Cre­den­tial stuffing: come le falle di sicurezza portano al furto di dati

Tutti noi uti­liz­zia­mo decine o ad­di­rit­tu­ra centinaia di servizi online diversi: provider di posta elet­tro­ni­ca, software, servizi di streaming, ab­bo­na­men­ti a riviste, e molto altro ancora. Ciascuno di questi servizi richiede che ef­fet­tuia­mo un accesso, inserendo nome utente e password. Spesso, tuttavia, questi dati di accesso vengono rubati in un modo o nell’altro, e quindi messi in vendita in grosse raccolte di password da criminali in­for­ma­ti­ci. Gli hacker uti­liz­za­no poi questi dati di accesso, ad esempio tramite il co­sid­det­to cre­den­tial stuffing, per trarre profitto dai dati rubati.

In diverse occasioni, gli hacker riescono a penetrare nei database di grandi servizi online e a rubare i dati di accesso di numerosi utenti. I dati acquisiti vengono offerti in vendita sulle darknet sotto forma di elenchi. L’elenco più noto e lungo, al momento, si chiama “Col­lec­tion #1-5” e include oltre 2,2 miliardi di com­bi­na­zio­ni di nomi utente e password – un volume di dati di circa 900 gigabyte!

Che cosa si può fare con questa lista? A colpo d’occhio, non molto. Quando un fornitore di servizi rileva il furto di dati, avvisa subito i suoi clienti e chiede loro di cambiare la password.

Cambiando la password si impedisce agli hacker di accedere all’account utente cor­ri­spon­den­te. Ma il problema è che molti utenti si sentono troppo al sicuro. Uti­liz­za­no la stessa com­bi­na­zio­ne di indirizzo e-mail e password per diversi servizi online. Ed è qui che entra in gioco il cre­den­tial stuffing, uti­liz­za­to dagli hacker per essere in grado di sfruttare i dati di accesso rubati a proprio vantaggio.

Tramite il cre­den­tial stuffing, gli hacker tentano di entrare in un sistema con dei dati di accesso rubati (in inglese: “cre­den­tials”). Lo fanno provando a usare un gran numero di cre­den­zia­li diverse che hanno rubato da altri servizi online. Lo scopo dell’attacco è ottenere l’accesso ad altri dati preziosi nell’account hackerato, ad esempio il numero di carta di credito o l’indirizzo dell’utente, i documenti me­mo­riz­za­ti, i contatti – in breve: ulteriori dati da cui è possibile trarre profitto.

Secondo le sta­ti­sti­che, circa un tentativo di accesso su mille ha esito positivo. In altre parole: un utente ma­lin­ten­zio­na­to deve provare una media di 1.000 dati di accesso diversi per entrare in un sistema.

L’hacker ha bisogno di quattro cose per un attacco di “cre­den­tial stuffing” di successo:

• un elenco di dati di accesso;
• un elenco di servizi online diffusi che vuole attaccare (ad esempio: Dropbox, Adobe Cloud, Canva, ecc.);
• una tecnica usata per uti­liz­za­re un gran numero di diversi indirizzi IP come mittenti (rotazione IP);
• un “bot” (programma per computer) proprio, che tenta au­to­ma­ti­ca­men­te di accedere ai vari servizi online.

Uti­liz­zan­do tali bot, l’hacker tenta un accesso dopo l’altro a un servizio online, cambiando si­ste­ma­ti­ca­men­te l’indirizzo IP del mittente in modo che il server di de­sti­na­zio­ne non blocchi i tentativi di accesso. Infatti, ogni server ben con­fi­gu­ra­to bloccherà un de­ter­mi­na­to indirizzo IP se il numero di tentativi di accesso non riusciti supera una certa soglia.

Se il login riesce, il bot accederà alle preziose in­for­ma­zio­ni sopra men­zio­na­te. Inoltre, i dati di accesso rubati vengono salvati per un utilizzo suc­ces­si­vo, ad esempio per attacchi di phishing e simili.

Rispetto ai seguenti metodi di hacking, il cre­den­tial stuffing è spesso molto più efficace:

• gli attacchi “brute force” ri­chie­do­no un numero molto più elevato di tentativi, perché vengono provate com­bi­na­zio­ni di password puramente casuali e non - come con il cre­den­tial stuffing - password ef­fet­ti­va­men­te esistenti;
• il social en­gi­nee­ring di solito limita l’attacco a una singola piat­ta­for­ma (ad esempio Amazon), mentre il cre­den­tial stuffing può attaccare con­tem­po­ra­nea­men­te centinaia di diversi servizi online.

La misura di pro­te­zio­ne più semplice e sicura consiste nell’uti­liz­za­re password diverse per diversi accessi. Sebbene possa sembrare faticoso, è si­cu­ra­men­te meglio esco­gi­ta­re oggi un metodo per ricordare password diverse piuttosto che dover poi cambiare la password per tutti gli accessi in­di­vi­dua­li in caso di un furto di dati in futuro.

Le migliori pratiche per gestire password diverse sono:

• uno schema di password segrete che viene applicato a tutte le password. Uno schema col­lau­da­to consiste nel mescolare i nomi delle piat­ta­for­me con una com­bi­na­zio­ne fissa di numeri. La password per Dropbox diventa quindi dro33pbox22, mentre quella per Amazon ama33zon22;
• l’uso di una password manager; qui si può scegliere tra un’app o un browser - Add-on;
• l’utilizzo di più indirizzi di posta elet­tro­ni­ca o nomi utente per le varie piat­ta­for­me, ciascuno con una password diversa.

Per gli operatori di siti web, negozi e servizi online, esiste un’intera gamma di opzioni per pro­teg­ge­re gli utenti dal cre­den­tial stuffing:

• un au­then­ti­ca­tor TOTP, ovvero l’utilizzo di una password tem­po­ra­nea monouso (time-based one-time password) per l’accesso;
• un’au­ten­ti­ca­zio­ne a più fattori, ad esempio at­tra­ver­so l’invio di un codice SMS allo smart­pho­ne
• bloccare i browser headless come quelli usati dai bot;
• bloccare il traffico dati dai data center come Amazon Web Services o IBM Watson. Infatti, i bot sono spesso gestiti da tali data center;
• utilizzo di software di difesa spe­cia­liz­za­ti. Ad esempio, per WordPress, il plug-in Wordfence Login Security è l’ideale;
• device fin­ger­print. Varie fun­zio­na­li­tà del computer dell’utente, come indirizzi MAC, la di­men­sio­ne del disco rigido, ecc., vengono lette e con­ver­ti­te in un valore hash di modo che un tentativo di accesso da un computer estraneo possa essere sma­sche­ra­to im­me­dia­ta­men­te.