione con bot ― utilizzando software automatizzati detti bot, gli hacker inseriscono queste credenziali nelle schermate di login di altri siti con l’obiettivo di trovare corrispondenze valide;
3. Accesso non autorizzato ― quando un bot trova una combinazione che funziona, l’abbonamento o l’account viene compromesso e l’aggressore può prenderne il controllo, spesso rapidamente e a grande scala.

Questa tecnica è chiamata credential stuffing proprio perché, in inglese, “stuff” significa “imbottire”, a indicare il fatto che le credenziali rubate vengono “imbottite” nei moduli di accesso dei siti web nella speranza che funzionino.

La relazione con un data breach

Il termine data breach indica un evento in cui un’organizzazione subisce una violazione dei propri sistemi di sicurezza e i dati degli utenti, inclusi nomi, email e password, vengono esposti pubblicamente o venduti sul dark web. Quando questo accade, l’effetto non si limita alla singola piattaforma violata: questi dati possono essere usati più volte e ovunque se gli utenti riutilizzano gli stessi dati d’accesso su altri servizi.

Un data breach significa quindi non solo una violazione di un singolo sistema, ma potenzialmente un effetto domino, perché le credenziali rubate offrono materia prima per attacchi di credential stuffing su decine, centinaia o persino migliaia di siti.

Differenza tra credential stuffing e brute force

Spesso si tende a confondere il credential stuffing con l’attacco brute force, ma questi due metodi sono differenti:

• Brute force ― un attacco di forza bruta è una tecnica in cui un aggressore cerca di indovinare una password provando sistematicamente ogni possibile combinazione di caratteri fino a trovare quella corretta. Questo processo può essere estremamente lento e poco efficace su sistemi ben protetti con password complesse;
• Credential stuffing ― invece di indovinare una password, si usano direttamente credenziali già rubate da un database di un precedente data breach e si verificano su altri siti, riducendo drasticamente il numero di combinazioni da testare e migliorando le probabilità di successo.

Quindi, mentre un attacco di brute-force tenta di “forzare” la porta sperando che la combinazione sia corretta, il credential stuffing usa la chiave vera e propria che è già trapelata e prova ad inserirla in molte porte diverse.

Esempi di attacchi e impatti reali

Numerose aziende sono state colpite da attacchi di credential stuffing, con conseguenze che vanno dal furto di dati personali al danneggiamento della reputazione. Un esempio è l’attacco che ha riguardato il marchio The North Face, dove migliaia di account di clienti sono stati compromessi attraverso l’uso di credenziali rubate da altri servizi.

Situazioni analoghe si riscontrano frequentemente: servizi di streaming, e-commerce, social media, portali di gioco e persino servizi legati alla salute o alla finanza possono essere presi di mira. In molti casi, gli aggressori vendono l’accesso ai conti compromessi su mercati illegali o li usano per perpetrate truffe, sottrazioni o usi fraudolenti dei servizi attivati.

Stuffing ricetta: perché funziona

Per capire perché il credential stuffing abbia avuto così tanto successo, si possono esaminare i “componenti” principali del fenomeno, come se fosse una ricetta:

• grande disponibilità di credenziali rubate da violazioni dei dati;
• automazione avanzata con strumenti e bot in grado di effettuare milioni di tentativi in breve tempo;
• comportamenti umani prevedibili, tra cui il riutilizzo di password su più siti;
• debolezze nei sistemi di sicurezza, come l’assenza di blocchi automatici dopo pochi tentativi o l’uso di autenticazione a un solo fattore.

Questi ingredienti rendono il credential stuffing estremamente efficace e, se non adeguatamente contrastato, quasi inevitabilmente conducente a qualche successo per gli aggressori.

Perché il credential stuffing sta crescendo con l’AI

Negli ultimi anni, uno dei fattori che hanno accelerato la crescita degli attacchi di credential stuffing è l’uso dell’intelligenza artificiale. Strumenti basati su AI consentono infatti ai criminali informatici di:

• automatizzare e scalare gli attacchi in modo più efficiente, adattando il comportamento dei bot affinché sembrino login legittimi e quindi più difficili da bloccare;
• generare pattern di login intelligenti che imitano il comportamento umano, come variazioni di velocità, timing casuale e alternanza tra indirizzi IP, complicando il rilevamento;
• analizzare enormi quantità di dati di breach e classificare le credenziali in base alla probabilità di successo su determinati servizi target.

L’uso dell’intelligenza artificiale quindi non solo permette di eseguire attacchi su scala maggiore, ma anche di farlo in modo più furtivo e difficile da contrastare con le tecniche tradizionali di difesa.

Come si accede a uno strumento per la gestione delle password

Una delle strategie più importanti per difendersi dal credential stuffing è adottare strumenti per la gestione delle password. Questi strumenti consentono di generare password uniche e complesse per ogni account, salvandole in modo sicuro in un database cifrato accessibile solo con una master password forte o tramite autenticazione multifattore.

Per accedervi, si sceglie un’applicazione o un servizio (come un password manager), si crea un account principale e si inseriscono tutte le credenziali che si utilizzano. Da quel momento il gestore può anche suggerire password forti e ricordarle per voi, riducendo la necessità di riutilizzare la stessa password su più servizi.

Cosa si intende per politica di gestione della password

Una politica di gestione della password è l’insieme di regole e linee guida che un’organizzazione impone agli utenti per garantire l’uso di password sicure. Incluse in queste politiche ci sono spesso indicazioni su:

• lunghezza minima della password;
• complessità (uso di lettere, numeri e caratteri speciali);
• rotazione periodica delle password;
• divieto di riutilizzo delle stesse credenziali su più servizi.

Queste politiche aiutano a ridurre la superficie di attacco per gli aggressori che cercano di sfruttare lo stesso set di credenziali su diversi account.

Come puoi verificare se le tue password sono state compromesse

Fortunatamente esistono vari servizi online che permettono di verificare se le tue credenziali sono state esposte in un data breach, come ad esempio servizi di verifica delle credenziali compromesse che ti avvisano se il tuo indirizzo email o password è stato trovato in una fuga di dati pubblica. Questi servizi, alcuni gratuiti e altri inclusi nei password manager, confrontano le tue informazioni con database di migliaia di breach noti e ti dicono se qualche combinazione è stata esposta, suggerendo di cambiarla immediatamente.

Attacco con regole informatiche

Nel mondo della cybersecurity, un attacco con regole informatica si riferisce all’uso di un set predeterminato di regole o script automatizzati per eseguire determinate azioni, ad esempio inserire combinazioni di credenziali, riconoscere pattern o gestire login automatizzati. Nel caso del credential stuffing moderno, questi script spesso integrano regole di automazione sofisticate che imitano il comportamento umano, superano filtri di bot detection e possono persino aggirare alcuni sistemi di sicurezza di base.

Conclusioni

Il credential stuffing è una delle forme più diffuse e pericolose di attacco informatico perché sfrutta sia debolezze tecniche dei sistemi di autenticazione sia errori umani nella gestione delle password, ed è ulteriormente facilitato dall’uso di tecnologie di intelligenza artificiale che ne aumentano l’efficacia e la scala operativa. La migliore difesa passa attraverso l’adozione di password manager, politiche di gestione delle password, autenticazione multifattore e consapevolezza dell’utente, oltre a tecnologie di rilevazione intelligente per distinguere login legittimi da accessi fraudolenti automatizzati.

Credits: denisismagilov / DepositPhotos.com